Krav för distribution av App Service på Azure Stack Hub
Viktigt!
Uppdatera Azure Stack Hub till en version som stöds (eller distribuera det senaste Azure Stack Development Kit) om det behövs innan du distribuerar eller uppdaterar App Service-resursprovidern (RP). Läs viktig information om RP om du vill veta mer om nya funktioner, korrigeringar och kända problem som kan påverka distributionen.
Lägsta Azure Stack Hub-version som stöds App Service RP-version 2311 och senare 24R1 Installer (versionsinformation)
Innan du distribuerar Azure App Service på Azure Stack Hub måste du slutföra de nödvändiga stegen i den här artikeln.
Innan du börjar
I det här avsnittet visas förhandskraven för både integrerade system- och ASDK-distributioner (Azure Stack Development Kit).
Krav för resursprovider
Om du redan har installerat en resursprovider har du förmodligen slutfört följande krav och kan hoppa över det här avsnittet. I annat fall slutför du dessa steg innan du fortsätter:
Registrera din Azure Stack Hub-instans med Azure om du inte har gjort det. Det här steget krävs eftersom du ansluter till och laddar ned objekt till Marketplace från Azure.
Om du inte är bekant med Marketplace Management-funktionen i Azure Stack Hub-administratörsportalen kan du läsa Ladda ned marketplace-objekt från Azure och publicera till Azure Stack Hub. Artikeln beskriver hur du laddar ned objekt från Azure till Azure Stack Hub Marketplace. Den omfattar både anslutna och frånkopplade scenarier. Om din Azure Stack Hub-instans är frånkopplad eller delvis ansluten finns det ytterligare förutsättningar att slutföra inför installationen.
Uppdatera din Microsoft Entra-hemkatalog. Från och med version 1910 måste ett nytt program registreras i din hemkatalogklientorganisation. Med den här appen kan Azure Stack Hub skapa och registrera nyare resursprovidrar (till exempel Event Hubs och andra) med din Microsoft Entra-klientorganisation. Det här är en engångsåtgärd som måste utföras efter uppgraderingen till build 1910 eller senare. Om det här steget inte har slutförts misslyckas installationerna av Marketplace-resursprovidern.
- När du har uppdaterat Azure Stack Hub-instansen till 1910 eller senare följer du anvisningarna för att klona/ladda ned Azure Stack Hub Tools-lagringsplatsen.
- Följ sedan anvisningarna för att uppdatera Azure Stack Hub Microsoft Entra Home Directory (efter att du har installerat uppdateringar eller nya resursprovidrar).
Installations- och hjälpskript
Ladda ned App Service på Azure Stack Hub-distributionshjälpskript.
Kommentar
Distributionshjälpskripten kräver AzureRM PowerShell-modulen. Mer information finns i Installera PowerShell AzureRM-modulen för Azure Stack Hub .
Ladda ned Installationsprogrammet för App Service på Azure Stack Hub.
Extrahera filerna från hjälpskripten .zip fil. Följande filer och mappar extraheras:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Mappen Moduler
- GraphAPI.psm1
Certifikat och serverkonfiguration (integrerade system)
I det här avsnittet visas kraven för integrerade systemdistributioner.
Certifikatkrav
Om du vill köra resursprovidern i produktion måste du ange följande certifikat:
- Standarddomäncertifikat
- API-certifikat
- Publicera certifikat
- Identitetscertifikat
Utöver de specifika krav som anges i följande avsnitt använder du även ett verktyg senare för att testa för allmänna krav. Se Verifiera Azure Stack Hub PKI-certifikat för den fullständiga listan över valideringar, inklusive:
- Filformat för . PFX
- Nyckelanvändning inställd på server- och klientautentisering
- och flera andra
Standarddomäncertifikat
Standarddomäncertifikatet placeras på klientdelsrollen. Användarappar för jokertecken eller standarddomänbegäran till Azure App Service använder det här certifikatet. Certifikatet används också för källkontrollåtgärder (Kudu).
Certifikatet måste vara i .pfx-format och ska vara ett jokerteckencertifikat med tre ämnen. Med det här kravet kan ett certifikat omfatta både standarddomänen och SCM-slutpunkten för källkontrollåtgärder.
Format | Exempel |
---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
API-certifikat
API-certifikatet placeras på hanteringsrollen. Resursprovidern använder den för att skydda API-anrop. Certifikatet för publicering måste innehålla ett ämne som matchar API DNS-posten.
