Azure Stack Hub 已存档的发行说明
本文介绍 Azure Stack Hub 更新包的内容。 此更新包括此版 Azure Stack Hub 的改进和修复。
若要访问其他已存档版本的发行说明,请使用左侧目录上方的版本选择器下拉列表。
2311 内部版本参考
Azure Stack Hub 2311 更新内部版本号为 1.2311.1.22。
更新类型
Azure Stack Hub 2311 更新内部版本类型为“完整”。 此内部版本仅包含重要的安全更新。
根据我们的内部测试,2311 更新的预期运行时间如下:
- 4 个节点:36-50 小时
- 8 个节点:36-50 小时
- 12 个节点:50-80 小时
- 16 个节点:50-90 小时
重要
断开连接的环境还有其他先决条件步骤,这可能会增加此持续时间。 有关获取和更新 SQL Server 2019 产品密钥 (PID) 所需的步骤,请参阅以下部分。
确切的更新持续时间通常取决于租户工作负载在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 持续时间短于或长于预期值并不常见。因此,除非更新失败,否则不需要 Azure Stack Hub 操作员执行操作。 此运行时间近似值特定于 2311 更新,不应与其他 Azure Stack Hub 更新进行比较。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack Hub 中管理更新。
新增功能
- 面向运营商的 VPN 快速路径和面向用户的 VPN 快速路径功能现已正式发布。 新的 VPN SKU 支持需要更高网络吞吐量的方案。 有关此功能的详细信息,请参阅文档。
- 在 2311 中,我们将宣布推出 Azure Stack Hub 标准负载均衡器的公共预览版。 此功能支持多种方案:允许独立 VM 位于后端池中、HTTPS 探测、高可用性端口以及在空闲时重置 TCP。
- Azure Site Recovery 目前为公共预览版,它提供一个简化的部署过程,仅需要一个依赖项。 我们的目标是在 2024 年初正式发布时进一步简化该解决方案,届时我们计划消除 Site Recovery 资源提供程序本身之外的所有依赖项。 同时,我们鼓励用户对公共预览版进行测试并提供反馈,以帮助我们增强 GA 版本。 请注意,从预览版过渡到 GA 将需要完全重新安装 Azure Site Recovery 解决方案(无法利用更新或升级路径)。
更改
2311 引入了基本主机 OS 的变更,更新为 Windows Server 2022,以简化未来的更新和安全修补程序。 此变更是结构的一部分。 具有出站连接的 Azure Stack Hub 环境不需要任何其他变更,将直接安装更新。
重要
断开连接的客户必须获取和更新 SQL Server 2019 产品密 (PID)。 在开始更新之前,必须获取此密钥。 若要获取此密钥,请联系Microsoft支持部门。 如果你在没有此密钥的情况下开始更新,则更新将在开始后不久失败,并显示“准备角色云引发异常”消息,建议你联系支持人员。 应用新密钥后,可以继续更新。
从 Azure Stack Hub 2311 开始,我们将不再发布新的 Azure Stack 开发工具包 (ASDK) 版本。 做出这一决定的原因是对内部服务的修改会导致 ASDK 变得非常复杂。 当前发布的 ASDK 版本仍然适用于操作、测试或培训目的,包括用于 Azure-Stack-Hub-Foundation-Core 的 Azure Stack Hub Foundation Core 脚本。
安全更新
有关此 Azure Stack Hub 更新中的安全更新的信息,请参阅 Azure Stack Hub 安全更新。
修补程序
Azure Stack Hub 定期发布修补程序。 从 2005 版开始,更新到新的主版本(如 1.2008.x 到 1.2102.x)时,新的主版本中最新的修补程序(如果有)会自动安装。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
注意
Azure Stack Hub 修补程序版本是累积性的;你只需安装最新的修补程序即可获取该版本的任何以前修补程序版本中包含的所有修补程序。
有关详细信息,请参阅我们的服务策略。
Azure Stack Hub 修补程序仅适用于 Azure Stack Hub 集成系统;请勿尝试在 ASDK 上安装修补程序。
修补程序先决条件:在应用 2311 更新之前
必须在 Azure Stack Hub 版本 2306 上应用 2311 版本,并安装以下修补程序:
成功应用 2311 更新之后
更新到新的主版本(例如,从 1.2108.x 更新到 1.2206.x)时,会自动安装新的主版本中的最新修补程序(如果有)。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
安装 2311 之后,如果有任何 2311 修补程序随后被发布,应安装这些修补程序:
2306 内部版本参考
Azure Stack Hub 2306 更新内部版本号为 1.2306.2.47。
更新类型
Azure Stack Hub 2306 更新内部版本类型为“完整”。 此内部版本仅包含重要的安全更新。
根据我们的内部测试,2306 更新的预期运行时间如下:
- 4 个节点:8-28 小时
- 8 个节点:11-30 小时
- 12 个节点:14-34 小时
- 16 个节点:17-40 小时
确切的更新持续时间通常取决于租户工作负载在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 持续时间短于或长于预期值并不常见。因此,除非更新失败,否则不需要 Azure Stack Hub 操作员执行操作。 此运行时间近似值特定于 2306 更新,不应与其他 Azure Stack Hub 更新进行比较。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack Hub 中管理更新。
新增功能
- 此内部版本包含重要的安全更新。 没有新增其他重大功能。
更改
- Azure Stack Hub 2306 版本是可在基于 Intel 的 Broadwell CPU 平台的集成系统上安装的最新主要更新。 2311(及更高版本)版本基于 Broadwell 平台上 Intel 不支持的 Windows Server 2022 代码库。 有关 CPU 处理器系列或硬件的任何问题,请联系硬件 OEM 合作伙伴。
- 此内部版本包含以下重要的安全更新。
安全更新
有关此 Azure Stack Hub 更新中的安全更新的信息,请参阅 Azure Stack Hub 安全更新。
修补程序
Azure Stack Hub 定期发布修补程序。 从 2005 版开始,更新到新的主版本(如 1.2008.x 到 1.2102.x)时,新的主版本中最新的修补程序(如果有)会自动安装。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
注意
Azure Stack Hub 修补程序版本是累积性的;你只需安装最新的修补程序即可获取该版本的任何以前修补程序版本中包含的所有修补程序。
有关详细信息,请参阅我们的服务策略。
Azure Stack Hub 修补程序仅适用于 Azure Stack Hub 集成系统;请勿尝试在 ASDK 上安装修补程序。
修补程序先决条件:在应用 2306 更新之前
必须在 Azure Stack Hub 版本 2301 上应用 2306 版本,并安装以下修补程序:
成功应用 2306 更新之后
更新到新的主版本(例如,从 1.2108.x 更新到 1.2206.x)时,会自动安装新的主版本中的最新修补程序(如果有)。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
安装 2306 之后,如果有任何 2306 修补程序随后被发布,应安装这些修补程序:
2301 内部版本参考
Azure Stack Hub 2301 更新内部版本号为 1.2301.2.58。
更新类型
Azure Stack Hub 2301 更新内部版本类型为“完整”。
根据我们的内部测试,2301 更新的预期运行时间如下:
- 4 个节点:8-28 小时
- 8 个节点:11-30 小时
- 12 个节点:14-34 小时
- 16 个节点:17-40 小时
确切的更新持续时间通常取决于租户工作负载在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 持续时间短于或长于预期值并不常见。因此,除非更新失败,否则不需要 Azure Stack Hub 操作员执行操作。 此运行时近似值特定于 2301 更新,不应与其他 Azure Stack Hub 更新进行比较。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack Hub 中管理更新。
新增功能
- 适用于 Azure Stack Hub 的 Azure Site Recovery 资源提供程序的公共预览版。
- 带有新 VPN 网关 SKU 的 VPN Fast Path 公共预览版。
- 新的面向 Azure Stack Hub 运营商的 VPN Fast Path 文档和面向 Azure Stack Hub 用户的 VPN Fast Path 文档。
- 添加了新的 VM 大小“Standard_E20_v3”,以支持需要 112 GB 以上内存的较大数据库工作负载。
- 添加了对 NVIDIA A100 Tensor GPU 的支持。 与 OEM 一起验证你的硬件是否支持 GPU 要求。
- 为 A100 添加了新的 VM 系列。 有关详细信息,请参阅 Azure Stack Hub 上的 GPU。
- 此更新包括在 Azure Stack Hub 上添加 Azure Site Recovery 所要满足的所有平台要求。 我们实现的第一种方案侧重于跨两个 Azure Stack Hub 区域复制 VM。 Azure Stack Hub 上的 ASR 是一个附加的 RP,必须通过市场管理添加它。
- 添加了方便运营商在 Azure Stack Hub 管理门户中查看所有用户订阅中的虚拟机状态信息的功能。
更改
- SQL 资源提供程序 2.0.13 和 MySQL 资源提供程序 2.0.13 已发布,以适应 Azure Stack Hub 2301 中引入的一些 UI 中断性变更。 在更新 Azure Stack Hub 之前,将 SQL 资源提供程序和 MySQL 资源提供程序更新到最新版本。 可能需要刷新浏览器缓存,让新的 UI 更改生效。
安全更新
有关此 Azure Stack Hub 更新中的安全更新的信息,请参阅 Azure Stack Hub 安全更新。
修补程序
Azure Stack Hub 定期发布修补程序。 从 2005 版开始,更新到新的主版本(如 1.2008.x 到 1.2102.x)时,新的主版本中最新的修补程序(如果有)会自动安装。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
注意
Azure Stack Hub 修补程序版本是累积性的;你只需安装最新的修补程序即可获取该版本的任何以前修补程序版本中包含的所有修补程序。
有关详细信息,请参阅我们的服务策略。
Azure Stack Hub 修补程序仅适用于 Azure Stack Hub 集成系统;请勿尝试在 ASDK 上安装修补程序。
修补程序先决条件:在应用 2301 更新之前
必须在 Azure Stack Hub 版本 2206 上应用 2301 版本,并安装以下修补程序:
成功应用 2301 更新之后
更新到新的主版本(例如,从 1.2108.x 更新到 1.2206.x)时,会自动安装新的主版本中的最新修补程序(如果有)。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
安装 2301 之后,如果有任何 2301 修补程序随后被发布,应安装这些修补程序:
2206 内部版本参考
Azure Stack Hub 2206 更新内部版本号为 1.2206.1.24。
更新类型
Azure Stack Hub 2206 更新内部版本类型为“完整”。
根据我们的内部测试,2206 更新的预期运行时间如下:
- 4 个节点:8-28 小时
- 8 个节点:11-30 小时
- 12 个节点:14-34 小时
- 16 个节点:17-40 小时
确切的更新持续时间通常取决于租户工作负载在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 持续时间短于或长于预期值并不常见。因此,除非更新失败,否则不需要 Azure Stack Hub 操作员执行操作。 此运行时近似值特定于 2206 更新,不应与其他 Azure Stack Hub 更新进行比较。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack Hub 中管理更新。
新增功能
- 位于欧盟的客户现在可以选择在欧盟边界内存储和处理他们的所有数据。 有关详细信息,请参阅适用于 Azure Stack Hub 的 EU Schrems II 计划。
- Azure Stack Hub 现在支持检索 BitLocker 密钥以进行静态数据加密。 有关详细信息,请参阅检索 BitLocker 恢复密钥。
更改
- SQL RP V2 和 MySQL RP V2 仅适用于已被授予访问权限的订阅。 如果你仍在使用 SQL RP V1 和 MySQL RP V1,强烈建议在升级到 Azure Stack Hub 2206 之前提交一个支持案例以完成升级过程。
- 此版本支持 Azure Stack Hub 根证书轮换。 以前,机密轮换未旋转根。 安装更新后,你将能够更新根证书。 为此,请在下次收到到期警报通知时或之前执行内部机密更新。 未能更新根证书和/或执行内部机密更新可能会导致缩放单元无法恢复。
修复项
- 修复以提高 SLB 吞吐量。
- 修复了重启缩放单元节点时阻止访问存储子系统的问题。
安全更新
有关此 Azure Stack Hub 更新中的安全更新的信息,请参阅 Azure Stack Hub 安全更新。
修补程序
Azure Stack Hub 定期发布修补程序。 从 2005 版开始,更新到新的主版本(如 1.2008.x 到 1.2102.x)时,新的主版本中最新的修补程序(如果有)会自动安装。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
注意
Azure Stack Hub 修补程序版本是累积性的;你只需安装最新的修补程序即可获取该版本的任何以前修补程序版本中包含的所有修补程序。
有关详细信息,请参阅我们的服务策略。
Azure Stack Hub 修补程序仅适用于 Azure Stack Hub 集成系统;请勿尝试在 ASDK 上安装修补程序。
修补程序先决条件:在应用 2206 更新之前
必须在包含以下修补程序的版本 2108 上应用 Azure Stack Hub 版本 2206:
成功应用 2206 更新之后
更新到新的主版本(如 1.2102.x 到 1.2108.x)时,会自动安装新的主版本中的最新修补程序(如果有)。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
安装 2206 之后,如果有任何 2206 修补程序被发布,应安装这些修补程序:
2102 内部版本参考
最新 Azure Stack Hub 2102 更新内部版本号为 1.2102.30.97。 有关更新的内部版本和修补程序信息,请参阅修补程序部分。
更新类型
Azure Stack Hub 2102 更新内部版本类型为“完整”。
根据我们的内部测试,2102 更新的预期运行时间如下:
- 4 个节点:8-20 小时
- 8 个节点:11-26 小时
- 12 个节点:14-32 小时
- 16 个节点:17-38 小时
确切的更新持续时间通常取决于租户工作负载在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 持续时间短于或长于预期值并不常见。因此,除非更新失败,否则不需要 Azure Stack Hub 操作员执行操作。 此运行时近似值特定于 2102 更新,不应与其他 Azure Stack Hub 更新进行比较。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack Hub 中管理更新。
新增功能
此版本包括远程支持的公共预览版,它允许 Microsoft 支持专业人员通过允许远程访问你的设备并执行有限的故障排除和修复来更快地解决你的支持案例。 可以通过授予许可来启用此功能,同时控制访问级别和访问持续时间。 支持人员只能在有支持请求提交后访问你的设备。 有关详细信息,请参阅适用于 Azure Stack Hub 的远程支持。
Azure Stack Hub 基础结构备份服务现在支持渐进式备份。 此功能有助于降低有关外部备份位置的存储要求,并改变了在外部备份存储中组织文件的方式。 建议不要操作备份根目录下的文件。
Azure Stack Hub 托管磁盘现在支持 Azure 计算 API 版本 2019-07-01,其中包含一部分可用功能。
Azure Stack Hub 存储现在支持 Azure 存储服务管理 API 版本2019-06-01,其中包含所有可用功能的一部分。
Azure Stack Hub 管理员门户现在会显示 GPU 相关的信息,包括容量数据。 这需要在系统中安装 GPU。
用户现在可以通过 Azure Stack Hub 用户门户使用 Nvidia T4 部署所有受支持的 VM 大小。
Azure Stack Hub 操作员现在可以通过管理员门户在 Azure Stack Hub 中配置多租户。 有关详细信息,请参阅配置多租户。
Azure Stack Hub 操作员现在可以使用特权终结点配置法律声明。 有关详细信息,请参阅配置 Azure Stack Hub 安全控制。
在更新过程中,将引入精细位图修复 (GBR)(存储修复过程中的一种优化)来修复不同步的数据。 与以前的过程相比,现在会修复较小的段,这会缩短修复时间和总体更新持续时间。 对于 2102 版本的所有新部署,默认已启用 GBR。 从旧版本 (2008) 更新到 2102 时,在更新过程中将启用 GBR。 GBR 要求所有物理磁盘处于正常状态,因此在 UpdateReadiness 检查中添加了一个额外的验证。 如果通不过该验证,则修补和更新将在早期阶段失败。 此时,云管理员必须采取措施来解决磁盘问题,然后再继续更新。 若要与 OEM 跟进相关操作,请查看 OEM 联系信息。
Azure Stack Hub 现在支持新的 Dv3、Ev3 和特定于 SQL 的 D 系列 VM 大小。
Azure Stack Hub 现在支持将 GPU 添加到任何现有系统。 若要添加 GPU,请执行 stop-azurestack,运行 stop-azurestack 的整个过程,添加 GPU,然后运行 start-azurestack,直到完成。 如果系统中已有 GPU,则必须停止并解除分配以前创建的任何 GPU VM,然后重启。
使用实时更新过程缩短了 OEM 更新时间。
Azure Stack Hub 上的 AKS 引擎添加了以下新功能。 有关详细信息,请参阅 AKS 引擎文档中的发行说明:
- Ubuntu 18.04 已正式发布。
- 支持 Kubernetes 1.17.17 和 1.18.15。
- 证书轮换命令公共预览版。
- CSI 驱动程序 Azure 磁盘公共预览版。
- CSI 驱动程序 NFS 公共预览版。
- 适用于 Azure Blob 的 CSI 驱动程序个人预览版。
- T4 Nvidia GPU 支持个人预览版。
- Azure Active Directory 集成个人预览版。
改进
- 延长了网络控制器日志保留期,因此会将日志保留更长的时间,以帮助工程师进行有效的故障排除;即使在问题得到解决后,也仍可使用这些日志。
- 做出了改进,以便在更新期间保留网络控制器、网关 VM、负载均衡器和主机代理日志。
- 改进了因出现预配失败状态而阻止的网络资源的删除逻辑。
- 已将每个 VM 的 XRP 内存减少为 14 GB,将每个 VM 的 WAS 内存减少为 10 GB。 避免增大总 VM 内存占用量可以部署更多的租户 VM。
- 提供缩放单元和诊断共享中的文件快照的日志收集 HTML 报告现在包含所收集文件、角色、资源提供程序的汇总视图和事件信息,以更好地帮助了解日志收集过程的成功率和失败率。
- 已将 PowerShell cmdlet Set-AzSLegalNotice 和 Get-AzSLegalNotice 添加到特权终结点 (PEP),用于在部署后检索和更新登录横幅文本的内容。
- 从 Azure Stack Hub 中完全删除了 Active Directory 证书服务 (ADCS) 和 CA VM。 这减少了基础结构的占用空间,最多可将更新时间节省 2 个小时。
更改
- 结构资源提供程序 API 现在会公开有关 GPU 的信息(如果已在缩放单元中提供)。
- Azure Stack Hub 操作员现在可以通过 PowerShell 更改 GPU 分区比率(仅限 AMD)。 这需要解除分配所有虚拟机。
- 此内部版本包含新版 Azure 资源管理器。
- Azure Stack Hub 用户门户现在提供全屏体验用于创建负载均衡器、网络安全组、DNS 区域、磁盘和 VM。
- 在 2102 版本中,可以通过已解锁的 PEP 会话按需启用 Windows Admin Center (WAC)。 默认未启用 WAC。 若要启用,请指定
-EnableWac
标志,例如unlock-supportsession -EnableWac
。 - 主动日志收集现在使用改进的算法,在发生了操作员看不到的错误状态期间,该算法会捕获日志。 此算法可确保在适当的时间收集适当的诊断信息,而无需操作员进行任何交互。 在某些情况下,Microsoft 支持可以更快地开始故障排除并解决问题。 初始算法改进侧重于修补升级操作。 建议启用主动收集日志的功能,因为更多的操作已经过优化,好处更多。
- Azure Stack Hub 基础结构使用的内存暂时增加了 10 GB。
修复项
- 修复了以下问题:内部 DNS 区域在更新期间失去同步,导致更新失败。 此项修复已通过修补程序向后移植到版本 2008 和 2005。
- 修复了物理主机、网络控制器、网关和负载均衡器上的日志耗尽磁盘空间的问题。 此项修复已向后移植到版本 2008。
- 修复了以下问题:由于网络控制器层存在孤立的资源,删除资源组或虚拟网络失败。
- 从 VM 大小选取器中删除了“ND6s_dev”大小,因为它是不受支持的 VM 大小。
- 修复了以下问题:对 VM 执行“停止并解除分配”操作导致删除 VM 上的 MTU 配置。 此行为与 Azure 不一致。
安全更新
有关此 Azure Stack Hub 更新中的安全更新的信息,请参阅 Azure Stack Hub 安全更新。
修补程序
Azure Stack Hub 定期发布修补程序。 从 2005 版开始,更新到新的主版本(如 1.2005.x 到1.2008.x)时,新的主版本中最新的修补程序(如果有)会自动安装。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
有关详细信息,请参阅我们的服务策略。
Azure Stack Hub 修补程序仅适用于 Azure Stack Hub 集成系统;请勿尝试在 ASDK 上安装修补程序。
注意
Azure Stack Hub 修补程序版本是累积性的;你只需安装最新的修补程序即可获取该版本的任何以前修补程序版本中包含的所有修补程序。
修补程序先决条件:在应用 2102 更新之前
必须在包含以下修补程序的版本 2008 上应用 Azure Stack Hub 版本 2102:
成功应用 2102 更新之后
更新到新的主版本(如 1.2008.x 到 1.2102.x)时,会自动安装新的主版本中的最新修补程序(如果有)。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
安装 2102 之后,如果有任何 2102 修补程序被发布,应安装这些修补程序:
受支持版本的发行说明
可在“概述”>“发行说明”下找到支持的 Azure Stack Hub 版本的发行说明
重要
此更新包仅适用于 Azure Stack Hub 集成系统。 请勿将此更新程序包应用于 Azure Stack 开发工具包 (ASDK)。
重要
如果 Azure Stack Hub 实例落后于两个以上的更新,则认为它不符合。 必须至少更新到最低支持版本才能获得支持。
2108 内部版本参考
最新 Azure Stack Hub 2108 更新内部版本号为“1.2108.2.65”。 有关更新的内部版本和修补程序信息,请参阅修补程序部分。
更新类型
Azure Stack Hub 2108 更新内部版本类型为“完整”。
根据我们的内部测试,2108 更新的预期运行时间如下:
- 4 个节点:8-28 小时
- 8 个节点:11-30 小时
- 12 个节点:14-34 小时
- 16 个节点:17-40 小时
确切的更新持续时间通常取决于租户工作负载在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 持续时间短于或长于预期值并不常见。因此,除非更新失败,否则不需要 Azure Stack Hub 操作员执行操作。 此运行时近似值特定于 2108 更新,不应与其他 Azure Stack Hub 更新进行比较。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack Hub 中管理更新。
新增功能
- Azure Stack Hub 操作员现在可以为 VM 配置 GPU 配额。
- Azure Stack Hub 中现已提供紧急 VM 访问,无需联系Microsoft 支持部门。
- Windows Server 2022 现支持作为来宾操作系统。 必须在运行 2108 版或更高版本的 Azure Stack Hub 上的 Windows Server 中使用自动虚拟机激活来手动激活 Windows Server 2022 VM。 无法在更低版本中激活它。
- 从此版本开始,如果禁用了主动日志收集,则会在本地捕获并存储日志,以用于主动故障事件。 Microsoft 只能在支持案例环境中访问本地日志。 新的警报已添加到主动日志收集“警报”库中。
- 此版本(公共预览版)提供 Azure Kubernetes 服务和 Azure 容器注册表两种新服务。
- AzureStack 模块 2.2.0 已发布,并与 Azure Stack Hub 版本 2108 保持一致。 版本更新包括计算管理员模块和新模块
Azs.ContainerRegistry.Admin
和Azs.ContainerService.Admin
的更改。 有关详细信息,请参阅更改日志。 - 在此版本中,遥测数据将上传到由 Microsoft 管理和控制的 Azure 存储帐户。 Azure Stack Hub 遥测服务连接到
https://*.blob.core.windows.net/
和https://azsdiagprdwestusfrontend.westus.cloudapp.azure.com/
,以便成功将遥测数据上传到 Microsoft。 必须打开端口 443 (HTTPS)。 有关详细信息,请参阅 Azure Stack Hub 遥测。 - 此版本包括远程支持的公共预览版,它允许 Microsoft 支持专业人员通过允许远程访问你的设备并执行有限的故障排除和修复来更快地解决你的支持案例。 可以通过授予许可来启用此功能,同时控制访问级别和访问持续时间。 支持人员只能在有支持请求提交后访问你的设备。 有关详细信息,请参阅适用于 Azure Stack Hub 的远程支持。
改进
- 当外部 SMB 共享几乎已满时,警报说明已调整为与渐进式备份保持一致。
- 为了防止上传失败,并行基础结构备份存储库上传到外部 SMB 共享的次数现在受到限制。
- 将“Node-Inaccessible-for-vm-placement”警报替换为可区分“host-unresponsive”方案和“hostagent-service-on-node-unresponsive”方案的警报。
- 应用服务现在能够发现出站连接的默认 NAT IP。
更改
- 在开始 2108 更新之前,必须停止(解除分配)所有使用 GPU 的虚拟机,以确保更新成功完成。 这适用于 AMD 和 NVIDIA GPU,因为基础实现将更改为无池资源。
- SQL RP 和 MySQL RP 仅适用于已被授予访问权限的订阅。 如果要开始使用这些资源提供程序,或者需要从以前的版本升级,请打开支持案例,Microsoft 支持工程师可帮助你完成部署或升级过程。
- Set-AzSLegalNotice 现在触发新屏幕的外观,该屏幕包含运行命令时设置的标题和文本。 每次创建门户的新实例时,都会显示此屏幕。
修复项
- 修复了在上传到外部 SMB 共享时一个存储库失败导致整个基础结构备份失败的问题。
- 修复了导致具有多个 GPU 的 N 系列 VM 创建失败的问题。
- 修复了卸载 VM 扩展会导致取消现有 VM 扩展的受保护设置的问题。
- 修复了导致内部负载均衡器使用外部 IP 的问题。
- 修复了从门户下载串行日志的问题。
安全更新
有关此 Azure Stack Hub 更新中的安全更新的信息,请参阅 Azure Stack Hub 安全更新。
修补程序
Azure Stack Hub 定期发布修补程序。 从 2005 版开始,更新到新的主版本(如 1.2005.x 到1.2008.x)时,新的主版本中最新的修补程序(如果有)会自动安装。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
注意
Azure Stack Hub 修补程序版本是累积性的;你只需安装最新的修补程序即可获取该版本的任何以前修补程序版本中包含的所有修补程序。
有关修补程序的详细信息,请参阅我们的服务策略。
Azure Stack Hub 修补程序仅适用于 Azure Stack Hub 集成系统;请勿尝试在 ASDK 上安装修补程序。
修补程序先决条件:在应用 2108 更新之前
必须在包含以下修补程序的版本 2102 上应用 Azure Stack Hub 版本 2108:
成功应用 2108 更新之后
更新到新的主版本(如 1.2102.x 到 1.2108.x)时,会自动安装新的主版本中的最新修补程序(如果有)。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
安装 2108 之后,如果有任何 2108 修补程序被发布,应安装这些修补程序:
2008 内部版本参考
最新 Azure Stack Hub 2008 更新内部版本号为 1.2008.40.149。 有关更新的内部版本和修补程序信息,请参阅修补程序部分。
更新类型
Azure Stack Hub 2008 更新内部版本类型为“完整”。
与以前的更新相比,2008 更新包更大。 增加的大小会导致下载时间更长。 此更新将长时间保留为“正在准备”状态,操作员可预期此过程所需的时间长于以前的更新。 在我们的内部测试中,2008 更新的预期运行时间如下 - 4 个节点:13-20 小时,8 个节点:16-26 小时,12 个节点:19-32 小时,16 个节点:22-38 小时。 确切的更新运行时间通常取决于租户工作负荷在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 运行时间短于或长于预期值并不常见。因此,除非更新失败,否则不需要 Azure Stack Hub 操作员执行操作。 此运行时近似值特定于 2008 更新,不应与其他 Azure Stack Hub 更新进行比较。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack Hub 中管理更新。
新增功能
- Azure Stack Hub 现在支持 VNET 对等互连,这样,你便可以在不使用网络虚拟设备 (NVA) 的情况下连接 VNET。 有关详细信息,请参阅新 VNET 对等互连文档。
- Azure Stack Hub blob 存储现在允许用户使用不可变 blob。 通过在容器上设置不可变的策略,可将业务关键型数据对象以 WORM(写入一次,读取多次)状态进行存储。 在此版本中,不可变的策略只能通过 REST API 或客户端 SDK 来设置。 在此版本中,也不可能执行追加 blob 写入。 有关不可变 blob 的详细信息,请参阅使用不可变存储来存储业务关键型 blob 数据。
- Azure Stack Hub 存储现在支持 Azure 存储服务 API 版本 2019-07-07。 有关与新 REST API 版本兼容的 Azure 客户端库,请参阅 Azure Stack Hub 存储开发工具。 对于 Azure 存储服务管理 API,已添加对 2018-02-01 的支持,其中包含全部可用功能的子集。
- Azure Stack Hub 计算现在支持 Azure 计算 API 版本 2020-06-01,其中包含全部可用功能的子集。
- Azure Stack Hub 托管磁盘现在支持 Azure 计算 API 版本 2019-03-01,其中包含可用功能的子集。
- Windows Admin Center 的预览版现在可以连接到 Azure Stack Hub,以便在支持操作期间提供有关基础结构的深入见解(需要不受限)。
- 能够在部署时将登录横幅添加到特权终结点 (PEP)。
- 发布了更多“独占操作”横幅,这可提高当前在系统上发生的操作的可见性,并禁止用户启动任何其他独占操作(并随后失败)。
- 在每个 Azure Stack Hub 市场项的产品页中引入了两个新横幅。 如果从市场下载时失败,操作员可以查看错误详细信息,并尝试执行建议的步骤来解决此问题。
- 发布了一个评级工具供客户提供反馈。 这将使 Azure Stack Hub 可以度量和优化客户体验。
- 此版本的 Azure Stack Hub 包含 Azure Kubernetes 服务 (AKS) 和 Azure 容器注册表 (ACR) 的个人预览版。 该个人预览版的目的是收集有关 Azure Stack Hub 上 AKS 和 ACR 的质量、功能和用户体验的反馈。
- 此版本包含使用 AKS 引擎 v0.55.4 的 Azure CNI 和 Windows 容器的公共预览版。 有关如何在 API 模型中使用它们的示例,请参阅 GitHub 上的此示例。
- 通过 AKS 引擎 v0.55.4 部署的群集上现在支持 Istio 1.3 部署。 有关详细信息,请参阅此处的说明。
- 现在已支持使用 AKS 引擎 v0.55.4 部署专用群集。
- 此版本包括对从 Azure 和 Azure Stack Hub Key Vault 实例获得 Kubernetes 配置机密来源的支持。
改进
- 实现了网络控制器和 SLB 主机代理的内部监视,因此,如果服务进入停止状态,则会被自动修正。
- 现在,当客户已在其自己的 AD FS 服务器上轮换了令牌签名证书后,Active Directory 联合身份验证服务 (AD FS) 会检索新的令牌签名证书。 若要为已配置的系统充分利用这一新功能,必须重新配置 AD FS 集成。 有关详细信息,请参阅将 AD FS 标识与 Azure Stack Hub 数据中心集成。
- 更改了基础结构角色实例及其在缩放单元节点上的依赖项的启动和关闭过程。 这些更改提高了 Azure Stack Hub 启动和关闭操作的可靠性。
- 已更新 Test-azurestack 验证工具的 AzSScenarios 套件,从而使云服务提供商能够在对所有客户帐户强制实施多重身份验证的情况下成功运行此套件。
- 通过为生命周期操作期间 29 个面向客户的警报添加抑制逻辑,提高了警报可靠性。
- 现在可以查看详细的日志收集 HTML 报告,其中提供了有关日志收集的角色、持续时间和状态的详细信息。 此报表的用途是帮助用户提供已收集日志的摘要。 然后,Microsoft 客户支持服务可以快速评估该报表以评估日志数据,并帮助排查和缓解系统问题。
- 基础结构故障检测覆盖范围已扩展,用户方案中增加了 7 个新监视器(如 CPU 利用率和内存消耗),以帮助提高故障检测的可靠性。
更改
SRP API 版本 2016-01-01 和 2016-05-01 中的 supportHttpsTrafficOnly 存储帐户资源类型属性已启用,但 Azure Stack Hub 不支持此属性。
已将卷容量利用率警报阈值从 80%(警告)和 90%(严重)提高到 90%(警告)和 95%(严重)。 有关详细信息,请参阅存储空间警报
在此版本中,AD Graph 配置步骤已更改。 有关详细信息,请参阅将 AD FS 标识与 Azure Stack Hub 数据中心集成。
为了与为 Windows Server 2019 定义的当前最佳做法保持一致,Azure Stack Hub 正在更改为使用附加流量类或优先级来进一步分离服务器到服务器通信,以支持故障转移群集控制通信。 这些更改的结果为故障转移群集通信提供了更好的复原能力。 此流量类和带宽预留配置是通过对 Azure Stack Hub 解决方案的架顶式 (ToR) 交换机以及 Azure Stack Hub 的主机或服务器的更改实现的。
这些更改是在 Azure Stack Hub 系统的主机级别添加的。 请与 OEM 联系,以在架顶式 (ToR) 网络交换机上进行所需的更改。 此 ToR 更改可在更新到 2008 版本之前执行,也可在更新到 2008 版本后执行。 有关详细信息,请参阅网络集成文档。
在此内部版本中,支持 GPU 的 VM 大小 NCas_v4 (NVIDIA T4) 已替换为 VM 大小 NCasT4_v3,以便与 Azure 保持一致。 这些 VM 大小在门户中尚不可见,只能通过 Azure 资源管理器模板使用。
修复项
- 修复了删除未附加到正在运行的 VM 的 NIC 的 NSG 时失败的问题。
- 修复了在修改关联到负载均衡器的公共 IP 的 IdleTimeoutInMinutes 值时导致公共 IP 进入失败状态的问题。
- 修复了 Get-AzsDisk cmdlet,以便为已附加的托管磁盘返回正确的“Attached”状态,而不是“OnlineMigration”。
安全更新
有关此 Azure Stack Hub 更新中的安全更新的信息,请参阅 Azure Stack Hub 安全更新。
修补程序
Azure Stack Hub 定期发布修补程序。 在更新到 2008 之前,请确保安装最新 2005 修补程序。 此外,从 2005 版开始,更新到新的主版本(如 1.2005.x 到1.2008.x)时,新的主版本中最新的修补程序(如果在下载包时可用)会自动安装。 这样,你的 2008 安装将具有最新的所有修补程序。 在此之后,如果发布了适用于 2008 的修补程序,则应安装它。
注意
Azure Stack Hub 修补程序版本是累积性的;你只需安装最新的修补程序即可获取该版本的任何以前修补程序版本中包含的所有修补程序。
有关详细信息,请参阅我们的服务策略。
Azure Stack Hub 修补程序仅适用于 Azure Stack Hub 集成系统;请勿尝试在 ASDK 上安装修补程序。
提示
如果希望收到有关每个修补程序版本的通知,请订阅 RSS 源以收取有关每个修补程序的通知。
成功应用 2008 更新之后
由于 Azure Stack Hub 修补程序是累积的,因此,作为最佳做法,你应安装已为你的内部版本发布的所有修补程序,以确保主要版本之间的最佳更新体验。 更新到新的主版本(如 1.2005.x 到1.2008.x)时,新的主版本中最新的修补程序(如果在下载包时可用)会自动安装。
