Požadavky na nasazení služby App Service ve službě Azure Stack Hub
Důležité
Před nasazením nebo aktualizací poskytovatele prostředků App Service aktualizujte službu Azure Stack Hub na podporovanou verzi (nebo v případě potřeby nasaďte nejnovější sadu Azure Stack Development Kit). Nezapomeňte si přečíst poznámky k verzi poskytovatele prostředků, kde se dozvíte o nových funkcích, opravách a všech známých problémech, které by mohly mít vliv na vaše nasazení.
Podporovaná minimální verze služby Azure Stack Hub verze App Service RP 2301 a novější Instalační program 2302 (poznámky k verzi)
Před nasazením Azure App Service ve službě Azure Stack Hub musíte provést požadované kroky v tomto článku.
Než začnete
V této části jsou uvedeny požadavky pro nasazení integrovaného systému i sady Azure Stack Development Kit (ASDK).
Požadavky na poskytovatele prostředků
Pokud jste už poskytovatele prostředků nainstalovali, pravděpodobně jste splnili následující požadavky a můžete tuto část přeskočit. V opačném případě před pokračováním proveďte tyto kroky:
Pokud jste to ještě neudělali, zaregistrujte svou instanci služby Azure Stack Hub v Azure. Tento krok je povinný, protože se budete připojovat k marketplace a stahovat položky z Azure.
Pokud neznáte funkci správy Marketplace na portálu pro správu služby Azure Stack Hub, přečtěte si téma Stažení položek z marketplace z Azure a publikování do služby Azure Stack Hub. Tento článek vás provede procesem stahování položek z Azure do marketplace služby Azure Stack Hub. Týká se připojených i odpojených scénářů. Pokud je vaše instance služby Azure Stack Hub odpojená nebo částečně připojená, je potřeba při přípravě na instalaci splnit další požadavky.
Aktualizujte domovský adresář Microsoft Entra. Od buildu 1910 musí být nová aplikace zaregistrovaná v tenantovi domovského adresáře. Tato aplikace umožní službě Azure Stack Hub úspěšně vytvářet a registrovat novější poskytovatele prostředků (jako je Event Hubs a další) ve vašem tenantovi Microsoft Entra. Jedná se o jednorázovou akci, kterou je potřeba provést po upgradu na build 1910 nebo novější. Pokud se tento krok nedokončí, instalace poskytovatele prostředků marketplace selžou.
- Po úspěšné aktualizaci instance služby Azure Stack Hub na verzi 1910 nebo vyšší postupujte podle pokynů ke klonování nebo stažení úložiště Azure Stack Hub Tools.
- Pak postupujte podle pokynů k aktualizaci domovského adresáře služby Azure Stack Hub Microsoft Entra (po instalaci aktualizací nebo nových poskytovatelů prostředků).
Instalační a pomocné skripty
Stáhněte si App Service pomocných skriptů nasazení služby Azure Stack Hub.
Poznámka
Pomocné skripty nasazení vyžadují modul AzureRM PowerShell. Podrobnosti o instalaci najdete v tématu Instalace modulu PowerShell AzureRM pro Službu Azure Stack Hub .
Stáhněte si instalační program App Service služby Azure Stack Hub.
Extrahujte soubory z pomocných skriptů .zip souboru. Extrahují se následující soubory a složky:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Složka Modules
- GraphAPI.psm1
Certifikáty a konfigurace serveru (integrované systémy)
Tato část obsahuje seznam požadavků pro nasazení integrovaného systému.
Požadavky na certifikáty
Pokud chcete spustit poskytovatele prostředků v produkčním prostředí, musíte zadat následující certifikáty:
- Výchozí certifikát domény
- Certifikát rozhraní API
- Publikování certifikátu
- Certifikát identity
Kromě konkrétních požadavků uvedených v následujících částech použijete nástroj později také k otestování obecných požadavků. Úplný seznam ověření najdete v tématu Ověřování certifikátů PKI služby Azure Stack Hub , včetně těchto:
- Formát souboru pro . PFX
- Použití klíče nastavené na ověřování serveru a klienta
- a několik dalších
Výchozí certifikát domény
Výchozí certifikát domény se umístí do front-endové role. Uživatelské aplikace pro žádost o zástupný znak nebo výchozí doménu na Azure App Service používat tento certifikát. Certifikát se používá také pro operace správy zdrojového kódu (Kudu).
