Požadavky na nasazení služby App Service ve službě Azure Stack Hub

Důležité

Před nasazením nebo aktualizací poskytovatele prostředků App Service aktualizujte službu Azure Stack Hub na podporovanou verzi (nebo v případě potřeby nasaďte nejnovější sadu Azure Stack Development Kit). Nezapomeňte si přečíst poznámky k verzi rp, kde se dozvíte o nových funkcích, opravách a všech známých problémech, které by mohly mít vliv na vaše nasazení.

Podporovaná verze služby Azure Stack Hub App Service verze RP
2206.2.52 Instalační program 2022.H1 (poznámky k verzi)
2108.2.127 Instalační program 2022.H1 (poznámky k verzi)
2108 Instalační program 2021.Q3 (poznámky k verzi)
2102 Instalační program 2021.Q1 (poznámky k verzi)

Před nasazením Azure App Service ve službě Azure Stack Hub je nutné provést požadované kroky v tomto článku.

Než začnete

V této části jsou uvedeny požadavky pro nasazení integrovaného systému i sady Azure Stack Development Kit (ASDK).

Požadavky na poskytovatele prostředků

Pokud jste už poskytovatele prostředků nainstalovali, pravděpodobně jste splnili následující požadavky a tuto část můžete přeskočit. Jinak před pokračováním proveďte tyto kroky:

  1. Zaregistrujte instanci služby Azure Stack Hub v Azure, pokud jste to ještě neudělali. Tento krok je povinný, protože se budete připojovat k marketplace a stahovat položky z Azure.

  2. Pokud nejste obeznámeni s funkcí správa marketplace na portálu pro správu služby Azure Stack Hub, přečtěte si téma Stažení položek z marketplace z Azure a publikování do služby Azure Stack Hub. Tento článek vás provede procesem stahování položek z Azure na marketplace služby Azure Stack Hub. Zabývá se připojenými i odpojenými scénáři. Pokud je vaše instance služby Azure Stack Hub odpojená nebo částečně připojená, při přípravě na instalaci je potřeba splnit další požadavky.

  3. Aktualizujte domovský adresář Azure Active Directory (Azure AD). Od buildu 1910 musí být nová aplikace zaregistrovaná v tenantovi domovského adresáře. Tato aplikace umožní službě Azure Stack Hub úspěšně vytvářet a registrovat novější poskytovatele prostředků (jako je Event Hubs a další) s vaším tenantem Azure AD. Jedná se o jednorázovou akci, kterou je potřeba provést po upgradu na build 1910 nebo novější. Pokud se tento krok nedokončí, instalace poskytovatele prostředků marketplace selžou.

Instalační a pomocné skripty

  1. Stáhněte si App Service pomocných skriptů nasazení služby Azure Stack Hub.

    Poznámka

    Skripty pomocných rutin nasazení vyžadují modul AzureRM PowerShell. Podrobnosti o instalaci najdete v tématu Instalace modulu PowerShell AzureRM pro službu Azure Stack Hub .

  2. Stáhněte si App Service v instalačním programu služby Azure Stack Hub.

  3. Extrahujte soubory z pomocných skriptů .zip souboru. Extrahují se následující soubory a složky:

    • Common.ps1
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • BCDR
      • ReACL.cmd
    • Složka Modules
      • GraphAPI.psm1

Certifikáty a konfigurace serveru (integrované systémy)

Tato část obsahuje seznam požadavků pro nasazení integrovaného systému.

Požadavky na certifikáty

Pokud chcete poskytovatele prostředků spustit v produkčním prostředí, musíte zadat následující certifikáty:

  • Výchozí certifikát domény
  • Certifikát rozhraní API
  • Publikování certifikátu
  • Certifikát identity

Kromě konkrétních požadavků uvedených v následujících částech použijete později také nástroj k otestování obecných požadavků. Úplný seznam ověření najdete v tématu Ověřování certifikátů PKI služby Azure Stack Hub , včetně následujících:

  • Formát souboru . Pfx
  • Použití klíče nastavené na ověřování serveru a klienta
  • a několik dalších

Výchozí certifikát domény

Výchozí certifikát domény se umístí do front-endové role. Uživatelské aplikace pro žádost o zástupný znak nebo výchozí doménu pro Azure App Service používat tento certifikát. Certifikát se používá také pro operace správy zdrojového kódu (Kudu).