安装 2008 之后,如果有任何 2008 修补程序被发布,应安装这些修补程序:
2005 已存档的发行说明
Azure Stack Hub 2005 更新内部版本号为 1.2005.6.53。
更新类型
Azure Stack Hub 2005 更新内部版本类型为“完整”。
与以前的更新相比,2005 更新包更大。 增加的大小会导致下载时间更长。 此更新将长时间保留为“正在准备”状态,操作员可预期此过程所需的时间长于以前的更新。 在我们的内部测试中,2005 更新的预期运行时间如下 - 4 个节点:13-20 小时,8 个节点:16-26 小时,12 个节点:19-32 小时,16 个节点:22-38 小时。 确切的更新运行时间通常取决于租户工作负荷在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 运行时间短于或长于预期值并不常见。因此,除非更新失败,否则不需要 Azure Stack Hub 操作员执行操作。 此运行时近似值特定于 2005 更新,不应与其他 Azure Stack Hub 更新进行比较。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack Hub 中管理更新。
新增功能
- 此内部版本支持 3 个新的 GPU VM 类型:NCv3 (Nvidia V100)、NVv4 (AMD MI25) 和 NCas_v4 (NVIDIA T4) VM 大小。 对于具有正确硬件并且已加入 Azure Stack Hub GPU 预览计划的用户,VM 部署将会成功。 如果你感兴趣,请在 https://aka.ms/azurestackhubgpupreview 注册 GPU 预览计划。 有关详细信息,请参阅此处。
- 此版本提供了一项支持自动修复的新功能,可检测故障、评估影响并安全地缓解系统问题。 借助此功能,我们可以努力提高系统的可用性,而无需手动干预。 对于版本 2005 及更高版本,客户遇到警报将会减少。 除非另行通知,否则此管道中的任何故障都不需要 Azure Stack Hub 操作员进行操作。
- Azure Stack Hub 管理门户中有一个新选项,气隙/断开连接的 Azure Stack Hub 客户可使用该选项在本地保存日志。 当 Azure Stack Hub 与 Azure 断开连接时,可以将日志存储在本地 SMB 共享中。
- 如果系统操作已在进行中,Azure Stack Hub 管理门户现在会阻止某些操作。 例如,如果正在进行更新,则不能添加新的缩放单元节点。
- 此版本在 1910 之前创建的 VM 中提供了与 Azure 更高的结构一致性。 对于 1910,Microsoft 宣布所有新创建的 VM 将使用 wireserver 协议,使客户能够使用与 Azure 相同的 WALA 代理和 Windows 来宾代理,从而更轻松地在 Azure Stack Hub 上使用 Azure 映像。 在此版本中,将自动迁移所有在 1910 前创建的 VM 以使用 wireserver 协议。 这也提供了更可靠的 VM 创建、VM 扩展部署以及稳定状态运行时间方面的改进。
- Azure Stack Hub 存储现在支持 Azure 存储服务 API 版本2019-02-02。 对于 Azure 客户端库,它与新的 REST API 版本兼容。 有关详细信息,请参阅 Azure Stack Hub 存储开发工具。
- Azure Stack Hub 现在支持最新版本的 CreateUiDefinition(版本 2)。
- 批处理 VM 部署的新指南。 有关详细信息,请参阅此文。
- Azure Stack Hub 市场 CoreOS 容器 Linux 项的生命周期即将结束。 有关详细信息,请参阅从 CoreOS 容器 Linux 迁移。
改进
- 对存储基础结构群集服务日志和事件的改进。 存储基础结构群集服务的日志和事件的保留时间最长为 14 天,以便更好地进行诊断和故障排除。
- 提高启动和停止 Azure Stack Hub 的可靠性的改进。
- 使用分散化和删除依赖项减少更新运行时的改进。 与 2002 更新相比,4 个节点标记更新时间从 15-42 小时缩短到 13-20 小时。 8 个节点标记更新时间从 20-50 小时缩短到 16-26 小时。 12 个节点标记更新时间从 20-60 小时缩短到 19-32 小时。 16 个节点标记更新时间从 25-70 小时缩短到 22-38 小时。 确切的更新运行时间通常取决于租户工作负荷在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。
- 现在,如果发生某些无法恢复的错误,更新会提前失败。
- 提高了从 Internet 下载时更新包的复原能力。
- 提高了对 VM 停止解除分配的复原能力。
- 提高了网络控制器主机代理的复原能力。
- 向 syslog 消息的 CEF 有效负载添加了其他字段,以报告用于连接到特权终结点和恢复终结点的源 IP 和帐户。 有关详细信息,请参阅通过 Syslog 转发将 Azure Stack Hub 与监视解决方案集成。
- 向通过 syslog 客户端发出的事件列表添加了 Windows Defender 事件(事件 ID 5001、5010、5012)。
- 在 Azure Stack 管理员门户中为 Windows Defender 相关事件添加了警报,以报告 Defender 平台和签名版本不一致以及无法对检测到的恶意软件采取操作。
- 添加了将 Azure Stack Hub 集成到数据中心时对 4 个边界设备的支持。
更改
- 从管理员门户中删除了停止、关闭和重启基础结构角色实例的操作。 还在 Fabric 资源提供程序中删除了相应的 API。 Azure Stack Hub 的管理员 RM 模块和 AZ 预览版中的以下 PowerShell cmdlet 不再有效:Stop-AzsInfrastructureRoleInstance、Disable-InfrastructureRoleInstance 和 Restart-InfrastructureRoleInstance。 将从 Azure Stack Hub 的下一个管理员 AZ 模块版本中删除这些 cmdlet。
- Azure Stack Hub 2005 现在仅支持 Azure Stack Hub 2020(版本 87.x)上的应用服务。
- 执行硬件监视所需的用户加密设置已从 DES 更改为 AES,以提高安全性。 请联系你的硬件合作伙伴,了解如何更改基板管理控制器 (BMC) 中的设置。 在 BMC 中进行更改后,可能需要使用特权终结点再次运行命令 Set-BmcCredential。 有关详细信息,请参阅在 Azure Stack Hub 中轮换机密
修复项
- 修复了以下问题:修复缩放单元节点可能因找不到基础 OS 映像的路径而失败。
- 修复了对修复缩放单元节点具有级联影响的支持基础结构角色的横向缩减和横向扩展的问题。
- 修复了以下问题:当操作员通过“所有服务”>“计算”>“VM 映像”>“添加”,将自己的映像添加到 Azure Stack Hub 管理员门户时,不允许使用 .VHD 扩展(而不是 .vhd)。
- 修复了以下问题:在执行任何其他 VM 更新操作(添加磁盘、标记等)后,以前的 VM 重启操作随后出现意外重启。
- 修复了创建重复 DNS 区域导致门户停止响应的问题。 它现在应显示相应的错误。
- 修复了以下问题:Get-AzureStackLogs 不收集所需日志来解决网络问题。
- 修复了以下问题:门户允许附加的 NIC 比它实际允许的 NIC 少。
- 修复了代码完整性策略,以免为某些内部软件发出违规事件。 这可减少通过 syslog 客户端发出的代码完整性违规事件产生的干扰。
- 修复了 Set-TLSPolicy cmdlet 以强制实施新策略,而无需重启 https 服务或重启主机。
- 修复了以下问题:使用 Linux NTP 服务器错误地在管理门户中生成警报。
- 修复了以下问题:备份控制器服务实例的故障转移导致禁用自动备份。
- 修复了以下问题:在基础结构服务未建立 Internet 连接的情况下,内部机密轮替失败。
- 修复了用户无法使用 Azure Stack Hub 门户查看订阅权限的问题。
安全更新
有关此 Azure Stack Hub 更新中的安全更新的信息,请参阅 Azure Stack Hub 安全更新。
修补程序
Azure Stack Hub 定期发布修补程序。 从 2005 版开始,更新到新的主版本(如 1.2002.x 到1.2005.x)时,新的主版本中最新的修补程序(如果有)会自动安装。 在此之后,如果发布了适用于你的内部版本的修补程序,则应安装它。
注意
Azure Stack Hub 修补程序版本是累积性的;你只需安装最新的修补程序即可获取该版本的任何以前修补程序版本中包含的所有修补程序。
有关详细信息,请参阅我们的服务策略。
Azure Stack Hub 修补程序仅适用于 Azure Stack Hub 集成系统;请勿尝试在 ASDK 上安装修补程序。
先决条件:应用 2005 更新之前
必须在包含以下修补程序的版本 2002 中应用 Azure Stack Hub 版本 2005:
成功应用 2005 更新之后
从 2005 版开始,更新到新的主版本(如 1.2002.x 到1.2005.x)时,新的主版本中最新的修补程序(如果有)会自动安装。
安装 2005 之后,如果以后发布了任何 2005 修补程序,应安装这些修补程序:
2002 已存档的发行说明
本文介绍 Azure Stack Hub 更新包的内容。 此更新包括最新版 Azure Stack Hub 的改进和修复。
重要
此更新包仅适用于 Azure Stack Hub 集成系统。 请勿将此更新程序包应用于 Azure Stack 开发工具包 (ASDK)。
重要
如果 Azure Stack Hub 实例落后于两个以上的更新,则认为它不符合。 必须至少更新到最低支持版本才能获得支持。
更新规划
应用更新之前,请务必查看以下信息:
有关对更新和更新过程进行故障排除的帮助,请参阅对 Azure Stack Hub 的修补和更新问题进行故障排除。
下载更新
可使用 Azure Stack Hub 更新下载程序工具下载 Azure Stack Hub 更新包。
2002 内部版本参考
Azure Stack Hub 2002 更新内部版本号为 1.2002.0.35。
重要
在 Azure Stack Hub 2002 更新中,Microsoft 暂时扩展了 Azure Stack Hub 支持策略声明。 我们正在与世界各地应对 COVID-19 的客户合作,这些客户可能正在就其 Azure Stack Hub 系统以及如何更新和管理这些系统做出重要决策,以确保其数据中心业务操作继续正常运行。 为支持客户,Microsoft 提供了临时支持策略更改扩展,以包括以前的三个更新版本。 因此,将支持新发布的 2002 更新以及以前的三个更新版本(例如 1910、1908 和 1907)之一。
更新类型
Azure Stack Hub 2002 更新内部版本类型为“完整”。
与以前的更新相比,2002 更新程序包更大。 增加的大小会导致下载时间更长。 此更新将长时间保留为“正在准备”状态,操作员可预期此过程所需的时间长于以前的更新。 在我们的内部测试中,2002 更新的预期运行时间如下 - 4 个节点:15-42 小时,8 个节点:20-50 小时,12 个节点:20-60 小时,16 个节点:25-70 小时。 确切的更新运行时间通常取决于租户工作负荷在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 运行时间短于或长于预期值并不常见。因此,除非更新失败,否则不需要 Azure Stack Hub 操作员执行操作。 此运行时近似值特定于 2002 更新,不应与其他 Azure Stack Hub 更新进行比较。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack Hub 中管理更新。
新增功能
- 提供了基于 AzureRM 的 Azure Stack Hub 管理员 PowerShell 模块的一个新版本 (1.8.1)。
- 已推出新版 Azure Stack Hub 管理员 REST API。 可在 API 参考中找到有关终结点和中断性变更的详细信息。
- 将在 2020 年 4 月 15 日为 Azure Stack Hub 发布新的 Azure PowerShell 租户模块。 当前使用的 Azure RM 模块会继续工作,但在内部版本 2002 后将不再更新。
- 在 Azure Stack Hub 管理员门户上添加了新的警告警报,用于报告所配置的 syslog 服务器的连接问题。 警报标题是 Syslog 客户端发送 Syslog 消息时遇到网络问题。
- 在 Azure Stack Hub 管理员门户上添加了新的警告警报,用于报告网络时间协议 (NTP) 服务器的连接问题。 警报标题是 [node name] 上的时间来源无效。
- 由于 2002 中与 TLS 限制相关的一个中断性变更,Java SDK 发布了新的程序包。 你必须安装新的 Java SDK 依赖项。 可以在 Java 和 API 版本配置文件中找到相关说明。
- 新版 (1.0.5.10) System Center Operations Manager - Azure Stack Hub MP 已发布,该版本是运行 2002 的所有系统所必需的,因为存在中断性 API 变更。 API 变更会影响备份和存储性能仪表板,建议你先将所有系统更新为 2002,然后再更新 MP。
改进
- 此更新包含对更新过程的更改,这些更改会显著提高将来的完整更新的性能。 这些更改将随 2002 发行版之后的下一次完整更新生效,具体目标是提高完整更新期间对主机操作系统进行更新的阶段的性能。 提高主机操作系统更新的性能会大大减小租户工作负荷在完整更新过程中受影响的时间窗口。
- Azure Stack Hub 就绪性检查器工具现在使用分配给 AD Graph 的所有 TCP IP 端口来验证 AD Graph 集成。
- 脱机联合工具已更新,改进了可靠性。 该工具在 GitHub 上不再可用,已移到 PowerShell 库中。 有关详细信息,请参阅将市场项下载到 Azure Stack Hub。
- 将引入一项新的监视功能。 针对物理主机和基础结构 VM 的磁盘空间不足警报将由平台自动修正。仅当此操作失败时,该警报才会显示在 Azure Stack Hub 管理员门户中,供操作员执行操作。
- 对诊断日志收集的改进。 新的体验优化和简化了诊断日志收集,它不需要预先配置 blob 存储帐户。 存储环境已预先配置,因此你可以在创建支持案例之前发送日志,并减少支持人员通话时间。
- 主动日志收集和按需日志收集所花费的时间已缩短 80%。 日志收集时间可能会比此预期值长,但不需要 Azure Stack Hub 操作员执行操作,除非日志收集失败。
- 启动更新后,“更新”边栏选项卡中会显示 Azure Stack Hub 更新程序包的下载进度。 这仅适用于那些选择通过自动下载功能准备更新程序包且已连接的 Azure Stack Hub 系统。
- 改进了网络控制器主机代理的可靠性。
- 引入了一个名为 DNS Orchestrator 的新微服务,它改进了在修补和更新期间内部 DNS 服务的复原逻辑。
- 添加了一个新的请求验证,用于在创建 VM 时使启动诊断存储帐户参数的无效 blob URI 失败。
- 为 Rdagent 和主机代理(主机上用于方便执行 VM CRUD 操作的两个服务)添加了自动修正和日志记录改进。
- 向市场管理添加了一项新功能,使 Microsoft 能够添加属性,目的是防止管理员下载由于存在各种属性(例如 Azure Stack 版本或计费模型)而与其 Azure Stack 不兼容的市场产品。 只有 Microsoft 才能添加这些属性。 有关详细信息,请参阅使用门户下载市场项。
更改
管理员门户现在会指示操作是否正在进行,并在 Azure Stack 区域旁显示一个图标。 当你将鼠标悬停在该图标上时,它会显示操作的名称。 这使你可以识别正在运行的系统后台操作;例如,可能会运行几个小时的备份作业或存储扩展。
以下管理员 API 已弃用:
资源提供程序 资源 版本 Microsoft.Storage.Admin 农场 2015-12-01-preview Microsoft.Storage.Admin farms/acquisitions 2015-12-01-preview Microsoft.Storage.Admin farms/shares 2015-12-01-preview Microsoft.Storage.Admin farms/storageaccounts 2015-12-01-preview 以下管理员 API 已替换为较新版本 (2018-09-01):
资源提供程序 资源 版本 Microsoft.Backup.Admin backupLocation 2016-05-01 Microsoft.Backup.Admin backups 2016-05-01 Microsoft.Backup.Admin 操作 2016-05-01 使用 PowerShell 创建 Windows VM 时,如果希望 VM 部署扩展,请确保添加
provisionvmagent
标志。 如果没有此标志,则会创建不带来宾代理的 VM,这将移除部署 VM 扩展的功能:$VirtualMachine = Set-AzureRmVMOperatingSystem ` -VM $VirtualMachine ` -Windows ` -ComputerName "MainComputer" ` -Credential $Credential -ProvisionVMAgent
修复项
- 修复了在虚拟机的同一 NIC 上添加多个公共 IP 会导致 Internet 连接问题的问题。 现在,具有两个公共 IP 的 NIC 能够按预期方式工作。
- 修复了一个导致系统引发警报的问题,该警报指出需要配置 Azure AD 主目录。
- 修复了一个导致警报无法自动关闭的问题。 该警报指出必须配置 Azure AD 主目录,但是,即使问题得到缓解,该警报也不关闭。
- 修复了一个因更新资源提供程序存在内部故障而导致更新在更新准备阶段失败的问题。
- 修复了一个在执行 Azure Stack Hub 机密轮换后导致附加产品资源提供程序操作失败的问题。
- 修复了一个问题,该问题是由于 ERCS 角色的内存压力导致 Azure Stack Hub 更新失败的常见原因。
- 修复了“更新”边栏选项卡中的一个 bug:在 Azure Stack Hub 更新的准备阶段,更新状态显示为“正在安装”而不是“正在准备”。
- 修复了虚拟交换机上的 RSC 功能导致不一致并丢弃流经负载均衡器的流量的问题。 现在,RSC 功能默认处于禁用状态。
- 修复了问题:NIC 上的多个 IP 配置导致流量在出站连接中被错误路由和阻止。
- 修复了在 NIC 的 MAC 地址被缓存的情况下将该地址分配给另一资源导致 VM 部署失败的问题。
- 修复了来自零售渠道的 Windows VM 映像无法通过 AVMA 激活其许可证的问题。
- 修复了当 VM 所请求的虚拟核心数等于节点的物理核心数时无法创建 VM 的问题。 我们现在允许 VM 的虚拟核心数等于或少于节点的物理核心数。
- 修复了不允许将许可证类型设置为“null”以将即用即付映像切换到 BYOL 的问题。
- 修复了一个问题,现在允许向 VM 规模集添加扩展。
安全更新
有关此 Azure Stack Hub 更新中的安全更新的信息,请参阅 Azure Stack Hub 安全更新。
修补程序
Azure Stack Hub 定期发布修补程序。 将 Azure Stack Hub 更新到 2002 之前,请务必先安装 1910 的最新 Azure Stack Hub 修补程序。
注意
Azure Stack Hub 修补程序版本是累积性的;你只需安装最新的修补程序即可获取该版本的任何以前修补程序版本中包含的所有修补程序。
Azure Stack Hub 修补程序仅适用于 Azure Stack Hub 集成系统;请勿尝试在 ASDK 上安装修补程序。
有关修补程序的详细信息,请参阅 Azure Stack Hub 服务策略。
先决条件:应用 2002 更新之前
必须在包含以下修补程序的版本 1910 中应用 Azure Stack Hub 版本 2002:
成功应用 2002 更新之后
安装此更新之后,请安装所有适用的修补程序。
1910 已存档的发行说明
本文介绍 Azure Stack Hub 更新包的内容。 此更新包括最新版 Azure Stack Hub 的改进和修复。
重要
此更新包仅适用于 Azure Stack Hub 集成系统。 请勿将此更新程序包应用于 Azure Stack 开发工具包 (ASDK)。
重要
如果 Azure Stack Hub 实例落后于两个以上的更新,则认为它不符合。 必须至少更新到最低支持版本才能获得支持。
更新规划
应用更新之前,请务必查看以下信息:
有关对更新和更新过程进行故障排除的帮助,请参阅对 Azure Stack Hub 的修补和更新问题进行故障排除。
下载更新
可使用 Azure Stack Hub 更新下载程序工具下载 Azure Stack Hub 更新包。
1910 内部版本参考
Azure Stack Hub 1910 更新内部版本号为 1.1910.0.58。
更新类型
从版本 1908 开始,运行 Azure Stack Hub 的底层操作系统已更新为 Windows Server 2019。 此更新可以实现核心基础增强,并将更多功能引入 Azure Stack Hub。
Azure Stack Hub 1910 更新内部版本类型为“快速”。
与以前的更新相比,1910 更新包更大,因此下载时间更长。 此更新将长时间保留为“正在准备”状态,操作员可预期此过程所需的时间长于以前的更新。 无论 Azure Stack Hub 环境中有多少个物理节点,完成 1910 更新的预估时间都大约为 10 小时。 确切的更新运行时间通常取决于租户工作负荷在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 运行时间超过预期值并不常见,除非更新失败,否则无需 Azure Stack Hub 操作员采取措施。 此运行时近似值特定于 1910 更新,不应与其他 Azure Stack Hub 更新进行比较。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack Hub 中管理更新。
新增功能
管理员门户现在会在区域属性菜单中显示特权终结点 IP 地址,以方便进行发现。 此外,还会显示当前配置的时间服务器和 DNS 转发器。 有关详细信息,请参阅使用 Azure Stack Hub 中的特权终结点。
现在,在发生错误时,Azure Stack Hub 运行状况和监视系统可针对各种硬件组件引发警报。 这些警报需要额外的配置。 有关详细信息,请参阅监视 Azure Stack Hub 硬件组件。
Azure Stack Hub 的 Cloud-init 支持:Cloud-init 是一种广泛使用的方法,用于在首次启动 Linux VM 时对其进行自定义。 可使用 cloud-init 来安装程序包和写入文件,或者配置用户和安全性。 由于是在初始启动过程中调用 cloud-init,因此无需额外的步骤且无需代理来应用配置。 市场中的 Ubuntu 映像已更新为支持使用 cloud-init 进行预配。
与 Azure 一样,Azure Stack Hub 现在支持所有 Windows Azure Linux 代理版本。
提供了新版 Azure Stack Hub 管理员 PowerShell 模块。
2020 年 4 月 15 日为 Azure Stack Hub 发布了新的 Azure PowerShell 租户模块。 当前使用的 Azure RM 模块会继续工作,但在内部版本 2002 后将不再更新。
已在特权终结点 (PEP) 中添加 Set-AzSDefenderManualUpdate cmdlet,用于为 Azure Stack Hub 基础结构中的 Windows Defender 定义配置手动更新。 有关详细信息,请参阅更新 Azure Stack Hub 上的 Windows Defender Antivirus。
已在特权终结点 (PEP) 中添加 Set-AzSDnsForwarder cmdlet,用于在 Azure Stack Hub 中更改 DNS 服务器的转发器设置。 有关 DNS 配置的详细信息,请参阅 Azure Stack Hub 数据中心 DNS 集成。
添加了对使用 AKS 引擎管理 Kubernetes 集群的支持。 从此更新开始,客户可以部署生产 Kubernetes 群集。 借助 AKS 引擎,用户能够:
- 管理其 Kubernetes 群集的生命周期。 创建、更新和扩展群集。
- 使用 AKS 和 Azure Stack Hub 团队生成的托管映像维护其群集。
- 利用集成了 Azure 资源管理器的 Kubernetes 云提供程序,该提供程序使用本机 Azure 资源构建群集。
- 在已连接或断开连接的 Azure Stack Hub 戳中部署和管理其群集。
- 使用 Azure 混合功能:
- 与 Azure Arc 集成。
- 用适用于容器的 Azure Monitor 进行集成。
- 将 Windows 容器与 AKS 引擎一起使用。
- 为其部署接收 Microsoft 支持和工程支持。
改进
Azure Stack Hub 的功能已得到改进,可自动补救一些修补升级问题,过去,这些问题会导致更新失败,或者使操作员无法启动 Azure Stack Hub 更新。 因此,Test-AzureStack -UpdateReadiness 组中包含的测试较少。 有关详细信息,请参阅验证 Azure Stack Hub 系统状态。 以下三项测试保留在 UpdateReadiness 组中:
- AzSInfraFileValidation
- AzSActionPlanStatus
- AzsStampBMCSummary
添加了审核规则来报告外部设备(例如 USB 密钥)装载到 Azure Stack Hub 基础结构节点的时间。 审核日志通过 syslog 发出,并显示为“Microsoft-Windows-Security-Auditing:6416|即插即用事件”。 有关如何配置 syslog 客户端的详细信息,请参阅 Syslog 转发。
Azure Stack Hub 的内部证书即将改用 4096 位 RSA 密钥。 运行内部机密轮换会将旧的 2048 位证书替换为 4096 位长的证书。 有关 Azure Stack Hub 中的机密轮换的详细信息,请参阅在 Azure Stack Hub 中轮换机密。
将多个内部组件升级到符合国家安全系统委员会 - 政策 15(CNSSP-15,该政策提供使用公共标准来安全共享信息的最佳做法)的密码编译算法复杂性和密钥强度。 其中的改进包括,在 Kerberos 身份验证中使用 AES256,以及在 VPN 加密中使用 SHA384。 有关 CNSSP-15 的详细信息,请参阅国家安全系统委员会的“政策”页。
由于上述升级,Azure Stack Hub 现在对 IPsec/IKEv2 配置使用新的默认值。 Azure Stack Hub 端使用的新默认值如下:
IKE 阶段 1(主模式)参数
属性 Value SDK 版本 IKEv2 Diffie-Hellman 组 ECP384 身份验证方法 预共享密钥 加密和哈希算法 AES256、SHA384 SA 生存期(时间) 28,800 秒 IKE 阶段 2(快速模式)参数
属性 Value SDK 版本 IKEv2 加密和哈希算法(加密) GCMAES256 加密和哈希算法(身份验证) GCMAES256 SA 生存期(时间) 27,000 秒 SA 生存期(千字节) 33,553,408 完全向前保密 (PFS) ECP384 死对等体检测 支持 默认的 IPsec/IKE 提案文档中也反映了这些更改。
基础结构备份服务改进了计算备份所需的可用空间的逻辑,而不是依赖固定的阈值。 该服务使用备份大小、保留策略、预留和外部存储位置的当前利用率,来确定是否需要对操作员引发警告。
更改
将市场项从 Azure 下载到 Azure Stack Hub 时,可以使用新的用户界面来指定项的版本(如果存在多个版本时)。 新 UI 可用于联网场景和离线场景。 有关详细信息,请参阅将市场项从 Azure 下载到 Azure Stack Hub。
从版本 1910 开始,Azure Stack Hub 系统需要额外的 /20 专用内部 IP 空间。 有关详细信息,请参阅 Azure Stack 的网络集成规划。
如果在上传过程中外部存储位置耗尽了容量,基础结构备份服务将会删除部分上传的备份数据。
基础结构备份服务将标识服务添加到 AAD 部署的备份有效负载。
Azure Stack Hub PowerShell 模块已更新为适用于版本 1910 的 1.8.0 版。
更改包括:- 新的 DRP 管理模块:使用部署资源提供程序 (DRP) 能够以协调的方式将资源提供程序部署到 Azure Stack Hub。 这些命令与 Azure 资源管理器层交互,从而与 DRP 交互。
- BRP:
- 支持 Azure stack 基础结构备份的单个角色还原。
- 将参数RoleName
添加到 cmdletRestore-AzsBackup
。 - FRP:“驱动器”和“卷”资源的中断性变更,提供 API 版本
2019-05-01
。 Azure Stack Hub 1910 和更高版本支持的功能:
-ID
、Name
、HealthStatus
和OperationalStatus
的值已更改。
- 支持“驱动器”资源的新属性FirmwareVersion
、IsIndicationEnabled
、Manufacturer
和StoragePool
。
- 已弃用“驱动器”资源的属性CanPool
和CannotPoolReason
;改用OperationalStatus
。
修复项
- 修复了以下问题:在 Azure Stack Hub 1904 版本之前部署的环境中无法强制实施 TLS 1.2 策略。
- 修复了以下问题:创建时已启用 SSH 授权的 Ubuntu 18.04 VM 不允许使用 SSH 密钥登录。
- 从虚拟机规模集 UI 中删除了“重置密码”。
- 修复了以下问题:从门户删除负载均衡器不会删除基础结构层中的对象。
- 修复了以下问题:管理员门户上的网关池用量警报显示不正确的百分比。
安全更新
有关此 Azure Stack Hub 更新中的安全更新的信息,请参阅 Azure Stack Hub 安全更新。
可从 Qualys 网站下载此版本的 Qualys 漏洞报告。
修补程序
Azure Stack Hub 定期发布修补程序。 将 Azure Stack Hub 更新到 1910 之前,请务必先安装 1908 的最新 Azure Stack Hub 修补程序。
注意
Azure Stack Hub 修补程序版本是累积性的;你只需安装最新的修补程序即可获取该版本的任何以前修补程序版本中包含的所有修补程序。
Azure Stack Hub 修补程序仅适用于 Azure Stack Hub 集成系统;请勿尝试在 ASDK 上安装修补程序。
先决条件:应用 1910 更新之前
必须在包含以下修补程序的版本 1908 中应用 Azure Stack 版本 1910:
成功应用 1910 更新之后
安装此更新之后,请安装所有适用的修补程序。 有关详细信息,请参阅我们的服务策略。
1908 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 Azure Stack 更新包的内容。 此更新包括新的改进,以及此 Azure Stack 版本的修复。
若要访问不同版本的发行说明,请使用左侧目录上方的版本选择器下拉列表。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
重要
如果 Azure Stack 实例落后于两个以上的更新,则认为它不符合。 必须至少更新到最低支持版本才能获得支持。
更新规划
应用更新之前,请务必查看以下信息:
有关对更新和更新过程进行故障排除的帮助,请参阅对 Azure Stack 的修补和更新问题进行故障排除。
1908 内部版本参考
Azure Stack 1908 更新内部版本号为 1.1908.4.33。
更新类型
对于 1908,运行 Azure Stack 的底层操作系统已更新为 Windows Server 2019。 这可以实现核心基础增强,并在不久的将来将更多功能引入 Azure Stack。
Azure Stack 1908 更新内部版本类型为“完整”。 因此,1908 更新的运行时间比快速更新(例如 1906 和 1907)更久。 完整更新的确切运行时间通常取决于 Azure Stack 实例包含的节点数目、租户工作负荷在系统上使用的容量、系统的网络连接(如果已连接到 Internet),以及系统的硬件配置。 在我们的内部测试中,1908 更新的预期运行时间如下:4 个节点 - 42 小时,8 个节点 - 50 小时,12 个节点 - 60 小时,16 个节点 - 70 小时。 更新运行时间超过预期值并不常见,因此,除了更新失败之外,无需要求 Azure Stack 操作员执行操作。
有关更新内部版本类型的详细信息,请参阅在 Azure Stack 中管理更新。
- 确切的更新运行时间通常取决于租户工作负荷在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件配置。
- 运行时间超过预期并不常见,因此,除了更新失败之外,无需要求 Azure Stack 操作员执行操作。
- 此运行时近似值特定于 1908 更新,不应与其他 Azure Stack 更新进行比较。
新增功能
- 对于 1908,请注意,运行 Azure Stack 的底层操作系统已更新为 Windows Server 2019。 这可以实现核心基础增强,并在不久的将来将更多功能引入 Azure Stack。
- Azure Stack 基础结构的所有组件现在都以 FIPS 140-2 模式运行。
- Azure Stack 操作员现在可以删除门户用户数据。 有关详细信息,请参阅从 Azure Stack 中清除门户用户数据。
改进
- Azure Stack 的静态数据加密已得到改进,可将机密持久保存到物理节点的硬件受信任平台模块 (TPM)。
更改
- 硬件提供商将在 Azure Stack 版本 1908 的同一发布时间发布 OEM 扩展包 2.1 或更高版本。 必须安装 OEM 扩展包 2.1 或更高版本才能使用 Azure Stack 版本 1908。 有关如何下载 OEM 扩展包 2.1 或更高版本的详细信息,请与系统的硬件提供商联系,并参阅 OEM 更新一文。
修复项
- 修复了与将来的 Azure Stack OEM 更新兼容的问题,以及使用客户用户映像进行 VM 部署的问题。 此问题是在 1907 中发现的,已在修补程序 KB4517473 中予以修复
- 修复了 OEM 固件更新的问题,并更正了 Fabric Ring Health 的 Test-AzureStack 中的诊断错误。 此问题是在 1907 中发现的,已在修补程序 KB4515310 中予以修复
- 修复了 OEM 固件更新过程的问题。 此问题是在 1907 中发现的,已在修补程序 KB4515650 中予以修复
安全更新
有关此 Azure Stack 更新中的安全更新的信息,请参阅 Azure Stack 安全更新。
下载更新
可从 Azure Stack 下载页下载 Azure Stack 1908 更新包。
修补程序
Azure Stack 定期发布修补程序。 将 Azure Stack 更新到 1908 之前,请务必先安装 1907 的最新 Azure Stack 修补程序。
Azure Stack 修补程序仅适用于 Azure Stack 集成系统;请勿尝试在 ASDK 上安装修补程序。
先决条件:应用 1908 更新之前
必须在包含以下修补程序的版本 1907 中应用 Azure Stack 版本 1908:
Azure Stack 1908 更新需要系统硬件提供商提供的 Azure Stack OEM 2.1 或更高版本。 OEM 更新包括 Azure Stack 系统硬件的驱动程序和固件更新。 有关应用 OEM 更新的详细信息,请参阅应用 Azure Stack 原始设备制造商更新
成功应用 1908 更新之后
安装此更新之后,请安装所有适用的修补程序。 有关详细信息,请参阅我们的服务策略。
1907 已存档的发行说明
本文介绍 Azure Stack 更新包的内容。 此更新包括新的改进,以及此 Azure Stack 版本的修复。
若要访问不同版本的发行说明,请使用左侧目录上方的版本选择器下拉列表。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
重要
如果 Azure Stack 实例落后于两个以上的更新,则认为它不符合。 必须至少更新到最低支持版本才能获得支持。
更新规划
应用更新之前,请务必查看以下信息:
有关对更新和更新过程进行故障排除的帮助,请参阅对 Azure Stack 的修补和更新问题进行故障排除。
1907 内部版本参考
Azure Stack 1907 更新内部版本号为 1.1907.0.20。
更新类型
Azure Stack 1907 更新内部版本类型为“快速”。 有关更新内部版本类型的详细信息,请参阅管理 Azure Stack 中的更新一文。 根据内部测试,完成 1907 更新所需的预期时间约为 13 个小时。
- 确切的更新运行时间通常取决于租户工作负荷在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件配置。
- 运行时间超过预期并不常见,因此,除了更新失败之外,无需要求 Azure Stack 操作员执行操作。
- 此运行时近似值特定于 1907 更新,不应与其他 Azure Stack 更新进行比较。
此更新的内容
新增功能
正式推出 Azure Stack 诊断日志收集服务,以加速和改善诊断日志的收集。 Azure Stack 诊断日志收集服务可让你轻松地通过 Microsoft 客户支持服务 (CSS) 收集和共享诊断日志。 此诊断日志收集服务可在 Azure Stack 管理员门户中提供新的用户体验,让操作员设置在引发特定的关键警报时自动将诊断日志上传到存储 Blob,或按需执行相同的操作。 有关详细信息,请参阅诊断日志收集一文。
正式推出 Azure Stack 网络基础结构验证作为 Azure Stack 验证工具 Test-AzureStack 的一部分。 Azure Stack 网络基础结构将成为 Test-AzureStack 的一部分,可识别 Azure Stack 的网络基础结构是否发生故障。 此测试绕过 Azure Stack 软件定义的网络来检查网络基础结构的连接。 它会演示如何从公共 VIP 连接到配置的 DNS 转发器、NTP 服务器和标识终结点。 此外,在使用 Azure AD 作为标识提供者时,它会检查与 Azure 的连接;使用 ADFS 时,它会检查与联合服务器的连接。 有关详细信息,请参阅 Azure Stack 验证工具一文。
添加了内部机密轮换过程,以便在系统更新期间轮换内部 SQL TLS 证书。
改进
“Azure Stack 更新”边栏选项卡现在会显示活动更新的“最后一个步骤已完成”时间。 转到“更新”边栏选项卡,然后单击某个正在运行的更新,即可查看此信息。 “最后一个步骤已完成”随后将显示在“更新运行详细信息”部分。