Format | Exempel |
---|---|
api.appservice.<region>.<DomainName>.<förlängning> | api.appservice.redmond.azurestack.external |
Publicera certifikat
Certifikatet för Publisher-rollen skyddar FTPS-trafiken för appägare när de laddar upp innehåll. Certifikatet för publicering måste innehålla ett ämne som matchar FTPS DNS-posten.
Format | Exempel |
---|---|
ftp.appservice.<region>.<DomainName>.<förlängning> | ftp.appservice.redmond.azurestack.external |
Identitetscertifikat
Certifikatet för identitetsappen aktiverar:
- Integrering mellan Katalogen Microsoft Entra ID eller Active Directory Federation Services (AD FS) (AD FS), Azure Stack Hub och App Service för att stödja integrering med beräkningsresursprovidern.
- Scenarier med enkel inloggning för avancerade utvecklarverktyg i Azure App Service på Azure Stack Hub.
Identitetscertifikatet måste innehålla ett ämne som matchar följande format.
Format | Exempel |
---|---|
sso.appservice.<region>.<DomainName>.<förlängning> | sso.appservice.redmond.azurestack.external |
Verifiera certifikat
Innan du distribuerar App Service-resursprovidern bör du verifiera de certifikat som ska användas med hjälp av verktyget Azure Stack Hub Readiness Checker som är tillgängligt från PowerShell-galleriet. Beredskapskontrollverktyget för Azure Stack Hub verifierar att de genererade PKI-certifikaten är lämpliga för App Service-distribution.
Bästa praxis är att när du arbetar med något av de nödvändiga Azure Stack Hub PKI-certifikaten bör du planera tillräckligt med tid för att testa och återutge certifikat om det behövs.
Förbereda filservern
Azure App Service kräver användning av en filserver. För produktionsdistributioner måste filservern konfigureras så att den är högtillgänglig och kan hantera fel.
Snabbstartsmall för filserver med hög tillgänglighet och SQL Server
En snabbstartsmall för referensarkitektur är nu tillgänglig som distribuerar en filserver och SQL Server. Den här mallen stöder Active Directory-infrastruktur i ett virtuellt nätverk som har konfigurerats för att stödja en högtillgänglig distribution av Azure App Service på Azure Stack Hub.
Viktigt!
Den här mallen erbjuds som en referens eller ett exempel på hur du kan distribuera förutsättningarna. Eftersom Azure Stack Hub-operatören hanterar dessa servrar, särskilt i produktionsmiljöer, bör du konfigurera mallen efter behov eller krävs av din organisation.
Kommentar
Den integrerade systeminstansen måste kunna ladda ned resurser från GitHub för att slutföra distributionen.
Steg för att distribuera en anpassad filserver
Viktigt!
Om du väljer att distribuera App Service i ett befintligt virtuellt nätverk ska filservern distribueras till ett separat undernät från App Service.
Kommentar
Om du har valt att distribuera en filserver med någon av de snabbstartsmallar som nämns ovan kan du hoppa över det här avsnittet eftersom filservrarna konfigureras som en del av malldistributionen.
Etablera grupper och konton i Active Directory
Skapa följande globala Active Directory-säkerhetsgrupper:
- FileShareOwners
- FileShareUsers
Skapa följande Active Directory-konton som tjänstkonton:
- FileShareOwner
- FileShareUser
Som bästa säkerhet bör användarna för dessa konton (och för alla webbroller) vara unika och ha starka användarnamn och lösenord. Ange lösenorden med följande villkor:
- Aktivera lösenord upphör aldrig att gälla.
- Aktivera Användaren kan inte ändra lösenord.
- Inaktivera Användaren måste ändra lösenordet vid nästa inloggning.
Lägg till kontona i gruppmedlemskapen på följande sätt:
- Lägg till FileShareOwner i gruppen FileShareOwners .
- Lägg till FileShareUser i gruppen FileShareUsers .
Etablera grupper och konton i en arbetsgrupp
Kommentar
När du konfigurerar en filserver kör du alla följande kommandon från en kommandotolk för administratör.
Använd inte PowerShell.
När du använder Azure Resource Manager-mallen har användarna redan skapats.