Certifikát musí být ve formátu .pfx a měl by být certifikát se zástupným znakem se třemi předměty. Tento požadavek umožňuje jednomu certifikátu pokrýt výchozí doménu i koncový bod SCM pro operace správy zdrojového kódu.
Formát | Příklad |
---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Certifikát rozhraní API
Certifikát rozhraní API se umístí do role Správa. Poskytovatel prostředků ho používá k zabezpečení volání rozhraní API. Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS rozhraní API.
Formát | Příklad |
---|---|
api.appservice.<oblast>.<Název_>domény.<Rozšíření> | api.appservice.redmond.azurestack.external |
Publikování certifikátu
Certifikát pro roli Vydavatel zabezpečuje provoz FTPS pro vlastníky aplikací při nahrávání obsahu. Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS FTPS.
Formát | Příklad |
---|---|
ftp.appservice.<oblast>.<Název_>domény.<Rozšíření> | ftp.appservice.redmond.azurestack.external |
Certifikát identity
Certifikát pro aplikaci identit umožňuje:
- Integrace mezi adresářem Microsoft Entra ID nebo Active Directory Federation Services (AD FS) (AD FS), službou Azure Stack Hub a App Service pro podporu integrace s poskytovatelem výpočetních prostředků.
- Scénáře jednotného přihlašování pro pokročilé vývojářské nástroje v rámci Azure App Service ve službě Azure Stack Hub.
Certifikát pro identitu musí obsahovat předmět, který odpovídá následujícímu formátu.
Formát | Příklad |
---|---|
sso.appservice.<oblast>.<Název_>domény.<Rozšíření> | sso.appservice.redmond.azurestack.external |
Ověření certifikátů
Před nasazením poskytovatele prostředků App Service byste měli ověřit certifikáty, které chcete použít, pomocí nástroje Azure Stack Hub Readiness Checker, který je k dispozici na Galerie prostředí PowerShell. Nástroj Azure Stack Hub Readiness Checker ověřuje, jestli jsou vygenerované certifikáty PKI vhodné pro App Service nasazení.
Osvědčeným postupem je, že při práci s některým z potřebných certifikátů PKI služby Azure Stack Hub byste měli naplánovat dostatek času na testování a opětovné vydávání certifikátů v případě potřeby.
Příprava souborového serveru
Azure App Service vyžaduje použití souborového serveru. Pro produkční nasazení musí být souborový server nakonfigurovaný tak, aby byl vysoce dostupný a schopný zpracovávat chyby.
Šablona rychlý start pro souborový server s vysokou dostupností a SQL Server
K dispozici je teď šablona rychlého startu pro referenční architekturu, která nasadí souborový server a SQL Server. Tato šablona podporuje infrastrukturu Active Directory ve virtuální síti nakonfigurované tak, aby podporovala vysoce dostupné nasazení Azure App Service ve službě Azure Stack Hub.
Důležité
Tato šablona se nabízí jako reference nebo příklad nasazení požadavků. Vzhledem k tomu, že tyto servery spravuje operátor služby Azure Stack Hub, zejména v produkčních prostředích, měli byste šablonu nakonfigurovat podle potřeby nebo podle požadavků vaší organizace.
Poznámka
Aby bylo možné dokončit nasazení, musí být instance integrovaného systému schopná stahovat prostředky z GitHubu.
Postup nasazení vlastního souborového serveru
Důležité
Pokud se rozhodnete nasadit App Service ve stávající virtuální síti, souborový server by měl být nasazený do samostatné podsítě než App Service.
Poznámka
Pokud jste se rozhodli nasadit souborový server pomocí některé z výše uvedených šablon pro rychlý start, můžete tuto část přeskočit, protože souborové servery se konfigurují jako součást nasazení šablony.