改进了 Start-AzureStack 和 Stop-AzureStack 操作员操作。 Azure Stack 的启动时间平均已减少 50%。 Azure Stack 的关闭时间平均已减少 30%。 当缩放单元中的节点数目增加时,平均启动和关闭时间保持不变。
改进了已断开连接的市场工具的错误处理方式。 如果在使用 Export-AzSOfflineMarketplaceItem 时下载失败或部分成功,系统将显示详细的错误消息,其中包含有关错误和缓解步骤(如果有)的更详细信息。
改进了从大型页 Blob/快照创建托管磁盘的性能。 以前在创建大型磁盘时会触发超时。
改进了关闭节点之前的虚拟磁盘运行状况检查,以避免发生意外的虚拟磁盘分离。
改进了管理员操作内部日志的存储方式。 这可以尽量减少内部日志进程使用的内存和存储,从而改进管理员操作期间的性能和可靠性。 你还可能会注意到,管理员门户中的更新边栏选项卡页加载时间有所改善。 作为此项改进的一部分,系统将不再提供超过 6 个月的更新日志。 如果需要这些更新的日志,请务必先针对超过 6 个月的所有已运行更新下载摘要,然后执行 1907 更新。
更改
Azure Stack 版本 1907 包含警告警报,指示操作员在更新到版本 1908 之前,先将其系统的 OEM 包更新为版本 2.1 或更高版本。 有关如何应用 Azure Stack OEM 更新的详细信息,请参阅应用 Azure Stack 原始设备制造商更新。
已添加新的出站规则 (HTTPS) 来启用 Azure Stack 诊断日志收集服务的通信。 有关详细信息,请参阅 Azure Stack 数据中心集成 - 发布终结点。
现在,如果外部存储位置耗尽了容量,基础结构备份服务将会删除部分上传的备份。
基础结构备份不再包含域服务数据的备份。 这仅适用于使用 Azure Active Directory 作为标识提供者的系统。
我们现在会验证引入到“计算”->“VM 映像”边栏选项卡中的映像是否为页 Blob 类型。
修复项
- 修复了在资源管理器模板中将发布者、套餐和 SKU 视为区分大小写的问题:除非映像参数的大小写与发布者、套餐和 SKU 的大小写相同,否则不会提取该映像进行部署。
修复了因存储服务元数据备份期间超时而导致备份失败并显示 PartialSucceeded 错误消息的问题。
修复了删除用户订阅导致孤立资源的问题。
修复了在创建套餐时不保存说明字段的问题。
修复了具有“只读”权限的用户能够创建、编辑和删除资源的问题。 现在,只有在获得“参与者”权限之后,用户才能创建资源。
修复了由于 WMI 提供程序主机锁定 DLL 文件而导致更新失败的问题。
修复了更新服务中使得可用更新无法显示在更新磁贴或资源提供程序中的问题。 此问题是在 1906 中发现的,已在修补程序 KB4511282 中予以修复。
修复了由于配置不当而导致管理平面变得不正常,从而导致更新失败的问题。 此问题是在 1906 中发现的,已在修补程序 KB4512794 中予以修复。
修复了导致用户无法从市场完成第三方映像部署的问题。 此问题是在 1906 中发现的,已在修补程序 KB4511259 中予以修复。
修复了用户映像管理器服务崩溃可能导致无法从托管映像创建 VM 的问题。 此问题是在 1906 中发现的,已在修补程序 KB4512794 中予以修复
修复了由于应用程序网关缓存未按预期刷新而导致 VM CRUD 操作失败的问题。 此问题是在 1906 中发现的,已在修补程序 KB4513119 中予以修复
修复了运行状况资源提供程序中的一个问题,该问题会影响管理员门户中区域和警报边栏选项卡的可用性。 此问题是在 1906 中发现的,已在修补程序 KB4512794 中予以修复。
安全更新
有关此 Azure Stack 更新中的安全更新的信息,请参阅 Azure Stack 安全更新。
下载更新
可从 Azure Stack 下载页下载 Azure Stack 1907 更新包。
修补程序
Azure Stack 定期发布修补程序。 将 Azure Stack 更新到 1907 之前,请务必先安装 1906 的最新 Azure Stack 修补程序。
Azure Stack 修补程序仅适用于 Azure Stack 集成系统;请勿尝试在 ASDK 上安装修补程序。
应用 1907 更新之前
必须在包含以下修补程序的版本 1906 中应用 Azure Stack 版本 1907:
成功应用 1907 更新之后
安装此更新之后,请安装所有适用的修补程序。 有关详细信息,请参阅我们的服务策略。
1906 已存档的发行说明
本文介绍 Azure Stack 更新包的内容。 此更新包括新的改进,以及此 Azure Stack 版本的修复。
若要访问不同版本的发行说明,请使用左侧目录上方的版本选择器下拉列表。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
重要
如果 Azure Stack 实例落后于两个以上的更新,则认为它不符合。 必须至少更新到最低支持版本才能获得支持。
更新规划
应用更新之前,请务必查看以下信息:
有关对更新和更新过程进行故障排除的帮助,请参阅对 Azure Stack 的修补和更新问题进行故障排除。
1906 内部版本参考
Azure Stack 1906 更新内部版本号为 1.1906.0.30。
更新类型
Azure Stack 1906 更新内部版本类型为“快速”。 有关更新内部版本类型的详细信息,请参阅管理 Azure Stack 中的更新一文。 无论 Azure Stack 环境中有多少个物理节点,完成 1906 更新的预估时间都大约为 10 小时。 确切的更新运行时间通常取决于租户工作负荷在系统上使用的容量、系统网络连接(如果已连接到 Internet),以及系统的硬件规格。 运行时间超过预期值并不常见,因此,除了更新失败之外,无需要求 Azure Stack 操作员执行操作。 此运行时近似值特定于 1906 更新,不应与其他 Azure Stack 更新进行比较。
此更新的内容
在特权终结点 (PEP) 中添加 Set-TLSPolicy cmdlet,以在所有终结点上强制实施 TLS 1.2。 有关详细信息,请参阅 Azure Stack 安全控制。
在特权终结点 (PEP) 中添加 Get-TLSPolicy cmdlet,以检索应用的 TLS 策略。 有关详细信息,请参阅 Azure Stack 安全控制。
添加了内部机密轮换过程,以便在系统更新期间轮换内部 TLS 证书。
添加了一项保护措施,以便在机密过期的重大警报遭到忽略时,通过强制实施内部机密轮换来防止内部机密过期。 在日常运营过程中不应依赖此措施。 应在维护时段规划机密轮换。 有关详细信息,请参阅 Azure Stack 机密轮换。
使用 AD FS 的 Azure Stack 部署现在支持 Visual Studio Code。
改进
特权终结点中的 Get-GraphApplication cmdlet 现在显示当前使用的证书的指纹。 使用 AD FS 部署 Azure Stack 时,这可以改善服务主体的证书管理。
添加了运行状况监视规则来验证 AD Graph 和 AD FS 的可用性,包括引发警报的功能。
改善了基础结构备份服务移到另一个实例时的备份资源提供程序可靠性。
优化了外部机密轮换过程的性能,提供了统一的执行时间以简化维护时段的计划。
Test-AzureStack cmdlet 现在会报告即将过期的内部机密(关键警报)。
特权终结点中的 Register-CustomAdfs cmdlet 有新参数可用,可让你在设置 AD FS 联合信任时跳过证书吊销列表的检查。
版本 1906 引入了更高的更新进度可见性,让你确保更新不会暂停。 操作员可在“更新”边栏选项卡中看到更多的更新步骤总数。 你还可能会发现,与以前的更新相比,现在有更多的更新步骤同时进行。
网络更新
将 DHCP 响应程序中设置的租约时间更新为与 Azure 一致。
改善了在发生资源部署失败的情况时资源提供程序的重试率。
从负载均衡器和公共 IP 中删除了标准 SKU 选项,因为目前不支持该选项。
更改
创建存储帐户的体验现在与 Azure 一致。
更改了内部机密过期的警报触发器:
- 警告警报现在会在机密过期之前的 90 天引发。
- 关键警报现在会在机密过期之前的 30 天引发。
更新了基础结构备份资源提供程序中的字符串以使用一致的术语。
修复项
修复了托管磁盘的 VM 大小调整因“内部操作错误”而失败的问题。
修复了以下问题:失败的用户映像创建使管理映像的服务处于不正常状态;这会导致无法删除失败的映像,并且无法创建新映像。 此问题也已在 1905 修补程序中得到修复。
现在,内部机密即将过期的活动警报在内部机密轮换成功执行之后会自动关闭。
修复了以下问题:如果更新运行超过 99 个小时,更新历史记录选项卡中的更新持续时间会去掉第一位数。
“更新”边栏选项卡包含针对失败更新的“继续”选项。
在管理员和用户门户中修复了以下市场问题:Docker 扩展未正确从搜索中返回,并且无法采取进一步的措施,因为 Azure Stack 不提供此类措施。
修复了模板部署 UI 中的以下问题:如果模板名称以下划线束“_”开头,则不会填充参数。
修复了虚拟机规模集创建体验提供基于 CentOS 的 7.2 作为部署选项的问题。 Azure Stack 不提供 CentOS 7.2。 我们现在提供 Centos 7.5 作为部署选项
现在可以从“虚拟机规模集”边栏选项卡中删除规模集。
安全更新
有关此 Azure Stack 更新中的安全更新的信息,请参阅 Azure Stack 安全更新。
下载更新
可从 Azure Stack 下载页下载 Azure Stack 1906 更新包。
修补程序
Azure Stack 定期发布修补程序。 将 Azure Stack 更新到 1906 之前,请务必先安装 1905 的最新 Azure Stack 修补程序。 更新后,安装适用于 1906 的任何修补程序。
Azure Stack 修补程序仅适用于 Azure Stack 集成系统;请勿尝试在 ASDK 上安装修补程序。
应用 1906 更新之前
必须在包含以下修补程序的版本 1905 中应用 Azure Stack 版本 1906:
成功应用 1906 更新之后
安装此更新之后,请安装所有适用的修补程序。 有关详细信息,请参阅我们的服务策略。
后续步骤
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
- 若要查看 Azure Stack 集成系统的服务策略,以及必须如何做才能使系统保持在受支持的状态,请参阅 Azure Stack 服务策略。
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
1905 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1905 更新包的内容。 此更新包括新的改进,以及此 Azure Stack 版本的修复。 本文介绍了以下信息:
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1905 更新内部版本号为 1.1905.0.40。
更新类型
Azure Stack 1905 更新内部版本类型为“完整”。 因此,1905 更新的运行时间比快速更新(例如 1903 和 1904 )更久。 完整更新的确切运行时间通常取决于 Azure Stack 实例包含的节点数目、租户工作负荷在系统上使用的容量、系统的网络连接(如果已连接到 Internet),以及系统的硬件配置。 在我们的内部测试中,1905 更新的预期运行时间如下:4 个节点 - 35 小时,8 个节点 - 45 小时,12 个节点 - 55 小时,16 个节点 - 70 小时。 1905 的运行时间超过预期值并不常见,因此,除了更新失败之外,无需要求 Azure Stack 操作员执行操作。 有关更新内部版本类型的详细信息,请参阅在 Azure Stack 中管理更新。
此更新的内容
Azure Stack 中的更新引擎可通过此更新来更新缩放单元节点的固件。 这需要从硬件合作伙伴获取合规的更新包。 请联系硬件合作伙伴了解他们是否提供该包。
现在支持 Windows Server 2019,可通过 Azure Stack 市场来与其联合。 Windows Server 2019 现可通过此更新成功地在 2016 主机上启动。
使用新的 Azure 帐户 Visual Studio Code 扩展,开发人员可以通过登录和查看订阅以及许多其他服务来以 Azure Stack 作为目标。 Azure 帐户扩展同时适用于 Azure Active Directory (Azure AD) 和 AD FS 环境,并且只需要对 Visual Studio Code 用户设置进行少量更改。 Visual Studio Code 需要向服务主体授予权限才能在此环境中运行。 为此,请导入标识脚本并运行 Azure Stack 中的多租户中指定的 cmdlet。 这需要更新主目录,并为每个目录注册来宾租户目录。 更新到 1905 或更高版本后,若要更新包含 Visual Studio Code 服务主体的主目录租户,将显示警报。
改进
在 Azure Stack 上强制实施 TLS 1.2 的过程中,以下扩展已更新到这些版本:
- microsoft.customscriptextension-arm-1.9.3
- microsoft.iaasdiagnostics-1.12.2.2
- microsoft.antimalware-windows-arm-1.5.5.9
- microsoft.dsc-arm-2.77.0.0
- microsoft.vmaccessforlinux-1.5.2
请立即下载这些扩展版本,以便在将来的版本中强制实施 TLS 1.2 时,能够成功完成新的扩展部署。 请始终设置 autoUpgradeMinorVersion=true,以自动执行扩展的次要版本更新(例如,1.8 更新为 1.9)。
Azure Stack 门户中有新的“帮助和支持概述”,可让操作员轻松检查其支持选项、获取专家帮助,以及详细了解 Azure Stack。 在集成系统上,创建支持请求会预先选择 Azure Stack 服务。 我们强烈建议客户使用此体验来提交票证,而不要使用全局 Azure 门户。 有关详细信息,请参阅 Azure Stack 帮助和支持。
加入了多个 Azure Active Directory (通过此过程)时,可能会在进行某些更新时或对 Azure AD 服务主体授权的更改导致权限丢失时,忽略重新运行脚本的操作。 这可能会导致各种问题,例如无法访问某些功能,或者更为分立、难以追溯到原始问题的失败。 为了防止此问题,1905 导入了新的功能用于检查这些权限并在发现某些配置问题时创建警报。 此验证每小时运行一次,并显示为了修复问题所要采取的补救措施。 所有租户处于正常状态后,警报将会关闭。
提高了服务故障转移期间基础结构备份操作的可靠性。
提供了新版 Azure Stack Nagios 插件,该插件使用 Azure Active Directory 身份验证库 (ADAL) 进行身份验证。 该插件现在还支持 Azure Stack 的 Azure AD 和 Active Directory 联合身份验证服务 (AD FS) 部署。 有关详细信息,请参阅 Nagios 插件交换网站。
已发布新的混合配置文件 2019-03-01-Hybrid,可支持 Azure Stack 中的所有最新功能。 Azure PowerShell 和 Azure CLI 都支持 2019-03-01-Hybrid 配置文件。 .NET、Ruby、Node.js、Go 和 Python SDK 已发布可支持 2019-03-01-Hybrid 配置文件的包。 其各自的文档和一些示例也已更新以反映更改。
Node.js SDK 现在支持 API 配置文件。 支持 2019-03-01-Hybrid 配置文件的包已发布。
1905 Azure Stack 更新添加了两个新的基础结构角色,可改善平台的可靠性与支持能力:
- 基础结构圈:将来,基础结构通道将托管现有基础结构角色(例如 xrp)的容器化版本,这些角色当前需要自己的指定基础结构 VM。 这会改善平台的可靠性,并减少 Azure Stack 所需的基础结构 VM 数目。 因而这可以减少 Azure Stack 基础结构角色将来的总体资源消耗量。
- 支持环:将来,支持环将用于处理客户的增强支持方案。
此外,我们添加了额外的域控制器 VM 实例来改善此角色的可用性。
这些更改在以下方面会增加 Azure Stack 基础结构的资源消耗量:
Azure Stack SKU 增加计算消耗量 增加内存消耗量 4 个节点 22 个 vCPU 28 GB 8 个节点 38 个 vCPU 44 GB 12 个节点 54 个 vCPU 60 GB 16 个节点 70 个 vCPU 76 GB
更改
为了在计划内和计划外维护方案期间提高可靠性和可用性,Azure Stack 为域服务添加了额外的基础结构角色实例。
通过此项更新,系统可在修复和添加节点操作期间验证硬件,以确保在缩放单元中使用同构的缩放单元节点。
如果计划的备份无法完成且超过定义的保留期,基础结构备份控制器将确保至少保留一个成功的备份。
修复项
已修复以下问题:在重启缩放单元中的节点之后,出现“计算主机代理”警告。
已修复管理员门户中的市场管理问题,这些问题使得系统在应用了筛选条件时显示不正确的结果,以及在发布者筛选器中显示重复的发布者名称。 此外提高了性能,可以更快显示结果。
已修复可用备份边栏选项卡中的问题:系统在完成对外部存储位置的上传操作之前列出新的可用备份。 现在,只有在成功上传到存储位置后,可用备份才会显示在列表中。
- 已修复备份操作期间的修复密钥检索问题。
- 已修复 OEM 更新在操作员门户中将版本显示为“未定义”的问题。
安全更新
有关此 Azure Stack 更新中的安全更新的信息,请参阅 Azure Stack 安全更新。
更新规划
应用更新之前,请务必查看以下信息:
下载更新
可从 Azure Stack 下载页下载 Azure Stack 1905 更新包。 使用下载程序工具时,请务必使用最新版本,并且不是下载目录中的缓存副本。
修补程序
Azure Stack 定期发布修补程序。 将 Azure Stack 更新到 1905 之前,请务必先安装 1904 的最新 Azure Stack 修补程序。
Azure Stack 修补程序仅适用于 Azure Stack 集成系统;请勿尝试在 ASDK 上安装修补程序。
应用 1905 更新之前
必须在包含以下修补程序的版本 1904 中应用 Azure Stack 版本 1905:
成功应用 1905 更新之后
安装此更新之后,请安装所有适用的修补程序。 有关详细信息,请参阅我们的服务策略。
自动更新通知
其系统可从基础结构网络访问 Internet 的客户在操作员门户中会看到“有可用的更新”消息。 无法访问 Internet 的系统可以下载并导入包含相应 .xml 的 .zip 文件。
后续步骤
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
- 若要查看 Azure Stack 集成系统的服务策略,以及必须如何做才能使系统保持在受支持的状态,请参阅 Azure Stack 服务策略。
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
1904 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1904 更新包的内容。 此更新包括新的改进,以及此 Azure Stack 版本的修复。 本文介绍了以下信息:
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1904 更新内部版本号为 1.1904.0.36。
更新类型
Azure Stack 1904 更新生成类型为“Express”。 有关更新内部版本类型的详细信息,请参阅管理 Azure Stack 中的更新一文。 完成 1904 更新预期所需的时间约为 16 小时,但具体时间可能会有所不同。 此运行时近似值特定于 1904 更新,不应与其他 Azure Stack 更新进行比较。
此更新的内容
改进
1904 已对软件定义的网络 (SDN) 堆栈做了重大改进。 这些改进提高了 SDN 堆栈在 Azure Stack 中的整体服务能力和可靠性。
管理员门户中添加了通知,当目前登录的用户没有所需权限时会显示该通知,因此可让仪表板正常加载。 通知中还提供了说明哪些帐户具有相应权限(取决于部署期间使用的标识提供者)的文档的链接。
改进了 VM 的复原能力和运行时间,可解决当包含 VM 配置文件的存储卷脱机时所有 VM 都脱机的问题。
- 已将并发逐出并有消耗带宽上限的 VM 数目优化,以解决网络负载过重时的 VM 节电或停机问题。 此项更改增大了系统更新时 VM 的运行时间。
改进了遇到以下情况时的资源限制:系统大规模运行以避免内部进程耗尽平台资源,从而导致门户中的操作失败。
改进了可让操作员同时应用多个筛选器的筛选功能。 在新的用户界面中,只能按“名称”列进行排序。
改进了删除套餐、计划、配额和订阅的过程。 现在,如果你要删除的对象没有任何依赖项,则可以成功地从管理员门户中删除套餐、配额、计划和订阅。 有关详细信息,请参阅此文章。
- 改进了 syslog 消息量,方法是筛选掉不必要的事件,并提供配置参数以针对转发的消息选择所需的严重性级别。 有关如何配置严重性级别的详细信息,请参阅 Azure Stack 数据中心集成 - syslog 转发。
已通过整合附加参数
-OutputSASUri
,将一个新的功能添加到 Get-AzureStackLog cmdlet。 现在,可以从环境中收集 Azure Stack 日志,并将其存储在指定的 Azure 存储 Blob 容器中。 有关详细信息,请参阅 Azure Stack 诊断。已在 Test-AzureStack
UpdateReadiness
组中添加了新的内存检查,用于检查堆栈上是否有足够的内存,使更新能够成功完成。
- 改进了用于评估 Service Fabric 运行状况的 Test-AzureStack。
- 改进了硬件更新,将完成驱动器固件更新所需的时间缩减为 2 到 4 个小时。 更新引擎根据包中的内容,动态确定需要执行更新的哪些部分。
- 添加了可靠的操作预先检查,以防止中断性的基础结构角色实例操作影响可用性。
- 改进了基础结构备份操作计划的幂等性。
改进了 Azure Stack 日志收集。 这些改进缩减了检索日志集所需的时间。 此外,Get-AzureStackLog cmdlet 不再为 OEM 角色生成默认日志。 必须执行 Invoke-AzureStackOnDemandLog cmdlet,并指定要检索其 OEM 日志的角色。 有关详细信息,请参阅 Azure Stack 诊断。
Azure Stack 现在会监视为数据中心与 ADFS 集成而提供的联合数据 URL。 这可提高客户 ADFS 实例或场在机密轮换期间的可靠性。
更改
- 删除了可让 Azure Stack 操作员在管理员门户中关闭基础结构角色实例的选项。 重启功能可确保系统在重启基础结构角色实例之前先尝试干净关闭。 对于高级方案,API 和 PowerShell 功能仍然可用。
- 提供了新的市场管理体验,市场映像和资源提供程序有各自的屏幕。 现在,“资源提供程序”窗口是空的,但将来发布的新 PaaS 服务套餐将会显示,并可在“资源提供程序”窗口中进行管理。
- 更改了操作员门户中的更新体验。 资源提供程序更新有新的网格。 目前尚未推出更新资源提供程序的功能。
更改了操作员门户中的更新安装体验。 为了帮助 Azure Stack 操作员对更新问题做出适当的响应,门户现在会根据缩放单元的运行状况来提供更具体的建议(通过运行 Test-AzureStack 并分析结果来自动派生)。 它会根据结果告知操作员采取以下两项措施之一:
门户中会显示一条“软性”警告警报,指出“最近的更新需要引以注意。 Microsoft建议在正常工作时间打开服务请求。 在更新过程中,会执行 Test-AzureStack,我们会根据输出生成最适当的警报。 在此情况下,Test-AzureStack 将会通过。”
门户中会显示一条“硬性”关键警报,指出“最近的更新失败。 Microsoft 建议尽快提出服务请求。 在更新过程中,会执行 Test-AzureStack,我们会根据输出生成最适当的警报。 在此情况下,Test-AzureStack 也会失败。”
已更新 Azure Linux Agent 版本 2.2.38.0。 此项支持可让客户在 Azure 与 Azure Stack 之间保持一致的 Linux 映像。
更改了操作员门户中的更新日志。 检索成功更新日志的请求不再可用。 失败的更新日志仍然可供下载,因为它们可用于诊断。
修复项
修复了以下问题:syslog 配置不会在整个更新周期中保留,导致 syslog 客户端丢失其配置,并停止转发 syslog 消息。 Syslog 配置现在可以持久保存。
修复了 CRP 中阻止解除分配 VM 的问题。 以前,如果 VM 包含多个大型托管磁盘,则解除分配 VM 可能由于超时错误而失败。
修复了 Windows Defender 引擎影响访问缩放单元存储的问题。
修复了以下用户门户问题:无法加载 Blob 存储帐户的“访问策略”窗口。
修复了管理员门户和用户门户中的以下问题:错误地显示有关全球 Azure 门户的通知。
修复了以下用户门户问题:选择“反馈”磁贴会导致打开空的浏览器标签页。
修复了以下用户门户问题:更改附加到 VM 实例的网络适配器的绑定 IP 配置的静态 IP 地址会导致显示错误消息。
修复了以下用户门户问题:尝试通过“网络”窗口将网络接口附加到现有 VM 会导致操作失败并出现错误消息。
修复了以下问题:Azure Stack 不支持将 4 个以上的网络接口 (NIC) 附加到一个 VM 实例。
修复了以下门户问题:添加入站安全规则并选择“服务标记”作为源会显示多个无法供 Azure Stack 使用的选项。
修复了网络安全组 (NSG) 无法像在全球 Azure 中一样在 Azure Stack 中运行的问题。
修复了以下市场管理问题:如果注册过期或被删除,则会隐藏所有已下载的产品。
修复了以下问题:在 PowerShell 中对现有的虚拟网络网关连接发出 Set-AzureRmVirtualNetworkGatewayConnection 命令失败,并出现错误消息“配置的共享密钥无效...”。
修复了导致网络资源提供程序 (NRP) 无法与网络控制器同步,从而导致请求重复资源的问题。 在某些情况下,这会导致父资源一直处于错误状态。
修复了以下问题:如果为某个用户分配了订阅的参与者角色,但未显式为其授予给定的读取权限,则在尝试保存对资源所做的更改时,会生成一条错误,指出“...对象 ID 为 {GUID} 的客户端 'somelogonaccount@domain.com' 未获得执行操作的授权...”。
修复了以下问题:如果使用脱机联合工具上传映像,并且其中的任一映像缺少图标 URI,则市场管理屏幕是空的。
修复了阻止在市场管理中删除无法下载的产品的问题。
安全更新
Azure Stack 的此更新不包括托管 Azure Stack 的底层操作系统的安全更新。
更新规划
应用更新之前,请务必查看以下信息:
注意
请确保使用最新版本的 Azure Stack Capacity Planner 工具来执行工作负荷规划和大小调整。 最新版本包含 bug 修复,并提供与每个 Azure Stack 更新一起发布的新功能。
下载更新
可从 Azure Stack 下载页下载 Azure Stack 1904 更新包。
修补程序
Azure Stack 定期发布修补程序。 将 Azure Stack 更新到 1904 之前,请务必先安装 1903 的最新 Azure Stack 修补程序。
Azure Stack 修补程序仅适用于 Azure Stack 集成系统;请勿尝试在 ASDK 上安装修补程序。
应用 1904 更新之前
必须在包含以下修补程序的版本 1903 中应用 Azure Stack 版本 1904:
成功应用 1904 更新之后
安装此更新之后,请安装所有适用的修补程序。 有关详细信息,请参阅我们的服务策略。
自动更新通知
其系统可从基础结构网络访问 Internet 的客户在操作员门户中会看到“有可用的更新”消息。 无法访问 Internet 的系统可以下载并导入包含相应 .xml 的 .zip 文件。
后续步骤
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
- 若要查看 Azure Stack 集成系统的服务策略,以及必须如何做才能使系统保持在受支持的状态,请参阅 Azure Stack 服务策略。
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
1903 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1903 更新包的内容。 该更新包含此版 Azure Stack 的改进、修复和新功能。 本文还描述了此版本中的已知问题,并包含一个用于下载该更新的链接。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1903 更新内部版本号为 1.1903.0.35。
更新类型
Azure Stack 1903 更新生成类型为“Express”。 有关更新内部版本类型的详细信息,请参阅管理 Azure Stack 中的更新一文。 完成 1903 更新预期所需的时间约为 16 小时,但具体时间可能会有所不同。 此运行时近似值特定于 1903 更新,不应与其他 Azure Stack 更新进行比较。
重要
1903 有效负载不包括 ASDK 发行版。
修补程序
Azure Stack 定期发布修补程序。 将 Azure Stack 更新到 1903 之前,请务必先安装 1902 的最新 Azure Stack 修补程序。
Azure Stack 修补程序仅适用于 Azure Stack 集成系统;请勿尝试在 ASDK 上安装修补程序。
Azure Stack 修补程序
改进
修复了以下网络 bug:阻止“公共 IP 地址”的“空闲超时(分钟)”值更改生效。 以前,对此值的更改将被忽略,因此,不管做出哪种更改,该值始终默认为 4 分钟。 此设置控制在不依赖客户端发送保持连接消息的情况下,TCP 连接持续打开的分钟数。 请注意,此 bug 仅影响实例级公共 IP,而不影响分配给负载均衡器的公共 IP。
改进了更新引擎的可靠性(包括常见问题的自动补救),以便在不造成中断的情况下应用更新。
改进了磁盘空间不足情况的检测和补救措施。
Azure Stack 现在支持 2.2.35 版以上的 Windows Azure Linux 代理。 此项支持可让客户在 Azure 与 Azure Stack 之间保持一致的 Linux 映像。 它已添加为 1901 和 1902 修补程序的一部分。
机密管理
Azure Stack 现在支持使用外部机密来轮换证书使用的根证书。 有关详细信息,请参阅此文。
1903 包含机密轮换的性能改进,可以减少执行内部机密轮换所需的时间。
先决条件
重要
在更新到 1903 之前,请先安装 1902 的最新 Azure Stack 修补程序(如果有)。
请确保使用最新版本的 Azure Stack 容量规划器来执行工作负荷规划和大小调整。 最新版本包含 bug 修复,并提供与每个 Azure Stack 更新一起发布的新功能。
在开始安装此更新之前,请使用以下参数运行 Test-AzureStack,以验证 Azure Stack 的状态并解决发现的所有操作问题,包括所有警告和故障。 另外,请查看活动警报,并解决所有需要采取措施的警报。
Test-AzureStack -Group UpdateReadiness
通过 System Center Operations Manager 管理 Azure Stack 时,请务必在应用 1903 之前将适用于 Microsoft Azure Stack 的管理包更新至版本 1.0.3.11。
从版本 1902 开始,Azure Stack 更新包的格式已从 .bin/.exe/.xml 更改为 .zip/.xml。 使用联网 Azure Stack 缩放单元的客户将在门户中看到“有可用更新”消息。 未建立连接的客户现在只需下载并导入包含相应 .xml 的 .zip 文件即可。
更新过程的已知问题
尝试安装 Azure Stack 更新时,更新状态可能会显示失败并更改为 PreparationFailed。 这是因为更新资源提供程序 (URP) 无法正确将文件从存储容器传输到内部基础结构共享进行处理。 从版本 1901 (1.1901.0.95) 开始,可以通过再次单击“立即更新”(而不是“恢复”)来解决此问题。 然后,URP 会清理上次尝试更新时下载的文件,并重新开始下载。
运行 Test-AzureStack 时,会显示基板管理控制器 (BMC) 中的一条警告消息。 可以放心地忽略此警告。
- 在安装此更新期间,可能会出现标题如下的警报:“错误 - 缺少 FaultType UserAccounts.New 的模板。”你可以放心地忽略这些警报。 完成此更新的安装后,这些警报会自动关闭。
更新后步骤
检索静态数据加密密钥,并将其安全存储在 Azure Stack 部署的外部。 请遵照有关如何检索密钥的说明操作。
已知问题(安装后)
下面是此内部版本的安装后已知问题。
门户
- 在用户门户仪表板中尝试单击“反馈”磁贴时,会打开一个空的浏览器标签页。 解决方法之一是使用 Azure Stack User Voice 来提出 User Voice 请求。
- 在管理员门户和用户门户中,如果搜索“Docker”,则此项无法正确返回。 它在 Azure Stack 中不可用。 如果尝试创建它,则会显示一个边栏选项卡,其中包含表明存在错误的内容。
- 即使从用户订阅中删除计划,也无法删除作为附加计划添加到用户订阅的计划。 该计划将一直保留,直到引用附加计划的订阅也被删除。
- 不应使用版本 1804 中引入的两种管理订阅类型。 这两种订阅类型为“计量订阅”和“消耗订阅”。 从版本 1804 开始,这些订阅类型会在新的 Azure Stack 环境中显示,但尚不可用。 请继续使用“默认提供程序”订阅类型。
- 删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
- 无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
在用户门户上导航到存储帐户中的某个 Blob 并尝试从导航树中打开“访问策略”时,后续的窗口无法加载。 若要解决此问题,可以分别使用以下 PowerShell cmdlet 来创建、检索、设置和删除访问策略:
在用户门户中尝试使用“OAuth(preview)”选项上传 Blob 时,任务将会失败并出现错误消息。 若要解决此问题,请使用“SAS”选项上传 Blob。
登录到 Azure Stack 门户后,你可能会看到有关全球 Azure 门户的通知。 可以放心忽略这些通知,因为它们目前不适用于 Azure Stack(例如,“1 项新的更新 - 以下更新现在可用:Azure 门户 2019 年 4 月更新“)。
在用户门户仪表板中选择“反馈”磁贴时,会打开一个空的浏览器标签页。 解决方法之一是使用 Azure Stack User Voice 来提出 User Voice 请求。
计算
创建新的 Windows 虚拟机 (VM) 时,可能会显示以下错误:
'Failed to start virtual machine 'vm-name'. Error: Failed to update serial output settings for VM 'vm-name'
如果在 VM 上启用了启动诊断,但删除了启动诊断存储帐户,则会发生该错误。 若要解决此问题,请使用以前所用的同一名称重新创建存储帐户。
- 虚拟机规模集创建体验提供基于 CentOS 的 7.2 作为部署选项。 由于该映像在 Azure Stack 市场上不可用,因此请为部署选择另一操作系统,或者使用一个 Azure 资源管理器模板,指定另一个已在部署之前由操作员从市场下载的 CentOS 映像。
应用 1903 更新后,在部署包含托管磁盘的 VM 时可能会遇到以下问题:
- 如果订阅是在 1808 更新之前创建的,则部署具有托管磁盘的 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
- 在租户门户中转到“订阅”,找到相应订阅。 依次选择“资源提供程序”、“Microsoft.Compute”、“重新注册”。
- 在同一订阅下,转到“访问控制(标识和访问管理)”,验证“Azure Stack - 托管磁盘”是否已列出。
- 如果已配置多租户环境,在与来宾目录相关联的订阅中部署 VM 可能会失败并出现内部错误消息。 若要解决错误,请执行此文章中的步骤来重新配置每个来宾目录。
- 如果订阅是在 1808 更新之前创建的,则部署具有托管磁盘的 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
如果使用创建时已启用 SSH 授权的 Ubuntu 18.04 VM,则无法使用 SSH 密钥登录。 若要解决此问题,请在预配后使用针对 Linux 扩展的 VM 访问权限来实现 SSH 密钥,或者使用基于密码的身份验证。
如果没有硬件生命周期主机 (HLH):在版本 1902 之前,必须将组策略“计算机配置\Windows 设置\安全设置\本地策略\安全选项”设置为“发送 LM 和 NTLM - 如果已协商,则使用 NTLMv2 会话安全”。 从版本 1902 开始,必须将此策略保持为“未定义”,或将其设置为“仅发送 NTLMv2 响应”(默认值)。 否则无法建立 PowerShell 远程会话,并且会看到“拒绝访问”错误:
$Session = New-PSSession -ComputerName x.x.x.x -ConfigurationName PrivilegedEndpoint -Credential $Cred New-PSSession : [x.x.x.x] Connecting to remote server x.x.x.x failed with the following error message : Access is denied. For more information, see the about_Remote_Troubleshooting Help topic. At line:1 char:12 + $Session = New-PSSession -ComputerName x.x.x.x -ConfigurationNa ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotingTransportException + FullyQualifiedErrorId : AccessDenied,PSSessionOpenFailed
无法从“虚拟机规模集”边栏选项卡中删除规模集。 解决方法是,选择要删除的规模集,然后在“概述”窗格中单击“删除”按钮。
在包含 3 个容错域的可用性集中创建 VM 以及创建虚拟机规模集实例失败,在一个 4 节点 Azure Stack 环境中进行更新时出现 FabricVmPlacementErrorUnsupportedFaultDomainSize 错误。 可以在包含 2 个容错域的可用性集中成功创建单一 VM。 但是,在 4 节点 Azure Stack 上进行更新时,仍然不能创建规模集实例。
网络
在 Azure Stack 门户中,对于已附加到 VM 实例的网络适配器,在更改与其绑定的 IP 配置的静态 IP 地址时,会看到一条警告消息,其中指出
The virtual machine associated with this network interface will be restarted to utilize the new private IP address...