Kör följande kommandon för att skapa FileShareOwner- och FileShareUser-kontona. Ersätt
<password>
med dina egna värden.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
Ange att lösenorden för kontona aldrig ska upphöra att gälla genom att köra följande WMIC-kommandon:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
Skapa de lokala grupperna FileShareUsers och FileShareOwners och lägg till kontona i det första steget till dem:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Etablera innehållsresursen
Innehållsresursen innehåller innehåll på klientorganisationens webbplats. Proceduren för att etablera innehållsresursen på en enskild filserver är densamma för både Active Directory- och arbetsgruppsmiljöer. Men det är annorlunda för ett redundanskluster i Active Directory.
Etablera innehållsresursen på en enskild filserver (Active Directory eller arbetsgrupp)
Kör följande kommandon i en upphöjd kommandotolk på en enskild filserver. Ersätt värdet för C:\WebSites
med motsvarande sökvägar i din miljö.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Konfigurera åtkomstkontroll till filresurserna
Kör följande kommandon i en upphöjd kommandotolk på filservern eller på noden för redundanskluster, som är den aktuella klusterresursägaren. Ersätt värden i kursiv stil med värden som är specifika för din miljö.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Workgroup
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Förbereda SQL Server-instansen
Kommentar
Om du har valt att distribuera snabbstartsmallen för högtillgänglig filserver och SQL Server kan du hoppa över det här avsnittet när mallen distribuerar och konfigurerar SQL Server i en HA-konfiguration.
För Azure App Service på Azure Stack Hub-värd- och avläsningsdatabaser måste du förbereda en SQL Server-instans för att lagra App Service-databaserna.
För produktion och hög tillgänglighet bör du använda en fullständig version av SQL Server 2014 SP2 eller senare, aktivera autentisering i blandat läge och distribuera i en konfiguration med hög tillgänglighet.
SQL Server-instansen för Azure App Service på Azure Stack Hub måste vara tillgänglig från alla App Service-roller. Du kan distribuera SQL Server i standardproviderprenumerationen i Azure Stack Hub. Eller så kan du använda den befintliga infrastrukturen i din organisation (så länge det finns anslutning till Azure Stack Hub). Om du använder en Azure Marketplace-avbildning ska du komma ihåg att konfigurera brandväggen i enlighet med detta.
Kommentar
Ett antal SQL IaaS VM-avbildningar är tillgängliga via funktionen Marketplace Management. Se till att du alltid laddar ned den senaste versionen av SQL IaaS-tillägget innan du distribuerar en virtuell dator med hjälp av ett Marketplace-objekt. SQL-avbildningarna är samma som de virtuella SQL-datorer som är tillgängliga i Azure. För virtuella SQL-datorer som skapats från dessa avbildningar tillhandahåller IaaS-tillägget och motsvarande portalförbättringar funktioner som automatisk korrigering och säkerhetskopiering.
För någon av SQL Server-rollerna kan du använda en standardinstans eller en namngiven instans. Om du använder en namngiven instans måste du starta SQL Server Browser-tjänsten manuellt och öppna port 1434.
Installationsprogrammet för App Service kontrollerar att SQL Server har databas inneslutning aktiverat. Om du vill aktivera databas inneslutning på DEN SQL Server som ska vara värd för App Service-databaserna kör du följande SQL-kommandon:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certifikat och serverkonfiguration (ASDK)
I det här avsnittet visas kraven för ASDK-distributioner.
Certifikat som krävs för ASDK-distribution av Azure App Service
Skriptet Create-AppServiceCerts.ps1 fungerar med Azure Stack Hub-certifikatutfärdare för att skapa de fyra certifikat som App Service behöver.
Filnamn | Använd |
---|---|
_.appservice.local.azurestack.external.pfx | Standard-SSL-certifikat för App Service |
api.appservice.local.azurestack.external.pfx | App Service API SSL-certifikat |
ftp.appservice.local.azurestack.external.pfx | App Service Publisher SSL-certifikat |
sso.appservice.local.azurestack.external.pfx | Certifikat för App Service-identitetsprogram |
Följ dessa steg för att skapa certifikaten:
- Logga in på ASDK-värden med azurestack\AzureStackAdmin-kontot.
- Öppna en upphöjd PowerShell-session.
- Kör skriptet Create-AppServiceCerts.ps1 från mappen där du extraherade hjälpskripten. Det här skriptet skapar fyra certifikat i samma mapp som skriptet som App Service behöver för att skapa certifikat.
- Ange ett lösenord för att skydda PFX-filerna och anteckna det. Du måste ange det senare i Installationsprogrammet för App Service på Azure Stack Hub.