Certifikát musí být ve formátu .pfx a měl by se jednat o certifikát se zástupným znakem se třemi předměty. Tento požadavek umožňuje jednomu certifikátu pokrýt jak výchozí doménu, tak koncový bod SCM pro operace správy zdrojového kódu.

Formát Příklad
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

Certifikát rozhraní API

Certifikát rozhraní API se umístí do role správa. Poskytovatel prostředků ho používá k zabezpečení volání rozhraní API. Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS rozhraní API.

Formát Příklad
api.appservice.< oblast>.< Název_>domény.< Rozšíření> api.appservice.redmond.azurestack.external

Publikování certifikátu

Certifikát pro roli Vydavatel zabezpečuje provoz FTPS pro vlastníky aplikací při nahrávání obsahu. Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS FTPS.

Formát Příklad
ftp.appservice.< oblast>.< Název_>domény.< Rozšíření> ftp.appservice.redmond.azurestack.external

Certifikát identity

Certifikát pro aplikaci identity umožňuje:

  • Integrace mezi adresářem Azure Active Directory (Azure AD) nebo Active Directory Federation Services (AD FS) (AD FS) a službou Azure Stack Hub a App Service pro podporu integrace s poskytovatelem výpočetních prostředků.
  • Scénáře jednotného přihlašování pro pokročilé vývojářské nástroje v rámci Azure App Service ve službě Azure Stack Hub.

Certifikát pro identitu musí obsahovat předmět, který odpovídá následujícímu formátu.

Formát Příklad
sso.appservice.< oblast>.< Název_>domény.< Rozšíření> sso.appservice.redmond.azurestack.external

Ověření certifikátů

Před nasazením poskytovatele prostředků App Service byste měli ověřit certifikáty, které se mají použít, pomocí nástroje Azure Stack Hub Readiness Checker, který je k dispozici na Galerie prostředí PowerShell. Nástroj Azure Stack Hub Readiness Checker ověřuje, jestli jsou vygenerované certifikáty PKI vhodné pro App Service nasazení.

Osvědčeným postupem je při práci s některým z potřebných certifikátů PKI služby Azure Stack Hub naplánovat dostatek času k otestování a opětovnému vydávání certifikátů, pokud je to potřeba.

Příprava souborového serveru

Azure App Service vyžaduje použití souborového serveru. U produkčních nasazení musí být souborový server nakonfigurovaný tak, aby byl vysoce dostupný a schopný zpracovávat chyby.

Šablona rychlého zprovoznění pro souborový server s vysokou dostupností a SQL Server

K dispozici je teď šablona rychlého startu pro referenční architekturu, která nasadí souborový server a SQL Server. Tato šablona podporuje infrastrukturu Active Directory ve virtuální síti nakonfigurované tak, aby podporovala vysoce dostupné nasazení Azure App Service ve službě Azure Stack Hub.

Důležité

Tato šablona je nabízena jako reference nebo příklad nasazení požadavků. Vzhledem k tomu, že tyto servery spravuje operátor služby Azure Stack Hub, zejména v produkčních prostředích, měli byste šablonu nakonfigurovat podle potřeby nebo podle požadavků vaší organizace.

Poznámka

Aby bylo možné dokončit nasazení, musí být instance integrovaného systému schopná stahovat prostředky z GitHubu.

Postup nasazení vlastního souborového serveru

Důležité

Pokud se rozhodnete nasadit App Service ve stávající virtuální síti, souborový server by měl být nasazený do samostatné podsítě než App Service.

Poznámka

Pokud jste se rozhodli nasadit souborový server pomocí některé z výše uvedených šablon pro rychlý start, můžete tuto část přeskočit, protože souborové servery se konfigurují jako součást nasazení šablony.