可以放心忽略此消息;即使 VM 实例未重启,IP 地址也会更改。
在门户中,如果添加入站安全规则并选择“服务标记”作为源,“服务标记”列表中会显示多个不适用于 Azure Stack 的选项。 在 Azure Stack 中有效的选项仅限以下几个:
- Internet
- VirtualNetwork
- AzureLoadBalancer
在 Azure Stack 中,不支持将其他选项用作源标记。 同样,如果添加出站安全规则并选择“服务标记”作为目标,则显示与“源标记”相同的选项列表。 仅有的有效选项与“源标记”的有效选项相同,如以上列表中所述。
网络安全组 (NSG) 无法像在全球 Azure 中一样在 Azure Stack 中运行。 在 Azure 中,可以在一个 NSG 规则中设置多个端口(使用门户、PowerShell 和资源管理器模板)。 但是,在 Azure Stack 中,无法通过门户在一个 NSG 规则中设置多个端口。 若要解决此问题,请使用资源管理器模板或 PowerShell 设置这些附加的规则。
- 目前,无论实例大小是什么,Azure Stack 都不支持将 4 个以上的网络接口 (NIC) 附加到 VM 实例。
应用服务
- 在订阅中创建第一个 Azure 函数之前,租户必须先注册存储资源提供程序。
- 由于与 1903 中的门户框架不兼容,某些租户门户用户体验会中断,其中主要为部署槽的 UX、在生产环境中进行的测试,以及站点扩展。 若要解决此问题,请使用 Azure 应用服务 PowerShell 模块或 Azure CLI。 在即将发布的基于 Azure Stack 1.6 (Update 6) 的 Azure 应用服务中,将还原门户体验。
Syslog
- syslog 配置不会在整个更新周期中保留,导致 syslog 客户端丢失其配置,并停止转发 syslog 消息。 此问题适用于自 syslog 客户端正式版 (1809) 发布以来的所有 Azure Stack 版本。 若要解决此问题,请在应用 Azure Stack 更新之后重新配置 syslog 客户端。
下载更新
可从此处下载 Azure Stack 1903 更新包。
只有在连接的情况下,Azure Stack 部署才会定期检查某个安全的终结点,并在已发布云更新的情况下自动通知你。 有关详细信息,请参阅管理 Azure Stack 的更新。
后续步骤
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
- 若要查看 Azure Stack 集成系统的服务策略,以及必须如何做才能使系统保持在受支持的状态,请参阅 Azure Stack 服务策略。
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
1902 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1902 更新包的内容。 该更新包含此版 Azure Stack 的改进、修复和新功能。 本文还描述了此版本中的已知问题,并包含一个用于下载该更新的链接。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1902 更新内部版本号为 1.1902.0.69。
更新类型
Azure Stack 1902 更新内部版本类型为“完整”。 有关更新内部版本类型的详细信息,请参阅管理 Azure Stack 中的更新一文。
修补程序
Azure Stack 定期发布修补程序。 将 Azure Stack 更新到 1902 之前,请务必先安装 1901 的最新 Azure Stack 修补程序。
Azure Stack 修补程序仅适用于 Azure Stack 集成系统;请勿尝试在 ASDK 上安装修补程序。
Azure Stack 修补程序
先决条件
重要
可以直接从 1.1901.0.95 或 1.1901.0.99 版本安装 1902,而无需先安装任何 1901 修补程序。 但是,如果已安装旧版 1901.2.103 修补程序,则必须先安装新版 1901.3.105 修补程序才能继续安装 1902。
在开始安装此更新之前,请使用以下参数运行 Test-AzureStack,以验证 Azure Stack 的状态并解决发现的所有操作问题,包括所有警告和故障。 另外,请查看活动警报,并解决所有需要采取措施的警报。
Test-AzureStack -Include AzsDefenderSummary, AzsHostingInfraSummary, AzsHostingInfraUtilization, AzsInfraCapacity, AzsInfraRoleSummary, AzsPortalAPISummary, AzsSFRoleSummary, AzsStampBMCSummary, AzsHostingServiceCertificates
如果在执行 Test-AzureStack 时包含
AzsControlPlane
参数,Test-AzureStack 输出中会显示以下失败:FAIL Azure Stack 控制平面网站概述。 可以放心忽略此特定错误。通过 System Center Operations Manager 管理 Azure Stack 时,请务必在应用 1902 之前将适用于 Microsoft Azure Stack 的管理包更新至版本 1.0.3.11。
从版本 1902 开始,Azure Stack 更新包的格式已从 .bin/.exe/.xml 更改为 .zip/.xml。 使用联网 Azure Stack 缩放单元的客户将在门户中看到“有可用更新”消息。 未建立连接的客户现在只需下载并导入包含相应 .xml 的 .zip 文件即可。
改进
- 1902 版本在 Azure Stack 管理员门户上引入了新的用户界面用于创建计划、套餐、配额和附加计划。 有关详细信息(包括屏幕截图),请参阅创建计划、套餐和配额。
- 改进了执行添加节点操作期间缩放单元状态从“正在扩展存储”切换为“正在运行”状态时的容量扩展可靠性。
为了改进包的完整性和安全性并简化脱机引入的管理,Microsoft 已将更新包的格式从 .exe 和 .bin 文件更改为 .zip 文件。 新格式使得有时导致更新准备工作停滞的解包过程更加可靠。 相同的包格式也适用于来自 OEM 的更新包。
为了改进运行 Test-AzureStack 时的 Azure Stack 操作员体验,操作员现在只需使用“Test-AzureStack -Group UpdateReadiness”,而无需在 Include 语句后面传递 10 个附加的参数。
Test-AzureStack -Group UpdateReadiness
为了改进核心基础结构服务在更新过程中的总体可靠性和可用性,更新操作计划中的本机更新资源提供程序可根据需要检测并调用自动全局补救措施。 全局补救“修复”工作流包括:
- 检查处于欠佳状态的基础结构虚拟机,并根据需要尝试进行修复。
- 检查控制计划中的 SQL 服务问题,并根据需要尝试进行修复。
- 检查网络控制器 (NC) 中软件负载均衡器 (SLB) 服务的状态,并根据需要尝试进行修复。
- 检查网络控制器 (NC) 服务的状态,并根据需要尝试进行修复
- 检查紧急恢复控制台服务 (ERCS) Service Fabric 节点的状态,并根据需要进行修复。
- 检查基础结构角色的状态,并根据需要进行修复。
- 检查 Azure 一致性存储 (ACS) Service Fabric 节点的状态,并根据需要进行修复。
- 改进了 Azure Stack 诊断工具,以提高日志收集可靠性和性能。 增加了网络和标识服务的日志记录功能。
- 改进了 Test-AzureStack 在进行机密轮换就绪性测试时的可靠性。
- 通过改进提高了 AD Graph 在与客户的 Active Directory 环境通信时的可靠性
改进了 Get-AzureStackStampInformation 中的硬件库存收集。
为了改进 ERCS 基础结构上运行的操作的可靠性,每个 ERCS 实例的内存已从 8 GB 增加到 12 GB。 在 Azure Stack 集成系统安装中,这会导致内存总量增大 12 GB。
- 1902 修复了网络控制器 VSwitch 服务中的一个问题,即特定节点上的所有 VM 都脱机。 此问题导致它停滞在主要丢失状态,无法联系主要副本,但角色尚未故障转移到另一个正常的实例,只能通过联系 Microsoft 支持服务来解决。
重要
为了确保修补升级过程尽可能地减少租户停机时间,请在“容量”边栏选项卡中确认 Azure Stack 阵列是否可提供 12 GB 以上的可用空间。 成功安装更新后,“容量”边栏选项卡中会反映内存增大。
常见漏洞和风险
此更新安装以下安全更新:
- ADV190005
- CVE-2019-0595
- CVE-2019-0596
- CVE-2019-0597
- CVE-2019-0598
- CVE-2019-0599
- CVE-2019-0600
- CVE-2019-0601
- CVE-2019-0602
- CVE-2019-0615
- CVE-2019-0616
- CVE-2019-0618
- CVE-2019-0619
- CVE-2019-0621
- CVE-2019-0623
- CVE-2019-0625
- CVE-2019-0626
- CVE-2019-0627
- CVE-2019-0628
- CVE-2019-0630
- CVE-2019-0631
- CVE-2019-0632
- CVE-2019-0633
- CVE-2019-0635
- CVE-2019-0636
- CVE-2019-0656
- CVE-2019-0659
- CVE-2019-0660
- CVE-2019-0662
- CVE-2019-0663
有关这些漏洞的详细信息,请单击上述链接,或者查看 Microsoft 知识库文章 4487006。
更新过程的已知问题
尝试安装 Azure Stack 更新时,更新状态可能会显示失败并更改为 PreparationFailed。 这是因为更新资源提供程序 (URP) 无法正确将文件从存储容器传输到内部基础结构共享进行处理。 从版本 1901 (1.1901.0.95) 开始,可以通过再次单击“立即更新”(而不是“恢复”)来解决此问题。 然后,URP 会清理上次尝试更新时下载的文件,并重新开始下载。
运行 Test-AzureStack 时,会显示基板管理控制器 (BMC) 中的一条警告消息。 可以放心地忽略此警告。
- 在安装此更新期间,可能会出现标题如下的警报:“错误 - 缺少 FaultType UserAccounts.New 的模板”。可以放心地忽略这些警报。 完成此更新的安装后,这些警报会自动关闭。
更新后步骤
检索静态数据加密密钥,并将其安全存储在 Azure Stack 部署的外部。 请遵照有关如何检索密钥的说明操作。
已知问题(安装后)
下面是此内部版本的安装后已知问题。
门户
- 在管理员门户和用户门户中,如果搜索“Docker”,则此项无法正确返回。 它在 Azure Stack 中不可用。 如果尝试创建它,则会显示一个边栏选项卡,其中包含表明存在错误的内容。
- 即使从用户订阅中删除计划,也无法删除作为附加计划添加到用户订阅的计划。 该计划将一直保留,直到引用附加计划的订阅也被删除。
- 不应使用版本 1804 中引入的两种管理订阅类型。 这两种订阅类型为“计量订阅”和“消耗订阅”。 从版本 1804 开始,这些订阅类型会在新的 Azure Stack 环境中显示,但尚不可用。 请继续使用“默认提供程序”订阅类型。
- 删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
- 无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
在用户门户上导航到存储帐户中的某个 Blob 并尝试从导航树中打开“访问策略”时,后续的窗口无法加载。 若要解决此问题,可以分别使用以下 PowerShell cmdlet 来创建、检索、设置和删除访问策略:
计算
创建新的 Windows 虚拟机 (VM) 时,可能会显示以下错误:
'Failed to start virtual machine 'vm-name'. Error: Failed to update serial output settings for VM 'vm-name'
如果在 VM 上启用了启动诊断,但删除了启动诊断存储帐户,则会发生该错误。 若要解决此问题,请使用以前所用的同一名称重新创建存储帐户。
- 虚拟机规模集创建体验提供基于 CentOS 的 7.2 作为部署选项。 由于该映像在 Azure Stack 上不可用,因此请为部署选择另一操作系统,或者使用一个 Azure 资源管理器模板,指定另一个已在部署之前由操作员从市场下载的 CentOS 映像。
应用 1902 更新后,在部署包含托管磁盘的 VM 时可能会遇到以下问题:
- 如果订阅是在 1808 更新之前创建的,则部署具有托管磁盘的 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
- 在租户门户中转到“订阅”,找到相应订阅。 依次选择“资源提供程序”、“Microsoft.Compute”、“重新注册”。
- 在同一订阅下,转到“访问控制(标识和访问管理)”,验证“Azure Stack - 托管磁盘”是否已列出。
- 如果已配置多租户环境,在与来宾目录相关联的订阅中部署 VM 可能会失败并出现内部错误消息。 若要解决错误,请执行此文章中的步骤来重新配置每个来宾目录。
- 如果订阅是在 1808 更新之前创建的,则部署具有托管磁盘的 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
如果使用创建时已启用 SSH 授权的 Ubuntu 18.04 VM,则无法使用 SSH 密钥登录。 若要解决此问题,请在预配后使用针对 Linux 扩展的 VM 访问权限来实现 SSH 密钥,或者使用基于密码的身份验证。
无法从“虚拟机规模集”边栏选项卡中删除规模集。 解决方法是,选择要删除的规模集,然后在“概述”窗格中单击“删除”按钮。
在包含 3 个容错域的可用性集中创建 VM 以及创建虚拟机规模集实例失败,在一个 4 节点 Azure Stack 环境中进行更新时出现 FabricVmPlacementErrorUnsupportedFaultDomainSize 错误。 可以在包含 2 个容错域的可用性集中成功创建单一 VM。 但是,在 4 节点 Azure Stack 上进行更新时,仍然不能创建规模集实例。
网络
在 Azure Stack 门户中,对于已附加到 VM 实例的网络适配器,在更改与其绑定的 IP 配置的静态 IP 地址时,会看到一条警告消息,其中指出
The virtual machine associated with this network interface will be restarted to utilize the new private IP address...
。可以放心忽略此消息;即使 VM 实例未重启,IP 地址也会更改。
在门户中,如果添加入站安全规则并选择“服务标记”作为源,“服务标记”列表中会显示多个不适用于 Azure Stack 的选项。 在 Azure Stack 中有效的选项仅限以下几个:
- Internet
- VirtualNetwork
- AzureLoadBalancer
在 Azure Stack 中,不支持将其他选项用作源标记。 同样,如果添加出站安全规则并选择“服务标记”作为目标,则显示与“源标记”相同的选项列表。 仅有的有效选项与“源标记”的有效选项相同,如以上列表中所述。
网络安全组 (NSG) 无法像在全球 Azure 中一样在 Azure Stack 中运行。 在 Azure 中,可以在一个 NSG 规则中设置多个端口(使用门户、PowerShell 和资源管理器模板)。 但是,在 Azure Stack 中,无法通过门户在一个 NSG 规则中设置多个端口。 若要解决此问题,请使用资源管理器模板或 PowerShell 设置这些附加的规则。
目前,无论实例大小是什么,Azure Stack 都不支持将 4 个以上的网络接口 (NIC) 附加到 VM 实例。
在用户门户尝试将“后端池”添加到“负载均衡器”时,操作失败并出现错误消息“更新负载均衡器失败...”若要规避此问题,请使用 PowerShell、CLI 或 Azure 资源管理器模板将后端池与负载均衡器资源相关联。
在用户门户尝试为“负载均衡器”创建“入站 NAT 规则”时,操作失败并出现错误消息“更新负载均衡器失败...”若要规避此问题,请使用 PowerShell、CLI 或 Azure 资源管理器模板将后端池与负载均衡器资源相关联。
在用户门户中,“创建负载均衡器”窗口显示一个用于创建“标准”负载均衡器 SKU 的选项。 Azure Stack 不支持此选项。
应用服务
- 在订阅中创建第一个 Azure 函数之前,必须先注册存储资源提供程序。
Syslog
- syslog 配置不会在整个更新周期中保留,导致 syslog 客户端丢失其配置,并停止转发 syslog 消息。 此问题适用于自 syslog 客户端正式版 (1809) 发布以来的所有 Azure Stack 版本。 若要解决此问题,请在应用 Azure Stack 更新之后重新配置 syslog 客户端。
下载更新
可从此处下载 Azure Stack 1902 更新包。
只有在连接的情况下,Azure Stack 部署才会定期检查某个安全的终结点,并在已发布云更新的情况下自动通知你。 有关详细信息,请参阅管理 Azure Stack 的更新。
后续步骤
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
- 若要查看 Azure Stack 集成系统的服务策略,以及必须如何做才能使系统保持在受支持的状态,请参阅 Azure Stack 服务策略。
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
1901 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1901 更新包的内容。 该更新包含此版 Azure Stack 的改进、修复和新功能。 本文还描述了此版本中的已知问题,并包含一个用于下载该更新的链接。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1901 更新内部版本号为 1.1901.0.95(在 2019 年 2 月 26 日以后则为 1.1901.0.99)。 请查看以下说明:
重要
Microsoft 发现了一个可能影响从 1811 (1.1811.0.101) 更新到 1901 的客户的问题,并发布了一个可解决该问题的已更新的 1901 包:内部版本 1.1901.0.99(1.1901.0.95 的更新版本)。 已更新到 1.1901.0.95 的客户不需执行其他操作。
系统会在管理员门户中为使用 1811 的已连接客户自动显示新的已发布的 1901 (1.1901.0.99) 包,该包在做好准备的情况下即可安装。 断开连接的客户可以根据此处所述的相同过程下载和导入新的 1901 包。
不管使用哪一个版本的 1901,客户在安装下一个完整的包或修补程序包时都不会受影响。
修补程序
Azure Stack 定期发布修补程序。 将 Azure Stack 更新到 1901 之前,请务必先安装 1811 的最新 Azure Stack 修补程序。
Azure Stack 修补程序仅适用于 Azure Stack 集成系统;请勿尝试在 ASDK 上安装修补程序。
Azure Stack 修补程序
如果已经有 1901 但尚未安装任何修补程序,则可直接安装 1902,不需先安装 1901 修补程序。
- 1811:当前没有修补程序可用。
- 1901:KB 4500636 - Azure Stack 修补程序 1.1901.5.109
先决条件
重要
在更新到 1901 之前,请先安装 1811 的最新 Azure Stack 修补程序(如果有)。 如果已经有 1901 但尚未安装任何修补程序,则可直接安装 1902,不需先安装 1901 修补程序。
在开始安装此更新之前,请使用以下参数运行 Test-AzureStack,以验证 Azure Stack 的状态并解决发现的所有操作问题,包括所有警告和故障。 另外,请查看活动警报,并解决所有需要采取措施的警报。
Test-AzureStack -Include AzsControlPlane, AzsDefenderSummary, AzsHostingInfraSummary, AzsHostingInfraUtilization, AzsInfraCapacity, AzsInfraRoleSummary, AzsPortalAPISummary, AzsSFRoleSummary, AzsStampBMCSummary, AzsHostingServiceCertificates
通过 System Center Operations Manager 管理 Azure Stack 时,请务必在应用 1901 之前将适用于Microsoft Azure Stack 的管理包更新至版本 1.0.3.11。
新功能
此更新包含以下适用于 Azure Stack 的新功能和改进:
使用 Azure Stack 上的托管映像可以在通用化 VM(非托管和托管的 VM)上创建托管映像对象,以后只能创建托管磁盘 VM。 有关详细信息,请参阅 Azure Stack 托管磁盘。
AzureRm 2.4.0
- AzureRm.Profile
Bug 修复 -Import-AzureRmContext
可正确反序列化已保存的令牌。 - AzureRm.Resources
Bug 修复 -Get-AzureRmResource
可按资源类型进行不区分大小写的查询。 - Azure.Storage
AzureRm 汇总模块现在包含已发布的 4.5.0 版,支持 api-version 2017-07-29。 - AzureRm.Storage
AzureRm 汇总模块现在包含已发布的 5.0.4 版,支持 api-version 2017-10-01。 - AzureRm.Compute
在New-AzureRmVM
和New-AzureRmVmss
中添加了简单参数集,-Image
参数支持指定用户映像。 - AzureRm.Insights
AzureRm 汇总模块现在包含已发布的 5.1.5 版,支持适用于指标、指标定义资源类型的 api-version 2018-01-01。
- AzureRm.Profile
AzureStack 1.7.1 这是一个有中断性变更的版本。 有关中断性变更的详细信息,请参阅 https://aka.ms/azspshmigration171
- Azs.Backup.Admin 模块
重大更改:备份对基于证书的加密模式的更改。 已弃用对对称密钥的支持。 - Azs.Fabric.Admin 模块
Get-AzsInfrastructureVolume
已弃用。 使用新的 cmdletGet-AzsVolume
。
Get-AzsStorageSystem
已弃用。 使用新的 cmdletGet-AzsStorageSubSystem
。
Get-AzsStoragePool
已弃用。StorageSubSystem
对象包含容量属性。 - Azs.Compute.Admin 模块
Bug 修复 -Add-AzsPlatformImage
、Get-AzsPlatformImage
:仅在成功路径中调用ConvertTo-PlatformImageObject
。
Bug 修复 -Add-AzsVmExtension
、Get-AzsVmExtension
:仅在成功路径中调用 ConvertTo-VmExtensionObject。 - Azs.Storage.Admin 模块
Bug 修复 - 在不提供值的情况下,新的存储配额使用默认值。
- Azs.Backup.Admin 模块
若要查看已更新模块的参考,请参阅 Azure Stack 模块参考。
已修复的问题
- 修复了以下问题:门户显示了创建基于策略的 VPN 网关的选项,但该选项在 Azure Stack 中不受支持。 已从门户中删除此选项。
修复了以下问题:在将虚拟网络的 DNS 设置从“使用 Azure Stack DNS”更新为“自定义 DNS”之后,不使用新设置更新实例。
-
修复了以下问题:部署其大小包含 v2 后缀的 VM(例如 Standard_A2_v2)时,需要将后缀指定为 Standard_A2_v2(小写 v)。 使用全球 Azure 时,现在可以使用 Standard_A2_V2(大写 V)。
- 修复了以下问题:使用门户创建高级 VM 大小(DS、Ds_v2、FS、FSv2)的虚拟机 (VM) 时生成警告。 VM 是在标准存储帐户中创建的。 尽管这不会影响功能、IOPs 或计费,但我们依然修复了警告。
修复了以下问题:运行状况控制器组件生成以下警报。 可以放心忽略这些警报:
警报 #1:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器检测信号扫描仪不可用。 这可能会影响运行状况报告和指标。
警报 #2:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器故障扫描仪不可用。 这可能会影响运行状况报告和指标。
- 修复了以下问题:将计算配额类型下面的托管磁盘配额设置为 0 时,相当于使用默认值 2048 GiB。 现在遵循零配额值。
- 修复了以下问题:使用 PowerShell cmdlet“Start-AzsScaleUnitNode”或“Stop-AzsScaleUnitNode”管理缩放单元时,首次尝试启动或停止缩放单元可能会失败。
修复了以下问题:尽管在订阅设置中注册了 Microsoft.Insight 资源提供程序并创建了支持来宾 OS 诊断的 Windows VM,但 VM 概述页中的“CPU 百分比”图表仍不显示指标数据。 现在会正常显示数据。
修复了以下问题:在相同的特权终结点 (PEP) 会话中运行 Test-AzureStack 之后,运行 Get-AzureStackLog cmdlet 失败。 现在可以使用用于执行 Test-AzureStack 的同一 PEP 会话。
- 修复了自动备份中计划程序服务意外进入禁用状态的问题。
- 已从 Azure Stack 门户中删除“重置网关”按钮,以前在单击该按钮时会引发错误。 此按钮在 Azure Stack 中不起任何作用,因为 Azure Stack 包含多租户网关,而不为每个租户 VPN 网关提供专用的 VM 实例,因此已将其删除以避免混淆。
- 已从“网络属性”边栏选项卡中删除“有效安全规则”链接,因为此功能在 Azure Stack 中不受支持。 显示该链接会让人觉得此功能受支持,但其实它并不起作用。 为了避免混淆,我们已删除该链接。
- 修复了以下问题:将更新从 OEM 应用到 Azure Stack 之后,“有可用的更新”通知不显示在 Azure Stack 管理员门户中。
更改
此项更新中的安全增强功能会导致目录服务角色的备份大小增加。 有关外部存储位置的更新大小调整指南,请参阅 [基础结构备份文档。./azure-stack-backup-reference.md#storage-location-sizing)。 因为数据传输大小变大,此项更改会导致需要更长时间才能完成备份。 此项更改会影响集成式系统。
从 2019 年 1 月开始,你可以在已注册、已连接了 Active Directory 联合身份验证服务 (AD FS) 的 Azure Stack 缩放单元上部署 Kubernetes 群集(需要 Internet 访问权限)。 按照此处的说明下载新的 Kubernetes 市场项。 按照此处的说明部署 Kubernetes 群集。 请注意用于指示目标系统是注册了 ADD 还是注册了 AD FS 的新参数。 如果是 AD FS,则可以使用新字段输入在其中存储部署证书的 Key Vault 参数。
请注意,即使在支持 AD FS 的情况下,Kubernetes 群集的部署也需要 Internet 访问权限。
在安装 Azure Stack 的更新或修补程序之后,可以引入新的功能,这需要将新权限授予一个或多个标识应用程序。 授予这些权限需要主目录的管理访问权限,因此无法自动完成授权。 例如:
$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>" $homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com" # This is the primary tenant Azure Stack is registered to Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint ` -DirectoryTenantName $homeDirectoryTenantName -Verbose
准确规划 Azure Stack 容量时需要考虑一个新的因素。 使用 1901 更新时,现在可创建的虚拟机总数有限制。 此限制是暂时性的,目的是避免解决方案不稳定。 我们已解决大量 VM 的稳定性问题根源,但尚未确定补救措施的具体时间表。 使用 1901 更新时,现在每台服务器存在 60 个 VM 的限制,解决方案总体限制为 700 个。 例如,8 个服务器的 Azure Stack VM 数目限制是 480 (8 * 60)。 对于包含 12 到 16 个服务器的 Azure Stack 解决方案,限制为 700 个 VM。 确定此限制时,我们考虑到了所有计算容量,例如复原能力,以及运营商想要在阵列上保持的虚拟与物理 CPU 之比。 有关详细信息,请参阅新版容量规划器。
如果达到了 VM 规模限制,将返回以下错误代码:VMsPerScaleUnitLimitExceeded、VMsPerScaleUnitNodeLimitExceeded。计算 API 版本已递增到 2017-12-01。
基础结构备份现在要求使用仅包含公钥的证书 (.CER) 来加密备份数据。 从更新 1901 开始,将会终止对称加密密钥的支持。 如果基础结构备份在更新到 1901 之前已进行配置,则加密密钥仍旧可用。 必须至少有额外两个支持向后兼容的更新才能更新备份设置。 有关详细信息,请参阅 Azure Stack 基础结构备份最佳做法。
常见漏洞和风险
此更新安装以下安全更新:
- CVE-2018-8477
- CVE-2018-8514
- CVE-2018-8580
- CVE-2018-8595
- CVE-2018-8596
- CVE-2018-8598
- CVE-2018-8621
- CVE-2018-8622
- CVE-2018-8627
- CVE-2018-8637
- CVE-2018-8638
- ADV190001
- CVE-2019-0536
- CVE-2019-0537
- CVE-2019-0545
- CVE-2019-0549
- CVE-2019-0553
- CVE-2019-0554
- CVE-2019-0559
- CVE-2019-0560
- CVE-2019-0561
- CVE-2019-0569
- CVE-2019-0585
- CVE-2019-0588
有关这些漏洞的详细信息,请单击上述链接,或者查看 Microsoft 知识库文章 4480977。
更新过程的已知问题
尝试安装 Azure Stack 更新时,更新状态可能会显示失败并更改为 PreparationFailed。 这是因为更新资源提供程序 (URP) 无法正确将文件从存储容器传输到内部基础结构共享进行处理。 从版本 1901 (1.1901.0.95) 开始,可以通过再次单击“立即更新”(而不是“恢复”)来解决此问题。 然后,URP 会清理上次尝试更新时下载的文件,并重新开始下载。
运行 Test-AzureStack 时,如果 AzsInfraRoleSummary 或 AzsPortalApiSummary 测试失败,系统会提示你结合
-Repair
标志运行 Test-AzureStack。 如果运行此命令,它会失败并显示以下错误消息:Unexpected exception getting Azure Stack health status. Cannot bind argument to parameter 'TestResult' because it is null.
