Поделиться через


Предварительные требования для развертывания Службы приложений в Azure Stack Hub

Внимание

При необходимости обновите Azure Stack Hub до поддерживаемой версии (или разверните последний пакет средств разработки Azure Stack) перед развертыванием или обновлением поставщика ресурсов Служба приложений (RP). Обязательно прочитайте заметки о выпуске RP, чтобы узнать о новых функциональных возможностях, исправлениях и любых известных проблемах, которые могут повлиять на развертывание.

Поддерживаемая минимальная версия Azure Stack Hub версия RP Служба приложений
2311 и позже установщика 24R1 ( заметки о выпуске)

Перед развертыванием Службы приложений Azure в Azure Stack Hub необходимо выполнить предварительные действия, описанные в этой статье.

Необходимые условия

В этом разделе перечислены предварительные требования для развертывания интегрированных систем и Пакета средств разработки Azure Stack (ASDK).

Предварительные требования для поставщика ресурсов

Если вы уже установили поставщик ресурсов, вы, вероятно, выполнили указанные далее предварительные требования и можете пропустить этот раздел. В противном случае выполните следующие действия, прежде чем продолжить:

  1. Зарегистрируйте экземпляр Azure Stack Hub в Azure, если вы еще этого не сделали. Этот шаг необходим, так как вы будете скачивать элементы в marketplace из Azure и подключаться к ним.

  2. Если вам не знакома возможность Marketplace Management (Управление Marketplace) на портале администрирования Azure Stack Hub, ознакомьтесь со статьей Скачивание элементов marketplace из Azure и их публикация в Azure Stack Hub. В этой статье описывается скачивание элементов из Azure в Azure Stack Hub marketplace. В ней рассматриваются сценарии с подключением к Интернету и без него. Если экземпляр концентратора Azure Stack Hub не подключен или частично подключен к Интернету, существуют дополнительные предварительные требования для завершения подготовки к установке.

  3. Обновите домашний каталог Microsoft Entra. Начиная с сборки 1910, новое приложение должно быть зарегистрировано в клиенте домашнего каталога. Это приложение позволит Azure Stack Hub успешно создавать и регистрировать новые поставщики ресурсов (например, Центры событий и другие) в клиенте Microsoft Entra. Это однократное действие, которое необходимо выполнить после обновления до сборки 1910 или более поздней версии. Если этот шаг не завершен, установка поставщика ресурсов Marketplace завершится ошибкой.

Скачивание установочного и вспомогательного скриптов

  1. Скачайте Службу приложений Azure для вспомогательных скриптов развертывания Azure Stack Hub.

    Примечание.

    Вспомогательные сценарии развертывания требуют модуля AzureRM PowerShell. Дополнительные сведения об установке см. в модуле PowerShell AzureRM для Azure Stack Hub .

  2. Скачайте установщик Службы приложений Azure в Azure Stack Hub.

  3. Извлеките файлы из ZIP-файла вспомогательных скриптов. Должны быть извлечены следующие файлы и папки:

    • Common.ps1;
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1;
    • BCDR
      • ReACL.cmd
    • Папка модулей
      • GraphAPI.psm1

Сертификаты и конфигурация сервера (интегрированные системы)

В этом разделе перечислены предварительные требования для развертывания интегрированных систем.

Требования к сертификатам

Для работы поставщика ресурсов в рабочей среде необходимо предоставить следующие сертификаты:

  • Сертификат домена по умолчанию
  • Сертификат API
  • Сертификат для публикации
  • Сертификат удостоверения

Помимо конкретных требований, перечисленных в следующих разделах, вы также будете использовать средство позже для тестирования общих требований. См. статью "Проверка PKI-сертификатов Azure Stack Hub" для полного списка проверок, в том числе:

  • Формат файла . PFX
  • Использование ключа, заданное для проверки подлинности сервера и клиента
  • и несколько других

Сертификат домена по умолчанию

Сертификат домена по умолчанию размещается в роли внешнего интерфейса. Он используется пользовательскими приложениями для групповых запросов или запросов домена по умолчанию к Службе приложений Azure. Сертификат также применяется для операций системы управления версиями (Kudu).

Сертификат должен иметь формат PFX и должен быть групповым сертификатом трех субъектов. Это требование позволяет использовать один сертификат для домена по умолчанию и конечной точки SCM для операций управления версиями.