Zřizování skupin a účtů ve službě Active Directory
  1. Vytvořte následující globální skupiny zabezpečení služby Active Directory:

    • Vlastníci sdílené složky
    • FileShareUsers
  2. Vytvořte následující účty Služby Active Directory jako účty služby:

    • Vlastník sdílené složky
    • Uživatel sdílené složky

    Jako osvědčený postup zabezpečení by uživatelé těchto účtů (a všech webových rolí) měli být jedineční a měli by mít silná uživatelská jména a hesla. Nastavte hesla s následujícími podmínkami:

    • Platnost povolení hesla nikdy nevyprší.
    • Povolit : Uživatel nemůže změnit heslo.
    • Zakázat Uživatel musí při příštím přihlášení změnit heslo.
  3. Přidejte účty do členství ve skupinách následujícím způsobem:

    • Přidejte FileShareOwner do skupiny FileShareOwners .
    • Přidejte FileShareUser do skupiny FileShareUsers .
Zřízení skupin a účtů v pracovní skupině

Poznámka

Při konfiguraci souborového serveru spusťte z příkazového řádku správce všechny následující příkazy.
Nepoužívejte PowerShell.

Když použijete šablonu Azure Resource Manager, uživatelé jsou už vytvořeni.

  1. Spuštěním následujících příkazů vytvořte účty FileShareOwner a FileShareUser. Nahraďte <password> vlastními hodnotami.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. Spuštěním následujících příkazů WMIC nastavte hesla účtů tak, aby nikdy nevyprší platnost:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. Vytvořte místní skupiny FileShareUsers a FileShareOwners a přidejte do nich účty v prvním kroku:

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

Zřízení sdílené složky obsahu

Sdílená složka obsahu obsahuje obsah webu tenanta. Postup zřízení sdílené složky obsahu na jednom souborovém serveru je stejný pro prostředí služby Active Directory i pracovní skupiny. U clusteru s podporou převzetí služeb při selhání ve službě Active Directory je to ale jiné.

Zřízení sdílené složky obsahu na jednom souborovém serveru (Active Directory nebo pracovní skupina)

Na jednom souborovém serveru spusťte na příkazovém řádku se zvýšenými oprávněními následující příkazy. Nahraďte hodnotu C:\WebSites odpovídajícími cestami ve vašem prostředí.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Konfigurace řízení přístupu ke sdíleným složkám

Na příkazovém řádku se zvýšenými oprávněními na souborovém serveru nebo v uzlu clusteru s podporou převzetí služeb při selhání, který je aktuálním vlastníkem prostředku clusteru, spusťte následující příkazy. Nahraďte hodnoty kurzívou hodnotami, které jsou specifické pro vaše prostředí.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Pracovní skupina

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Příprava instance SQL Serveru

Poznámka

Pokud jste se rozhodli nasadit šablonu rychlý start pro souborový server s vysokou dostupností a SQL Server, můžete tuto část přeskočit, protože šablona nasazuje a konfiguruje SQL Server v konfiguraci vysoké dostupnosti.

Pro Azure App Service v databázích hostování a měření služby Azure Stack Hub musíte připravit SQL Server instanci pro uložení App Service databází.

Pro účely produkčního prostředí a vysoké dostupnosti byste měli použít plnou verzi SQL Server 2014 SP2 nebo novější, povolit ověřování ve smíšeném režimu a nasadit ji v konfiguraci s vysokou dostupností.

Instance SQL Server pro Azure App Service ve službě Azure Stack Hub musí být přístupná ze všech rolí App Service. SQL Server můžete nasadit v rámci předplatného výchozího poskytovatele ve službě Azure Stack Hub. Nebo můžete využít stávající infrastrukturu ve vaší organizaci (pokud je připojení ke službě Azure Stack Hub). Pokud používáte image Azure Marketplace, nezapomeňte odpovídajícím způsobem nakonfigurovat bránu firewall.