运行 Test-AzureStack 时,会显示基板管理控制器 (BMC) 中的一条警告消息。 可以放心地忽略此警告。
- 在安装此更新期间,可能会出现标题如下的警报:“错误 - 缺少 FaultType UserAccounts.New 的模板”。可以放心地忽略这些警报。 完成此更新的安装后,这些警报会自动关闭。
更新后步骤
检索静态数据加密密钥,并将其安全存储在 Azure Stack 部署的外部。 请遵照有关如何检索密钥的说明操作。
已知问题(安装后)
下面是此内部版本的安装后已知问题。
门户
- 在管理员门户和用户门户中,如果搜索“Docker”,则此项无法正确返回。 它在 Azure Stack 中不可用。 如果尝试创建它,则会显示一个边栏选项卡,其中包含表明存在错误的内容。
- 即使从用户订阅中删除计划,也无法删除作为附加计划添加到用户订阅的计划。 该计划将一直保留,直到引用附加计划的订阅也被删除。
- 不应使用版本 1804 中引入的两种管理订阅类型。 这两种订阅类型为“计量订阅”和“消耗订阅”。 从版本 1804 开始,这些订阅类型会在新的 Azure Stack 环境中显示,但尚不可用。 请继续使用“默认提供程序”订阅类型。
- 删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
- 无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
计算
创建新的 Windows 虚拟机 (VM) 时,可能会显示以下错误:
'Failed to start virtual machine 'vm-name'. Error: Failed to update serial output settings for VM 'vm-name'
如果在 VM 上启用了启动诊断,但删除了启动诊断存储帐户,则会发生该错误。 若要解决此问题,请使用以前所用的同一名称重新创建存储帐户。
- 虚拟机规模集 (VMSS) 创建体验提供基于 CentOS 的 7.2 作为部署选项。 由于该映像在 Azure Stack 上不可用,因此请为部署选择另一操作系统,或者使用一个 Azure 资源管理器模板,指定另一个已在部署之前由操作员从市场下载的 CentOS 映像。
应用 1901 更新后,在部署包含托管磁盘的 VM 时可能会遇到以下问题:
- 如果订阅是在 1808 更新之前创建的,则部署具有托管磁盘的 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
- 在租户门户中转到“订阅”,找到相应订阅。 依次选择“资源提供程序”、“Microsoft.Compute”、“重新注册”。
- 在同一订阅下,转到“访问控制(IAM)”,检查“AzureStack-DiskRP-Client”是否已列出。
- 如果已配置多租户环境,在与来宾目录相关联的订阅中部署 VM 可能会失败并出现内部错误消息。 若要解决错误,请执行此文章中的步骤来重新配置每个来宾目录。
- 如果订阅是在 1808 更新之前创建的,则部署具有托管磁盘的 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
如果使用创建时已启用 SSH 授权的 Ubuntu 18.04 VM,则无法使用 SSH 密钥登录。 若要解决此问题,请在预配后使用针对 Linux 扩展的 VM 访问权限来实现 SSH 密钥,或者使用基于密码的身份验证。
无法从“虚拟机规模集”边栏选项卡中删除规模集。 解决方法是,选择要删除的规模集,然后在“概述”窗格中单击“删除”按钮。
网络
在 Azure Stack 门户中,对于已附加到 VM 实例的网络适配器,在更改与其绑定的 IP 配置的静态 IP 地址时,会看到一条警告消息,其中指出
The virtual machine associated with this network interface will be restarted to utilize the new private IP address...
。可以放心忽略此消息;即使 VM 实例未重启,IP 地址也会更改。
在门户中,如果添加入站安全规则并选择“服务标记”作为源,“服务标记”列表中会显示多个不适用于 Azure Stack 的选项。 在 Azure Stack 中有效的选项仅限以下几个:
Internet
VirtualNetwork
AzureLoadBalancer
在 Azure Stack 中,不支持将其他选项用作源标记。 同样,如果添加出站安全规则并选择“服务标记”作为目标,则显示与“源标记”相同的选项列表。 仅有的有效选项与“源标记”的有效选项相同,如以上列表中所述。
网络安全组 (NSG) 无法像在全球 Azure 中一样在 Azure Stack 中运行。 在 Azure 中,可以在一个 NSG 规则中设置多个端口(使用门户、PowerShell 和资源管理器模板)。 但是,在 Azure Stack 中,无法通过门户在一个 NSG 规则中设置多个端口。 若要解决此问题,请使用资源管理器模板或 PowerShell 设置这些附加的规则。
- 目前,无论实例大小是什么,Azure Stack 都不支持将 4 个以上的网络接口 (NIC) 附加到 VM 实例。
应用服务
- 在订阅中创建第一个 Azure 函数之前,必须先注册存储资源提供程序。
Syslog
- syslog 配置不会在整个更新周期中保留,导致 syslog 客户端丢失其配置,并停止转发 syslog 消息。 此问题适用于自 syslog 客户端正式版 (1809) 发布以来的所有 Azure Stack 版本。 若要解决此问题,请在应用 Azure Stack 更新之后重新配置 syslog 客户端。
下载更新
可从此处下载 Azure Stack 1901 更新包。
只有在连接的情况下,Azure Stack 部署才会定期检查某个安全的终结点,并在已发布云更新的情况下自动通知你。 有关详细信息,请参阅管理 Azure Stack 的更新。
后续步骤
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
- 若要查看 Azure Stack 集成系统的服务策略,以及必须如何做才能使系统保持在受支持的状态,请参阅 Azure Stack 服务策略。
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
1811 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1811 更新包的内容。 该更新包包含此版 Azure Stack 的改进、修复和新功能。 本文还描述了此版本中的已知问题,并包含一个用于下载该更新的链接。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1811 更新内部版本号为 1.1811.0.101。
修补程序
Azure Stack 定期发布修补程序。 将 Azure Stack 更新到 1811 之前,请务必先安装 1809 的最新 Azure Stack 修补程序。
Azure Stack 修补程序
- 1809: KB 4481548 – Azure Stack 修补程序 1.1809.12.114
- 1811:当前没有修补程序可用。
先决条件
重要
在安装 1811 更新期间,必须确保所有管理员门户实例都已关闭。 用户门户可以保持打开,但管理员门户必须关闭。
让 Azure Stack 部署准备好使用 Azure Stack 扩展主机。 遵照为 Azure Stack 准备扩展主机中的指导准备系统。
在更新到 1811 之前,请先安装 1809 的最新 Azure Stack 修补程序。
在开始安装此更新之前,请使用以下参数运行 Test-AzureStack,以验证 Azure Stack 的状态并解决发现的所有操作问题,包括所有警告和故障。 另外,请查看活动警报,并解决所有需要采取措施的警报。
Test-AzureStack -Include AzsControlPlane, AzsDefenderSummary, AzsHostingInfraSummary, AzsHostingInfraUtilization, AzsInfraCapacity, AzsInfraRoleSummary, AzsPortalAPISummary, AzsSFRoleSummary, AzsStampBMCSummary, AzsHostingServiceCertificates
如果不符合扩展主机要求,
Test-AzureStack
输出会显示以下消息:To proceed with installation of the 1811 update, you will need to import the SSL certificates required for Extension Host, which simplifies network integration and increases the security posture of Azure Stack. Refer to this link to prepare for Extension Host: https://learn.microsoft.com/azure-stack/operator/azure-stack-extension-host-prepare
Azure Stack 1811 更新要求将必需的扩展主机证书正确导入 Azure Stack 环境。 若要继续安装 1811 更新,必须导入扩展主机所需的 SSL 证书。 若要导入证书,请参阅此部分。
如果忽略每个警告并仍选择安装 1811 更新,则更新将在大约 1 小时内失败并显示以下消息:
The required SSL certificates for the Extension Host have not been found. The Azure Stack update will halt. Refer to this link to prepare for Extension Host: https://learn.microsoft.com/azure-stack/operator/azure-stack-extension-host-prepare, then resume the update. Exception: The Certificate path does not exist: [certificate path here]
正确导入必需的扩展主机证书后,可以从管理员门户恢复 1811 更新。 虽然 Microsoft 建议 Azure Stack 操作员在更新过程中计划维护时段,但因缺少扩展主机证书而造成的失败不应影响现有的工作负载或服务。
在安装此更新的过程中,配置扩展主机时 Azure Stack 用户门户将不可用。 扩展主机的配置最长可能需要花费 5 小时。 在此期间,你可以检查更新状态,或者使用 Azure Stack 管理员 PowerShell 或特权终结点继续执行某个失败的更新安装。
通过 System Center Operations Manager 管理 Azure Stack 时,请务必在应用 1811 之前将适用于 Microsoft Azure Stack 的管理包更新至版本 1.0.3.11。
新增功能
此更新包含以下适用于 Azure Stack 的新功能和改进:
此版本中已启用扩展主机。 扩展主机可以简化网络集成,并改进 Azure Stack 的安全态势。
添加了通过 Active Directory 联合身份验证服务 (AD FS) 进行设备身份验证的支持(具体而言,是使用 Azure CLI 时)。 有关详细信息,请参阅在 Azure Stack 中将 API 版本配置文件与 Azure CLI 配合使用。
添加了配合 Active Directory 联合身份验证服务 (AD FS) 使用客户端机密的服务主体支持。 有关详细信息,请参阅为 AD FS 创建服务主体。
此版本添加了对以下 Azure 存储服务 API 版本的支持:2017-07-29、2017-11-09。 此外,还添加了对以下 Azure 存储资源提供程序 API 版本的支持:2016-05-01、2016-12-01、2017-06-01 和 2017-10-01。 有关详细信息,请参阅 Azure Stack 存储:差异和注意事项。
添加了新的特权终结点命令用于更新和删除 ADFS 的服务主体。 有关详细信息,请参阅为 AD FS 创建服务主体。
添加了可让 Azure Stack 操作员启动、停止和关闭缩放单元节点的新“缩放单元节点”操作。 有关详细信息,请参阅 Azure Stack 中的缩放单元节点操作。
添加了一个显示环境注册详细信息的新区域属性边栏选项卡。 可以通过单击管理员门户中默认仪表板上的“区域管理”磁贴,然后选择“属性”,来查看此信息。
添加了新的特权终结点命令,以更新包含用户名和密码的 BMC 凭据用于与物理机进行通信。 有关详细信息,请参阅更新基板管理控制器 (BMC) 凭据。
添加了通过管理员和用户门户右上角的帮助和支持图标(问号)访问 Azure 路线图的功能,Azure 门户中也有类似的功能。
为离线用户添加了改进的市场管理体验。 在离线环境中发布市场项的上传过程已简化成一个步骤,而无需单独上传图像和市场包。 已上传的产品也会显示在市场管理边栏选项卡中。
此版本添加了在 Azure Stack 机密轮换期间只轮换外部证书的功能,缩短了轮换机密所需的维护时段。
Azure Stack PowerShell 已更新到版本 1.6.0。 该更新包含对 Azure Stack 中新的存储相关功能的支持。 有关详细信息,请参阅 PowerShell 库中的 Azure Stack 管理模块 1.6.0 的发行说明。有关更新或安装 Azure Stack PowerShell 的信息,请参阅安装适用于 Azure Stack 的 PowerShell。
使用 Azure Stack 门户创建虚拟机时,现在默认会启用托管磁盘。 有关需要对托管磁盘执行哪些附加步骤才能避免 VM 创建失败,请参阅已知问题部分。
此版本为 Azure Stack 操作员引入了警报“修复”操作。 1811 中的某些警报在警报中提供一个“修复”按钮用于解决问题。 有关详细信息,请参阅在 Azure Stack 中监视运行状况和警报。
更新到 Azure Stack 中的更新体验。 更新增强功能包括:
用于将“更新”与“更新历史记录”拆分开来的选项卡,这样可以更好地跟踪正在进行的更新与已完成的更新。
“概要”部分的增强的状态可视化效果,其中的新图标和布局对应于“当前版本和 OEM 版本”以及“上次更新的日期”。
“发行说明”列的“查看”链接直接将用户转到特定于该更新的文档,而不是转到常规更新页。
“更新历史记录”选项卡,用于确定每项更新的运行时间以及增强的筛选功能。
连接的 Azure Stack 缩放单元仍会自动接收已发布的可用更新。
未连接的 Azure Stack 缩放单元可以导入更新,就像以前一样。
从门户下载 JSON 日志的过程没有任何变化。 Azure Stack 操作员会看到表示进度的扩展步骤。
有关详细信息,请参阅在 Azure Stack 中应用更新。
已修复的问题
- 修复了以下问题:公共 IP 地址使用计量数据针对每条记录显示相同的 EventDateTime 值,而不是创建记录时显示的 TimeDate 时间戳。 现在,可以使用此数据来执行公共 IP 地址用量的准确计帐。
- 修复了使用 Azure Stack 门户创建新虚拟机 (VM) 时发生的问题。 以前,选择 VM 大小会导致“美元/月”列显示“不可用”消息。 现在,此列不再显示;Azure Stack 不支持显示 VM 定价列。
- 修复了以下问题:在管理员门户中访问用户订阅详细信息时,在关闭边栏选项卡并单击“最近”后,用户订阅名称不显示。 现在会显示用户订阅名称。
- 修复了管理员门户和用户门户中的以下问题:单击门户设置并选择“删除所有设置和专用仪表板”后,结果不符合预期,同时会显示错误通知。 此选项现在会正常工作。
- 修复了管理员门户和用户门户中的以下问题:在“所有服务”下,资产“DDoS 防护计划”未正确列出。 它在 Azure Stack 中不可用。 已删除此列表。
- 修复了在安装新的 Azure Stack 环境时,不显示指示“需要激活”的警报的问题。 现在会显示该警报。
- 修复了使用 ADFS 时阻止将 RBAC 策略应用到用户组的问题。
- 修复了由于无法从公共 VIP 网络访问文件服务器而导致基础结构备份失败的问题。 该项修复会将基础结构备份服务移回公共基础结构网络。 如果已应用解决此问题的最新 Azure Stack 1809 修补程序,1811 更新将不进行任何进一步的修改。
- 修复了以下问题:登录 Azure Stack 管理员门户或用户门户时使用的帐户显示为“未识别的用户”。 如果帐户中未指定“名字”或“姓氏”,则会显示此消息。
- 修复了以下问题:使用门户创建虚拟机规模集 (VMSS) 时,如果使用 Internet Explorer,则“实例大小”下拉列表不会正确加载。 现在,此浏览器可正常工作。
- 修复了以下问题:生成的干扰性警报指示某个基础结构角色实例不可用或缩放单元节点已脱机。
- 修复了 VM 概述页面无法正确显示 VM 指标图表的问题。
更改
- 1811 中导入了新的方式来查看和编辑计划中的配额。 有关详细信息,请参阅查看现有配额。
此项更新中的安全增强功能会导致目录服务角色的备份大小增加。 有关已更新的外部存储位置大小调整指导,请参阅基础结构备份文档。 因为数据传输大小变大,此项更改会导致需要更长时间才能完成备份。 此项更改会影响集成式系统。
在 1811 中,用于检索 BitLocker 恢复密钥的现有 PEP cmdlet 已从 Get-AzsCsvsRecoveryKeys 重命名为 Get-AzsRecoveryKeys。 有关检索 BitLocker 恢复密钥的详细信息,请参阅有关如何检索密钥的说明。
常见漏洞和风险
此更新安装以下安全更新:
- CVE-2018-8256
- CVE-2018-8407
- CVE-2018-8408
- CVE-2018-8415
- CVE-2018-8417
- CVE-2018-8450
- CVE-2018-8471
- CVE-2018-8476
- CVE-2018-8485
- CVE-2018-8544
- CVE-2018-8547
- CVE-2018-8549
- CVE-2018-8550
- CVE-2018-8553
- CVE-2018-8561
- CVE-2018-8562
- CVE-2018-8565
- CVE-2018-8566
- CVE-2018-8584
有关这些漏洞的详细信息,请单击上述链接,或者查看 Microsoft 知识库文章 4478877。
更新过程的已知问题
在同一特权终结点 (PEP) 会话中运行 Test-AzureStack 之后,运行 Get-AzureStackLog PowerShell cmdlet 时,Get-AzureStackLog 失败。 若要解决此问题,请关闭用于执行 Test-AzureStack 的 PEP 会话,然后打开一个新的会话来运行 Get-AzureStackLog。
在安装 1811 更新期间,请确保所有管理员门户实例都已关闭。 用户门户可以保持打开,但管理员门户必须关闭。
运行 Test-AzureStack 时,如果 AzsInfraRoleSummary 或 AzsPortalApiSummary 测试失败,系统会提示你结合
-Repair
标志运行 Test-AzureStack。 如果运行此命令,它会失败并显示以下错误消息:Unexpected exception getting Azure Stack health status. Cannot bind argument to parameter 'TestResult' because it is null.
将来的版本中会解决此问题。在安装 1811 更新的过程中,配置扩展主机时 Azure Stack 用户门户将不可用。 扩展主机的配置最长可能需要花费 5 小时。 在此期间,你可以检查更新状态,或者使用 Azure Stack 管理员 PowerShell 或特权终结点继续执行某个失败的更新安装。
在安装 1811 更新的过程中,用户门户仪表板可能不可用,并可能会丢失自定义项。 可以在更新完成之后,通过打开门户设置并选择“还原默认设置”,将仪表板还原为默认设置。
运行 Test-AzureStack 时,会显示基板管理控制器 (BMC) 中的一条警告消息。 可以放心地忽略此警告。
- 在安装此更新期间,可能会出现标题如下的警报:`Error - Template for FaultType UserAccounts.New is missing.` 你可以放心地忽略这些警报。 完成此更新的安装后,这些警报会自动关闭。
- 如果已从 OEM 应用 Azure Stack 更新,则 **有可用的更新** 通知可能不会显示在 Azure Stack 管理员门户中。 若要安装 Microsoft 更新,请遵照“在 Azure Stack (../azure-stack-apply-updates.md) 中应用更新”中的说明手动下载并导入该更新。
更新后步骤
检索静态数据加密密钥,并将其安全存储在 Azure Stack 部署的外部。 请遵照有关如何检索密钥的说明操作。
已知问题(安装后)
下面是此内部版本的安装后已知问题。
门户
- 在管理员门户和用户门户中,如果搜索“Docker”,则此项无法正确返回。 它在 Azure Stack 中不可用。 如果尝试创建它,则会显示一个边栏选项卡,其中包含表明存在错误的内容。
- 即使从用户订阅中删除计划,也无法删除作为附加计划添加到用户订阅的计划。 该计划将一直保留,直到引用附加计划的订阅也被删除。
- 不应使用版本 1804 中引入的两种管理订阅类型。 这两种订阅类型为“计量订阅”和“消耗订阅”。 从版本 1804 开始,这些订阅类型会在新的 Azure Stack 环境中显示,但尚不可用。 请继续使用“默认提供程序”订阅类型。
- 删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
- 无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
运行状况和监视
可能会看到包含以下详细信息的“运行状况控制器”组件的警报:
警报 #1:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器检测信号扫描仪不可用。 这可能会影响运行状况报告和指标。
警报 #2:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器故障扫描仪不可用。 这可能会影响运行状况报告和指标。
可以放心地忽略这两个警报。 它们将在一段时间后自动关闭。
计算
创建新的 Windows 虚拟机 (VM) 时,“设置”边栏选项卡要求选择公共入站端口以继续操作。 在 1811 中,这是必需的设置,但不起作用。 这是因为,该功能依赖于 Azure 防火墙,但 Azure Stack 中并未实施该防火墙。 可以选择“无公共入站端口”或任何其他选项来继续创建 VM。 该设置不起作用。
创建新的 Windows 虚拟机 (VM) 时,可能会显示以下错误:
'Failed to start virtual machine 'vm-name'. Error: Failed to update serial output settings for VM 'vm-name'
如果在 VM 上启用了启动诊断,但删除了启动诊断存储帐户,则会发生该错误。 若要解决此问题,请使用以前所用的同一名称重新创建存储帐户。
创建 Dv2 系列 VM 时,可以通过 D11-14v2 VM 分别创建 4 个、8 个、16 个和 32 个数据磁盘。 不过,“创建 VM”窗格会显示 8 个、16 个、32 个和 64 个数据磁盘。
Azure Stack 上的使用情况记录可能包含意外的大小写,例如:
{"Microsoft.Resources":{"resourceUri":"/subscriptions/<subid>/resourceGroups/ANDREWRG/providers/Microsoft.Compute/ virtualMachines/andrewVM0002","location":"twm","tags":"null","additionalInfo": "{\"ServiceType\":\"Standard_DS3_v2\",\"ImageType\":\"Windows_Server\"}"}}
在此示例中,资源组的名称应该是 AndrewRG。 可以放心忽略这种不一致情况。
- 若要部署大小包含 v2 后缀的 VM(例如 Standard_A2_v2),请将后缀指定为 Standard_A2_v2(小写 v)。 请勿使用 Standard_A2_V2(大写 V)。 这适用于全球 Azure,在 Azure Stack 上有不一致的问题。
使用 Add-AzsPlatformImage cmdlet 时,必须使用 -OsUri 参数作为存储帐户 URI(在其中上传磁盘)。 如果使用磁盘的本地路径,则此 cmdlet 会失败并显示以下错误:
Long running operation failed with status 'Failed'
通过门户创建“高级”VM 大小(DS、Ds_v2、FS、FSv2)的虚拟机 (VM) 时,该 VM 在标准存储帐户中创建。 在标准存储帐户中创建不影响功能、IOPS 或计费。 可以放心忽略带有以下字样的警告:
You've chosen to use a standard disk on a size that supports premium disks. This could impact operating system performance and is not recommended. Consider using premium storage (SSD) instead.
- 虚拟机规模集 (VMSS) 创建体验提供基于 CentOS 的 7.2 作为部署选项。 由于该映像在 Azure Stack 上不可用,因此请为部署选择另一操作系统,或者使用一个 Azure 资源管理器模板,指定另一个已在部署之前由操作员从市场下载的 CentOS 映像。
- 使用 PowerShell cmdlet“Start-AzsScaleUnitNode”或“Stop-AzsScaleunitNode”管理缩放单元时,首次尝试启动或停止缩放单元可能会失败。 如果 cmdlet 在第一次运行时失败,请再次运行 cmdlet。 第二次运行应该能够成功完成操作。
- 如果在 VM 部署上预配某个扩展时耗时过长,请让预配超时,而不要尝试通过停止该进程来解除 VM 的分配或将 VM 删除。
- Azure Stack 不支持 Linux VM 诊断。 在部署启用 VM 诊断的 Linux VM 时,部署会失败。 如果通过诊断设置启用 Linux VM 的基本指标,部署也会失败。
托管磁盘创建了两个新的计算配额类型来限制可以预配的托管磁盘的最大容量。 默认情况下将为每个托管磁盘配额类型分配 2048 GiB。 不过,你可能会遇到以下问题:
- 对于在 1808 更新之前创建的配额,托管磁盘配额在管理门户中将显示为值 0,虽然分配了 2048 GiB。 你可以根据实际需求增大或减小该值,新设置的配额值将替代 2048 GiB 默认值。
- 如果将配额值更新为 0,则它等效于默认值 2048 GiB。 作为一种解决方法,请将配额值设置为 1。
应用 1811 更新后,在部署包含托管磁盘的 VM 时可能会遇到以下问题:
- 如果订阅是在 1808 更新之前创建的,则部署具有托管磁盘的 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
- 在租户门户中转到“订阅”,找到相应订阅。 依次选择“资源提供程序”、“Microsoft.Compute”、“重新注册”。
- 在同一订阅下,转到“访问控制(标识和访问管理)”,验证“AzureStack-DiskRP-Client”角色是否已列出。
- 如果已配置多租户环境,在与来宾目录相关联的订阅中部署 VM 可能会失败并出现内部错误消息。 若要解决错误,请执行此文章中的步骤来重新配置每个来宾目录。
- 如果订阅是在 1808 更新之前创建的,则部署具有托管磁盘的 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
如果使用创建时已启用 SSH 授权的 Ubuntu 18.04 VM,则无法使用 SSH 密钥登录。 若要解决此问题,请在预配后使用针对 Linux 扩展的 VM 访问权限来实现 SSH 密钥,或者使用基于密码的身份验证。
网络
- 如果在“网络”下单击“创建 VPN 网关”来设置 VPN 连接,则会将“基于策略”列为 VPN 类型。 请不要选择此选项。 Azure Stack 仅支持“基于路由”选项。
- Azure Stack 支持对一个 IP 地址使用一个本地网关。 这适用于所有租户订阅。 在创建第一个本地网络网关连接之后,系统会拒绝使用同一 IP 地址创建本地网络网关资源的后续尝试。
- 在使用“自动”DNS 服务器设置创建的虚拟网络上,无法更改为自定义 DNS 服务器。 更新的设置不推送到该 Vnet 中的 VM。
- 在 Azure Stack 机密轮换期间,有一个时段(两到五分钟)会无法访问公共 IP 地址。
租户通过 S2S VPN 隧道访问虚拟机时,可能会遇到这样的情况:如果在创建网关后向本地网络网关添加本地子网,连接尝试会失败。
在 Azure Stack 门户中,对于已附加到 VM 实例的网络适配器,在更改与其绑定的 IP 配置的静态 IP 地址时,会看到一条警告消息,其中指出
The virtual machine associated with this network interface will be restarted to utilize the new private IP address...
。可以放心忽略此消息;即使 VM 实例未重启,IP 地址也会更改。
在门户中的“网络属性”边栏选项卡上,每个网络适配器都有一个“有效安全规则”链接。 选择此链接会打开一个新的边栏选项卡,其中显示了错误消息
Not Found.