Форматировать Пример
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

Сертификат API

Сертификат API помещается в роль управления. Он используется поставщиком ресурсов для защиты вызовов API. Сертификат для публикации должен содержать субъект, соответствующий записи API DNS.

Форматировать Пример
api.appservice.<регион>.<доменное_имя>.<расширение> api.appservice.redmond.azurestack.external

Сертификат для публикации

Сертификат для роли издателя защищает трафик FTPS для владельцев приложений при загрузке содержимого. Сертификат для публикации должен содержать субъект, соответствующий записи FTPS DNS.

Форматировать Пример
ftp.appservice.<регион>.<имя домена>.<расширение> ftp.appservice.redmond.azurestack.external

Сертификат удостоверения

Сертификат для приложения удостоверения позволяет поддерживает следующие возможности:

  • Интеграция между каталогом Microsoft Entra ID или службы федерации Active Directory (AD FS) (AD FS), Azure Stack Hub и Служба приложений для поддержки интеграции с поставщиком вычислительных ресурсов.
  • сценарии единого входа для расширенных средств разработки в Службе приложений Azure в Azure Stack Hub.

Сертификат для идентификации должен содержать субъект, соответствующий приведенному ниже формату.

Форматировать Пример
sso.appservice.<регион>.<имя домена>.<расширение> sso.appservice.redmond.azurestack.external

Проверка сертификатов

Прежде чем развертывать поставщик ресурсов Службы приложений, проверьте сертификаты, которые будут использоваться, с помощью средства проверки готовности Azure Stack Hub, которое доступно в коллекции PowerShell. Средство проверки готовности Azure Stack Hub проверяет, подходят ли созданные сертификаты PKI для развертывания Службы приложений.

При работе с любым нужным сертификатом Azure Stack Hub PKI следует все спланировать так, чтобы при необходимости у вас осталось время на тестирование и повторную выдачу сертификатов.

Подготовка файлового сервера

Служба приложений Azure требует использования файлового сервера. Для развертываний в рабочей среде файловый сервер должен быть настроен так, чтобы обеспечивать высокую доступность и обрабатывать сбои.

Шаблон быстрого запуска файлового сервера и SQL Server с высоким уровнем доступности

Теперь вам доступен шаблон быстрого запуска эталонной архитектуры для развертывания файлового сервера и SQL Server. Этот шаблон поддерживает инфраструктуру Active Directory в виртуальной сети, настроенную для развертывания Службы приложений Azure в Azure Stack Hub с высоким уровнем доступности.

Внимание

Этот шаблон предлагается в качестве ссылки или примера развертывания необходимых компонентов. Так как оператор Azure Stack Hub управляет этими серверами, особенно в рабочих средах, необходимо настроить шаблон по мере необходимости или необходимости в организации.

Примечание.

Для завершения развертывания экземпляр интегрированной системы должен иметь возможность скачивать ресурсы из GitHub.

Инструкции по развертыванию пользовательского файлового сервера

Внимание

Чтобы развернуть Службу приложений в существующей виртуальной сети, файловый сервер необходимо развернуть в отдельной подсети.

Примечание.

Если вы решили развернуть файловый сервер, используя один из упомянутых выше шаблонов быстрого запуска, этот раздел можно пропустить, так как файловые серверы настроены как часть развертывания шаблона.

Подготовка групп и учетных записей в Active Directory
  1. Создайте следующие группы глобальной безопасности Active Directory:

    • FileShareOwners
    • FileShareUsers
  2. Создайте следующие учетные записи Active Directory в качестве учетных записей службы:

    • FileShareOwner
    • FileShareUser

    Из соображений безопасности пользователи этих учетных записей (и всех веб-ролей) должны быть уникальными и иметь надежные имена пользователей и пароли. Задайте пароли со следующими условиями:

    • Включите параметр Срок действия пароля не ограничен.
    • Включите параметр Запретить смену пароля пользователем.
    • Отключите параметр Требовать смены пароля при следующем входе в систему.
  3. Добавьте учетные записи в группы следующим образом:

    • Добавьте FileShareOwner в группу FileShareOwners.
    • Добавьте FileShareUser в группу FileShareUsers.
Подготовка групп и учетных записей в рабочей группе

Примечание.

При настройке файлового сервера выполните все указанные ниже команды в окне командной строки с правами администратора.
Не используйте PowerShell.

Если вы используете указанный выше шаблон Azure Resource Manager, пользователи уже созданы.