Zřizování skupin a účtů ve službě Active Directory
Vytvořte následující globální skupiny zabezpečení služby Active Directory:
- Vlastníci sdílené složky
- FileShareUsers
Vytvořte následující účty Služby Active Directory jako účty služby:
- Vlastník sdílené složky
- Uživatel sdílené složky
Jako osvědčený postup zabezpečení by uživatelé těchto účtů (a všech webových rolí) měli být jedineční a měli by mít silná uživatelská jména a hesla. Nastavte hesla s následujícími podmínkami:
- Platnost povolení hesla nikdy nevyprší.
- Povolit : Uživatel nemůže změnit heslo.
- Zakázat Uživatel musí při příštím přihlášení změnit heslo.
Přidejte účty do členství ve skupinách následujícím způsobem:
- Přidejte FileShareOwner do skupiny FileShareOwners .
- Přidejte FileShareUser do skupiny FileShareUsers .
Zřízení skupin a účtů v pracovní skupině
Poznámka
Při konfiguraci souborového serveru spusťte z příkazového řádku správce všechny následující příkazy.
Nepoužívejte PowerShell.
Když použijete šablonu Azure Resource Manager, uživatelé jsou už vytvořeni.
Spuštěním následujících příkazů vytvořte účty FileShareOwner a FileShareUser. Nahraďte
<password>
vlastními hodnotami.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
Spuštěním následujících příkazů WMIC nastavte hesla účtů tak, aby nikdy nevyprší platnost:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
Vytvořte místní skupiny FileShareUsers a FileShareOwners a přidejte do nich účty v prvním kroku:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Zřízení sdílené složky obsahu
Sdílená složka obsahu obsahuje obsah webu tenanta. Postup zřízení sdílené složky obsahu na jednom souborovém serveru je stejný pro prostředí služby Active Directory i pracovní skupiny. U clusteru s podporou převzetí služeb při selhání ve službě Active Directory je to ale jiné.
Zřízení sdílené složky obsahu na jednom souborovém serveru (Active Directory nebo pracovní skupina)
Na jednom souborovém serveru spusťte na příkazovém řádku se zvýšenými oprávněními následující příkazy. Nahraďte hodnotu C:\WebSites
odpovídajícími cestami ve vašem prostředí.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Konfigurace řízení přístupu ke sdíleným složkám
Na příkazovém řádku se zvýšenými oprávněními na souborovém serveru nebo v uzlu clusteru s podporou převzetí služeb při selhání, který je aktuálním vlastníkem prostředku clusteru, spusťte následující příkazy. Nahraďte hodnoty kurzívou hodnotami, které jsou specifické pro vaše prostředí.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Pracovní skupina
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Příprava instance SQL Serveru
Poznámka
Pokud jste se rozhodli nasadit šablonu pro rychlý start pro souborový server s vysokou dostupností a SQL Server, můžete tuto část přeskočit, protože šablona nasazuje a konfiguruje SQL Server v konfiguraci vysoké dostupnosti.
Pro Azure App Service v databázích hostování a měření služby Azure Stack Hub musíte připravit SQL Server instanci pro uložení App Service databází.
Pro účely produkčního prostředí a vysoké dostupnosti byste měli použít plnou verzi SQL Server 2014 SP2 nebo novější, povolit ověřování ve smíšeném režimu a provést nasazení v konfiguraci s vysokou dostupností.
Instance SQL Server pro Azure App Service ve službě Azure Stack Hub musí být přístupná ze všech rolí App Service. SQL Server můžete nasadit v rámci předplatného výchozího poskytovatele ve službě Azure Stack Hub. Nebo můžete využít stávající infrastrukturu ve vaší organizaci (pokud je připojení ke službě Azure Stack Hub). Pokud používáte image Azure Marketplace, nezapomeňte odpovídajícím způsobem nakonfigurovat bránu firewall.