。发生此错误的原因是 Azure Stack 尚不支持有效安全规则。在门户中,如果添加入站安全规则并选择“服务标记”作为源,“服务标记”列表中会显示多个不适用于 Azure Stack 的选项。 在 Azure Stack 中有效的选项仅限以下几个:
Internet
VirtualNetwork
AzureLoadBalancer
在 Azure Stack 中,不支持将其他选项用作源标记。 同样,如果添加出站安全规则并选择“服务标记”作为目标,则显示与“源标记”相同的选项列表。 仅有的有效选项与“源标记”的有效选项相同,如以上列表中所述。
New-AzureRmIpSecPolicy PowerShell cmdlet 不支持为
DHGroup
参数设置 DHGroup24。网络安全组 (NSG) 无法像在全球 Azure 中一样在 Azure Stack 中运行。 在 Azure 中,可以在一个 NSG 规则中设置多个端口(使用门户、PowerShell 和资源管理器模板)。 在 Azure Stack 中,无法通过门户在一个 NSG 规则中设置多个端口。 若要解决此问题,请使用资源管理器模板设置这些附加的规则。
基础结构备份
- 启用自动备份后,计划程序服务会意外进入已禁用状态。 备份控制器服务将检测到自动备份已禁用,并在管理员门户中引发警告。 禁用自动备份时预期会发出此警告。
- 原因:此问题的原因是服务中的 bug 导致计划程序配置丢失。 此 bug 不会更改存储位置、用户名、密码或加密密钥。
- 修正措施:若要缓解此问题,请在基础结构备份资源提供程序中打开备份控制器设置边栏选项卡,然后选择“启用自动备份”。 请务必设置所需的频率和保留期。
- 发生率:低
应用服务
- 在订阅中创建第一个 Azure 函数之前,必须先注册存储资源提供程序。
Syslog
- syslog 配置不会在整个更新周期中保留,导致 syslog 客户端丢失其配置,并停止转发 syslog 消息。 此问题适用于自 syslog 客户端正式版 (1809) 发布以来的所有 Azure Stack 版本。 若要解决此问题,请在应用 Azure Stack 更新之后重新配置 syslog 客户端。
下载更新
可从此处下载 Azure Stack 1811 更新包。
只有在连接的情况下,Azure Stack 部署才会定期检查某个安全的终结点,并在已发布云更新的情况下自动通知你。 有关详细信息,请参阅管理 Azure Stack 的更新。
后续步骤
- 若要查看 Azure Stack 集成系统的服务策略,以及必须如何做才能使系统保持在受支持的状态,请参阅 Azure Stack 服务策略。
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
1809 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1809 更新包的内容。 此更新包包含此版 Azure Stack 的改进、修复和已知问题。 本文还包含一个用于下载更新的链接。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1809 更新内部版本号为 1.1809.0.90。
新增功能
此更新包含对 Azure Stack 的以下改进:
- 在此版本中,Azure Stack 集成系统支持 4-16 个节点的配置。 可以使用 Azure Stack Capacity Planner 来帮助规划 Azure Stack 容量与配置。
Azure Stack syslog 客户端(正式版):此客户端允许将与 Azure Stack 基础结构相关的审核、警报和安全日志转发到 Azure Stack 外部的 syslog 服务器或安全信息和事件管理 (SIEM) 软件。 syslog 客户端现在支持指定 syslog 服务器侦听的端口。
此版本意味着 syslog 客户端已正式发布,可以用于生产环境。
有关详细信息,请参阅 Azure Stack Syslog 转发。
现在可以在 Azure 上的资源组之间移动注册资源,而无需重新注册。 只要新旧订阅都映射到相同的 CSP 合作伙伴 ID,云解决方案商 (CSP) 也可以在订阅之间移动注册资源。 这不影响现有的客户租户映射。
增加了为每个网络接口分配多个 IP 地址的支持。 如需更多详细信息,请参阅使用 PowerShell 将多个 IP 地址分配到虚拟机。
已修复的问题
- 在门户中,报告免费/已用容量的内存图表现在是准确的。 可以更可靠地预测可创建的 VM 数量。
修复了以下问题:在 Azure Stack 用户门户中创建虚拟机时,该门户显示的可以附加到 DS 系列 VM 的数据磁盘数不正确。 DS 系列 VM 可以容纳的数据磁盘数取决于 Azure 配置。
以下托管磁盘问题已在 1809 中修复,同时已在 1808 Azure Stack 修补程序 1.1808.9.117 中修复:
修复了以下问题:将 SSD 数据磁盘附加到高级大小托管磁盘虚拟机(DS、DSv2、Fs、Fs_V2)时失败并出现以下错误:“更新虚拟机 vmname 的磁盘失败。错误: 请求的操作无法执行,因为 VM 大小 Standard_DS/Ds_V2/FS/Fs_v2 不支持存储帐户类型 Premium_LRS”。
使用“createOption”创建托管磁盘 VM:“Attach”失败并出现以下错误:“长时间运行的操作失败,状态为“失败”。其他信息:“发生内部执行错误。”ErrorCode: InternalExecutionError ErrorMessage:发生内部执行错误。
现已修复此问题。
- 修复了在发出“停止-解除分配”命令后,无法保证系统会保留使用动态分配方法部署的公共 IP 的问题。 它们现在已保留。
- 如果 VM 在 1808 之前已停止-解除分配,则该 VM 在 1808 更新之后无法重新分配。 此问题已在 1809 中解决。 处于这种状态且无法启动的实例可以在已应用此修复的 1809 中启动。 此修复还可以防止该问题反复发生。
更改
重要
如果防火墙不允许从公共 VIP 网络连接到文件服务器,此更改将导致基础结构备份失败,并出现“错误 53,找不到网络路径”。这是一个没有合理解决方法的中断性变更。 Microsoft 将根据客户的反馈,在修补程序中还原此项更改。 请查看更新后的步骤部分,以获取有关 1809 可用的修补程序的详细信息。 发布修补程序后,请确保只在网络策略不允许公共 VIP 网络访问基础结构资源的情况下,才在更新到 1809 之后应用该修补程序。 在 1811 中,此项更改将应用到所有系统。 如果在 1809 中应用该修补程序,则无需采取进一步的措施。
常见漏洞和风险
此更新安装以下安全更新:
- ADV180022
- CVE-2018-0965
- CVE-2018-8271
- CVE-2018-8320
- CVE-2018-8330
- CVE-2018-8332
- CVE-2018-8333
- CVE-2018-8335
- CVE-2018-8392
- CVE-2018-8393
- CVE-2018-8410
- CVE-2018-8411
- CVE-2018-8413
- CVE-2018-8419
- CVE-2018-8420
- CVE-2018-8423
- CVE-2018-8424
- CVE-2018-8433
- CVE-2018-8434
- CVE-2018-8435
- CVE-2018-8438
- CVE-2018-8439
- CVE-2018-8440
- CVE-2018-8442
- CVE-2018-8443
- CVE-2018-8446
- CVE-2018-8449
- CVE-2018-8453
- CVE-2018-8455
- CVE-2018-8462
- CVE-2018-8468
- CVE-2018-8472
- CVE-2018-8475
- CVE-2018-8481
- CVE-2018-8482
- CVE-2018-8484
- CVE-2018-8486
- CVE-2018-8489
- CVE-2018-8490
- CVE-2018-8492
- CVE-2018-8493
- CVE-2018-8494
- CVE-2018-8495
- CVE-2018-8497
有关这些漏洞的详细信息,请单击上述链接,或者查看 Microsoft 知识库文章 4457131 和 4462917。
先决条件
在应用 1809 之前,请安装 1808 的最新 Azure Stack 修补程序。 有关详细信息,请参阅知识库文章 4481066 - Azure Stack 修补程序 1.1808.9.117。 虽然 Microsoft 建议使用最新的可用修补程序,但安装 1809 所需的最低版本为 1.1808.5.110。
在开始安装此更新之前,请使用以下参数运行 Test-AzureStack,以验证 Azure Stack 的状态并解决发现的所有操作问题,包括所有警告和故障。 另外,请查看活动警报,并解决所有需要采取措施的警报。
Test-AzureStack -Include AzsControlPlane, AzsDefenderSummary, AzsHostingInfraSummary, AzsHostingInfraUtilization, AzsInfraCapacity, AzsInfraRoleSummary, AzsPortalAPISummary, AzsSFRoleSummary, AzsStampBMCSummary
通过 System Center Operations Manager 管理 Azure Stack 时,请务必在应用 1809 之前将适用于Microsoft Azure Stack 的管理包更新至版本 1.0.3.11。
更新过程的已知问题
- 在 1809 更新后运行 Test-AzureStack 时,会显示基板管理控制器 (BMC) 中的一条警告消息。 可以放心地忽略此警告。
在安装此更新期间,可能会出现标题如下的警报:“错误 - 缺少 FaultType UserAccounts.New 的模板。”你可以放心地忽略这些警报。 完成此更新的安装后,这些警报会自动关闭。
在安装此更新的过程中,请勿尝试创建虚拟机。 有关如何管理更新的详细信息,请参阅在 Azure Stack 中管理更新的概述。
如果已从 OEM 应用 Azure Stack 更新,则“有可用的更新”通知可能不会显示在 Azure Stack 管理员门户中。 若要安装 Microsoft 更新,请遵照在 Azure Stack 中应用更新中的说明手动下载并导入该更新。
更新后步骤
重要
让 Azure Stack 部署准备好使用后续更新包启用的扩展主机。 遵照为 Azure Stack 准备扩展主机中的指导准备系统。
安装此更新之后,请安装所有适用的修补程序。 有关详细信息,请查看以下知识库文章,以及我们的服务策略。
已知问题(安装后)
下面是此内部版本的安装后已知问题。
门户
- Azure Stack 技术文档重点介绍了最新版本。 由于版本之间的门户更改,你在使用 Azure Stack 门户时看到的内容可能与在文档中看到的内容不同。
- 在管理员门户中访问用户订阅详细信息时,在关闭边栏选项卡并单击“最新”以后,用户订阅名称不显示。
- 在管理员门户和用户门户中,单击门户设置并选择“删除所有设置和专用仪表板”的操作不正常。 此时会显示错误通知。
- 在管理员门户和用户门户中的“所有服务”下,资产“DDoS 防护计划”未正确列出。 它在 Azure Stack 中不可用。 如果尝试创建它,则会显示错误,指出门户无法创建此市场项。
- 在管理员门户和用户门户中,如果搜索“Docker”,则此项无法正确返回。 它在 Azure Stack 中不可用。 如果尝试创建它,则会显示一个边栏选项卡,其中包含表明存在错误的内容。
- 登录 Azure Stack 管理员门户或用户门户时使用的帐户显示为“未标识的用户”。 如果帐户未指定“名字”或“姓氏”,则会显示此消息。 若要解决此问题,请编辑用户帐户,提供名或姓。 然后必须注销,再重新登录门户。
- 通过门户创建虚拟机规模集 (VMSS) 时,如果使用 Internet Explorer,则“实例大小”下拉列表无法正常加载。 若要解决此问题,请在通过门户创建 VMSS 时使用其他浏览器。
- 即使从用户订阅中删除计划,也无法删除作为附加计划添加到用户订阅的计划。 该计划将一直保留,直到引用附加计划的订阅也被删除。
- 安装运行此版本的新 Azure Stack 环境时,指示“需要激活”的警报可能不显示。 必须先激活,然后才能使用市场联合。
- 不应使用版本 1804 中引入的两种管理订阅类型。 这两种订阅类型为“计量订阅”和“消耗订阅”。 从版本 1804 开始,这些订阅类型会在新的 Azure Stack 环境中显示,但尚不可用。 请继续使用“默认提供程序”订阅类型。
- 删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
- 无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
运行状况和监视
你可能会看到以下警报在 Azure Stack 系统上重复出现,然后消失:
- 基础结构角色实例不可用
- 缩放单元节点已脱机
运行 Test-AzureStack cmdlet 来验证基础结构角色实例和缩放单元节点的运行状况。 如果 Test-AzureStack 未检测到问题,则可以忽略这些警报。 如果检测到问题,则可以尝试使用管理门户或 PowerShell 启动基础结构角色实例或节点。
此问题已在最新的 1809 修补程序版本中修复,因此如果遇到此问题,请务必安装此修补程序。
可能会看到包含以下详细信息的“运行状况控制器”组件的警报:
警报 #1:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器检测信号扫描仪不可用。 这可能会影响运行状况报告和指标。
警报 #2:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器故障扫描仪不可用。 这可能会影响运行状况报告和指标。
可以放心忽略这两条警报,它们在一段时间后会自动关闭。
可能会看到具有以下详细信息的存储组件警报:
名称: 存储服务内部通信错误
严重性:严重
组件: 存储
说明: 将请求发送到以下节点时发生存储服务内部通信错误。
可以放心地忽略此警报,但需手动关闭它。
- 如果 Azure Stack 操作员收到内存不足的警报,并且租户虚拟机无法部署并出现“Fabric VM 创建错误”,则可能表示 Azure Stack 模组的可用内存不足。 请使用 Azure Stack 容量规划工具来充分了解可供工作负荷使用的容量。
计算
- 创建 Dv2 系列 VM 时,可以通过 D11-14v2 VM 分别创建 4 个、8 个、16 个和 32 个数据磁盘。 不过,“创建 VM”窗格会显示 8 个、16 个、32 个和 64 个数据磁盘。
- 若要部署大小包含 v2 后缀的 VM(例如 Standard_A2_v2),请将后缀指定为 Standard_A2_v2(小写 v)。 请勿使用 Standard_A2_V2(大写 V)。 这适用于全球 Azure,在 Azure Stack 上有不一致的问题。
- 使用 Azure Stack 门户创建新的虚拟机 (VM) 并选择 VM 大小时,“美元/月”列在显示时会出现“不可用”消息。 此列不应显示;Azure Stack 不支持显示 VM 定价列。
- 使用 Add-AzsPlatformImage cmdlet 时,必须使用 -OsUri 参数作为存储帐户 URI(在其中上传磁盘)。 如果使用磁盘的本地路径,则此 cmdlet 会失败并显示以下错误:长时间运行的操作失败,状态为“失败”。
通过门户创建“高级”VM 大小(DS、Ds_v2、FS、FSv2)的虚拟机 (VM) 时,该 VM 在标准存储帐户中创建。 在标准存储帐户中创建不影响功能、IOPS 或计费。
可以放心地忽略以下内容的警告:在 VM 大小需要高级磁盘的情况下,你选择了使用标准磁盘。这可能影响操作系统性能,建议不要这样做。考虑改用高级存储(SSD)。
- 虚拟机规模集 (VMSS) 创建体验提供基于 CentOS 的 7.2 作为部署选项。 由于该映像在 Azure Stack 上不可用,因此请为部署选择另一 OS,或者使用一个 Azure 资源管理器模板,指定另一个已在部署之前由操作员从市场下载的 CentOS 映像。
- 使用 PowerShell cmdlet“Start-AzsScaleUnitNode”或“Stop-AzsScaleunitNode”管理缩放单元时,首次尝试启动或停止缩放单元可能会失败。 如果 cmdlet 在第一次运行时失败,请再次运行 cmdlet。 第二次运行应该能够成功地完成操作。
- 如果在 VM 部署上预配某个扩展时耗时过长,用户应让预配超时,而不应尝试通过停止该进程来解除 VM 的分配或将 VM 删除。
- Azure Stack 不支持 Linux VM 诊断。 在部署启用 VM 诊断的 Linux VM 时,部署会失败。 如果通过诊断设置启用 Linux VM 的基本指标,部署也会失败。
在订阅设置中注册 Microsoft.Insight 资源提供程序并创建支持来宾 OS 诊断的 Windows VM 时,VM 概述页中的“CPU 百分比”图表不显示指标数据。
若要查找指标数据(例如 VM 的“CPU 百分比”图表),请转到“指标”窗口并查看所有受支持的 Windows VM 来宾指标。
托管磁盘创建了两个新的计算配额类型来限制可以预配的托管磁盘的最大容量。 默认情况下将为每个托管磁盘配额类型分配 2048 GiB。 不过,你可能会遇到以下问题:
- 对于在 1808 更新之前创建的配额,托管磁盘配额在管理门户中将显示为值 0,虽然分配了 2048 GiB。 你可以根据实际需求增大或减小该值,新设置的配额值将替代 2048 GiB 默认值。
- 如果将配额值更新为 0,则它等效于默认值 2048 GiB。 作为一种解决方法,请将配额值设置为 1。
应用 1809 更新后,在部署带托管磁盘的 VM 时可能会遇到以下问题:
- 如果订阅是在 1808 更新之前创建的,则部署具有托管磁盘的 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
- 在租户门户中转到“订阅”,找到相应订阅。 依次单击“资源提供程序”、“Microsoft.Compute”、“重新注册”。
- 在同一订阅下,转到“访问控制(标识和访问管理)”,验证“AzureStack-DiskRP-Client”角色是否已列出。
- 如果已配置多租户环境,在与来宾目录相关联的订阅中部署 VM 可能会失败并出现内部错误消息。 若要解决错误,请执行此文章中的步骤来重新配置每个来宾目录。
- 如果订阅是在 1808 更新之前创建的,则部署具有托管磁盘的 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
如果使用创建时已启用 SSH 授权的 Ubuntu 18.04 VM,则无法使用 SSH 密钥登录。 若要解决此问题,请在预配后使用针对 Linux 扩展的 VM 访问权限来实现 SSH 密钥,或者使用基于密码的身份验证。
网络
- 如果在“网络”下单击“创建 VPN 网关”来设置 VPN 连接,则会将“基于策略”列为 VPN 类型。 请不要选择此选项。 Azure Stack 仅支持“基于路由”选项。
- Azure Stack 支持对一个 IP 地址使用一个本地网关。 这适用于所有租户订阅。 在创建第一个本地网关连接以后,系统会阻止使用同一 IP 地址创建本地网关资源的后续尝试。
- 在使用 DNS 服务器设置“自动”创建的虚拟网络上,无法更改为自定义 DNS 服务器。 更新的设置不推送到该 Vnet 中的 VM。
- 在 Azure Stack 机密轮换期间,有一个时段(两到五分钟)会无法访问公共 IP 地址。
- 租户通过 S2S VPN 隧道访问其虚拟机时,可能会遇到这样的情况:如果在创建网关后向本地网络网关添加本地子网,连接尝试会失败。
应用服务
- 在订阅中创建第一个 Azure 函数之前,用户必须先注册存储资源提供程序。
使用情况
- 公共 IP 地址使用计量数据针对每条记录显示相同的 EventDateTime 值,而不是创建记录时显示的 TimeDate 时间戳。 目前,无法使用此数据来执行公共 IP 地址用量的准确计帐。
下载更新
可从此处下载 Azure Stack 1809 更新包。
后续步骤
- 若要查看 Azure Stack 集成系统的服务策略,以及必须如何做才能使系统保持在受支持的状态,请参阅 Azure Stack 服务策略。
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
1808 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1808 更新包的内容。 此更新包包含此版 Azure Stack 的改进、修复和已知问题。 本文还包含一个用于下载更新的链接。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1808 更新内部版本号为 1.1808.0.97。
新增功能
此更新包含对 Azure Stack 的以下改进。
- 所有 Azure Stack 环境现在都使用协调世界时 (UTC) 时区格式。 所有日志数据和相关的信息现在都以 UTC 格式显示。 如果你从不是使用 UTC 安装的旧版进行更新,系统会将你的环境更新成使用 UTC。
- 支持托管磁盘。 现在可以在 Azure Stack 虚拟机和虚拟机规模集中使用托管磁盘。 有关详细信息,请参阅 Azure Stack 托管磁盘:差异和注意事项。
- Azure Monitor。 与 Azure 上的 Azure Monitor 一样,Azure Stack 上的 Azure Monitor 针对大多数服务提供基本级别的基础结构指标和日志。 有关详细信息,请参阅 Azure Stack 上的 Azure Monitor。
- 为扩展主机做准备。 可以使用扩展主机来减少所需 TCP/IP 端口的数目,以便保护 Azure Stack。 安装 1808 更新后,就可以进行准备,使 Azure Stack 可以用于托管主机。 有关详细信息,请参阅为 Azure Stack 准备扩展主机。
- 虚拟机规模集的库项现在已内置。 虚拟机规模集库项现在可以在用户和管理员门户中使用,不需下载。 如果升级到 1808,则升级完成后即可使用该项。
- 虚拟机规模集缩放。 你可以使用门户缩放虚拟机规模集 (VMSS)。
- 支持自定义 IPSec/IKE 策略配置,这适用于 Azure Stack 中的 VPN 网关。
- Kubernetes 市场项。 现在可以使用 Kubernetes 市场项来部署 Kubernetes 群集。 用户可以选择 Kubernetes 项并填充一些参数,以便将 Kubernetes 群集部署到 Azure Stack。 模板的用途是方便用户在几个步骤中设置开发/测试型 Kubernetes 部署。
- Blockchain 模板。 现在可以在 Azure Stack 上执行以太坊联盟部署。 可以在 Azure Stack 快速入门模板中找到三个新的模板。 有了这些模板,用户不需多少 Azure 和以太坊知识即可部署和配置多成员联盟以太坊网络。 模板的用途是方便用户在几个步骤中设置开发/测试型 Blockchain 部署。
- API 版本配置文件 2017-03-09-profile 已更新到 2018-03-01-hybrid。 API 配置文件指定 Azure 资源提供程序和 Azure REST 终结点的 API 版本。 有关配置文件的详细信息,请参阅在 Azure Stack 中管理 API 版本配置文件。
已修复的问题
- 我们修复了在门户中创建可用性集的问题,该问题导致集只能有 1 个容错域和 1 个更新域。
- 现在可以在门户中使用虚拟机规模集的缩放设置。
- 选择某个 VM 大小进行部署时妨碍某些 F 系列虚拟机大小显示的问题现在已解决。
改进了创建虚拟机时的性能以及对基础存储的优化使用。
针对性能、稳定性、安全性以及 Azure Stack 所用操作系统的各种修复。
更改
- 用户门户仪表板中的快速入门教程现在链接到 Azure Stack 在线文档中的相关文章。
- 在 Azure Stack 管理员门户和用户门户中,“所有服务”替换了“更多服务”。 现在可以在 Azure Stack 门户中使用“所有服务”作为替代来导航,就像在 Azure 门户中导航一样。
- 在 Azure Stack 管理员门户和用户门户中,“+ 创建资源”替换了“+ 新建”。 现在可以在 Azure Stack 门户中使用“+ 创建资源”作为替代方式来导航,就像在 Azure 门户中导航一样。
- 通过门户创建虚拟机规模集 (VMSS) 时,不再使用“基本 A”虚拟机大小。 若要按照此大小来创建 VMSS,请使用 PowerShell 或模板。
常见漏洞和风险
此更新安装以下更新:
- CVE-2018-0952
- CVE-2018-8200
- CVE-2018-8204
- CVE-2018-8253
- CVE-2018-8339
- CVE-2018-8340
- CVE-2018-8341
- CVE-2018-8343
- CVE-2018-8344
- CVE-2018-8345
- CVE-2018-8347
- CVE-2018-8348
- CVE-2018-8349
- CVE-2018-8394
- CVE-2018-8398
- CVE-2018-8401
- CVE-2018-8404
- CVE-2018-8405
- CVE-2018-8406
有关这些漏洞的详细信息,请单击上述链接,或者查看 Microsoft 知识库文章 4343887。
此更新还包含推理执行旁道漏洞的缓解措施,该漏洞称为 L1 终端故障 (L1TF),详见 Microsoft 安全公告 ADV180018。
先决条件
在应用 Azure Stack 1808 更新之前安装 Azure Stack 1807 更新。
在开始安装此更新之前,请使用以下参数运行 Test-AzureStack,以验证 Azure Stack 的状态并解决发现的所有操作问题,包括所有警告和故障。 另外,请查看活动警报,并解决所有需要采取措施的警报。
Test-AzureStack -Include AzsControlPlane, AzsDefenderSummary, AzsHostingInfraSummary, AzsHostingInfraUtilization, AzsInfraCapacity, AzsInfraRoleSummary, AzsPortalAPISummary, AzsSFRoleSummary, AzsStampBMCSummary
更新过程的已知问题
- 在 1808 更新后运行 Test-AzureStack 时,会显示基板管理控制器 (BMC) 中的一条警告消息。 可以放心地忽略此警告。
- 在安装此更新期间,可能会出现标题如下的警报:“错误: 缺少 FaultType UserAccounts.New 的模板。”你可以放心地忽略这些警报。 完成此更新的安装后,这些警报会自动关闭。
- 在安装此更新的过程中,请勿尝试创建虚拟机。 有关如何管理更新的详细信息,请参阅在 Azure Stack 中管理更新的概述。
- 在某些情况下,当某个更新需要关注时,相应的警报可能没有生成。 准确的状态仍会反映在门户中,不受影响。
更新后步骤
安装此更新之后,请安装所有适用的修补程序。 有关详细信息,请查看以下知识库文章,以及我们的服务策略。
已知问题(安装后)
下面是此内部版本的安装后已知问题。
门户
- Azure Stack 技术文档重点介绍了最新版本。 由于版本之间的门户更改,你在使用 Azure Stack 门户时看到的内容可能与在文档中看到的内容不同。
- 可能会在门户中看到空白的仪表板。 若要恢复仪表板,请单击“编辑仪表板”,然后右键单击并选择“重置为默认状态”。
- 在管理员门户中访问用户订阅详细信息时,在关闭边栏选项卡并单击“最新”以后,用户订阅名称不显示。
- 在管理员门户和用户门户中,单击门户设置并选择“删除所有设置和专用仪表板”的操作不正常。 此时会显示错误通知。
- 在管理员门户和用户门户中的“所有服务”下,资产“DDoS 防护计划”未正确列出。 实际上,它在 Azure Stack 中不可用。 如果尝试创建它,则会显示错误,指出门户无法创建此市场项。
- 在管理员门户和用户门户中,如果搜索“Docker”,则此项无法正确返回。 实际上,它在 Azure Stack 中不可用。 如果尝试创建它,则会显示一个边栏选项卡,其中包含表明存在错误的内容。
- 登录 Azure Stack 管理员门户或用户门户时使用的帐户显示为“未标识的用户”。 如果帐户未指定“名”或“姓”,则会发生这种情况。 若要解决此问题,请编辑用户帐户,提供名或姓。 然后必须注销,再重新登录门户。
- 通过门户创建虚拟机规模集 (VMSS) 时,如果使用 Internet Explorer,则“实例大小”下拉列表无法正常加载。 若要解决此问题,请在通过门户创建 VMSS 时使用其他浏览器。
- 即使从用户订阅中删除计划,也无法删除作为附加计划添加到用户订阅的计划。 该计划将一直保留,直到引用附加计划的订阅也被删除。
- 安装运行此版本的新 Azure Stack 环境时,指示“需要激活”的警报可能不显示。 必须先激活,然后才能使用市场联合。
- 不应使用版本 1804 中引入的两种管理订阅类型。 这两种订阅类型为“计量订阅”和“消耗订阅”。 从版本 1804 开始,这些订阅类型会在新的 Azure Stack 环境中显示,但尚不可用。 请继续使用“默认提供程序”订阅类型。
- 删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
- 无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
运行状况和监视
可能会看到包含以下详细信息的“运行状况控制器”组件的警报:
警报 #1:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器检测信号扫描仪不可用。 这可能会影响运行状况报告和指标。
警报 #2:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器故障扫描仪不可用。 这可能会影响运行状况报告和指标。
可以放心忽略这两条警报,它们在一段时间后会自动关闭。
可能会看到具有以下详细信息的存储组件警报:
名称: 存储服务内部通信错误
严重性:严重
组件: 存储
说明: 将请求发送到以下节点时发生存储服务内部通信错误。
可以放心地忽略此警报,但需手动关闭它。
- 如果 Azure Stack 操作员收到内存不足的警报,并且租户虚拟机无法部署并出现“Fabric VM 创建错误”,则可能表示 Azure Stack 模组的可用内存不足。 请使用 Azure Stack 容量规划工具来充分了解可供工作负荷使用的容量。
计算
- 使用 Azure Stack 门户创建新的虚拟机 (VM) 并选择 VM 大小时,“美元/月”列在显示时会出现“不可用”消息。 此列不应显示;Azure Stack 不支持显示 VM 定价列。
应用 1808 更新后,可能会在通过托管磁盘部署 VM 时遇到以下问题:
- 如果订阅是在 1808 更新之前创建的,通过托管磁盘部署 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
- 在租户门户中转到“订阅”,找到相应订阅。 依次单击“资源提供程序”、“Microsoft.Compute”、“重新注册”。
- 在同一订阅下,转到“访问控制(IAM)”,验证“Azure Stack 托管磁盘”是否已列出。
- 如果已配置多租户环境,在与来宾目录相关联的订阅中部署 VM 可能会失败并出现内部错误消息。 若要解决该错误,请执行以下步骤:
- 应用 1808 Azure Stack 修补程序。
- 执行此文中的步骤,重新配置每个来宾目录。
- 如果订阅是在 1808 更新之前创建的,通过托管磁盘部署 VM 可能会失败并出现内部错误消息。 若要解决此错误,请针对每个订阅执行以下步骤:
- 使用 Add-AzsPlatformImage cmdlet 时,必须使用 -OsUri 参数作为存储帐户 URI(在其中上传磁盘)。 如果使用磁盘的本地路径,则此 cmdlet 会失败并显示以下错误:长时间运行的操作失败,状态为“失败”。
将 SSD 数据磁盘附加到“高级”大小托管磁盘虚拟机(DS、DSv2、Fs、Fs_V2)失败,出现以下错误:“更新虚拟机 vmname 的磁盘失败。错误:请求的操作无法执行,因为 VM 大小 Standard_DS/Ds_V2/FS/Fs_v2 不支持存储帐户类型 Premium_LRS”
若要解决此问题,请使用 Standard_LRS 数据磁盘而不是 Premium_LRS 磁盘。 使用 Standard_LRS 数据磁盘不会造成 IOPS 或账单费用变化。
通过门户创建“高级”VM 大小(DS、Ds_v2、FS、FSv2)的虚拟机 (VM) 时,该 VM 在标准存储帐户中创建。 在标准存储帐户中创建不影响功能、IOPS 或计费。
可以放心地忽略以下内容的警告:在 VM 大小需要高级磁盘的情况下,你选择了使用标准磁盘。这可能影响操作系统性能,建议不要这样做。考虑改用高级存储(SSD)。
- 虚拟机规模集 (VMSS) 创建体验提供基于 CentOS 的 7.2 作为部署选项。 由于该映像在 Azure Stack 上不可用,因此请为部署选择另一 OS,或者使用一个 Azure 资源管理器模板,指定另一个已在部署之前由操作员从市场下载的 CentOS 映像。
- 使用 PowerShell cmdlet“Start-AzsScaleUnitNode”或“Stop-AzsScaleunitNode”管理缩放单元时,首次尝试启动或停止缩放单元可能会失败。 如果 cmdlet 在第一次运行时失败,请再次运行 cmdlet。 第二次运行应该能够成功地完成操作。
- 在 Azure Stack 用户门户中创建虚拟机时,该门户显示的可以附加到 DS 系列 VM 的数据磁盘数不正确。 DS 系列 VM 可以容纳的数据磁盘数取决于 Azure 配置。
- 如果在 VM 部署上预配某个扩展时耗时过长,用户应让预配超时,而不应尝试通过停止该进程来解除 VM 的分配或将 VM 删除。
- Azure Stack 不支持 Linux VM 诊断。 在部署启用 VM 诊断的 Linux VM 时,部署会失败。 如果通过诊断设置启用 Linux VM 的基本指标,部署也会失败。
在订阅设置中注册 Microsoft.Insight 资源提供程序并创建支持来宾 OS 诊断的 Windows VM 时,VM 概览页中的“CPU 百分比”图表将无法显示指标数据。
若要查找 VM 的“CPU 百分比”图表,请转到“指标”边栏选项卡并查看所有受支持的 Windows VM 来宾指标。
网络
- 如果在“网络”下单击“创建 VPN 网关”来设置 VPN 连接,则会将“基于策略”列为 VPN 类型。 请不要选择此选项。 Azure Stack 仅支持“基于路由”选项。
- Azure Stack 支持对一个 IP 地址使用一个本地网关。 这适用于所有租户订阅。 在创建第一个本地网关连接以后,系统会阻止使用同一 IP 地址创建本地网关资源的后续尝试。
- 在使用 DNS 服务器设置“自动”创建的虚拟网络上,无法更改为自定义 DNS 服务器。 更新的设置不推送到该 Vnet 中的 VM。
- 在发出“停止-解除分配”命令后,无法保证系统会保留使用动态分配方法部署的公共 IP。
- 在 Azure Stack 机密轮换期间,有一个时段(两到五分钟)会无法访问公共 IP 地址。
- 租户通过 S2S VPN 隧道访问其虚拟机时,可能会遇到这样的情况:如果在创建网关后向本地网关添加本地子网,连接尝试会失败。
应用服务
- 在订阅中创建第一个 Azure 函数之前,用户必须先注册存储资源提供程序。
- 若要横向扩展基础结构(辅助角色、管理、前端角色),必须按照针对计算的发行说明中的说明来使用 PowerShell。
使用情况
- 公共 IP 地址使用计量数据针对每条记录显示相同的 EventDateTime 值,而不是创建记录时显示的 TimeDate 时间戳。 目前,无法使用此数据来执行公共 IP 地址用量的准确计帐。
下载更新
可从此处下载 Azure Stack 1808 更新包。
后续步骤
- 若要查看 Azure Stack 集成系统的服务策略,以及必须如何做才能使系统保持在受支持的状态,请参阅 Azure Stack 服务策略。
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
1807 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1807 更新包的内容。 此更新包含此版 Azure Stack 的改进、修复和已知问题,以及更新下载位置。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1807 更新内部版本号为 1.1807.0.76。
新增功能
此更新包含对 Azure Stack 的以下改进。
- 按预定义的计划启动备份 - 作为一种设备,Azure Stack 现在可以定期自动触发基础结构备份,不需人为干预。 Azure Stack 还会自动清理那些超出了所定义保留期的备份的外部共享。 有关详细信息,请参阅使用 PowerShell 为 Azure Stack 启用备份。
- 将数据传输时间加到了总备份时间中。 有关详细信息,请参阅使用 PowerShell 为 Azure Stack 启用备份。
- 备份外部容量现在显示正确的外部共享容量。 (以前,此项硬编码成 10 GB。)有关详细信息,请参阅使用 PowerShell 为 Azure Stack 启用备份。
- 扩展容量,方法是添加更多的缩放单元节点。
Azure 资源管理器模板现在支持 condition 元素 - 现在可以使用条件在 Azure 资源管理器模板中部署资源。 可以将模板设计为根据某个条件(例如评估是否存在某个参数值)来部署资源。 若要了解如何使用模板作为条件,请参阅 Azure 文档中的按条件部署资源和 Azure 资源管理器模板的 Variables 节。
也可使用模板将资源部署到多个订阅或资源组。
- Microsoft.Network API 资源版本支持已更新,增加了对 Azure Stack 网络资源 API 版本 2017-10-01(基于 2015-06-15)的支持。 此发行版中未包括对 2015-06-15 和 2017-10-01 之间的资源版本的支持。 有关功能差异,请参阅 Azure Stack 网络注意事项。
- Azure Stack 增加了对反向 DNS 查找的支持,适用于面向外部的 Azure Stack 基础结构终结点(即适用于 portal、adminportal、management 和 adminmanagement 终结点)。 这样就可以根据 IP 地址解析 Azure Stack 外部终结点名称。
- Azure Stack 现在支持向现有 VM 添加其他网络接口。 可以通过门户、PowerShell 和 CLI 使用此功能。 有关详细信息,请参阅 Azure 文档中的添加或删除网络接口。
- 提高了网络使用情况计量的准确性和复原能力。 网络使用情况计量现在更准确,考虑到了暂停的订阅、中断期间和争用条件等因素。
- 更新发布通知。 连接的 Azure Stack 部署现在会定期检查某个安全的终结点,看是否发布了云更新。 此通知显示在“更新”磁贴中,这与手动查看并导入新更新后的情况一致。 详细了解如何管理 Azure Stack 的更新。
改进了 Azure Stack Syslog 客户端(预览版功能)。 此客户端允许将与 Azure Stack 基础结构相关的审核和日志转发到 Azure Stack 外部的 Syslog 服务器或安全信息和事件管理 (SIEM) 软件。 Syslog 客户端现在支持使用纯文本或 TLS 1.2 加密的 TCP 协议,后一种加密为默认配置。 可以使用仅服务器身份验证或相互身份验证对 TLS 连接进行配置。
若要配置 Syslog 客户端与 Syslog 服务器的通信方式(例如协议、加密和身份验证),请使用 Set-SyslogServer cmdlet。 此 cmdlet 可以在特权终结点 (PEP) 中使用。
若要添加适用于 Syslog 客户端 TLS 1.2 相互身份验证的客户端证书,请使用 PEP 中的 Set-SyslogClient cmdlet。
使用此预览版时,可以看到数量多得多的审核和警报。
由于此功能仍为预览版,因此请勿在生产环境中依赖它。
有关详细信息,请参阅 Azure Stack Syslog 转发。
- Azure 资源管理器包括区域名称。 使用此版本时,通过 Azure 资源管理器检索的对象现在将包括区域名称属性。 如果现有 PowerShell 脚本直接将对象传递给另一个 cmdlet,则脚本可能会产生错误并失败。 这是 Azure 资源管理器符合行为,并且要求调用方客户端去除区域属性。 有关 Azure 资源管理器的详细信息,请参阅 Azure 资源管理器文档。
- 更改了委托提供商功能。 从 1807 开始,我们对委托提供商模型进行了简化,使之能够更好地匹配 Azure 经销商模型。委托提供商将不再能够创建其他委托提供商,这实质上平展了模型,使委托提供商功能在单一级别可用。 为了方便用户过渡到新模型和管理订阅,现在允许在属于同一 Active Directory 租户的新的或现有的委托提供商订阅之间移动用户订阅。 属于默认提供商订阅的用户订阅也可移到同一 Active Directory 租户中的委托提供商订阅。 有关详细信息,请参阅在 Azure Stack 中委托套餐。
- 缩短了 VM 创建时间:适用于使用从 Azure 市场下载的映像创建的 VM。
- 改进了 Azure Stack Capacity Planner 可用性。 Azure Stack Capacity Planner 现在提供一种简化的体验,可以在定义解决方案 SKU 时输入 S2D 缓存和 S2D 容量。 1000 VM 限制已去除。
已修复的问题
- 对更新过程进行了各种改进,使之更可靠。 另外还修复了底层基础结构,尽量减少更新过程中可能会造成的工作负荷停机情况。
- 修复了修改的配额限制无法应用到现有订阅的问题。 现在,如果提高某个网络资源的配额限制,而该资源是与用户订阅关联的套餐和计划的一部分,则新的限制会应用到预先存在的订阅和新的订阅。
- 现在可以成功地查询活动日志中是否有在 UTC+N 时区部署的系统。
- 对备份配置参数 (Path/Username/Password/Encryption Key) 进行预先检查时,不再为备份配置设置不正确的设置。 (以前会将不正确的设置设置到备份中,然后会造成备份在受到触发的情况下失败。)
- 备份列表现在会在你手动删除外部共享中的备份时进行刷新。
- 通过 AD FS 进行部署时,对此版本的更新不再将默认提供商订阅的默认所有者重置为内置的 CloudAdmin 用户。
- 设置数据中心集成时,不再访问 Azure 文件共享中的 AD FS 元数据文件。 有关详细信息,请参阅通过提供联合元数据文件来设置 AD FS 集成。
- 修复了一个问题,该问题妨碍了用户将此前已分配给某个网络接口或负载均衡器的现有公共 IP 地址分配给新的网络接口或负载均衡器。
- 在管理员门户或用户门户中选择存储帐户的“概览”时,“概要”窗格现在会正确显示所有预期的信息。