Poznámka

Řada imagí virtuálních počítačů SQL IaaS je k dispozici prostřednictvím funkce Správa Marketplace. Před nasazením virtuálního počítače pomocí položky Marketplace nezapomeňte vždy stáhnout nejnovější verzi rozšíření SQL IaaS. Image SQL jsou stejné jako virtuální počítače SQL, které jsou k dispozici v Azure. Pro virtuální počítače SQL vytvořené z těchto imagí nabízí rozšíření IaaS a odpovídající vylepšení portálu funkce, jako jsou automatické opravy a možnosti zálohování.

Pro libovolnou SQL Server role můžete použít výchozí instanci nebo pojmenovanou instanci. Pokud používáte pojmenovanou instanci, nezapomeňte ručně spustit službu SQL Server Browser a otevřít port 1434.

Instalační program App Service zkontroluje, jestli má SQL Server povolené omezování databáze. Pokud chcete povolit uzavření databáze na SQL Server, která bude hostitelem App Service databází, spusťte tyto příkazy SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Certifikáty a konfigurace serveru (ASDK)

Tato část obsahuje seznam požadavků pro nasazení sady ASDK.

Certifikáty požadované pro nasazení sady ASDK Azure App Service

Skript Create-AppServiceCerts.ps1 spolupracuje s certifikační autoritou služby Azure Stack Hub a vytváří čtyři certifikáty, které App Service potřeba.

Název souboru Použití
_.appservice.local.azurestack.external.pfx App Service výchozího certifikátu SSL
api.appservice.local.azurestack.external.pfx Certifikát SSL rozhraní APP SERVICE API
ftp.appservice.local.azurestack.external.pfx certifikát SSL vydavatele App Service
sso.appservice.local.azurestack.external.pfx App Service certifikát aplikace identity

Chcete-li vytvořit certifikáty, postupujte takto:

  1. Přihlaste se k hostiteli ASDK pomocí účtu AzureStack\AzureStackAdmin.
  2. Otevřete relaci PowerShellu se zvýšenými oprávněními.
  3. Spusťte skriptCreate-AppServiceCerts.ps1 ze složky, do které jste extrahovali pomocné skripty. Tento skript vytvoří čtyři certifikáty ve stejné složce jako skript, který App Service potřebuje k vytváření certifikátů.
  4. Zadejte heslo pro zabezpečení souborů .pfx a poznamenejte si ho. Musíte ho zadat později v App Service v instalačním programu služby Azure Stack Hub.

Create-AppServiceCerts.ps1 parametrů skriptu

Parametr Požadované nebo volitelné Výchozí hodnota Description
pfxPassword Vyžadováno Null Heslo, které pomáhá chránit privátní klíč certifikátu
DomainName Vyžadováno local.azurestack.external Oblast a přípona domény služby Azure Stack Hub

Šablona rychlého zprovoznění pro souborový server pro nasazení Azure App Service v ASDK

Pouze v případě nasazení ASDK můžete k nasazení nakonfigurovaného souborového serveru s jedním uzlem použít ukázkovou šablonu nasazení Azure Resource Manager. Souborový server s jedním uzlem bude v pracovní skupině.

Poznámka

Aby bylo možné dokončit nasazení, musí být instance ASDK schopná stáhnout prostředky z GitHubu.

SQL Server instance

Pro Azure App Service v databázích hostování a měření služby Azure Stack Hub musíte připravit SQL Server instanci pro uložení App Service databází.

Pro nasazení ASDK můžete použít SQL Server Express 2014 SP2 nebo novější. SQL Server musí být nakonfigurované tak, aby podporovaly ověřování ve smíšeném režimu, protože App Service ve službě Azure Stack Hub nepodporuje ověřování systému Windows.

Instance SQL Server pro Azure App Service ve službě Azure Stack Hub musí být přístupná ze všech rolí App Service. SQL Server můžete nasadit v rámci předplatného výchozího poskytovatele ve službě Azure Stack Hub. Nebo můžete využít stávající infrastrukturu ve vaší organizaci (pokud je připojení ke službě Azure Stack Hub). Pokud používáte image Azure Marketplace, nezapomeňte odpovídajícím způsobem nakonfigurovat bránu firewall.