  1. Выполните следующие команды, чтобы создать учетные записи FileShareOwner и FileShareUser. Замените <password> собственными значениями.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. Задайте неограниченный срок действия паролей для учетных записей, выполнив следующие команды WMIC:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. Создайте локальные группы FileShareUsers и FileShareOwners и добавьте в них учетные записи из первого шага:

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

Подготовка общей папки содержимого

В общей папке содержимого размещается содержимое веб-сайта клиента. Процедура подготовки общей папки содержимого на одном файловом сервере одинакова для сред Active Directory и рабочей группы. Однако для отказоустойчивого кластера в Active Directory эта процедура отличается.

Подготовка общей папки содержимого на одном файловом сервере (Active Directory или рабочей группы)

На одном файловом сервере выполните следующие команды в командной строке с повышенными привилегиями. Замените значение C:\WebSites соответствующими путями в своей среде.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Настройка управления доступом к общим папкам

Выполните указанные ниже команды в командной строке с повышенными привилегиями на файловом сервере или на узле отказоустойчивого кластера, который является текущим владельцем кластерного ресурса. Замените значения, выделенные курсивом, значениями для конкретной среды.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Рабочая группа

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Подготовка экземпляра SQL Server

Примечание.

Чтобы развернуть файловый сервер и SQL Server с высоким уровнем доступности, используя шаблон быстрого запуска, этот раздел можно пропустить, так как шаблон развертывает и настраивает SQL Server в конфигурации, обеспечивающей высокую доступность.

Для службы приложений Azure в базах данных размещения и измерений Azure Stack Hub необходимо подготовить экземпляр SQL Server, чтобы разместить базы данных Службы приложений.

Для рабочих сред и с целью обеспечения высокого уровня доступности следует использовать полную версию SQL Server 2014 с пакетом обновления 2 (SP2) или более поздней версии, включить аутентификацию в смешанном режиме и выполнить развертывание в конфигурации, обеспечивающей высокий уровень доступности.

Экземпляр SQL Server для Службы приложений Azure в Azure Stack Hub должен быть доступен для всех ролей Службы приложений. Вы можете развернуть SQL Server в стандартной подписке поставщика в Azure Stack Hub. Также можно использовать существующую корпоративную инфраструктуру в (при наличии подключения к Azure Stack Hub). Если вы используете образ Azure Marketplace, не забудьте соответствующим образом настроить брандмауэр.

Примечание.

Через функцию управления Marketplace доступен ряд образов виртуальной машины SQL IaaS. Перед развертыванием виртуальной машины, используя элемент marketplace, всегда скачивайте последнюю версию расширения SQL IaaS. Образы SQL совпадают с виртуальными машинами SQL, которые доступны в Azure. Для виртуальных машин SQL, созданных на основе этих образов, расширение IaaS и соответствующие усовершенствования портала предоставляют функции, такие как автоматическая установка исправлений и резервное копирование.

Для любой роли SQL Server можно использовать экземпляр по умолчанию или именованный экземпляр. Если используется именованный экземпляр, вручную запустите службу обозревателя SQL Server и откройте порт 1434.

Установщик Службы приложений выполнит проверку на наличие автономности базы данных в SQL Server. Чтобы включить автономность базы данных в SQL Server, где будут размещаться базы данных Службы приложений, выполните следующие команды SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Сертификаты и конфигурация сервера (ASDK)

В этом разделе перечислены предварительные требования для ASDK.

Сертификаты, необходимых для развертывания Службы приложений Azure с помощью ASDK

Скрипт Create-AppServiceCerts.ps1 обращается к центру сертификации Azure Stack Hub для создания четырех сертификатов, необходимых для работы Службы приложений.

Имя файла Использование
_.appservice.local.azurestack.external.pfx Пароль SSL-сертификата по умолчанию для Службы
api.appservice.local.azurestack.external.pfx SSL-сертификат API службы приложений
ftp.appservice.local.azurestack.external.pfx SSL-сертификат издателя службы приложений
sso.appservice.local.azurestack.external.pfx Сертификат приложения для удостоверения службы приложений

Чтобы создать сертификаты, выполните указанные ниже действия.

  1. Войдите на узел ASDK, используя учетную запись AzureStack\AzureStackAdmin.
  2. Откройте сеанс PowerShell с повышенными привилегиями.
  3. Выполните скрипт Create-AppServiceCerts.ps1 из папки, в которую были извлечены вспомогательные скрипты. Этот скрипт создает четыре сертификата в той же папке, где расположен скрипт, который требуется Службе приложений для создания сертификатов.
  4. Введите пароль для защиты PFX-файлов и запишите его. Вам нужно будет ввести его в программе установки Службы приложений в Azure Stack Hub.