Skriptparametrar för Create-AppServiceCerts.ps1
Parameter | Obligatorisk eller valfri | Standardvärde | beskrivning |
---|---|---|---|
pfxPassword | Obligatoriskt | Null | Lösenord som hjälper till att skydda certifikatets privata nyckel |
DomainName | Obligatoriskt | local.azurestack.external | Azure Stack Hub-region och domänsuffix |
Snabbstartsmall för filserver för distribution av Azure App Service på ASDK.
Endast för ASDK-distributioner kan du använda azure resource manager-exempeldistributionsmallen för att distribuera en konfigurerad filserver med en nod. Filservern med en nod finns i en arbetsgrupp.
Kommentar
ASDK-instansen måste kunna ladda ned resurser från GitHub för att slutföra distributionen.
SQL Server-instans
För Azure App Service på Azure Stack Hub-värd- och avläsningsdatabaser måste du förbereda en SQL Server-instans för att lagra App Service-databaserna.
För ASDK-distributioner kan du använda SQL Server Express 2014 SP2 eller senare. SQL Server måste konfigureras för att stödja autentisering i blandat läge eftersom App Service på Azure Stack Hub INTE stöder Windows-autentisering.
SQL Server-instansen för Azure App Service på Azure Stack Hub måste vara tillgänglig från alla App Service-roller. Du kan distribuera SQL Server i standardproviderprenumerationen i Azure Stack Hub. Eller så kan du använda den befintliga infrastrukturen i din organisation (så länge det finns anslutning till Azure Stack Hub). Om du använder en Azure Marketplace-avbildning ska du komma ihåg att konfigurera brandväggen i enlighet med detta.
Kommentar
Ett antal SQL IaaS VM-avbildningar är tillgängliga via funktionen Marketplace Management. Se till att du alltid laddar ned den senaste versionen av SQL IaaS-tillägget innan du distribuerar en virtuell dator med hjälp av ett Marketplace-objekt. SQL-avbildningarna är samma som de virtuella SQL-datorer som är tillgängliga i Azure. För virtuella SQL-datorer som skapats från dessa avbildningar tillhandahåller IaaS-tillägget och motsvarande portalförbättringar funktioner som automatisk korrigering och säkerhetskopiering.
För någon av SQL Server-rollerna kan du använda en standardinstans eller en namngiven instans. Om du använder en namngiven instans måste du starta SQL Server Browser-tjänsten manuellt och öppna port 1434.
Installationsprogrammet för App Service kontrollerar att SQL Server har databas inneslutning aktiverat. Om du vill aktivera databas inneslutning på DEN SQL Server som ska vara värd för App Service-databaserna kör du följande SQL-kommandon:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Licensieringsproblem för nödvändig filserver och SQL Server
Azure App Service på Azure Stack Hub kräver att en filserver och SQL Server fungerar. Du kan använda befintliga resurser som finns utanför din Azure Stack Hub-distribution eller distribuera resurser i deras Azure Stack Hub-standardleverantörsprenumeration.
Om du väljer att distribuera resurserna i din standardleverantörsprenumeration för Azure Stack Hub inkluderas licenserna för dessa resurser (Windows Server-licenser och SQL Server-licenser) i kostnaden för Azure App Service på Azure Stack Hub med följande begränsningar:
- infrastrukturen distribueras till standardleverantörsprenumerationen.
- infrastrukturen används uteslutande av Azure App Service på Azure Stack Hub-resursprovidern. Inga andra arbetsbelastningar, administrativa (andra resursprovidrar, till exempel SQL-RP) eller klientorganisation (till exempel klientappar, som kräver en databas), tillåts använda den här infrastrukturen.
Driftansvar för fil- och sql-servrar
Molnoperatörer ansvarar för underhåll och drift av filservern och SQL Server. Resursprovidern hanterar inte dessa resurser. Molnoperatören ansvarar för att säkerhetskopiera App Service-databaserna och klientinnehållsfilresursen.
Hämta Azure Resource Manager-rotcertifikatet för Azure Stack Hub
Öppna en upphöjd PowerShell-session på en dator som kan nå den privilegierade slutpunkten på Azure Stack Hub Integrated System eller ASDK-värden.
Kör skriptet Get-AzureStackRootCert.ps1 från mappen där du extraherade hjälpskripten. Skriptet skapar ett rotcertifikat i samma mapp som det skript som App Service behöver för att skapa certifikat.