Poznámka
Řada imagí virtuálních počítačů SQL IaaS je k dispozici prostřednictvím funkce Správa Marketplace. Před nasazením virtuálního počítače pomocí položky Marketplace nezapomeňte vždy stáhnout nejnovější verzi rozšíření SQL IaaS. Image SQL jsou stejné jako virtuální počítače SQL, které jsou k dispozici v Azure. Pro virtuální počítače SQL vytvořené z těchto imagí nabízí rozšíření IaaS a odpovídající vylepšení portálu funkce, jako jsou automatické opravy a možnosti zálohování.
Pro libovolnou SQL Server role můžete použít výchozí instanci nebo pojmenovanou instanci. Pokud používáte pojmenovanou instanci, nezapomeňte ručně spustit službu SQL Server Browser a otevřít port 1434.
Instalační program App Service zkontroluje, jestli má SQL Server povolené omezování databáze. Pokud chcete povolit uzavření databáze na SQL Server, která bude hostitelem App Service databází, spusťte tyto příkazy SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certifikáty a konfigurace serveru (ASDK)
Tato část obsahuje seznam požadavků pro nasazení sady ASDK.
Certifikáty požadované pro nasazení sady ASDK Azure App Service
Skript Create-AppServiceCerts.ps1 spolupracuje s certifikační autoritou služby Azure Stack Hub a vytváří čtyři certifikáty, které App Service potřeba.
Název souboru | Použití |
---|---|
_.appservice.local.azurestack.external.pfx | App Service výchozího certifikátu SSL |
api.appservice.local.azurestack.external.pfx | Certifikát SSL rozhraní APP SERVICE API |
ftp.appservice.local.azurestack.external.pfx | certifikát SSL vydavatele App Service |
sso.appservice.local.azurestack.external.pfx | App Service certifikát aplikace identity |
Chcete-li vytvořit certifikáty, postupujte takto:
- Přihlaste se k hostiteli ASDK pomocí účtu AzureStack\AzureStackAdmin.
- Otevřete relaci PowerShellu se zvýšenými oprávněními.
- Spusťte skriptCreate-AppServiceCerts.ps1 ze složky, do které jste extrahovali pomocné skripty. Tento skript vytvoří čtyři certifikáty ve stejné složce jako skript, který App Service potřebuje k vytváření certifikátů.
- Zadejte heslo pro zabezpečení souborů .pfx a poznamenejte si ho. Musíte ho zadat později v App Service v instalačním programu služby Azure Stack Hub.
Create-AppServiceCerts.ps1 parametrů skriptu
Parametr | Požadované nebo volitelné | Výchozí hodnota | Description |
---|---|---|---|
pfxPassword | Vyžadováno | Null | Heslo, které pomáhá chránit privátní klíč certifikátu |
DomainName | Vyžadováno | local.azurestack.external | Oblast a přípona domény služby Azure Stack Hub |
Šablona rychlého zprovoznění pro souborový server pro nasazení Azure App Service v ASDK
Pouze v případě nasazení ASDK můžete k nasazení nakonfigurovaného souborového serveru s jedním uzlem použít ukázkovou šablonu nasazení Azure Resource Manager. Souborový server s jedním uzlem bude v pracovní skupině.
Poznámka
Aby bylo možné dokončit nasazení, musí být instance ASDK schopná stáhnout prostředky z GitHubu.
SQL Server instance
Pro Azure App Service v databázích hostování a měření služby Azure Stack Hub musíte připravit SQL Server instanci pro uložení App Service databází.
Pro nasazení ASDK můžete použít SQL Server Express 2014 SP2 nebo novější. SQL Server musí být nakonfigurované tak, aby podporovaly ověřování ve smíšeném režimu, protože App Service ve službě Azure Stack Hub nepodporuje ověřování systému Windows.
Instance SQL Server pro Azure App Service ve službě Azure Stack Hub musí být přístupná ze všech rolí App Service. SQL Server můžete nasadit v rámci předplatného výchozího poskytovatele ve službě Azure Stack Hub. Nebo můžete využít stávající infrastrukturu ve vaší organizaci (pokud je připojení ke službě Azure Stack Hub). Pokud používáte image Azure Marketplace, nezapomeňte odpovídajícím způsobem nakonfigurovat bránu firewall.