Poznámka

Řada imagí virtuálních počítačů SQL IaaS je k dispozici prostřednictvím funkce Správa Marketplace. Před nasazením virtuálního počítače pomocí položky Marketplace nezapomeňte vždy stáhnout nejnovější verzi rozšíření SQL IaaS. Image SQL jsou stejné jako virtuální počítače SQL, které jsou k dispozici v Azure. Pro virtuální počítače SQL vytvořené z těchto imagí nabízí rozšíření IaaS a odpovídající vylepšení portálu funkce, jako jsou automatické opravy a možnosti zálohování.

Pro libovolnou SQL Server role můžete použít výchozí instanci nebo pojmenovanou instanci. Pokud používáte pojmenovanou instanci, nezapomeňte ručně spustit službu SQL Server Browser a otevřít port 1434.

Instalační program App Service zkontroluje, jestli má SQL Server povolené omezování databáze. Pokud chcete povolit uzavření databáze na SQL Server, která bude hostitelem App Service databází, spusťte tyto příkazy SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Aspekty licencování požadovaného souborového serveru a SQL Serveru

Azure App Service ve službě Azure Stack Hub vyžaduje k provozu souborový server a SQL Server. Můžete používat existující prostředky umístěné mimo vaše nasazení služby Azure Stack Hub nebo nasazovat prostředky v rámci jejich předplatného výchozího poskytovatele služby Azure Stack Hub.

Pokud se rozhodnete nasadit prostředky v rámci předplatného výchozího poskytovatele služby Azure Stack Hub, budou licence pro tyto prostředky (licence windows serveru a licence SQL Server) zahrnuty do nákladů na Azure App Service ve službě Azure Stack Hub s následujícími omezeními:

  • infrastruktura je nasazena do výchozího předplatného poskytovatele;
  • infrastrukturu používá výhradně Azure App Service poskytovatele prostředků služby Azure Stack Hub. Žádné jiné úlohy, administrativní (jiní poskytovatelé prostředků, například: SQL-RP) nebo tenant (například aplikace tenanta, které vyžadují databázi), nemají povoleno využívat tuto infrastrukturu.

Provozní odpovědnost souborových serverů a SQL serverů

Operátoři cloudu zodpovídají za údržbu a provoz souborového serveru a SQL Server. Poskytovatel prostředků tyto prostředky nespravuje. Operátor cloudu zodpovídá za zálohování App Service databází a sdílené složky obsahu tenanta.

Načtení kořenového certifikátu Azure Resource Manager pro službu Azure Stack Hub

Otevřete relaci PowerShellu se zvýšenými oprávněními na počítači, který se může připojit k privilegovanému koncovému bodu v integrovaném systému Azure Stack Hub nebo hostiteli ASDK.

Spusťte skriptGet-AzureStackRootCert.ps1 ze složky, do které jste extrahovali pomocné skripty. Skript vytvoří kořenový certifikát ve stejné složce jako skript, který App Service potřebuje k vytváření certifikátů.

Když spustíte následující příkaz PowerShellu, musíte zadat privilegovaný koncový bod a přihlašovací údaje pro AzureStack\CloudAdmin.

    Get-AzureStackRootCert.ps1

Get-AzureStackRootCert.ps1 parametrů skriptu

Parametr Požadované nebo volitelné Výchozí hodnota Description
PrivilegedEndpoint Vyžadováno AzS-ERCS01 Privilegovaný koncový bod
Přihlašovací údaje správce cloudu Vyžadováno AzureStack\CloudAdmin Přihlašovací údaje účtu domény pro správce cloudu Azure Stack Hub

Konfigurace sítě a identity

Virtuální síť

Poznámka

Předběžné vytvoření vlastní virtuální sítě je volitelné, protože Azure App Service ve službě Azure Stack Hub může vytvořit požadovanou virtuální síť, ale pak bude muset komunikovat s SQL a souborovým serverem přes veřejné IP adresy. Pokud k nasazení požadovaných prostředků SQL a souborového serveru použijete App Service Souborový server s vysokou dostupností a šablonu rychlý start SQL Server, nasadí šablona také virtuální síť.