- 在管理员门户或用户门户中选择存储帐户的“标记”时,信息现在会正确显示。
- 此版 Azure Stack 修复了妨碍 OEM 扩展包中驱动程序更新的应用的问题。
- 修复了妨碍你在 VM 无法创建时在计算边栏选项卡中删除 VM 的问题。
“内存容量不足”警报不再错误显示。
针对性能、稳定性、安全性以及 Azure Stack 所用操作系统的各种修复。
常见漏洞和风险
Azure Stack 使用 Windows Server 2016 的 Server Core 安装来托管重要基础结构。 此发行版本在 Azure Stack 的基础结构服务器上安装下述 Windows Server 2016 更新:
- CVE-2018-8206
- CVE-2018-8222
- CVE-2018-8282
- CVE-2018-8304
- CVE-2018-8307
- CVE-2018-8308
- CVE-2018-8309
- CVE-2018-8313
有关这些漏洞的详细信息,请单击上述链接,或者查看 Microsoft 知识库文章 4338814 和 4345418。
准备阶段
先决条件
在应用 Azure Stack 1807 更新之前安装 Azure Stack 1805 更新。 没有 1806 更新。
安装最新发布的 1805 版更新或修补程序。
在开始安装此更新之前,请使用以下参数运行 Test-AzureStack,以验证 Azure Stack 的状态并解决发现的所有操作问题,包括所有警告和故障。 另外,请查看活动警报,并解决所有需要采取措施的警报。
Test-AzureStack -Include AzsControlPlane, AzsDefenderSummary, AzsHostingInfraSummary, AzsHostingInfraUtilization, AzsInfraCapacity, AzsInfraRoleSummary, AzsPortalAPISummary, AzsSFRoleSummary, AzsStampBMCSummary
更新过程的已知问题
- 在安装此更新期间,可能会出现标题如下的警报:“错误: 缺少 FaultType UserAccounts.New 的模板。”你可以放心地忽略这些警报。 完成此更新的安装后,这些警报会自动关闭。
- 在安装此更新的过程中,请勿尝试创建虚拟机。 有关如何管理更新的详细信息,请参阅在 Azure Stack 中管理更新的概述。
- 在某些情况下,当某个更新需要关注时,相应的警报可能没有生成。 准确的状态仍会反映在门户中,不受影响。
更新后步骤
安装此更新之后,请安装所有适用的修补程序。 有关详细信息,请查看以下知识库文章,以及我们的服务策略。
安装此更新后,你可以看到更新安装失败的状态。这可能包括有关以前的更新安装失败的信息,这些失败会进行修订以反映两个新状态类别。 新的 STATE 类别为 PreparationFailed 和 InstallationFailed。
已知问题(安装后)
下面是此内部版本的安装后已知问题。
门户
Azure Stack 技术文档重点介绍了最新版本。 由于版本之间的门户更改,你在使用 Azure Stack 门户时看到的内容可能与在文档中看到的内容不同。
在管理员门户中从下拉列表提交新的支持请求的功能不可用。 对于 Azure Stack 集成系统,请改用以下链接:https://aka.ms/newsupportrequest。
- 即使从用户订阅中删除计划,也无法删除作为附加计划添加到用户订阅的计划。 该计划将一直保留,直到引用附加计划的订阅也被删除。
- 安装运行此版本的新 Azure Stack 环境时,指示“需要激活”的警报可能不显示。 必须先激活,然后才能使用市场联合。
- 不应使用版本 1804 中引入的两种管理订阅类型。 这两种订阅类型为“计量订阅”和“消耗订阅”。 从版本 1804 开始,这些订阅类型会在新的 Azure Stack 环境中显示,但尚不可用。 请继续使用“默认提供程序”订阅类型。
- 可能无法使用管理员和用户门户底部的水平滚动条。 如果无法访问水平滚动条,请使用痕迹导航到门户中的上一边栏选项卡,只需从门户左上角的痕迹列表中选择要查看的边栏选项卡的名称即可。
- 无法在管理员门户中查看计算或存储资源。 此问题的原因是更新安装过程中出错,导致系统错误地将更新报告为成功。 如果出现此问题,请联系Microsoft客户支持服务获取帮助。
- 可能会在门户中看到空白的仪表板。 若要恢复仪表板,请选择门户右上角的齿轮图标,然后选择“还原默认设置”。
- 删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
- 无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
运行状况和监视
可能会看到包含以下详细信息的“运行状况控制器”组件的警报:
警报 #1:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器检测信号扫描仪不可用。 这可能会影响运行状况报告和指标。
警报 #2:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器故障扫描仪不可用。 这可能会影响运行状况报告和指标。
可以放心忽略这两条警报,它们在一段时间后会自动关闭。
可能会看到具有以下详细信息的存储组件警报:
名称: 存储服务内部通信错误
严重性:严重
组件: 存储
说明: 将请求发送到以下节点时发生存储服务内部通信错误。
可以放心地忽略此警报,但需手动关闭它。
- 如果 Azure Stack 操作员收到内存不足的警报,并且租户虚拟机无法部署并出现“Fabric VM 创建错误”,则可能表示 Azure Stack 模组的可用内存不足。 请使用 Azure Stack 容量规划工具来充分了解可供工作负荷使用的容量。
计算
- 使用 PowerShell cmdlet“Start-AzsScaleUnitNode”或“Stop-AzsScaleunitNode”管理缩放单元时,首次尝试启动或停止缩放单元可能会失败。 如果 cmdlet 在第一次运行时失败,请再次运行 cmdlet。 第二次运行应该能够成功地完成操作。
选择虚拟机大小进行虚拟机部署时,某些 F 系列 VM 大小在创建 VM 时显示的大小选择器中不可见。 以下 VM 大小不显示在选择器中:F8s_v2、F16s_v2、F32s_v2 和 F64s_v2。
解决方法是,使用下列方法之一部署 VM。 在每种方法中,都需要指定要使用的 VM 大小。Azure 资源管理器模板:使用模板时,请将模板中的 vmSize 设置为想要使用的 VM 大小。 例如,以下条目用于部署使用 F32s_v2 大小的 VM:
"properties": { "hardwareProfile": { "vmSize": "Standard_F32s_v2" },
Azure CLI:可以使用 az vm create 命令并将 VM 大小指定为参数,类似于
--size "Standard_F32s_v2"
。PowerShell:通过 PowerShell,可以将 New-AzureRMVMConfig 与指定了 VM 大小的参数一起使用,类似于
-VMSize "Standard_F32s_v2"
。
- 无法在门户中使用虚拟机规模集的缩放设置。 解决方法是使用 Azure PowerShell。 由于 PowerShell 版本差异,必须使用
-Name
参数,而不是-VMScaleSetName
。
- 通过转到“新建”>“计算”>“可用性集”在门户中创建可用性集时,只能创建 1 个包含 1 个容错域和 1 个更新域的可用性集。 解决方法是在创建新的虚拟机时,通过 PowerShell、CLI 或门户来创建可用性集。
- 在 Azure Stack 用户门户中创建虚拟机时,该门户显示的可以附加到 DS 系列 VM 的数据磁盘数不正确。 DS 系列 VM 可以容纳的数据磁盘数取决于 Azure 配置。
- 如果在 VM 部署上预配某个扩展时耗时过长,用户应让预配超时,而不应尝试通过停止该进程来解除 VM 的分配或将 VM 删除。
- Azure Stack 不支持 Linux VM 诊断。 在部署启用 VM 诊断的 Linux VM 时,部署会失败。 如果通过诊断设置启用 Linux VM 的基本指标,部署也会失败。
在订阅设置中注册 Microsoft.Insight 资源提供程序并创建支持来宾 OS 诊断的 Windows VM 时,VM 概览页不显示指标数据。
若要查找指标数据(如 VM 的 CPU 百分比图表),请转到“指标”边栏选项卡并查看所有受支持的 Windows VM 来宾指标。
网络
- 如果在“网络”下单击“创建 VPN 网关”来设置 VPN 连接,则会将“基于策略”列为 VPN 类型。 请不要选择此选项。 Azure Stack 仅支持“基于路由”选项。
- Azure Stack 支持对一个 IP 地址使用一个本地网关。 这适用于所有租户订阅。 在创建第一个本地网关连接以后,系统会阻止使用同一 IP 地址创建本地网关资源的后续尝试。
- 在使用 DNS 服务器设置“自动”创建的虚拟网络上,无法更改为自定义 DNS 服务器。 更新的设置不推送到该 Vnet 中的 VM。
- 在发出“停止-解除分配”命令后,无法保证系统会保留使用动态分配方法部署的公共 IP。
- 在 Azure Stack 机密轮换期间,有一个时段(两到五分钟)会无法访问公共 IP 地址。
- 租户通过 S2S VPN 隧道访问其虚拟机时,可能会遇到这样的情况:如果在创建网关后向本地网关添加本地子网,连接尝试会失败。
SQL 和 MySQL
- 为 SQL 和 MySQL 资源提供程序创建 SKU 时,系列名称中不支持使用特殊字符(包括空格和句点)。
- 只有资源提供程序才能在托管 SQL 或 MySQL 的服务器上创建项目。 如果在不是由资源提供程序创建的主机服务器上创建项目,则此类项目可能导致状态不匹配。
注意
更新到此版 Azure Stack 后,可以继续使用以前部署的 SQL 和 MySQL 资源提供程序。 建议在新版本发布后更新 SQL 和 MySQL。 与 Azure Stack 一样,请将更新按顺序应用到 SQL 和 MySQL 资源提供程序。 例如,如果使用版本 1804,请先应用版本 1805,然后更新到 1807。
安装此更新不会影响用户当前对 SQL 或 MySQL 资源提供程序的使用。 不管所用资源提供程序的版本如何,在其数据库中的用户数据不会受到影响,仍然可用。
应用服务
- 在订阅中创建第一个 Azure 函数之前,用户必须先注册存储资源提供程序。
- 若要横向扩展基础结构(辅助角色、管理、前端角色),必须按照针对计算的发行说明中的说明来使用 PowerShell。
- 目前,应用服务只能部署到“默认提供程序订阅”。
使用情况
- 公共 IP 地址使用计量数据针对每条记录显示相同的 EventDateTime 值,而不是创建记录时显示的 TimeDate 时间戳。 目前,无法使用此数据来执行公共 IP 地址用量的准确计帐。
下载更新
可从此处下载 Azure Stack 1807 更新包。
后续步骤
- 若要查看 Azure Stack 集成系统的服务策略,以及必须如何做才能使系统保持在受支持的状态,请参阅 Azure Stack 服务策略。
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
1805 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1805 更新包中的改进与修复、此版本的已知问题,以及更新的下载位置。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1805 更新内部版本号为 1.1805.1.47。
提示
根据客户反馈,更新了适用于 Microsoft Azure Stack 的版本架构。 从 1805 更新开始,新架构更能代表当前的云版本。
版本架构目前为 Version.YearYearMonthMonth.MinorVersion.BuildNumber,其中的第二和第三组数字表示版本和发行版。 例如,1805.1 表示 1805 的正式发布 (RTM) 版本。
新增功能
此更新包含对 Azure Stack 的以下改进。
Azure Stack 现已将 Syslog 客户端包含为预览功能。 此客户端允许将与 Azure Stack 基础结构相关的审核和安全日志转发到 Azure Stack 外部的 Syslog 服务器或安全信息和事件管理 (SIEM) 软件。 目前,Syslog 客户端仅支持通过默认端口 514 建立的未经身份验证的 UDP 连接。 每条 Syslog 消息的有效负载采用通用事件格式 (CEF)。
若要配置 Syslog 客户端,请使用特权终结点中公开的“Set-SyslogServer”cmdlet。
此预览版中可能会出现以下三种警报。 当 Azure Stack 显示这些警报时,警报中会包含说明和补救指导。
- 标题:代码完整性关闭
- 标题:代码完整性处于审核模式
- 标题:已创建用户帐户
此功能目前以预览版提供,在生产环境中请不要依赖此功能。
已修复的问题
我们修复了管理门户中阻止从下拉列表建立新支持请求的问题。 此选项现在按预期工作。
针对性能、稳定性、安全性以及 Azure Stack 所用操作系统的各种修复。
准备阶段
先决条件
- 在应用 Azure Stack 1805 更新之前安装 Azure Stack 1804 更新。
- 安装最新可用的 1804 版更新或修补程序。
- 开始安装更新 1805 之前,请先运行 Test-AzureStack 来验证 Azure Stack 的状态,并解决出现的所有操作问题。 另外,请查看活动警报,并解决所有需要采取措施的警报。
更新过程的已知问题
- 在安装 1805 更新期间,可能会出现标题如下的警报:“错误: 缺少 FaultType UserAccounts.New 的模板。”你可以放心地忽略这些警报。 更新到 1805 之后,这些警报将自动关闭。
- 在安装此更新的过程中,请勿尝试创建虚拟机。 有关如何管理更新的详细信息,请参阅在 Azure Stack 中管理更新的概述。
更新后步骤
安装 1805 之后,请安装所有适用的修补程序。 有关详细信息,请查看以下知识库文章,以及我们的服务策略。
已知问题(安装后)
下面是此内部版本的安装后已知问题。
门户
- Azure Stack 技术文档重点介绍了最新版本。 由于版本之间的门户更改,你在使用 Azure Stack 门户时看到的内容可能与在文档中看到的内容不同。
- 即使从用户订阅中删除计划,也无法删除作为附加计划添加到用户订阅的计划。 该计划将一直保留,直到引用附加计划的订阅也被删除。
- 不能通过将 OEM 扩展包用于此版本的 Azure Stack 来应用驱动程序更新。 对于此问题,目前没有解决方法。
在管理员门户或用户门户中选择存储帐户的“概述”时,“概要”窗格中的信息不会显示。 “概要”窗格显示有关帐户的信息,例如其资源组、位置和订阅 ID。 可以访问“概述”中的其他选项,例如“服务”和“监视”,以及“在 Explorer 中打开”或“删除存储帐户”。
若要查看未显示的信息,请使用 Get-azureRMstorageaccount PowerShell cmdlet。
在管理员门户或用户门户中选择存储帐户的“标记”时,信息无法加载且不显示。
若要查看未显示的信息,请使用 Get-AzureRmTag PowerShell cmdlet。
- 对 Azure Stack 标识系统使用 AD FS 并更新到此版本的 Azure Stack 时,默认提供程序订阅的默认所有者将重置为内置的 CloudAdmin 用户。
替代方法:若要在安装此更新后解决该问题,请使用触发自动化以便在 Azure Stack 中配置声明提供程序信任过程中的步骤 3 来重置默认提供程序订阅的所有者。
- 某些管理订阅类型不可用。 将 Azure Stack 升级到此版本时,控制台中不会显示版本 1804 引入的两个订阅类型。 这是正常情况。 不可用的订阅类型为“计量订阅”和“消耗订阅”。 从版本 1804 开始,这些订阅类型会在新的 Azure Stack 环境中显示,但尚不可用。 请继续使用“默认提供程序”订阅类型。
- 可能无法使用管理员和用户门户底部的水平滚动条。 如果无法访问水平滚动条,请使用痕迹导航到门户中的上一边栏选项卡,只需从门户左上角的痕迹列表中选择要查看的边栏选项卡的名称即可。
- 无法在管理员门户中查看计算或存储资源。 此问题的原因是更新安装过程中出错,导致系统错误地将更新报告为成功。 如果出现此问题,请联系Microsoft客户支持服务获取帮助。
- 可能会在门户中看到空白的仪表板。 若要恢复仪表板,请选择门户右上角的齿轮图标,然后选择“还原默认设置”。
- 删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
- 无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
运行状况和监视
可能会看到包含以下详细信息的“运行状况控制器”组件的警报:
警报 #1:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器检测信号扫描仪不可用。 这可能会影响运行状况报告和指标。
警报 #2:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器故障扫描仪不可用。 这可能会影响运行状况报告和指标。
可以放心忽略警报 #1 和 #2,它们在一段时间后会自动关闭。
你可能还会看到针对容量的以下警报。 对于此警报,说明中标识的可用内存百分比可能会有所不同:
警报 #3:
- 名称:内存容量低
- 严重性:严重
- 组件:容量
- 说明:该区域已使用了 80.00% 以上的可用内存。 使用大量内存创建虚拟机可能会失败。
在此版本的 Azure Stack 中,该警报可能会错误地触发。 如果租户虚拟机继续成功部署,则可以放心地忽略此警报。
警报 #3 不会自动关闭。 如果你关闭此警报,Azure Stack 将在 15 分钟内创建相同的警报。
- 如果 Azure Stack 操作员收到内存不足的警报,并且租户虚拟机无法部署并出现“Fabric VM 创建错误”,则可能指示 Azure Stack 模组的可用内存不足。 请使用 Azure Stack 容量规划工具来充分了解可供工作负荷使用的容量。
计算
选择虚拟机大小进行虚拟机部署时,某些 F 系列 VM 大小在创建 VM 时显示的大小选择器中不可见。 以下 VM 大小不显示在选择器中:F8s_v2、F16s_v2、F32s_v2 和 F64s_v2。
解决方法是,使用下列方法之一部署 VM。 在每种方法中,都需要指定要使用的 VM 大小。Azure 资源管理器模板:使用模板时,请将模板中的 vmSize 设置为想要使用的 VM 大小。 例如,以下条目用于部署使用 F32s_v2 大小的 VM:
"properties": { "hardwareProfile": { "vmSize": "Standard_F32s_v2" },
Azure CLI:可以使用 az vm create 命令并将 VM 大小指定为参数,类似于
--size "Standard_F32s_v2"
。PowerShell:通过 PowerShell,可以将 New-AzureRMVMConfig 与指定了 VM 大小的参数一起使用,类似于
-VMSize "Standard_F32s_v2"
。
- 无法在门户中使用虚拟机规模集的缩放设置。 解决方法是使用 Azure PowerShell。 由于 PowerShell 版本差异,必须使用
-Name
参数,而不是-VMScaleSetName
。
- 通过转到“新建”>“计算”>“可用性集”在门户中创建可用性集时,只能创建 1 个包含 1 个容错域和 1 个更新域的可用性集。 解决方法是在创建新的虚拟机时,通过 PowerShell、CLI 或门户来创建可用性集。
- 在 Azure Stack 用户门户中创建虚拟机时,该门户显示的可以附加到 DS 系列 VM 的数据磁盘数不正确。 DS 系列 VM 可以容纳的数据磁盘数取决于 Azure 配置。
无法创建 VM 映像时,可能会向 VM 映像计算边栏选项卡添加一个无法删除的故障项。
解决方法是通过虚拟 VHD 创建新的 VM 映像,而该 VHD 则可以通过 Hyper-V (New-VHD -Path C:\dummy.vhd -Fixed -SizeBytes 1 GB) 来创建。 此过程应该解决妨碍删除故障项的问题。 然后,在创建虚拟映像 15 后,就可以成功删除该故障项。
然后,可以尝试重新下载以前无法下载的 VM 映像。
- 如果在 VM 部署上预配某个扩展时耗时过长,用户应让预配超时,而不应尝试通过停止该进程来解除 VM 的分配或将 VM 删除。
- Azure Stack 不支持 Linux VM 诊断。 在部署启用 VM 诊断的 Linux VM 时,部署会失败。 如果通过诊断设置启用 Linux VM 的基本指标,部署也会失败。
网络
- 无法在管理员或用户门户中创建用户定义的路由。 解决方法是使用 Azure PowerShell。
- 如果在“网络”下单击“创建 VPN 网关”来设置 VPN 连接,则会将“基于策略”列为 VPN 类型。 请不要选择此选项。 Azure Stack 仅支持“基于路由”选项。
创建 VM 并将其与公共 IP 地址关联以后,就无法取消该 VM 与该 IP 地址的关联。 取消关联看似可以正常使用,但以前分配的公共 IP 地址仍与原始 VM 相关联。
目前只能将新建的公共 IP 地址用于新建的 VM。
即使将 IP 地址重新分配给新的 VM(通常名为“VIP 交换”),也还会发生这种行为。 以后尝试通过此 IP 地址建立连接都会导致连接到原始 VM,而不是新的 VM。
如果提高属于某个套餐和计划的网络资源的配额限制,而该套餐和计划与租户订阅相关联,则新的限制不会应用到该订阅。 但是,新限制会应用到在配额提高后创建的新订阅。
若要解决此问题,请在计划已与订阅关联时使用附加计划来增加网络配额。 有关详细信息,请参阅如何提供附加计划。
- 不能删除与 DNS 区域资源或路由表资源相关联的订阅。 若要成功地删除该订阅,必须先从租户订阅中删除 DNS 区域资源和路由表资源。
- Azure Stack 支持对一个 IP 地址使用一个本地网关。 这适用于所有租户订阅。 在创建第一个本地网关连接以后,系统会阻止使用同一 IP 地址创建本地网关资源的后续尝试。
- 在使用 DNS 服务器设置“自动”创建的虚拟网络上,无法更改为自定义 DNS 服务器。 更新的设置不推送到该 Vnet 中的 VM。
- Azure Stack 不支持在部署某个 VM 实例后向该 VM 添加其他的网络接口。 如果该 VM 需要多个网络接口,这些接口必须在部署时定义。
不能使用管理员门户更新网络安全组的规则。
针对应用服务的解决方法:如需通过远程桌面连接到控制器实例,请使用 PowerShell 修改网络安全组中的安全规则。 以下示例说明了如何先将配置设置为 allow,然后再还原为 deny:
Allow:
Connect-AzureRmAccount -EnvironmentName AzureStackAdmin $nsg = Get-AzureRmNetworkSecurityGroup -Name "ControllersNsg" -ResourceGroupName "AppService.local" $RuleConfig_Inbound_Rdp_3389 = $nsg | Get-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" ##This doesn't work. Need to set properties again even in case of edit #Set-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" -NetworkSecurityGroup $nsg -Access Allow Set-AzureRmNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg ` -Name $RuleConfig_Inbound_Rdp_3389.Name ` -Description "Inbound_Rdp_3389" ` -Access Allow ` -Protocol $RuleConfig_Inbound_Rdp_3389.Protocol ` -Direction $RuleConfig_Inbound_Rdp_3389.Direction ` -Priority $RuleConfig_Inbound_Rdp_3389.Priority ` -SourceAddressPrefix $RuleConfig_Inbound_Rdp_3389.SourceAddressPrefix ` -SourcePortRange $RuleConfig_Inbound_Rdp_3389.SourcePortRange ` -DestinationAddressPrefix $RuleConfig_Inbound_Rdp_3389.DestinationAddressPrefix ` -DestinationPortRange $RuleConfig_Inbound_Rdp_3389.DestinationPortRange # Commit the changes back to NSG Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg
Deny:
Connect-AzureRmAccount -EnvironmentName AzureStackAdmin $nsg = Get-AzureRmNetworkSecurityGroup -Name "ControllersNsg" -ResourceGroupName "AppService.local" $RuleConfig_Inbound_Rdp_3389 = $nsg | Get-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" ##This doesn't work. Need to set properties again even in case of edit #Set-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" -NetworkSecurityGroup $nsg -Access Allow Set-AzureRmNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg ` -Name $RuleConfig_Inbound_Rdp_3389.Name ` -Description "Inbound_Rdp_3389" ` -Access Deny ` -Protocol $RuleConfig_Inbound_Rdp_3389.Protocol ` -Direction $RuleConfig_Inbound_Rdp_3389.Direction ` -Priority $RuleConfig_Inbound_Rdp_3389.Priority ` -SourceAddressPrefix $RuleConfig_Inbound_Rdp_3389.SourceAddressPrefix ` -SourcePortRange $RuleConfig_Inbound_Rdp_3389.SourcePortRange ` -DestinationAddressPrefix $RuleConfig_Inbound_Rdp_3389.DestinationAddressPrefix ` -DestinationPortRange $RuleConfig_Inbound_Rdp_3389.DestinationPortRange # Commit the changes back to NSG Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg
SQL 和 MySQL
- 只有资源提供程序才能在托管 SQL 或 MySQL 的服务器上创建项目。 如果在不是由资源提供程序创建的主机服务器上创建项目,则此类项目可能导致状态不匹配。
- 为 SQL 和 MySQL 资源提供程序创建 SKU 时,系列或层级名称中不支持使用特殊字符(包括空格和句点)。
注意
更新到 Azure Stack 1805 后,可以继续使用以前部署的 SQL 和 MySQL 资源提供程序。 建议在新版本发布后更新 SQL 和 MySQL。 与 Azure Stack 一样,请将更新按顺序应用到 SQL 和 MySQL 资源提供程序。 例如,如果使用版本 1803,请先应用版本 1804,然后更新到 1805。
安装更新 1805 不会影响用户当前对 SQL 或 MySQL 资源提供程序的使用。 不管所用资源提供程序的版本如何,在其数据库中的用户数据不会受到影响,仍然可用。
应用服务
- 在订阅中创建第一个 Azure 函数之前,用户必须先注册存储资源提供程序。
- 若要横向扩展基础结构(辅助角色、管理、前端角色),必须按照针对计算的发行说明中的说明来使用 PowerShell。
- 目前,应用服务只能部署到“默认提供程序订阅”。
使用情况
- 公共 IP 地址使用计量数据针对每条记录显示相同的 EventDateTime 值,而不是创建记录时显示的 TimeDate 时间戳。 目前,无法使用此数据来执行公共 IP 地址用量的准确计帐。
下载更新
可从此处下载 Azure Stack 1805 更新包。
另请参阅
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
1804 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍了 1804 更新包中的改进与修复、此版本的已知问题,以及更新的下载位置。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1804 更新内部版本号为 20180513.1。
新增功能
此更新包含对 Azure Stack 的以下改进。
- Visual Studio 支持使用 AD FS 进行 Azure Stack 离线部署。 在 Visual Studio 中,现在可以使用 AD FS 联合用户凭据来添加订阅和进行身份验证。
- 使用 Av2 和 F 系列虚拟机。 Azure Stack 现在可以使用基于 Av2 系列和 F 系列虚拟机大小的虚拟机。 有关详细信息,请参阅 Azure Stack 中支持的虚拟机大小。
新的管理订阅。 应用更新 1804 后,门户中会显示两个新的订阅类型。 这些新订阅类型是对“默认提供程序”订阅的补充,从版本 1804 开始,会显示在新的 Azure Stack 安装中。 请不要在此 Azure Stack 版本中使用这些新订阅类型。 如果这些订阅将来可用,我们将在相应的更新中发布通告。
如果将 Azure Stack 更新到版本 1804,这两个新订阅类型将不可见。 但是,Azure Stack 集成系统的新部署以及 Azure Stack 开发工具包 1804 或更高版本的安装能够访问所有三个订阅类型。
这些新订阅类型是某个重大更改的一部分,旨在保护“默认提供程序”订阅,以及方便部署 SQL 宿主服务器等共享资源。 在将来对 Azure Stack 进行更新的过程中,随着我们不断在此项重大更改中添加更多的部件,在这些新订阅类型下部署的资源可能会丢失。
目前可见的三个订阅类型是:
- “默认提供程序”订阅:请继续使用此订阅类型。
- “计量”订阅:请不要继续使用此订阅类型。
- “消耗量”订阅:请不要继续使用此订阅类型
已修复的问题
- 在管理员门户中,不再需要刷新“更新”磁贴才能显示信息。
- 现在可以使用管理员门户来编辑 Blob 服务、表服务和队列服务的存储指标。
在“网络”下单击“连接”以设置 VPN 连接时,“站点到站点(IPsec)”现在是唯一可用的选项。
针对性能、稳定性、安全性以及 Azure Stack 所用操作系统的各种修复。
随此更新一起推出的其他发行版
以下版本现在可用,但不需要 Azure Stack 更新 1804。
针对 Microsoft Azure Stack System Center Operations Manager 监视包的更新。 适用于 Azure Stack 的 Microsoft System Center Operations Manager 监视包的新版本 (1.0.3.0) 已可供下载。 使用此版本,可以在添加连接的 Azure Stack 部署时使用服务主体。 此版本还提供更新管理体验,可让你直接从 Operations Manager 中执行修正操作。 还有新的仪表板,用于显示资源提供程序、缩放单元和缩放单元节点。
新的 Azure Stack 管理 PowerShell 版本 1.3.0。 Azure Stack PowerShell 1.3.0 现已可供安装。 此版本针对所有管理资源提供程序提供了用来管理 Azure Stack 的命令。 在此版本中,某些内容将从 Azure Stack 工具 GitHub 存储库中弃用。
Azure Stack API Rest 参考的初始版本。 所有 Azure Stack 管理资源提供程序的 API 参考现已发布。
准备阶段
先决条件
在应用 Azure Stack 1804 更新之前安装 Azure Stack 1803 更新。
安装最新可用的 1803 版更新或修补程序。
更新过程的已知问题
- 在安装 1804 更新期间,可能会出现标题如下的警报:“错误: 缺少 FaultType UserAccounts.New 的模板。”你可以放心地忽略这些警报。 更新到 1804 后,这些警报将自动关闭。
- 在安装此更新的过程中,请勿尝试创建虚拟机。 有关如何管理更新的详细信息,请参阅在 Azure Stack 中管理更新的概述。
更新后步骤
安装 1804 之后,请安装所有适用的修补程序。 有关详细信息,请查看以下知识库文章,以及我们的服务策略。
已知问题(安装后)
下面是内部版本 20180513.1 的安装后已知问题。
门户
- Azure Stack 技术文档重点介绍了最新版本。 由于版本之间的门户更改,你在使用 Azure Stack 门户时看到的内容可能与在文档中看到的内容不同。
- 不能通过将 OEM 扩展包用于此版本的 Azure Stack 来应用驱动程序更新。 对于此问题,目前没有解决方法。
- 安装或更新到此 Azure Stack 版本后,可能无法在管理门户中查看 Azure Stack 缩放单元。
解决方法:使用 PowerShell 查看有关缩放单元的信息。 有关详细信息,请参阅 Azure Stack 模块 1.3.0 的帮助内容。
- 对 Azure Stack 标识系统使用 AD FS 并更新到此版本的 Azure Stack 时,默认提供程序订阅的默认所有者将重置为内置的 CloudAdmin 用户。
替代方法:若要在安装此更新后解决该问题,请使用触发自动化以便在 Azure Stack 中配置声明提供程序信任过程中的步骤 3 来重置默认提供程序订阅的所有者。
- 某些管理订阅类型不可用。 将 Azure Stack 升级到此版本时,控制台中不会显示版本 1804 引入的两个订阅类型。 这是正常情况。 不可用的订阅类型为“计量订阅”和“消耗订阅”。 从版本 1804 开始,这些订阅类型会在新的 Azure Stack 环境中显示,但尚不可用。 请继续使用“默认提供程序”订阅类型。
- 在管理员门户中从下拉列表提交新的支持请求的功能不可用。 请改用以下链接:
- 对于 Azure Stack 集成系统,请使用 https://aka.ms/newsupportrequest。
- 可能无法使用管理员和用户门户底部的水平滚动条。 如果无法访问水平滚动条,请使用痕迹导航到门户中的上一边栏选项卡,只需从门户左上角的痕迹列表中选择要查看的边栏选项卡的名称即可。
- 无法在管理员门户中查看计算或存储资源。 此问题的原因是更新安装过程中出错,导致系统错误地将更新报告为成功。 如果出现此问题,请联系Microsoft客户支持服务获取帮助。
- 可能会在门户中看到空白的仪表板。 若要恢复仪表板,请选择门户右上角的齿轮图标,然后选择“还原默认设置”。
- 删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
- 无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
在管理门户中,可能会看到针对 Microsoft.Update.Admin 组件的严重警报。 警报名称、说明和修正均显示为:
- 错误 - FaultType 为 ResourceProviderTimeout 的模板缺失。
可以放心地忽略此警报。
运行状况和监视
可能会看到包含以下详细信息的“运行状况控制器”组件的警报:
警报 #1:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器检测信号扫描仪不可用。 这可能会影响运行状况报告和指标。
警报 #2:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器故障扫描仪不可用。 这可能会影响运行状况报告和指标。
可以放心地忽略这两个警报。 它们将在一段时间后自动关闭。
计算
选择虚拟机大小进行虚拟机部署时,某些 F 系列 VM 大小在创建 VM 时显示的大小选择器中不可见。 以下 VM 大小不显示在选择器中:F8s_v2、F16s_v2、F32s_v2 和 F64s_v2。
解决方法是,使用下列方法之一部署 VM。 在每种方法中,都需要指定要使用的 VM 大小。Azure 资源管理器模板:使用模板时,请将模板中的 vmSize 设置为所需的 VM 大小。 例如,以下内容用来部署使用 F32s_v2 大小的 VM:
"properties": { "hardwareProfile": { "vmSize": "Standard_F32s_v2" },
Azure CLI:可以使用 az vm create 命令并将 VM 大小指定为参数,类似于
--size "Standard_F32s_v2"
。PowerShell:通过 PowerShell,可以将 New-AzureRMVMConfig 与指定了 VM 大小的参数一起使用,类似于
-VMSize "Standard_F32s_v2"
。
- 无法在门户中使用虚拟机规模集的缩放设置。 解决方法是使用 Azure PowerShell。 由于 PowerShell 版本差异,必须使用
-Name
参数,而不是-VMScaleSetName
。
- 通过转到“新建”>“计算”>“可用性集”在门户中创建可用性集时,只能创建 1 个包含 1 个容错域和 1 个更新域的可用性集。 解决方法是在创建新的虚拟机时,通过 PowerShell、CLI 或门户来创建可用性集。
- 在 Azure Stack 用户门户中创建虚拟机时,该门户显示的可以附加到 D 系列 VM 的数据磁盘数不正确。 所有受支持的 D 系列 VM 可以容纳的数据磁盘数取决于 Azure 配置。
无法创建 VM 映像时,可能会向 VM 映像计算边栏选项卡添加一个无法删除的故障项。
解决方法是通过虚拟 VHD 创建新的 VM 映像,而该 VHD 则可以通过 Hyper-V (New-VHD -Path C:\dummy.vhd -Fixed -SizeBytes 1 GB) 来创建。 此过程应该解决妨碍删除故障项的问题。 然后,在创建虚拟映像 15 后,就可以成功删除该故障项。
然后,可以尝试重新下载以前无法下载的 VM 映像。
- 如果在 VM 部署上预配某个扩展时耗时过长,用户应让预配超时,而不应尝试通过停止该进程来解除 VM 的分配或将 VM 删除。
- Azure Stack 不支持 Linux VM 诊断。 在部署启用 VM 诊断的 Linux VM 时,部署会失败。 如果通过诊断设置启用 Linux VM 的基本指标,部署也会失败。
网络
- 如果在“网络”下单击“创建 VPN 网关”来设置 VPN 连接,则会将“基于策略”列为 VPN 类型。 请不要选择此选项。 Azure Stack 仅支持“基于路由”选项。
创建 VM 并将其与公共 IP 地址关联以后,就无法取消该 VM 与该 IP 地址的关联。 取消关联看似可以正常使用,但以前分配的公共 IP 地址仍与原始 VM 相关联。
目前只能将新建的公共 IP 地址用于新建的 VM。
即使将 IP 地址重新分配给新的 VM(通常名为“VIP 交换”),也还会发生这种行为。 以后尝试通过此 IP 地址建立连接都会导致连接到原先关联的 VM,而不是新的 VM。
如果提高属于某个套餐和计划的网络资源的配额限制,而该套餐和计划与租户订阅相关联,则新的限制不会应用到该订阅。 但是,新限制会应用到在配额提高后创建的新订阅。
若要解决此问题,请在计划已与订阅关联时使用附加计划来增加网络配额。 有关详细信息,请参阅如何提供附加计划。
- 不能删除与 DNS 区域资源或路由表资源相关联的订阅。 若要成功地删除该订阅,必须先从租户订阅中删除 DNS 区域资源和路由表资源。
- Azure Stack 支持对一个 IP 地址使用一个本地网关。 这适用于所有租户订阅。 在创建第一个本地网关连接以后,系统会阻止使用同一 IP 地址创建本地网关资源的后续尝试。
- 在使用 DNS 服务器设置“自动”创建的虚拟网络上,无法更改为自定义 DNS 服务器。 更新的设置不推送到该 Vnet 中的 VM。
- Azure Stack 不支持在部署某个 VM 实例后向该 VM 添加其他的网络接口。 如果该 VM 需要多个网络接口,这些接口必须在部署时定义。
不能使用管理员门户更新网络安全组的规则。
针对应用服务的解决方法:如需通过远程桌面连接到控制器实例,请使用 PowerShell 修改网络安全组中的安全规则。 以下示例说明了如何先将配置设置为 allow,然后再还原为 deny:
Allow:
Connect-AzureRmAccount -EnvironmentName AzureStackAdmin $nsg = Get-AzureRmNetworkSecurityGroup -Name "ControllersNsg" -ResourceGroupName "AppService.local" $RuleConfig_Inbound_Rdp_3389 = $nsg | Get-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" ##This doesn't work. Need to set properties again even in case of edit #Set-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" -NetworkSecurityGroup $nsg -Access Allow Set-AzureRmNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg ` -Name $RuleConfig_Inbound_Rdp_3389.Name ` -Description "Inbound_Rdp_3389" ` -Access Allow ` -Protocol $RuleConfig_Inbound_Rdp_3389.Protocol ` -Direction $RuleConfig_Inbound_Rdp_3389.Direction ` -Priority $RuleConfig_Inbound_Rdp_3389.Priority ` -SourceAddressPrefix $RuleConfig_Inbound_Rdp_3389.SourceAddressPrefix ` -SourcePortRange $RuleConfig_Inbound_Rdp_3389.SourcePortRange ` -DestinationAddressPrefix $RuleConfig_Inbound_Rdp_3389.DestinationAddressPrefix ` -DestinationPortRange $RuleConfig_Inbound_Rdp_3389.DestinationPortRange # Commit the changes back to NSG Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg
Deny:
Connect-AzureRmAccount -EnvironmentName AzureStackAdmin $nsg = Get-AzureRmNetworkSecurityGroup -Name "ControllersNsg" -ResourceGroupName "AppService.local" $RuleConfig_Inbound_Rdp_3389 = $nsg | Get-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" ##This doesn't work. Need to set properties again even in case of edit #Set-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" -NetworkSecurityGroup $nsg -Access Allow Set-AzureRmNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg ` -Name $RuleConfig_Inbound_Rdp_3389.Name ` -Description "Inbound_Rdp_3389" ` -Access Deny ` -Protocol $RuleConfig_Inbound_Rdp_3389.Protocol ` -Direction $RuleConfig_Inbound_Rdp_3389.Direction ` -Priority $RuleConfig_Inbound_Rdp_3389.Priority ` -SourceAddressPrefix $RuleConfig_Inbound_Rdp_3389.SourceAddressPrefix ` -SourcePortRange $RuleConfig_Inbound_Rdp_3389.SourcePortRange ` -DestinationAddressPrefix $RuleConfig_Inbound_Rdp_3389.DestinationAddressPrefix ` -DestinationPortRange $RuleConfig_Inbound_Rdp_3389.DestinationPortRange # Commit the changes back to NSG Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg
SQL 和 MySQL
- 只有资源提供程序才能在托管 SQL 或 MySQL 的服务器上创建项目。 如果在不是由资源提供程序创建的主机服务器上创建项目,则此类项目可能导致状态不匹配。
- 为 SQL 和 MySQL 资源提供程序创建 SKU 时,系列或层级名称中不支持使用特殊字符(包括空格和句点)。
注意
更新到 Azure Stack 1804 以后,可以继续使用以前部署的 SQL 和 MySQL 资源提供程序。 建议在新版本发布后更新 SQL 和 MySQL。 与 Azure Stack 一样,请将更新按顺序应用到 SQL 和 MySQL 资源提供程序。 例如,如果使用版本 1802,请先应用版本 1803,然后更新到 1804。
安装更新 1804 不会影响用户当前对 SQL 或 MySQL 资源提供程序的使用。 不管所用资源提供程序的版本如何,在其数据库中的用户数据不会受到影响,仍然可用。
应用服务
- 在订阅中创建第一个 Azure 函数之前,用户必须先注册存储资源提供程序。
- 若要横向扩展基础结构(辅助角色、管理、前端角色),必须按照针对计算的发行说明中的说明来使用 PowerShell。
- 目前,应用服务只能部署到“默认提供程序订阅”。 在将来的更新中,应用服务将部署到 Azure Stack 1804 中引入的新“计量订阅”,所有现有部署也会迁移到此新订阅。
使用情况
- 公共 IP 地址使用计量数据针对每条记录显示相同的 EventDateTime 值,而不是创建记录时显示的 TimeDate 时间戳。 目前,无法使用此数据来执行公共 IP 地址用量的准确计帐。
下载更新
可从此处下载 Azure Stack 1804 更新包。
另请参阅
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
1803 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1803 更新包中的改进与修复、此版本的已知问题,以及更新的下载位置。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1803 更新内部版本号为 20180329.1。
在开始之前
重要
在安装此更新的过程中,请勿尝试创建虚拟机。 有关如何管理更新的详细信息,请参阅在 Azure Stack 中管理更新的概述。
先决条件
在应用 Azure Stack 1803 更新之前安装 Azure Stack 1802 更新。
在应用 Azure Stack 1803 更新之前安装 AzS 修补程序 1.0.180312.1 - 内部版本 20180222.2。 此修补程序更新了 Windows Defender,在下载 Azure Stack 的更新后即可使用。
若要安装此修补程序,请执行安装 Azure Stack 的更新所需的常规过程。 此更新的名称显示为“AzS 修补程序 1.0.180312.1”,包括以下文件:
- PUPackageHotFix_20180222.2-1.exe
- PUPackageHotFix_20180222.2-1.bin
- Metadata.xml
将这些文件上传到存储帐户和容器以后,请在管理门户的“更新”磁贴中运行安装。
与 Azure Stack 的更新不同,此更新的安装不更改 Azure Stack 的版本。 若要确认此更新是否已安装,请查看“已安装更新”列表。
新增功能
此更新包含以下适用于 Azure Stack 的改进和修复。
- 更新 Azure Stack 机密 -(帐户和证书)。 有关如何管理机密的详细信息,请参阅在 Azure Stack 中轮换机密。
- 使用 HTTP 访问管理员和用户门户时自动重定向到 HTTPS。 进行此改进是基于 Azure Stack 的 UserVoice 反馈。
- 访问市场 - 现在可以使用管理员和用户门户中的“+新建”选项打开 Azure Stack 市场,就像在 Azure 门户中操作一样。
Azure Monitor - Azure Stack 向管理员和用户门户添加了 Azure Monitor。 这包括用于指标和活动日志的新资源管理器。 若要从外部网络访问此 Azure Monitor,必须在防火墙配置中打开端口 13012。 有关 Azure Stack 所需端口的详细信息,请参阅 Azure Stack 数据中心集成 - 发布终结点。
另外,“更多服务”下的“审核日志”现在显示为“活动日志”,这也是此次更改的内容。 此功能现在与 Azure 门户一致。
稀疏文件 - 向 Azure Stack 添加新映像时,或者通过市场联合添加映像时,映像会转换为稀疏文件。 在使用 Azure Stack 版本 1803 之前添加的映像不能进行转换, 而只能使用市场联合重新提交这些映像,以便利用此功能。
稀疏文件是一种文件格式,在减少存储空间占用并提高 I/O 方面很有效。 有关详细信息,请参阅 Fsutil sparse(适用于 Windows Server)。
已修复的问题
- 内部负载均衡 (ILB) 现在可以正确地处理后端 VM 的 MAC 地址,使 ILB 可以在后端网络上使用 Linux 实例时将数据包放置到后端网络。 ILB 适用于后端网络上的 Windows 实例。
- 因 Azure Stack 使用的 IKE 策略设置不同于 Azure 所用的而导致 Azure Stack 之间的 VPN 连接断开的问题。 SALifetime(时间)和 SALiftetime(字节)的值与 Azure 不兼容,在 1803 中已更改,以便与 Azure 设置匹配。 在低于 1803 的版本中,SALifetime(秒)的值为 14,400,在版本 1803 中已更改为 27,000。 在低于 1803 的版本中,SALifetime(字节)的值为 819,200,在版本 1803 中已更改为 33,553,408。
- IP 问题,具体表现在 VPN 连接以前在门户中可见,但启用或切换“IP 转发”却没有效果。 此功能默认启用,更改此项的功能尚不受支持。 此控件已从门户中删除。
- Azure Stack 不支持“基于策略的 VPN 网关”,即使此选项显示在门户中。 此选项已从门户中删除。
- Azure Stack 现在阻止重设使用动态磁盘创建的虚拟机的大小。
- 虚拟机的使用情况数据现在按“小时”时间间隔进行划分。 这与 Azure 一致。
管理员和用户门户中 vNet 子网的“设置”边栏选项卡无法加载的问题。 解决方法是使用 PowerShell 和 Get-AzureRmVirtualNetworkSubnetConfig cmdlet 来查看和管理此信息。
在创建虚拟机时,“无法显示定价”消息不再在选择某个大小作为 VM 大小时显示。
针对性能、稳定性、安全性以及 Azure Stack 所用操作系统的各种修复。
更改
- 将新创建的产品/服务的状态从“专用”更改为“公用”或“停止使用”的方式已变。 有关详细信息,请参阅创建套餐。
更新过程的已知问题
在安装 1803 更新期间,Blob 服务以及使用 Blob 服务的内部服务可能无法使用。 这包括某些虚拟机操作。 这些服务无法使用可能导致租户操作失败,或者导致无法访问数据的服务发出警报。 当更新安装完以后,此问题会自行解决。
更新后步骤
安装 1803 之后,请安装任何适用的修补程序。 有关详细信息,请查看以下知识库文章,以及我们的服务策略。
安装此更新后,请查看防火墙配置以确保必需的端口处于打开状态。 例如,此更新引入了 Azure Monitor,其中包括将审核日志更改为活动日志。 由于此更改,端口 13012 现在已使用,并且也必须处于打开状态。
已知问题(安装后)
下面是内部版本“20180323.2”的安装后已知问题。
门户
对 Azure Stack 标识系统使用 AD FS 并更新到此版本的 Azure Stack 时,默认提供程序订阅的默认所有者将重置为内置的 CloudAdmin 用户。
替代方法:若要在安装此更新后解决该问题,请使用触发自动化以便在 Azure Stack 中配置声明提供程序信任过程中的步骤 3 来重置默认提供程序订阅的所有者。在管理员门户中从下拉列表提交新的支持请求的功能不可用。 请改用以下链接:
- 对于 Azure Stack 集成系统,请使用 https://aka.ms/newsupportrequest。
在管理员门户中,不能编辑 Blob 服务、表服务或队列服务的存储指标。 转到“存储”并选择 Blob、表或队列服务磁贴后,就会打开一个新的边栏选项卡,其中显示该 服务的指标图表。 如果随后从指标图表磁贴顶部选择“编辑”,则会打开“编辑图表”边栏选项卡,但其中不显示用于编辑指标的选项。
无法在管理员门户中查看计算或存储资源。 此问题的原因是更新安装过程中出错,导致系统错误地将更新报告为成功。 如果出现此问题,请联系Microsoft客户支持服务获取帮助。
可能会在门户中看到空白的仪表板。 若要恢复仪表板,请选择门户右上角的齿轮图标,然后选择“还原默认设置”。
删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
在管理门户的仪表板中,“更新”磁贴无法显示有关更新的信息。 若要解决此问题,请单击该磁贴对其进行刷新。
在管理门户中,可能会看到针对 Microsoft.Update.Admin 组件的严重警报。 警报名称、说明和修正均显示为:
- 错误 - FaultType 为 ResourceProviderTimeout 的模板缺失。
可以放心地忽略此警报。
运行状况和监视
可能会看到包含以下详细信息的“运行状况控制器”组件的警报:
警报 #1:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器检测信号扫描仪不可用。 这可能会影响运行状况报告和指标。
警报 #2:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器故障扫描仪不可用。 这可能会影响运行状况报告和指标。
可以放心地忽略这两个警报。 它们将在一段时间后自动关闭。
市场
- 用户无需订阅就能浏览整个市场,并且能看到计划和套餐等管理项。 对用户而言,这些项是非功能性的。
计算
无法在门户中使用虚拟机规模集的缩放设置。 解决方法是使用 Azure PowerShell。 由于 PowerShell 版本差异,必须使用
-Name
参数,而不是-VMScaleSetName
。通过转到“新建”>“计算”>“可用性集”在门户中创建可用性集时,只能创建 1 个包含 1 个容错域和 1 个更新域的可用性集。 解决方法是在创建新的虚拟机时,通过 PowerShell、CLI 或门户来创建可用性集。
在 Azure Stack 用户门户中创建虚拟机时,该门户显示的可以附加到 D 系列 VM 的数据磁盘数不正确。 所有受支持的 D 系列 VM 可以容纳的数据磁盘数取决于 Azure 配置。
无法创建 VM 映像时,可能会向 VM 映像计算边栏选项卡添加一个无法删除的故障项。
解决方法是通过虚拟 VHD 创建新的 VM 映像,而该 VHD 则可以通过 Hyper-V (New-VHD -Path C:\dummy.vhd -Fixed -SizeBytes 1 GB) 来创建。 此过程应该解决妨碍删除故障项的问题。 然后,在创建虚拟映像 15 后,就可以成功删除该故障项。
然后,可以尝试重新下载以前无法下载的 VM 映像。
如果在 VM 部署上预配某个扩展时耗时过长,用户应让预配超时,而不应尝试通过停止该进程来解除 VM 的分配或将 VM 删除。
- Azure Stack 不支持 Linux VM 诊断。 在部署启用 VM 诊断的 Linux VM 时,部署会失败。 如果通过诊断设置启用 Linux VM 的基本指标,部署也会失败。
网络
创建 VM 并将其与公共 IP 地址关联以后,就无法取消该 VM 与该 IP 地址的关联。 取消关联看似可以正常使用,但以前分配的公共 IP 地址仍与原始 VM 相关联。
目前只能将新建的公共 IP 地址用于新建的 VM。
即使将 IP 地址重新分配给新的 VM(通常名为“VIP 交换”),也还会发生这种行为。 以后尝试通过此 IP 地址建立连接都会导致连接到原先关联的 VM,而不是新的 VM。
Azure Stack 支持对一个 IP 地址使用一个本地网关。 这适用于所有租户订阅。 在创建第一个本地网关连接以后,系统会阻止使用同一 IP 地址创建本地网关资源的后续尝试。
在使用 DNS 服务器设置“自动”创建的虚拟网络上,无法更改为自定义 DNS 服务器。 更新的设置不推送到该 Vnet 中的 VM。
Azure Stack 不支持在部署某个 VM 实例后向该 VM 添加其他的网络接口。 如果该 VM 需要多个网络接口,这些接口必须在部署时定义。
不能使用管理员门户更新网络安全组的规则。
针对应用服务的解决方法:如需通过远程桌面连接到控制器实例,请使用 PowerShell 修改网络安全组中的安全规则。 以下示例说明了如何先将配置设置为 allow,然后再还原为 deny:
Allow:
Add-AzureRmAccount -EnvironmentName AzureStackAdmin $nsg = Get-AzureRmNetworkSecurityGroup -Name "ControllersNsg" -ResourceGroupName "AppService.local" $RuleConfig_Inbound_Rdp_3389 = $nsg | Get-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" ##This doesn't work. Need to set properties again even in case of edit #Set-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" -NetworkSecurityGroup $nsg -Access Allow Set-AzureRmNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg ` -Name $RuleConfig_Inbound_Rdp_3389.Name ` -Description "Inbound_Rdp_3389" ` -Access Allow ` -Protocol $RuleConfig_Inbound_Rdp_3389.Protocol ` -Direction $RuleConfig_Inbound_Rdp_3389.Direction ` -Priority $RuleConfig_Inbound_Rdp_3389.Priority ` -SourceAddressPrefix $RuleConfig_Inbound_Rdp_3389.SourceAddressPrefix ` -SourcePortRange $RuleConfig_Inbound_Rdp_3389.SourcePortRange ` -DestinationAddressPrefix $RuleConfig_Inbound_Rdp_3389.DestinationAddressPrefix ` -DestinationPortRange $RuleConfig_Inbound_Rdp_3389.DestinationPortRange # Commit the changes back to NSG Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg
Deny:
Add-AzureRmAccount -EnvironmentName AzureStackAdmin $nsg = Get-AzureRmNetworkSecurityGroup -Name "ControllersNsg" -ResourceGroupName "AppService.local" $RuleConfig_Inbound_Rdp_3389 = $nsg | Get-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" ##This doesn't work. Need to set properties again even in case of edit #Set-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" -NetworkSecurityGroup $nsg -Access Allow Set-AzureRmNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg ` -Name $RuleConfig_Inbound_Rdp_3389.Name ` -Description "Inbound_Rdp_3389" ` -Access Deny ` -Protocol $RuleConfig_Inbound_Rdp_3389.Protocol ` -Direction $RuleConfig_Inbound_Rdp_3389.Direction ` -Priority $RuleConfig_Inbound_Rdp_3389.Priority ` -SourceAddressPrefix $RuleConfig_Inbound_Rdp_3389.SourceAddressPrefix ` -SourcePortRange $RuleConfig_Inbound_Rdp_3389.SourcePortRange ` -DestinationAddressPrefix $RuleConfig_Inbound_Rdp_3389.DestinationAddressPrefix ` -DestinationPortRange $RuleConfig_Inbound_Rdp_3389.DestinationPortRange # Commit the changes back to NSG Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg
SQL 和 MySQL
在继续操作之前,请查看这些发行说明开头附近的开始之前中的重要说明。
可能需要在长达一小时的时间过后,用户才能在新的 SQL 或 MySQL 部署中创建数据库。
只有资源提供程序才能在托管 SQL 或 MySQL 的服务器上创建项目。 如果在不是由资源提供程序创建的主机服务器上创建项目,则此类项目可能导致状态不匹配。
- 为 SQL 和 MySQL 资源提供程序创建 SKU 时,系列名称中不支持使用特殊字符(包括空格和句点)。
注意
更新到 Azure Stack 1803 以后,可以继续使用以前部署的 SQL 和 MySQL 资源提供程序。 建议在新版本发布后更新 SQL 和 MySQL。 与 Azure Stack 一样,请将更新按顺序应用到 SQL 和 MySQL 资源提供程序。 例如,如果使用版本 1711,请先应用版本 1712,然后应用 1802,,再应用 1803 的更新。
安装更新 1803 不会影响用户现在使用 SQL 或 MySQL 资源提供程序。 不管所用资源提供程序的版本如何,在其数据库中的用户数据不会受到影响,仍然可用。
应用服务
在订阅中创建第一个 Azure 函数之前,用户必须先注册存储资源提供程序。
若要横向扩展基础结构(辅助角色、管理、前端角色),必须按照针对计算的发行说明中的说明来使用 PowerShell。
使用情况
- 公共 IP 地址使用计量数据针对每条记录显示相同的 EventDateTime 值,而不是创建记录时显示的 TimeDate 时间戳。 目前,无法使用此数据来执行公共 IP 地址用量的准确计帐。
从 GitHub 下载 Azure Stack 工具
使用 invoke-webrequest PowerShell cmdlet 从 Github 下载 Azure Stack 工具时,收到一个错误:
- invoke-webrequest: 请求已终止: 未能创建 SSL/TLS 安全通道。
之所以发生此错误,是因为最近的 GitHub 支持弃用了 Tlsv1 和 Tlsv1.1 加密标准(PowerShell 的默认设置)。 有关详细信息,请参阅 Weak cryptographic standards removal notice(弱加密标准删除通知)。
若要解决此问题,请将
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
添加到脚本顶部,强制 PowerShell 控制台在从 GitHub 存储库下载项目时使用 TLSv1.2。
下载更新
可从此处下载 Azure Stack 1803 更新包。
另请参阅
- 若要使用特权终结点 (PEP) 来监视和恢复更新,请参阅使用特权终结点监视 Azure Stack 中的更新。
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。
1802 已存档的发行说明
适用于:Azure Stack 集成系统
本文介绍 1802 更新包中的改进与修复、此版本的已知问题,以及更新的下载位置。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。
重要
此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。
内部版本参考
Azure Stack 1802 更新内部版本号为 20180302.1。
在开始之前
重要
在安装此更新的过程中,请勿尝试创建虚拟机。 有关如何管理更新的详细信息,请参阅在 Azure Stack 中管理更新的概述。
先决条件
在应用 Azure Stack 1802 更新之前安装 Azure Stack 1712 更新。
在应用 Azure Stack 1802 更新之前安装 AzS 修补程序 1.0.180312.1 - 内部版本 20180222.2。 此修补程序更新了 Windows Defender,在下载 Azure Stack 的更新后即可使用。
若要安装此修补程序,请执行安装 Azure Stack 的更新所需的常规过程。 此更新的名称显示为“AzS 修补程序 1.0.180312.1”,包括以下文件:
- PUPackageHotFix_20180222.2-1.exe
- PUPackageHotFix_20180222.2-1.bin
- Metadata.xml
将这些文件上传到存储帐户和容器以后,请在管理门户的“更新”磁贴中运行安装。
与 Azure Stack 的更新不同,此更新的安装不更改 Azure Stack 的版本。 若要确认此更新是否已安装,请查看“已安装更新”列表。
更新后步骤
安装 1802 之后,请安装任何适用的修补程序。 有关详细信息,请查看以下知识库文章,以及我们的服务策略。
Azure Stack 修补程序 1.0.180302.4。 KB 4131152 - 现有虚拟机规模集可能不可用
此修补程序还可解决 KB 4103348 - 尝试安装 Azure Stack 更新时,网络控制器 API 服务崩溃中详述的问题。
新功能和修复
此更新包含以下适用于 Azure Stack 的改进和修复。
增加了对以下 Azure 存储服务 API 版本的支持:
- 2017-04-17
- 2016-05-31
- 2015-12-11
- 2015-07-08
有关详细信息,请参阅 Azure Stack 存储:差异和注意事项。
对更大型块 Blob 的支持:
- 允许的最大块大小从 4 MB 增至 100 MB。
- 最大 Blob 大小从 195 GB 增至 4.75 TB。
基础结构备份现在在“资源提供程序”磁贴中显示。备份警报已启用。 有关基础结构备份服务的详细信息,请参阅使用基础结构备份服务对 Azure Stack 进行备份和数据恢复。
对 Test-AzureStack cmdlet 的更新,用于改进存储诊断。 有关此 cmdlet 的详细信息,请参阅针对 Azure Stack 的验证。
基于角色的访问控制 (RBAC) 改进 - 现在,当 Azure Stack 通过 AD FS 进行部署时,可以使用 RBAC 将权限委托给通用用户组。 若要详细了解 RBAC,请参阅管理 RBAC。
增加了对多个容错域的支持。 有关详细信息,请参阅 Azure Stack 的高可用性。
支持物理内存升级 - 现在可以在初始部署后扩展 Azure Stack 集成系统的内存容量。 有关详细信息,请参阅管理 Azure Stack 的物理内存容量。
针对性能、稳定性、安全性以及 Azure Stack 所用操作系统的各种修复。
更新过程的已知问题
更新 1802 的安装没有任何已知问题。
已知问题(安装后)
下面是内部版本“20180302.1”的安装后已知问题
门户
对 Azure Stack 标识系统使用 AD FS 并更新到此版本的 Azure Stack 时,默认提供程序订阅的默认所有者将重置为内置的 CloudAdmin 用户。
替代方法:若要在安装此更新后解决该问题,请使用触发自动化以便在 Azure Stack 中配置声明提供程序信任过程中的步骤 3 来重置默认提供程序订阅的所有者。在管理员门户中从下拉列表提交新的支持请求的功能不可用。 请改用以下链接:
- 对于 Azure Stack 集成系统,请使用 https://aka.ms/newsupportrequest。
在管理员门户中,不能编辑 Blob 服务、表服务或队列服务的存储指标。 转到“存储”并选择 Blob、表或队列服务磁贴后,就会打开一个新的边栏选项卡,其中显示该 服务的指标图表。 如果随后从指标图表磁贴顶部选择“编辑”,则会打开“编辑图表”边栏选项卡,但其中不显示用于编辑指标的选项。
无法在管理员门户中查看计算或存储资源。 此问题的原因是更新安装过程中出错,导致系统错误地将更新报告为成功。 如果出现此问题,请联系Microsoft客户支持服务获取帮助。
可能会在门户中看到空白的仪表板。 若要恢复仪表板,请选择门户右上角的齿轮图标,然后选择“还原默认设置”。
删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。
无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。
在管理门户的仪表板中,“更新”磁贴无法显示有关更新的信息。 若要解决此问题,请单击该磁贴对其进行刷新。
在管理门户中,可能会看到针对 Microsoft.Update.Admin 组件的严重警报。 警报名称、说明和修正均显示为:
错误 - FaultType 为 ResourceProviderTimeout 的模板缺失。
可以放心地忽略此警报。
在管理员和用户门户中,vNet 子网的“设置”边栏选项卡无法加载。 解决方法是使用 PowerShell 和 Get-AzureRmVirtualNetworkSubnetConfig cmdlet 来查看和管理此信息。
在管理员门户和用户门户中,如果选择通过旧版 API(例如 2015-06-15)创建的存储帐户的“概述”边栏选项卡,则“概述”边栏选项卡无法加载。 这包括系统存储帐户,例如修补和更新过程中使用的 updateadminaccount。
解决方法是使用 PowerShell 运行 Start-ResourceSynchronization.ps1 脚本,以便重新可以访问存储帐户详细信息。 GitHub 中提供了该脚本,必须在特权终结点上使用服务管理员凭据运行该脚本。
“服务运行状况”边栏选项卡无法加载。 在管理员或用户门户中打开“服务运行状况”边栏选项卡时,Azure Stack 显示错误且不加载信息。 这是预期行为。 尽管可以选择并打开“服务运行状况”,但此功能目前不可用,将来的 Azure Stack 版本中会实现此功能。
运行状况和监视
可能会看到包含以下详细信息的“运行状况控制器”组件的警报:
警报 #1:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器检测信号扫描仪不可用。 这可能会影响运行状况报告和指标。
警报 #2:
- 名称:基础结构角色不正常
- 严重性:警告
- 组件:运行状况控制器
- 说明:运行状况控制器故障扫描仪不可用。 这可能会影响运行状况报告和指标。
可以放心地忽略这两个警报。 它们将在一段时间后自动关闭。
市场
- 用户无需订阅就能浏览整个市场,并且能看到计划和套餐等管理项。 对用户而言,这些项是非功能性的。
计算
- 无法在门户中使用虚拟机规模集的缩放设置。 解决方法是使用 Azure PowerShell。 由于 PowerShell 版本差异,必须使用
-Name
参数,而不是-VMScaleSetName
。
不能纵向扩展使用 1802 之前的 Azure Stack 版本时创建的虚拟机规模集 (VMSS)。 这是由于将可用性集与虚拟机规模集配合使用时的支持发生了变化。 此支持是通过版本 1802 添加的。 对于在添加此支持之前创建的 VMSS,若要尝试通过添加更多的实例对其进行缩放,则操作会失败,并出现消息“预配状态为‘已失败’”。
版本 1803 中已解决此问题。 若要在版本 1802 中解决此问题,请安装 Azure Stack 修补程序 1.0.180302.4。 有关详细信息,请参阅 KB 4131152:现有虚拟机规模集可能不可用。
Azure Stack 支持只使用固定类型的 VHD。 某些通过 Azure Stack 上的市场提供的映像使用动态 VHD,但这些映像已删除。 重设附加了动态磁盘的虚拟机 (VM) 的大小会导致该 VM 处于故障状态。
若要解决此问题,请删除 VM,但不删除 VM 的磁盘(存储帐户中的 VHD Blob)。 然后将 VHD 从动态磁盘转换为固定磁盘,接着重新创建虚拟机。
通过转到“新建”>“计算”>“可用性集”在门户中创建可用性集时,只能创建 1 个包含 1 个容错域和 1 个更新域的可用性集。 解决方法是在创建新的虚拟机时,通过 PowerShell、CLI 或门户来创建可用性集。
在 Azure Stack 用户门户中创建虚拟机时,该门户显示的可以附加到 D 系列 VM 的数据磁盘数不正确。 所有受支持的 D 系列 VM 可以容纳的数据磁盘数取决于 Azure 配置。
无法创建 VM 映像时,可能会向 VM 映像计算边栏选项卡添加一个无法删除的故障项。
解决方法是通过虚拟 VHD 创建新的 VM 映像,而该 VHD 则可以通过 Hyper-V (New-VHD -Path C:\dummy.vhd -Fixed -SizeBytes 1 GB) 来创建。 此过程应该解决妨碍删除故障项的问题。 然后,在创建虚拟映像 15 后,就可以成功删除该故障项。
然后,可以尝试重新下载以前无法下载的 VM 映像。
如果在 VM 部署上预配某个扩展时耗时过长,用户应让预配超时,而不应尝试通过停止该进程来解除 VM 的分配或将 VM 删除。
- Azure Stack 不支持 Linux VM 诊断。 在部署启用 VM 诊断的 Linux VM 时,部署会失败。 如果通过诊断设置启用 Linux VM 的基本指标,部署也会失败。
网络
创建 VM 并将其与公共 IP 地址关联以后,就无法取消该 VM 与该 IP 地址的关联。 取消关联看似可以正常使用,但以前分配的公共 IP 地址仍与原始 VM 相关联。
目前只能将新建的公共 IP 地址用于新建的 VM。
即使将 IP 地址重新分配给新的 VM(通常名为“VIP 交换”),也还会发生这种行为。 以后尝试通过此 IP 地址建立连接都会导致连接到原先关联的 VM,而不是新的 VM。
内部负载均衡 (ILB) 对后端 VM 的 MAC 地址的处理不恰当,导致在后端网络上使用 Linux 实例时无法维持 ILB。 ILB 适用于后端网络上的 Windows 实例。
IP 转发功能在门户中可见,但启用 IP 转发却没有效果。 尚不支持此功能。
Azure Stack 支持对一个 IP 地址使用一个本地网关。 这适用于所有租户订阅。 在创建第一个本地网关连接以后,系统会阻止使用同一 IP 地址创建本地网关资源的后续尝试。
在使用 DNS 服务器设置“自动”创建的虚拟网络上,无法更改为自定义 DNS 服务器。 更新的设置不推送到该 Vnet 中的 VM。
Azure Stack 不支持在部署某个 VM 实例后向该 VM 添加其他的网络接口。 如果该 VM 需要多个网络接口,这些接口必须在部署时定义。
不能使用管理员门户更新网络安全组的规则。
针对应用服务的解决方法:如需通过远程桌面连接到控制器实例,请使用 PowerShell 修改网络安全组中的安全规则。 以下示例说明了如何先将配置设置为 allow,然后再还原为 deny:
Allow:
Login-AzureRMAccount -EnvironmentName AzureStackAdmin $nsg = Get-AzureRmNetworkSecurityGroup -Name "ControllersNsg" -ResourceGroupName "AppService.local" $RuleConfig_Inbound_Rdp_3389 = $nsg | Get-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" ##This doesn't work. Need to set properties again even in case of edit #Set-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" -NetworkSecurityGroup $nsg -Access Allow Set-AzureRmNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg ` -Name $RuleConfig_Inbound_Rdp_3389.Name ` -Description "Inbound_Rdp_3389" ` -Access Allow ` -Protocol $RuleConfig_Inbound_Rdp_3389.Protocol ` -Direction $RuleConfig_Inbound_Rdp_3389.Direction ` -Priority $RuleConfig_Inbound_Rdp_3389.Priority ` -SourceAddressPrefix $RuleConfig_Inbound_Rdp_3389.SourceAddressPrefix ` -SourcePortRange $RuleConfig_Inbound_Rdp_3389.SourcePortRange ` -DestinationAddressPrefix $RuleConfig_Inbound_Rdp_3389.DestinationAddressPrefix ` -DestinationPortRange $RuleConfig_Inbound_Rdp_3389.DestinationPortRange # Commit the changes back to NSG Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg
Deny:
Login-AzureRMAccount -EnvironmentName AzureStackAdmin $nsg = Get-AzureRmNetworkSecurityGroup -Name "ControllersNsg" -ResourceGroupName "AppService.local" $RuleConfig_Inbound_Rdp_3389 = $nsg | Get-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" ##This doesn't work. Need to set properties again even in case of edit #Set-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" -NetworkSecurityGroup $nsg -Access Allow Set-AzureRmNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg ` -Name $RuleConfig_Inbound_Rdp_3389.Name ` -Description "Inbound_Rdp_3389" ` -Access Deny ` -Protocol $RuleConfig_Inbound_Rdp_3389.Protocol ` -Direction $RuleConfig_Inbound_Rdp_3389.Direction ` -Priority $RuleConfig_Inbound_Rdp_3389.Priority ` -SourceAddressPrefix $RuleConfig_Inbound_Rdp_3389.SourceAddressPrefix ` -SourcePortRange $RuleConfig_Inbound_Rdp_3389.SourcePortRange ` -DestinationAddressPrefix $RuleConfig_Inbound_Rdp_3389.DestinationAddressPrefix ` -DestinationPortRange $RuleConfig_Inbound_Rdp_3389.DestinationPortRange # Commit the changes back to NSG Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg
SQL 和 MySQL
在继续操作之前,请查看这些发行说明开头附近的开始之前中的重要说明。
可能需要在长达一小时的时间过后,用户才能在新的 SQL 或 MySQL 部署中创建数据库。
只有资源提供程序才能在托管 SQL 或 MySQL 的服务器上创建项目。 如果在不是由资源提供程序创建的主机服务器上创建项目,则此类项目可能导致状态不匹配。
- 为 SQL 和 MySQL 资源提供程序创建 SKU 时,系列名称中不支持使用特殊字符(包括空格和句点)。
注意
更新到 Azure Stack 1802 以后,可以继续使用以前部署的 SQL 和 MySQL 资源提供程序。 建议在新版本发布后更新 SQL 和 MySQL。 与 Azure Stack 一样,请将更新按顺序应用到 SQL 和 MySQL 资源提供程序。 例如,如果使用版本 1710,请先应用版本 1711,然后应用 1712,再应用 1802 的更新。
安装更新 1802 不会影响用户现在使用 SQL 或 MySQL 资源提供程序。 不管所用资源提供程序的版本如何,在其数据库中的用户数据不会受到影响,仍然可用。
应用服务
在订阅中创建第一个 Azure 函数之前,用户必须先注册存储资源提供程序。
若要横向扩展基础结构(辅助角色、管理、前端角色),必须按照针对计算的发行说明中的说明来使用 PowerShell。
从 GitHub 下载 Azure Stack 工具
使用 invoke-webrequest PowerShell cmdlet 从 Github 下载 Azure Stack 工具时,收到一个错误:
- invoke-webrequest: 请求已终止: 未能创建 SSL/TLS 安全通道。
之所以发生此错误,是因为最近的 GitHub 支持弃用了 Tlsv1 和 Tlsv1.1 加密标准(PowerShell 的默认设置)。 有关详细信息,请参阅 Weak cryptographic standards removal notice(弱加密标准删除通知)。
若要解决此问题,请将
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
添加到脚本顶部,强制 PowerShell 控制台在从 GitHub 存储库下载项目时使用 TLSv1.2。
下载更新
可从此处下载 Azure Stack 1802 更新包。
更多信息
Microsoft 已提供某种方式让用户使用装有 1710 更新的特权终结点 (PEP) 来监视和恢复更新。
另请参阅
- 有关 Azure Stack 中更新管理的概述,请参阅在 Azure Stack 中管理更新的概述。
- 有关如何在 Azure Stack 中应用更新的详细信息,请参阅在 Azure Stack 中应用更新。