När du kör följande PowerShell-kommando måste du ange den privilegierade slutpunkten och autentiseringsuppgifterna för AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Get-AzureStackRootCert.ps1-skriptparametrar
Parameter | Obligatorisk eller valfri | Standardvärde | beskrivning |
---|---|---|---|
PrivilegedEndpoint | Obligatoriskt | AzS-ERCS01 | Privilegierad slutpunkt |
CloudAdminCredential | Obligatoriskt | AzureStack\CloudAdmin | Domänkontoautentiseringsuppgifter för Azure Stack Hub-molnadministratörer |
Konfiguration av nätverk och identitet
Virtuellt nätverk
Kommentar
Förskapandet av ett anpassat virtuellt nätverk är valfritt eftersom Azure App Service på Azure Stack Hub kan skapa det nödvändiga virtuella nätverket, men måste sedan kommunicera med SQL och Filserver via offentliga IP-adresser. Om du använder snabbstartsmallen För App Service HA-filserver och SQL Server för att distribuera nödvändiga SQL- och filserverresurser distribuerar mallen även ett virtuellt nätverk.
Med Azure App Service på Azure Stack Hub kan du distribuera resursprovidern till ett befintligt virtuellt nätverk eller skapa ett virtuellt nätverk som en del av distributionen. Med hjälp av ett befintligt virtuellt nätverk kan du använda interna IP-adresser för att ansluta till filservern och SQL Server som krävs av Azure App Service på Azure Stack Hub. Det virtuella nätverket måste konfigureras med följande adressintervall och undernät innan du installerar Azure App Service på Azure Stack Hub:
Virtuellt nätverk – /16
Undernät
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- WorkersSubnet /21
Viktigt!
Om du väljer att distribuera App Service i ett befintligt virtuellt nätverk ska SQL Server distribueras till ett separat undernät från App Service och filservern.
Skapa ett identitetsprogram för att aktivera scenarier med enkel inloggning
Azure App Service använder ett identitetsprogram (tjänstens huvudnamn) för att stödja följande åtgärder:
- Integrering av vm-skalningsuppsättningar på arbetsnivåer.
- Enkel inloggning för Azure Functions-portalen och avancerade utvecklarverktyg (Kudu).
Beroende på vilken identitetsprovider som Azure Stack Hub använder, Microsoft Entra-ID eller Active Directory Federation Services (AD FS) (ADFS) måste du följa lämpliga steg nedan för att skapa tjänstens huvudnamn för användning av Azure App Service på Azure Stack Hub-resursprovidern.
Skapa en Microsoft Entra-app
Följ dessa steg för att skapa tjänstens huvudnamn i din Microsoft Entra-klientorganisation:
- Öppna en PowerShell-instans som azurestack\AzureStackAdmin.
- Gå till platsen för skripten som du laddade ned och extraherade i det nödvändiga steget.
- Installera PowerShell för Azure Stack Hub.
- Kör skriptet Create-AADIdentityApp.ps1 . När du uppmanas att göra det anger du det Microsoft Entra-klient-ID som du använder för din Azure Stack Hub-distribution. Ange till exempel myazurestack.onmicrosoft.com.
- I fönstret Autentiseringsuppgifter anger du ditt administratörskonto och lösenord för Microsoft Entra-tjänsten. Välj OK.
- Ange certifikatfilens sökväg och certifikatlösenordet för certifikatet som skapades tidigare. Certifikatet som skapas för det här steget är som standard sso.appservice.local.azurestack.external.pfx.
- Anteckna program-ID:t som returneras i PowerShell-utdata. Du använder ID:t i följande steg för att ge medgivande för programmets behörigheter och under installationen.
- Öppna ett nytt webbläsarfönster och logga in på Azure Portal som Microsoft Entra-tjänstadministratör.
- Öppna Microsoft Entra-tjänsten.
- Välj Appregistreringar i det vänstra fönstret.
- Sök efter det program-ID som du antecknade i steg 7.
- Välj App Service-programregistreringen i listan.
- Välj API-behörigheter i det vänstra fönstret.
- Välj Bevilja administratörsmedgivande för <klientorganisationen>, där <klientorganisationen> är namnet på din Microsoft Entra-klientorganisation. Bekräfta medgivandet genom att välja Ja.
