Příprava na hostitele rozšíření ve službě Azure Stack Hub
Hostitel rozšíření zabezpečuje službu Azure Stack Hub snížením počtu požadovaných portů TCP/IP. Tento článek se zabývá přípravou služby Azure Stack Hub pro hostitele rozšíření, který je po aktualizaci 1808 automaticky povolený prostřednictvím balíčku aktualizací služby Azure Stack Hub. Tento článek se týká aktualizací služby Azure Stack Hub 1808, 1809 a 1811.
Požadavky na certifikáty
Hostitel rozšíření implementuje dva nové obory názvů domény, aby bylo zaručeno jedinečné položky hostitele pro každé rozšíření portálu. Nové obory názvů domén vyžadují další dva certifikáty se zástupnými znakůmi sadou.
V tabulce jsou uvedeny nové obory názvů a přidružené certifikáty:
| Složka nasazení | Požadovaný subjekt certifikátu a alternativní názvy subjektů (SAN) | Obor (podle oblasti) | Obor názvů subdomény |
|---|---|---|---|
| hostitel rozšíření Správa | *.adminhosting.<oblast>.<fqdn> (zástupné certifikáty SSL) | hostitel rozšíření Správa | adminhosting.<oblast>.<Fqdn> |
| Hostitel veřejného rozšíření | *.Hosting.<oblast>.<fqdn> (zástupné certifikáty SSL) | Hostitel veřejného rozšíření | Hosting.<oblast>.<Fqdn> |
Podrobné požadavky na certifikáty najdete v tématu Požadavky na certifikáty infrastruktury veřejných klíčů služby Azure Stack Hub.
Vytvoření žádosti o podepsání certifikátu
Nástroj Azure Stack Hub Readiness Checker umožňuje vytvořit žádost o podepsání certifikátu pro dva nové a požadované certifikáty SSL. Postupujte podle kroků v článku Generování žádostí o podepsání certifikátů služby Azure Stack Hub.
Poznámka
Tento krok můžete přeskočit v závislosti na tom, jak jste si vyžádali certifikáty SSL.
Ověření nových certifikátů
Otevřete PowerShell se zvýšenými oprávněními na hostiteli životního cyklu hardwaru nebo pracovní stanici pro správu služby Azure Stack Hub.
Spuštěním následující rutiny nainstalujte nástroj Azure Stack Hub Readiness Checker:
Install-Module -Name Microsoft.AzureStack.ReadinessCheckerSpuštěním následujícího skriptu vytvořte požadovanou strukturu složek:
New-Item C:\Certificates -ItemType Directory $directories = 'ACSBlob','ACSQueue','ACSTable','Admin Portal','ARM Admin','ARM Public','KeyVault','KeyVaultInternal','Public Portal', 'Admin extension host', 'Public extension host' $destination = 'c:\certificates' $directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}Poznámka
Pokud nasadíte pomocí Microsoft Entra ID federované služby (AD FS), musí být do $directories ve skriptu přidány následující adresáře:
ADFS,Graph.Existující certifikáty, které aktuálně používáte ve službě Azure Stack Hub, umístěte do příslušných adresářů. Do složky umístěte například Správa certifikát
Arm AdminARM. Potom vložte nově vytvořené hostitelské certifikáty do adresářůAdmin extension hostaPublic extension host.Spuštěním následující rutiny spusťte kontrolu certifikátu:
$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString Start-AzsReadinessChecker -CertificatePath c:\certificates -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AADZkontrolujte výstup a zkontrolujte, jestli všechny certifikáty projdou všemi testy.
Import certifikátů hostitele rozšíření
Pro další kroky použijte počítač, který se může připojit k privilegovanému koncovému bodu služby Azure Stack Hub. Ujistěte se, že z tohoto počítače máte přístup k novým souborům certifikátů.
Pro další kroky použijte počítač, který se může připojit k privilegovanému koncovému bodu služby Azure Stack Hub. Ujistěte se, že máte přístup k souborům nového certifikátu z tohoto počítače.
Otevřete integrované skriptovací prostředí (ISE) v PowerShellu a spusťte další bloky skriptu.
Importujte certifikát pro koncový bod hostování správce.
$CertPassword = read-host -AsSecureString -prompt "Certificate Password" $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint." [Byte[]]$AdminHostingCertContent = [Byte[]](Get-Content c:\certificate\myadminhostingcertificate.pfx -Encoding Byte) Invoke-Command -ComputerName <PrivilegedEndpoint computer name> ` -Credential $CloudAdminCred ` -ConfigurationName "PrivilegedEndpoint" ` -ArgumentList @($AdminHostingCertContent, $CertPassword) ` -ScriptBlock { param($AdminHostingCertContent, $CertPassword) Import-AdminHostingServiceCert $AdminHostingCertContent $certPassword }Importujte certifikát pro hostující koncový bod.