Poznámka
Řada imagí virtuálních počítačů SQL IaaS je k dispozici prostřednictvím funkce Správa Marketplace. Před nasazením virtuálního počítače pomocí položky Marketplace nezapomeňte vždy stáhnout nejnovější verzi rozšíření SQL IaaS. Image SQL jsou stejné jako virtuální počítače SQL, které jsou k dispozici v Azure. Pro virtuální počítače SQL vytvořené z těchto imagí nabízí rozšíření IaaS a odpovídající vylepšení portálu funkce, jako jsou automatické opravy a možnosti zálohování.
Pro libovolnou SQL Server role můžete použít výchozí instanci nebo pojmenovanou instanci. Pokud používáte pojmenovanou instanci, nezapomeňte ručně spustit službu SQL Server Browser a otevřít port 1434.
Instalační program App Service zkontroluje, jestli má SQL Server povolené omezování databáze. Pokud chcete povolit uzavření databáze na SQL Server, která bude hostitelem App Service databází, spusťte tyto příkazy SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Aspekty licencování požadovaného souborového serveru a SQL Serveru
Azure App Service ve službě Azure Stack Hub vyžaduje k provozu souborový server a SQL Server. Můžete používat existující prostředky umístěné mimo vaše nasazení služby Azure Stack Hub nebo nasazovat prostředky v rámci jejich předplatného výchozího poskytovatele služby Azure Stack Hub.
Pokud se rozhodnete nasadit prostředky v rámci předplatného výchozího poskytovatele služby Azure Stack Hub, budou licence pro tyto prostředky (licence windows serveru a licence SQL Server) zahrnuty do nákladů na Azure App Service ve službě Azure Stack Hub s následujícími omezeními:
- infrastruktura je nasazena do výchozího předplatného poskytovatele;
- infrastrukturu používá výhradně Azure App Service poskytovatele prostředků služby Azure Stack Hub. Žádné jiné úlohy, administrativní (jiní poskytovatelé prostředků, například: SQL-RP) nebo tenant (například aplikace tenanta, které vyžadují databázi), nemají povoleno využívat tuto infrastrukturu.
Provozní odpovědnost souborových serverů a SQL serverů
Operátoři cloudu zodpovídají za údržbu a provoz souborového serveru a SQL Server. Poskytovatel prostředků tyto prostředky nespravuje. Operátor cloudu zodpovídá za zálohování App Service databází a sdílené složky obsahu tenanta.
Načtení kořenového certifikátu Azure Resource Manager pro službu Azure Stack Hub
Otevřete relaci PowerShellu se zvýšenými oprávněními na počítači, který se může připojit k privilegovanému koncovému bodu v integrovaném systému Azure Stack Hub nebo hostiteli ASDK.
Spusťte skriptGet-AzureStackRootCert.ps1 ze složky, do které jste extrahovali pomocné skripty. Skript vytvoří kořenový certifikát ve stejné složce jako skript, který App Service potřebuje k vytváření certifikátů.
Když spustíte následující příkaz PowerShellu, musíte zadat privilegovaný koncový bod a přihlašovací údaje pro AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Get-AzureStackRootCert.ps1 parametrů skriptu
Parametr | Požadované nebo volitelné | Výchozí hodnota | Description |
---|---|---|---|
PrivilegedEndpoint | Vyžadováno | AzS-ERCS01 | Privilegovaný koncový bod |
Přihlašovací údaje správce cloudu | Vyžadováno | AzureStack\CloudAdmin | Přihlašovací údaje účtu domény pro správce cloudu Azure Stack Hub |
Konfigurace sítě a identity
Virtuální síť
Poznámka
Předběžné vytvoření vlastní virtuální sítě je volitelné, protože Azure App Service ve službě Azure Stack Hub může vytvořit požadovanou virtuální síť, ale pak bude muset komunikovat s SQL a souborovým serverem přes veřejné IP adresy. Pokud k nasazení požadovaných prostředků SQL a souborového serveru použijete App Service Souborový server s vysokou dostupností a šablonu rychlý start SQL Server, nasadí šablona také virtuální síť.