Параметры скрипта Create-AppServiceCerts.ps1

Параметр Обязательно или необязательно Значение по умолчанию Description
pfxPassword Обязательное поле Null Пароль, который помогает защитить закрытый ключ сертификата
DomainName Обязательное поле local.azurestack.external Регион и суффикс домена для Azure Stack Hub.

Шаблон быстрого запуска файлового сервера для развертываний Службы приложений Azure на базе ASDK.

Этот пример шаблона развертывания Azure Resource Manager для развертывания настроенного файлового сервера на одном узле можно использовать только для развертываний ASDK. В рабочей группе будет файловый сервер с одним узлом.

Примечание.

Для завершения развертывания экземпляр ASDK должен иметь возможность скачивать ресурсы из GitHub.

Экземпляр SQL Server

Для службы приложений Azure в базах данных размещения и измерений Azure Stack Hub необходимо подготовить экземпляр SQL Server, чтобы разместить базы данных Службы приложений.

Чтобы развернуть ASDK, можно использовать SQL Server Express 2014 с пакетом обновления 2 (SP2) или более поздней версии. SQL Server должен поддерживать смешанный режим проверки подлинности, так как Служба приложений в Azure Stack Hub НЕ ПОДДЕРЖИВАЕТ проверку подлинности Windows.

Экземпляр SQL Server для Службы приложений Azure в Azure Stack Hub должен быть доступен для всех ролей Службы приложений. Вы можете развернуть SQL Server в стандартной подписке поставщика в Azure Stack Hub. Также можно использовать существующую корпоративную инфраструктуру в (при наличии подключения к Azure Stack Hub). Если вы используете образ Azure Marketplace, не забудьте соответствующим образом настроить брандмауэр.

Примечание.

Через функцию управления Marketplace доступен ряд образов виртуальной машины SQL IaaS. Перед развертыванием виртуальной машины, используя элемент marketplace, всегда скачивайте последнюю версию расширения SQL IaaS. Образы SQL совпадают с виртуальными машинами SQL, которые доступны в Azure. Для виртуальных машин SQL, созданных на основе этих образов, расширение IaaS и соответствующие усовершенствования портала предоставляют функции, такие как автоматическая установка исправлений и резервное копирование.

Для любой роли SQL Server можно использовать экземпляр по умолчанию или именованный экземпляр. Если используется именованный экземпляр, вручную запустите службу обозревателя SQL Server и откройте порт 1434.

Установщик Службы приложений выполнит проверку на наличие автономности базы данных в SQL Server. Чтобы включить автономность базы данных в SQL Server, где будут размещаться базы данных Службы приложений, выполните следующие команды SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Вопросы лицензирования для необходимого файлового сервера и SQL Server

Для работы Службы приложений Azure в Azure Stack Hub требуются файловый сервер и SQL Server. Вы можете свободно использовать доступные ресурсы, расположенные за пределами развертывания Azure Stack Hub, или развернуть ресурсы в рамках подписки поставщика Azure Stack Hub по умолчанию.

Если вы хотите развернуть ресурсы в подписке поставщика Azure Stack Hub по умолчанию, плата за лицензии на эти ресурсы (лицензии Windows Server и SQL Server) будет включена в плату за использование Службы приложений Azure в Azure Stack Hub при условии соблюдения следующих ограничений:

  • Инфраструктура развернута в подписке поставщика по умолчанию.
  • Инфраструктура используется исключительно поставщиком ресурсов Службы приложений Azure в Azure Stack Hub. Другие рабочие нагрузки, административные (другие поставщики ресурсов, например SQL-RP) или клиент (например, клиентские приложения, требующие базы данных), не могут использовать эту инфраструктуру.

Ответственность за работу файловых серверов и серверов SQL

Операторы облака отвечают за обслуживание и работу файлового сервера и сервера SQL Server. Поставщик ресурсов не управляет этими ресурсами. Оператор облака отвечает за резервное копирование баз данных Службы приложений и общей папки содержимого арендатора.

Получение корневого сертификата Azure Resource Manager для Azure Stack Hub

Откройте сеанс PowerShell с повышенными привилегиями на компьютере с доступом к привилегированной конечной точке в интегрированной системе Azure Stack Hub или на узле ASDK.

