Förbereda för tilläggsvärd i Azure Stack Hub

Artikel
03/22/2025

Tilläggsvärden skyddar Azure Stack Hub genom att minska antalet nödvändiga TCP/IP-portar. Den här artikeln beskriver hur du förbereder Azure Stack Hub för den tilläggsvärd som aktiveras automatiskt via ett Azure Stack Hub-uppdateringspaket efter 1808-uppdateringen. Den här artikeln gäller för Azure Stack Hub-uppdateringarna 1808, 1809 och 1811.

Certifikatkrav

Tilläggsvärden implementerar två nya domännamnområden för att garantera unika värdposter för varje portaltillägg. De nya domännamnsområdena kräver ytterligare två jokerteckencertifikat för att säkerställa säker kommunikation.

Tabellen visar de nya namnrymderna och de associerade certifikaten:

Distributionsmapp	Obligatoriskt certifikatämne och ämnesalternativa namn (SAN)	Omfång (per region)	Underdomännamnområde
Administratör för tilläggsvärd	*.adminhosting.<region>.<fqdn> (Jokercertifikat för SSL)	Administrativ värd för tillägg	adminhosting.<region>.<fqdn>
Värd för offentliga tilläggsmoduler	*.hosting.<region>.<fqdn> (Wildcard SSL-certifikat)	Publik utvidgningsvärd	gästfrihet.<region>.<fqdn>

Detaljerade certifikatkrav finns i certifikatkrav för infrastruktur med offentlig nyckel i Azure Stack Hub.

Skapa begäran om certifikatsignering

Med verktyget Beredskapskontroll för Azure Stack Hub kan du skapa en begäran om certifikatsignering för de två nya och nödvändiga SSL-certifikaten. Följ stegen i artikeln om hur man genererar en signeringsbegäran för Azure Stack Hub-certifikat.

Anteckning

Du kan hoppa över det här steget, beroende på hur du begärde dina SSL-certifikat.

Verifiera nya certifikat

Öppna PowerShell med förhöjd behörighet på maskinvarulivscykelns värd eller Azure Stack Hub-hanteringsarbetsstationen.
Kör följande cmdlet för att installera verktyget Beredskapskontroll för Azure Stack Hub:
```
Install-Module -Name Microsoft.AzureStack.ReadinessChecker
```

Kör följande skript för att skapa den nödvändiga mappstrukturen:

New-Item C:\Certificates -ItemType Directory

$directories = 'ACSBlob','ACSQueue','ACSTable','Admin Portal','ARM Admin','ARM Public','KeyVault','KeyVaultInternal','Public Portal', 'Admin extension host', 'Public extension host'

$destination = 'c:\certificates'

$directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}

Not

Om du distribuerar med Microsoft Entra ID Federated Services (AD FS) måste följande kataloger läggas till i $directories i skriptet: ADFS, Graph.

Placera de befintliga certifikaten, som du för närvarande använder i Azure Stack Hub, i lämpliga kataloger. Lägg till exempel certifikatet Admin ARM i mappen Arm Admin. Och placera sedan de nyligen skapade värdcertifikaten i Admin extension host och Public extension host kataloger.

Kör följande cmdlet för att starta certifikatkontrollen:

$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString 

Start-AzsReadinessChecker -CertificatePath c:\certificates -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AAD

Kontrollera utdata för att se om alla certifikat klarar alla tester.

Importera värdcertifikat för tillägg

Använd en dator som kan ansluta till azure Stack Hub-privilegierad slutpunkt för nästa steg. Kontrollera att du har åtkomst till de nya certifikatfilerna från datorn.

Använd en dator som kan ansluta till azure Stack Hub-privilegierad slutpunkt för nästa steg. Kontrollera att du har åtkomst till de nya certifikatfilerna från datorn.
Öppna PowerShell ISE för att köra nästa skriptblock.

Importera certifikatet för administratörens värdslutpunkt.


$CertPassword = read-host -AsSecureString -prompt "Certificate Password"

$CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint."

[Byte[]]$AdminHostingCertContent = [Byte[]](Get-Content c:\certificate\myadminhostingcertificate.pfx -Encoding Byte)

Invoke-Command -ComputerName <PrivilegedEndpoint computer name> `
-Credential $CloudAdminCred `
-ConfigurationName "PrivilegedEndpoint" `
-ArgumentList @($AdminHostingCertContent, $CertPassword) `
-ScriptBlock {
        param($AdminHostingCertContent, $CertPassword)
        Import-AdminHostingServiceCert $AdminHostingCertContent $certPassword
}

Importera certifikatet för värdslutpunkten:

$CertPassword = read-host -AsSecureString -prompt "Certificate Password"

$CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint."