Azure App Service ve službě Azure Stack Hub umožňuje nasadit poskytovatele prostředků do existující virtuální sítě nebo vytvořit virtuální síť jako součást nasazení. Použití existující virtuální sítě umožňuje použití interních IP adres pro připojení k souborovém serveru a SQL Server vyžadovaných Azure App Service ve službě Azure Stack Hub. Před instalací Azure App Service ve službě Azure Stack Hub musí být virtuální síť nakonfigurovaná s následujícím rozsahem adres a podsítěmi:

Virtuální síť – /16

Podsítě

  • ControllersSubnet /24
  • ManagementServersSubnet /24
  • /24 podsítě frontEndsSubnet
  • PublishersSubnet /24
  • /21 WorkerSubnet

Důležité

Pokud se rozhodnete nasadit App Service ve stávající virtuální síti, měla by být SQL Server nasazená do samostatné podsítě, než je App Service a souborový server.

Vytvoření aplikace identity pro povolení scénářů jednotného přihlašování

Azure App Service používá aplikaci identity (instanční objekt) k podpoře následujících operací:

  • Integrace škálovací sady virtuálních počítačů na úrovních pracovního procesu
  • Jednotné přihlašování pro portál Azure Functions a pokročilé vývojářské nástroje (Kudu).

V závislosti na tom, jakého zprostředkovatele identity azure Stack Hub používá, Azure Active Directory (Azure AD) nebo Active Directory Federation Services (AD FS) (ADFS), musíte podle následujících pokynů vytvořit instanční objekt, který bude používat Azure App Service na poskytovateli prostředků služby Azure Stack Hub.

Vytvoření aplikace Azure AD

K vytvoření instančního objektu ve vašem tenantovi Azure AD postupujte takto:

  1. Otevřete instanci PowerShellu jako azurestack\AzureStackAdmin.
  2. Přejděte do umístění skriptů, které jste stáhli a extrahovali v požadovaném kroku.
  3. Nainstalujte PowerShell pro Azure Stack Hub.
  4. Spusťte skriptCreate-AADIdentityApp.ps1 . Po zobrazení výzvy zadejte ID tenanta Azure AD, které používáte pro nasazení služby Azure Stack Hub. Zadejte například myazurestack.onmicrosoft.com.
  5. V okně Přihlašovací údaje zadejte účet a heslo správce služby Azure AD. Vyberte OK.
  6. Zadejte cestu k souboru certifikátu a heslo certifikátu vytvořeného dříve. Certifikát vytvořený pro tento krok je ve výchozím nastavení sso.appservice.local.azurestack.external.pfx.
  7. Poznamenejte si ID aplikace, které se vrátí ve výstupu PowerShellu. ID použijete v následujících krocích k poskytnutí souhlasu s oprávněními aplikace a během instalace.
  8. Otevřete nové okno prohlížeče a přihlaste se k Azure Portal jako správce služby Azure Active Directory.
  9. Otevřete službu Azure Active Directory.
  10. V levém podokně vyberte Registrace aplikací .
  11. Vyhledejte ID aplikace, které jste si poznamenali v kroku 7.
  12. V seznamu vyberte App Service registraci aplikace.
  13. V levém podokně vyberte Oprávnění rozhraní API .
  14. Vyberte Udělit souhlas správce pro <tenanta>, kde <tenant> je název vašeho Azure AD tenanta. Potvrďte udělení souhlasu tak, že vyberete Ano.
    Create-AADIdentityApp.ps1
Parametr Požadované nebo volitelné Výchozí hodnota Description
Název tenanta adresáře Vyžadováno Null Azure AD ID tenanta. Zadejte identifikátor GUID nebo řetězec. Příkladem je myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Vyžadováno Null Správa koncový bod Azure Resource Manager. Příkladem je adminmanagement.local.azurestack.external.
Koncový bod TENANTARMEndpoint Vyžadováno Null Koncový bod Azure Resource Manager tenanta. Příkladem je management.local.azurestack.external.
AzureStackAdminCredential Vyžadováno Null Azure AD přihlašovací údaje správce služby.
Cesta_souboru_certifikátu Vyžadováno Null Úplná cesta k souboru certifikátu aplikace identity vygenerovanému dříve.
Heslo certifikátu Vyžadováno Null Heslo, které pomáhá chránit privátní klíč certifikátu.
Prostředí Volitelné AzureCloud Název podporovaného cloudového prostředí, ve kterém je k dispozici cílová služba Azure Active Directory Graph. Povolené hodnoty: AzureCloud, AzureChinaCloud, AzureUSGovernment, AzureGermanCloud.