Выполните скрипт Get-AzureStackRootCert.ps1 из папки, в которую были извлечены вспомогательные скрипты. Сценарий создает корневой сертификат в той же папке, где расположен сценарий, используемый службой приложений при создании сценариев.

При выполнении приведенной ниже команды PowerShell необходимо указать привилегированную конечную точку и учетные данные для AzureStack\CloudAdmin.

    Get-AzureStackRootCert.ps1

Параметры скрипта Get-AzureStackRootCert.ps1

Параметр Обязательно или необязательно Значение по умолчанию Description
PrivilegedEndpoint Обязательное поле AzS-ERCS01 Привилегированная конечная точка
CloudAdminCredential Обязательное поле AzureStack\CloudAdmin Учетные данные домена администратора облака Azure Stack Hub.

Конфигурация сети и удостоверения

Виртуальная сеть

Примечание.

Предварительно создавать пользовательскую виртуальную сеть не обязательно, так как Служба приложений Azure в Azure Stack Hub может создать необходимую виртуальную сеть, но для этого ей нужно обмениваться данными с SQL Server и файловым сервером через общедоступные IP-адреса. Если вы используете шаблон быстрого запуска файлового сервера с высоким уровнем доступности Службы приложений и SQL Server для развертывания необходимых ресурсов SQL и файлового сервера, шаблон также развернет виртуальную сеть.

Служба приложений Azure в Azure Stack Hub позволяет развертывать поставщик ресурсов в существующей виртуальной сети или создавать виртуальную сеть в ходе развертывания. Использование существующей виртуальной сети позволяет Службе приложений Azure в Azure Stack Hub подключаться к файловому серверу и SQL Server через внутренние IP-адреса. Прежде чем устанавливать в виртуальной сети Службу приложений Azure в Azure Stack Hub, следует настроить следующий диапазон адресов и подсети:

Виртуальная сеть /16

подсети;

  • ControllersSubnet /24
  • ManagementServersSubnet /24
  • FrontEndsSubnet /24
  • PublishersSubnet /24
  • WorkersSubnet /21

Внимание

Чтобы развернуть Службу приложений в существующей виртуальной сети, SQL Server нужно развернуть в отдельной подсети.

Создание приложения удостоверений для включения сценариев единого входа

Служба приложений Azure использует приложение удостоверений (субъект-службу) для поддержки следующих операций:

  • интеграция масштабируемых наборов виртуальных машин на уровнях рабочих ролей;
  • единый вход для портала решения "Функции Azure" и расширенные средства разработчика (Kudu).

В зависимости от того, какой поставщик удостоверений использует Azure Stack Hub, идентификатор Microsoft Entra или службы федерации Active Directory (AD FS) (ADFS), необходимо выполнить следующие действия, чтобы создать субъект-службу для использования службой приложение Azure в поставщике ресурсов Azure Stack Hub.

Создание приложения Microsoft Entra

Выполните следующие действия, чтобы создать субъект-службу в клиенте Microsoft Entra:

  1. Откройте экземпляр PowerShell с правами azurestack\AzureStackAdmin.
  2. Перейдите к расположению скриптов, скачанных и извлеченных на этапе подготовки.
  3. Установка PowerShell для Azure Stack Hub.
  4. Запустите скрипт Create-AADIdentityApp.ps1. При появлении запроса введите идентификатор клиента Microsoft Entra, который вы используете для развертывания Azure Stack Hub. Например, введите myazurestack.onmicrosoft.com.
  5. В окне учетных данных введите учетную запись администратора службы Microsoft Entra и пароль. Нажмите ОК.
  6. Введите путь к файлу сертификата и пароль для сертификата, созданного ранее. Для этого шага по умолчанию создается сертификат sso.appservice.local.azurestack.external.pfx.
  7. Запишите идентификатор приложения, который возвращается в выходных данных PowerShell. Этот идентификатор используется в следующих шагах, чтобы предоставить согласие на разрешения приложения, и во время установки.
  8. Откройте новое окно браузера и войдите в портал Azure в качестве администратора службы Microsoft Entra.
  9. Откройте службу Microsoft Entra.
  10. В области слева щелкните Регистрация приложений.
  11. Выполните поиск по идентификатору приложения, который вы сохранили на шаге 7.
  12. Выберите регистрацию приложения службы приложений из списка.
  13. В области слева щелкните Разрешения API.
  14. Выберите "Предоставить согласие администратора" для <клиента>, где <клиент> является именем клиента Microsoft Entra. Подтвердите предоставление согласия, щелкнув Да.
    Create-AADIdentityApp.ps1
Параметр Обязательно или необязательно Значение по умолчанию Description
DirectoryTenantName Обязательное поле Null Идентификатор клиента Microsoft Entra. Введите идентификатор GUID или строку. Пример: myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Обязательное поле Null Конечная точка Azure Resource Manager администратора. Пример: adminmanagement.local.azurestack.external.
TenantARMEndpoint Обязательное поле Null Конечная точка Azure Resource Manager клиента. Пример: management.local.azurestack.external.
AzureStackAdminCredential Обязательное поле Null Учетные данные администратора службы Microsoft Entra.
CertificateFilePath Обязательное поле Null Полный путь к файлу сертификата приложения идентификации, созданному ранее.
CertificatePassword Обязательное поле Null Пароль, который помогает защитить закрытый ключ сертификата.
Среда Необязательно AzureCloud Имя поддерживаемой облачной среды, в которой доступна целевая служба Azure Active Directory Graph. Доступные значения: "AzureCloud", "AzureChinaCloud", "AzureUSGovernment", "AzureGermanCloud".