[Byte[]]$HostingCertContent = [Byte[]](Get-Content c:\certificate\myhostingcertificate.pfx  -Encoding Byte)

Invoke-Command -ComputerName <PrivilegedEndpoint computer name> `
-Credential $CloudAdminCred `
-ConfigurationName "PrivilegedEndpoint" `
-ArgumentList @($HostingCertContent, $CertPassword) `
-ScriptBlock {
        param($HostingCertContent, $CertPassword)
        Import-UserHostingServiceCert $HostingCertContent $certPassword
}

Uppdatera DNS-konfiguration

Obs

Det här steget krävs inte om du använde DNS-zondelegering för DNS-integrering.

Om enskilda värd-A-poster har konfigurerats för att publicera Azure Stack Hub-slutpunkter måste du skapa ytterligare två värd-A-poster:

IP	Värdnamn	Typ
<IP->	*. Adminhosting.<Region>.<FQDN->	A
<IP>	*. Gästfrihet.<Region>.<FQDN->	A

Allokerade IP-adresser kan hämtas med den privilegierade slutpunkten genom att köra cmdleten Get-AzureStackStampInformation.

Portar och protokoll

Artikeln Integrering av Azure Stack Hub-datacenter – Publicera slutpunkter omfattar portar och protokoll som kräver inkommande kommunikation för att publicera Azure Stack Hub innan tilläggets värddistribution.

Publicera nya slutpunkter

Två nya slutpunkter behöver publiceras genom din brandvägg. Allokerade IP-adresser från den offentliga VIP-poolen kan hämtas med hjälp av följande kod som måste köras från Azure Stack Hub miljöns privilegierade slutpunkt.

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IpOfERCSMachine>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IpOfERCSMachine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

# Obtain DNS Servers and extension host information from Azure Stack Hub Stamp Information and find the IPs for the Host Extension Endpoints
$StampInformation = Invoke-Command $PEPSession {Get-AzureStackStampInformation} | Select-Object -Property ExternalDNSIPAddress01, ExternalDNSIPAddress02, @{n="TenantHosting";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://*.","testdnsentry"-replace "/"}},  @{n="AdminHosting";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://*.","testdnsentry"-replace "/"}},@{n="TenantHostingDNS";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://",""-replace "/"}},  @{n="AdminHostingDNS";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://",""-replace "/"}}
If (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting -ErrorAction SilentlyContinue) {
    Write-Host "Can access AZS DNS" -ForegroundColor Green
    $AdminIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress02 -Name $StampInformation.AdminHosting).IPAddress
    Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
    $TenantIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting).IPAddress
    Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Else {
    Write-Host "Cannot access AZS DNS" -ForegroundColor Yellow
    $AdminIP = (Resolve-DnsName -Name $StampInformation.AdminHosting).IPAddress
    Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
    $TenantIP = (Resolve-DnsName -Name $StampInformation.TenantHosting).IPAddress
    Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Remove-PSSession -Session $PEPSession

Exempelutdata

Can access AZS DNS
The IP for the Admin Extension Host is: *.adminhosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.adminhosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
The IP address for the Tenant Extension Host is *.hosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.hosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx

Note

Gör den här ändringen innan du aktiverar tilläggsplattformen. På så sätt kan Azure Stack Hub-portalerna vara kontinuerligt tillgängliga.

Slutpunkt (VIP)	Protokoll	Hamnar
Administratörshosting	HTTPS	443
Gästfrihet	HTTPS	443

Uppdatera befintliga publiceringsregler (efter aktivering av tilläggsvärd)

Not

Uppdateringspaketet för Azure Stack Hub 1808 aktiverar inte tilläggsvärden ännu. Med den kan du förbereda dig inför utvidgningsvärd genom att importera de certifikat som krävs. Stäng inga portar innan tilläggsvärden aktiveras automatiskt via ett Azure Stack Hub-uppdateringspaket efter 1808-uppdateringen.

Följande befintliga slutpunktsportar måste stängas i dina befintliga brandväggsregler.