$CertPassword = read-host -AsSecureString -prompt "Certificate Password" $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint." [Byte[]]$HostingCertContent = [Byte[]](Get-Content c:\certificate\myhostingcertificate.pfx -Encoding Byte) Invoke-Command -ComputerName <PrivilegedEndpoint computer name> ` -Credential $CloudAdminCred ` -ConfigurationName "PrivilegedEndpoint" ` -ArgumentList @($HostingCertContent, $CertPassword) ` -ScriptBlock { param($HostingCertContent, $CertPassword) Import-UserHostingServiceCert $HostingCertContent $certPassword }
Aktualizace konfigurace DNS
Poznámka
Tento krok není nutný, pokud jste pro integraci DNS použili delegování zóny DNS. Pokud jsou záznamy A jednotlivých hostitelů nakonfigurované pro publikování koncových bodů služby Azure Stack Hub, musíte vytvořit další dva záznamy A hostitele:
| IP adresa | Název hostitele | Typ |
|---|---|---|
| <IP> | *. Adminhosting.<Oblast>.<FQDN> | A |
| <IP> | *. Hosting.<Oblast>.<FQDN> | A |
Přidělené IP adresy je možné načíst pomocí privilegovaného koncového bodu spuštěním rutiny Get-AzureStackStampInformation.
Porty a protokoly
Článek Integrace datacentra Služby Azure Stack Hub – Publikování koncových bodů se zabývá porty a protokoly, které vyžadují příchozí komunikaci k publikování služby Azure Stack Hub před uvedením hostitele rozšíření.
Publikování nových koncových bodů
Prostřednictvím brány firewall je potřeba publikovat dva nové koncové body. Přidělené IP adresy z veřejného fondu virtuálních IP adres je možné načíst pomocí následujícího kódu, který se musí spustit z privilegovaného koncového bodu vašeho prostředí služby Azure Stack Hub.
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IpOfERCSMachine>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IpOfERCSMachine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Obtain DNS Servers and extension host information from Azure Stack Hub Stamp Information and find the IPs for the Host Extension Endpoints
$StampInformation = Invoke-Command $PEPSession {Get-AzureStackStampInformation} | Select-Object -Property ExternalDNSIPAddress01, ExternalDNSIPAddress02, @{n="TenantHosting";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://*.","testdnsentry"-replace "/"}}, @{n="AdminHosting";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://*.","testdnsentry"-replace "/"}},@{n="TenantHostingDNS";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://",""-replace "/"}}, @{n="AdminHostingDNS";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://",""-replace "/"}}
If (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting -ErrorAction SilentlyContinue) {
Write-Host "Can access AZS DNS" -ForegroundColor Green
$AdminIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress02 -Name $StampInformation.AdminHosting).IPAddress
Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
$TenantIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting).IPAddress
Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Else {
Write-Host "Cannot access AZS DNS" -ForegroundColor Yellow
$AdminIP = (Resolve-DnsName -Name $StampInformation.AdminHosting).IPAddress
Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
$TenantIP = (Resolve-DnsName -Name $StampInformation.TenantHosting).IPAddress
Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Remove-PSSession -Session $PEPSession
Vzorový výstup
Can access AZS DNS
The IP for the Admin Extension Host is: *.adminhosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.adminhosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
The IP address for the Tenant Extension Host is *.hosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.hosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
Poznámka
Tuto změnu proveďte před povolením hostitele rozšíření. To umožňuje nepřetržitý přístup k portálům Azure Stack Hub.
| Koncový bod (VIP) | Protokol | Porty |
|---|---|---|
| hostování Správa | HTTPS | 443 |
| Hostování | HTTPS | 443 |
Aktualizace existujících pravidel publikování (po povolení hostitele rozšíření)
Poznámka
Balíček aktualizací služby Azure Stack Hub 1808 zatím nepovoluje hostitele rozšíření. Umožňuje připravit se na hostitele rozšíření importem požadovaných certifikátů. Před automatickým povolením hostitele rozšíření prostřednictvím balíčku aktualizace služby Azure Stack Hub po aktualizaci 1808 nezavírejte žádné porty.
Ve stávajících pravidlech brány firewall musí být uzavřeny následující existující porty koncového bodu.
Poznámka
Po úspěšném ověření doporučujeme tyto porty zavřít.
| Koncový bod (VIP) | Protokol | Porty |
|---|---|---|
| Portál (správce) | HTTPS | 12495 12499 12646 12647 12648 12649 12650 13001 13003 13010 13011 13012 13020 13021 13026 30015 |
| Portál (uživatel) | HTTPS | 12495 12649 13001 13010 13011 13012 13020 13021 30015 13003 |
| Azure Resource Manager (správce) | HTTPS | 30024 |
| Azure Resource Manager (uživatel) | HTTPS | 30024 |
Další kroky
- Přečtěte si o integraci brány firewall.
- Seznamte se s generováním žádostí o podepsání certifikátů služby Azure Stack Hub.