Azure App Service ve službě Azure Stack Hub umožňuje nasadit poskytovatele prostředků do existující virtuální sítě nebo vytvořit virtuální síť jako součást nasazení. Použití existující virtuální sítě umožňuje použití interních IP adres pro připojení k souborovém serveru a SQL Server vyžadovaných Azure App Service ve službě Azure Stack Hub. Před instalací Azure App Service ve službě Azure Stack Hub musí být virtuální síť nakonfigurovaná s následujícím rozsahem adres a podsítěmi:
Virtuální síť – /16
Podsítě
- ControllersSubnet /24
- ManagementServersSubnet /24
- /24 podsítě frontEndsSubnet
- PublishersSubnet /24
- /21 WorkerSubnet
Důležité
Pokud se rozhodnete nasadit App Service ve stávající virtuální síti, měla by se SQL Server nasadit do samostatné podsítě, než je App Service a souborový server.
Vytvoření aplikace identity pro povolení scénářů jednotného přihlašování
Azure App Service používá aplikaci identity (instanční objekt) k podpoře následujících operací:
- Integrace škálovací sady virtuálních počítačů na úrovních pracovního procesu
- Jednotné přihlašování pro portál Azure Functions a pokročilé vývojářské nástroje (Kudu).
V závislosti na tom, jakého zprostředkovatele identity azure Stack Hub používá, musíte Microsoft Entra ID nebo Active Directory Federation Services (AD FS) (ADFS) podle následujících příslušných kroků vytvořit instanční objekt, který bude používat Azure App Service ve službě Azure Stack Hub..
Vytvoření aplikace Microsoft Entra
Pomocí následujícího postupu vytvořte instanční objekt ve svém tenantovi Microsoft Entra:
- Otevřete instanci PowerShellu jako azurestack\AzureStackAdmin.
- Přejděte do umístění skriptů, které jste stáhli a extrahovali v požadovaném kroku.
- Nainstalujte PowerShell pro Azure Stack Hub.
- Spusťte skriptCreate-AADIdentityApp.ps1 . Po zobrazení výzvy zadejte ID Microsoft Entra tenanta, které používáte pro nasazení služby Azure Stack Hub. Zadejte například myazurestack.onmicrosoft.com.
- V okně Přihlašovací údaje zadejte účet a heslo správce služby Microsoft Entra. Vyberte OK.
- Zadejte cestu k souboru certifikátu a heslo certifikátu vytvořeného dříve. Certifikát vytvořený pro tento krok je ve výchozím nastavení sso.appservice.local.azurestack.external.pfx.
- Poznamenejte si ID aplikace vrácené ve výstupu PowerShellu. ID použijete v následujících krocích k poskytnutí souhlasu s oprávněními aplikace a během instalace.
- Otevřete nové okno prohlížeče a přihlaste se k Azure Portal jako správce služby Microsoft Entra.
- Otevřete službu Microsoft Entra.
- V levém podokně vyberte Registrace aplikací .
- Vyhledejte ID aplikace, které jste si poznamenali v kroku 7.
- V seznamu vyberte App Service registraci aplikace.
- V levém podokně vyberte Oprávnění rozhraní API .
- Vyberte Udělit souhlas správce pro <tenanta>, kde <tenant> je název vašeho Microsoft Entra tenanta. Potvrďte udělení souhlasu tak, že vyberete Ano.