Create-AADIdentityApp.ps1
Parameter | Obligatorisk eller valfri | Standardvärde | beskrivning |
---|---|---|---|
DirectoryTenantName | Obligatoriskt | Null | Microsoft Entra-klientorganisations-ID. Ange GUID eller sträng. Ett exempel är myazureaaddirectory.onmicrosoft.com. |
AdminArmEndpoint | Obligatoriskt | Null | Admin Azure Resource Manager-slutpunkt. Ett exempel är adminmanagement.local.azurestack.external. |
TenantARMEndpoint | Obligatoriskt | Null | Azure Resource Manager-slutpunkt för klientorganisation. Ett exempel är management.local.azurestack.external. |
AzureStackAdminCredential | Obligatoriskt | Null | Microsoft Entra-tjänstadministratörsautentiseringsuppgifter. |
CertificateFilePath | Obligatoriskt | Null | Fullständig sökväg till certifikatfilen för identitetsprogrammet som genererades tidigare. |
CertificatePassword | Obligatoriskt | Null | Lösenord som hjälper till att skydda certifikatets privata nyckel. |
Environment | Valfritt | AzureCloud | Namnet på den molnmiljö som stöds där azure Active Directory Graph-måltjänsten är tillgänglig. Tillåtna värden: "AzureCloud", "AzureChinaCloud", "AzureUSGovernment", "AzureGermanCloud". |
Skapa en ADFS-app
- Öppna en PowerShell-instans som azurestack\AzureStackAdmin.
- Gå till platsen för skripten som du laddade ned och extraherade i det nödvändiga steget.
- Installera PowerShell för Azure Stack Hub.
- Kör skriptet Create-ADFSIdentityApp.ps1 .
- I fönstret Autentiseringsuppgifter anger du ditt AD FS-molnadministratörskonto och lösenord. Välj OK.
- Ange certifikatfilens sökväg och certifikatlösenord för det certifikat som skapades tidigare. Certifikatet som skapas för det här steget är som standard sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
Parameter | Obligatorisk eller valfri | Standardvärde | beskrivning |
---|---|---|---|
AdminArmEndpoint | Obligatoriskt | Null | Admin Azure Resource Manager-slutpunkt. Ett exempel är adminmanagement.local.azurestack.external. |
PrivilegedEndpoint | Obligatoriskt | Null | Privilegierad slutpunkt. Ett exempel är AzS-ERCS01. |
CloudAdminCredential | Obligatoriskt | Null | Domänkontoautentiseringsuppgifter för Azure Stack Hub-molnadministratörer. Ett exempel är Azurestack\CloudAdmin. |
CertificateFilePath | Obligatoriskt | Null | Fullständig sökväg till identitetsprogrammets PFX-certifikatfil. |
CertificatePassword | Obligatoriskt | Null | Lösenord som hjälper till att skydda certifikatets privata nyckel. |
Ladda ned objekt från Azure Marketplace
Azure App Service på Azure Stack Hub kräver att objekt laddas ned från Azure Marketplace, vilket gör dem tillgängliga på Azure Stack Hub Marketplace. Dessa objekt måste laddas ned innan du startar distributionen eller uppgraderingen av Azure App Service på Azure Stack Hub:
Viktigt!
Windows Server Core är inte en plattformsbild som stöds för användning med Azure App Service på Azure Stack Hub.
Använd inte utvärderingsbilder för produktionsdistributioner.
- Den senaste versionen av Windows Server 2022 Datacenter VM-avbildning.
Windows Server 2022 Datacenter Fullständig VM-avbildning med Microsoft.Net 3.5.1 SP1 aktiverad. Azure App Service på Azure Stack Hub kräver att Microsoft .NET 3.5.1 SP1 aktiveras på avbildningen som används för distribution. Marketplace-syndikerade Windows Server 2022-avbildningar har inte den här funktionen aktiverad och i frånkopplade miljöer kan de inte nå Microsoft Update för att ladda ned paketen som ska installeras via DISM. Därför måste du skapa och använda en Windows Server 2022-avbildning med den här funktionen föraktiverad med frånkopplade distributioner.
Mer information om hur du skapar en anpassad avbildning och lägger till på Marketplace finns i Lägga till en anpassad VM-avbildning i Azure Stack Hub . Se till att ange följande egenskaper när du lägger till avbildningen på Marketplace:
- Publisher = MicrosoftWindowsServer
- Erbjudande = WindowsServer
- SKU = AppService
- Version = Ange den "senaste" versionen
- Anpassat skripttillägg v1.9.1 eller senare. Det här objektet är ett VM-tillägg.