Создание приложения ADFS

  1. Откройте экземпляр PowerShell с правами azurestack\AzureStackAdmin.
  2. Перейдите к расположению скриптов, скачанных и извлеченных на этапе подготовки.
  3. Установка PowerShell для Azure Stack Hub.
  4. Запустите скрипт Create-ADFSIdentityApp.ps1.
  5. В окне Учетные данные укажите учетную запись администратора облака AD FS и пароль. Нажмите ОК.
  6. Предоставьте путь к файлу сертификата и пароль для сертификата, созданного ранее. Для этого шага по умолчанию создается сертификат sso.appservice.local.azurestack.external.pfx.
    Create-ADFSIdentityApp.ps1
Параметр Обязательно или необязательно Значение по умолчанию Description
AdminArmEndpoint Обязательное поле Null Конечная точка Azure Resource Manager администратора. Пример: adminmanagement.local.azurestack.external.
PrivilegedEndpoint Обязательное поле Null Привилегированная конечная точка. Пример: AzS-ERCS01.
CloudAdminCredential Обязательное поле Null Учетные данные домена администратора облака Azure Stack Hub. Пример: Azurestack\CloudAdmin.
CertificateFilePath Обязательное поле Null Полный путь к PFX-файлу сертификата приложения идентификации.
CertificatePassword Обязательное поле Null Пароль, который помогает защитить закрытый ключ сертификата.

Скачивание элементов из Azure Marketplace

Для работы Службы приложений Azure в Azure Stack Hub необходимо скачать элементы из Azure Marketplace, сделав их доступными в Azure Stack Hub Marketplace. До запуска развертывания или обновления Службы приложений Azure в Azure Stack Hub нужно скачать следующие компоненты:

Внимание

Служба приложений Azure в Azure Stack Hub не поддерживает образ платформы Windows Server Core.

Не используйте образы вычисления при развертывании в рабочей среде.

  1. Последняя версия образа виртуальной машины Центра обработки данных Windows Server 2022.
  1. Образ полной виртуальной машины Центра обработки данных Windows Server 2022 с активированным Microsoft.Net 3.5.1 с пакетом обновления 1 (SP1). Для Службы приложений Azure в Azure Stack Hub требуется, чтобы Microsoft.Net 3.5.1 с пакетом обновления 1 был активирован в образе, который используется для развертывания. Образы Windows Server 2022 с синдикатом Marketplace не включают эту функцию и в отключенных средах не могут получить доступ к Центру обновления Майкрософт, чтобы скачать пакеты для установки с помощью DISM. Поэтому необходимо создать и использовать образ Windows Server 2022 с предварительной поддержкой этой функции с отключенными развертываниями.

    См. сведения о том, как создать и добавить пользовательский образ виртуальной машины в Azure Stack Hub Marketplace. При добавлении образа в Marketplace укажите следующие свойства:

    • Издатель — MicrosoftWindowsServer.
    • Предложение — WindowsServer.
    • SKU = AppService
    • Версия — укажите последнюю версию.
  1. Расширение пользовательских скриптов версии 1.9.1 или выше. Этот элемент является расширением виртуальной машины.

Следующие шаги

Установка поставщика ресурсов Службы приложений Azure