Create-AADIdentityApp.ps1
Parametr | Požadované nebo volitelné | Výchozí hodnota | Description |
---|---|---|---|
Název tenanta adresáře | Vyžadováno | Null | Microsoft Entra ID tenanta. Zadejte identifikátor GUID nebo řetězec. Příkladem je myazureaaddirectory.onmicrosoft.com. |
AdminArmEndpoint | Vyžadováno | Null | Správa koncový bod Azure Resource Manager. Příkladem je adminmanagement.local.azurestack.external. |
Koncový bod TENANTARMEndpoint | Vyžadováno | Null | Koncový bod Azure Resource Manager tenanta. Příkladem je management.local.azurestack.external. |
AzureStackAdminCredential | Vyžadováno | Null | Microsoft Entra přihlašovací údaje správce služby. |
Cesta_souboru_certifikátu | Vyžadováno | Null | Úplná cesta k souboru certifikátu aplikace identity vygenerovanému dříve. |
Heslo certifikátu | Vyžadováno | Null | Heslo, které pomáhá chránit privátní klíč certifikátu. |
Prostředí | Volitelné | AzureCloud | Název podporovaného cloudového prostředí, ve kterém je k dispozici cílová služba Azure Active Directory Graph. Povolené hodnoty: AzureCloud, AzureChinaCloud, AzureUSGovernment, AzureGermanCloud. |
Vytvoření aplikace ADFS
- Otevřete instanci PowerShellu jako azurestack\AzureStackAdmin.
- Přejděte do umístění skriptů, které jste stáhli a extrahovali v požadovaném kroku.
- Nainstalujte PowerShell pro Azure Stack Hub.
- Spusťte skriptCreate-ADFSIdentityApp.ps1 .
- V okně Přihlašovací údaje zadejte svůj účet a heslo správce cloudu AD FS. Vyberte OK.
- Zadejte cestu k souboru certifikátu a heslo certifikátu vytvořeného dříve. Certifikát vytvořený pro tento krok je ve výchozím nastavení sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
Parametr | Požadované nebo volitelné | Výchozí hodnota | Description |
---|---|---|---|
AdminArmEndpoint | Vyžadováno | Null | Správa koncový bod Azure Resource Manager. Příkladem je adminmanagement.local.azurestack.external. |
PrivilegedEndpoint | Vyžadováno | Null | Privilegovaný koncový bod. Příkladem je AzS-ERCS01. |
Přihlašovací údaje správce cloudu | Vyžadováno | Null | Přihlašovací údaje účtu domény pro správce cloudu Azure Stack Hub Příkladem je Azurestack\CloudAdmin. |
Cesta_souboru_certifikátu | Vyžadováno | Null | Úplná cesta k souboru PFX certifikátu aplikace identity. |
Heslo certifikátu | Vyžadováno | Null | Heslo, které pomáhá chránit privátní klíč certifikátu. |
Stažení položek z Azure Marketplace
Azure App Service ve službě Azure Stack Hub vyžaduje, aby se položky stáhly z Azure Marketplace, aby byly dostupné na marketplace služby Azure Stack Hub. Tyto položky je potřeba stáhnout před zahájením nasazení nebo upgradu Azure App Service ve službě Azure Stack Hub:
Důležité
Jádro Windows Serveru není podporovaná image platformy pro použití s Azure App Service ve službě Azure Stack Hub.
Nepoužívejte zkušební image pro produkční nasazení.
- Nejnovější verze image virtuálního počítače s Windows Serverem 2022 Datacenter
Úplná image virtuálního počítače s Windows Serverem 2022 Datacenter s aktivovanou Microsoft.Net 3.5.1 SP1. Azure App Service ve službě Azure Stack Hub vyžaduje, aby byla na imagi použité k nasazení aktivována aktualizace Microsoft .NET 3.5.1 SP1. Image Windows Serveru 2022 syndikované z marketplace nemají tuto funkci povolenou a v odpojených prostředích se nemůžou spojit se službou Microsoft Update a stáhnout balíčky pro instalaci přes DISM. Proto musíte vytvořit a použít bitovou kopii systému Windows Server 2022 s touto funkcí předem povolenou s odpojenými nasazeními.
Podrobnosti o vytvoření vlastní image a přidání na Marketplace najdete v tématu Přidání vlastní image virtuálního počítače do služby Azure Stack Hub . Při přidávání image na Marketplace nezapomeňte zadat následující vlastnosti:
- Publisher = MicrosoftWindowsServer
- Nabídka = WindowsServer
- Skladová položka = AppService
- Version = Zadejte "nejnovější" verzi.
- Rozšíření vlastních skriptů verze 1.9.1 nebo vyšší. Tato položka je rozšířením virtuálního počítače.