Vytvoření aplikace ADFS

  1. Otevřete instanci PowerShellu jako azurestack\AzureStackAdmin.
  2. Přejděte do umístění skriptů, které jste stáhli a extrahovali v požadovaném kroku.
  3. Nainstalujte PowerShell pro Azure Stack Hub.
  4. Spusťte skriptCreate-ADFSIdentityApp.ps1 .
  5. V okně Přihlašovací údaje zadejte svůj účet a heslo správce cloudu AD FS. Vyberte OK.
  6. Zadejte cestu k souboru certifikátu a heslo certifikátu vytvořeného dříve. Certifikát vytvořený pro tento krok je ve výchozím nastavení sso.appservice.local.azurestack.external.pfx.
    Create-ADFSIdentityApp.ps1
Parametr Požadované nebo volitelné Výchozí hodnota Description
AdminArmEndpoint Vyžadováno Null Správa koncový bod Azure Resource Manager. Příkladem je adminmanagement.local.azurestack.external.
PrivilegedEndpoint Vyžadováno Null Privilegovaný koncový bod. Příkladem je AzS-ERCS01.
Přihlašovací údaje správce cloudu Vyžadováno Null Přihlašovací údaje účtu domény pro správce cloudu Azure Stack Hub Příkladem je Azurestack\CloudAdmin.
Cesta_souboru_certifikátu Vyžadováno Null Úplná cesta k souboru PFX certifikátu aplikace identity.
Heslo certifikátu Vyžadováno Null Heslo, které pomáhá chránit privátní klíč certifikátu.

Stažení položek z Azure Marketplace

Azure App Service ve službě Azure Stack Hub vyžaduje, aby se položky stáhly z Azure Marketplace, aby byly dostupné na marketplace služby Azure Stack Hub. Tyto položky je potřeba stáhnout před zahájením nasazení nebo upgradu Azure App Service ve službě Azure Stack Hub:

Důležité

Jádro Windows Serveru není podporovaná image platformy pro použití s Azure App Service ve službě Azure Stack Hub.

Nepoužívejte zkušební image pro produkční nasazení.

  1. Nejnovější verze image virtuálního počítače s Windows Serverem 2022 Datacenter
  1. Úplná image virtuálního počítače s Windows Serverem 2022 Datacenter s aktivovanou Microsoft.Net 3.5.1 SP1. Azure App Service ve službě Azure Stack Hub vyžaduje, aby byla na imagi použité k nasazení aktivována aktualizace Microsoft .NET 3.5.1 SP1. Image Windows Serveru 2022 syndikované z marketplace nemají tuto funkci povolenou a v odpojených prostředích se nemůžou spojit se službou Microsoft Update a stáhnout balíčky pro instalaci přes DISM. Proto musíte vytvořit a použít bitovou kopii systému Windows Server 2022 s touto funkcí předem povolenou s odpojenými nasazeními.

    Podrobnosti o vytvoření vlastní image a přidání na Marketplace najdete v tématu Přidání vlastní image virtuálního počítače do služby Azure Stack Hub . Při přidávání image na Marketplace nezapomeňte zadat následující vlastnosti:

    • Publisher = MicrosoftWindowsServer
    • Nabídka = WindowsServer
    • Skladová položka = AppService
    • Version = Zadejte "nejnovější" verzi.
  1. Rozšíření vlastních skriptů verze 1.9.1 nebo vyšší. Tato položka je rozšířením virtuálního počítače.

Další kroky

Instalace poskytovatele prostředků App Service