Sdílet prostřednictvím

Konfigurace spravované instance ve službě Azure App Service (Preview)

Spravovaná instance ve službě Azure App Service (Preview) je možnost hostování s vymezeným plánem pro webové aplikace windows, které potřebují přizpůsobení operačního systému, volitelné privátní sítě a zabezpečenou integraci s prostředky Azure. Tento článek vysvětluje, jak nakonfigurovat spravovanou instanci v klíčových oblastech:

  • Spravovaná identita
  • Skripty konfigurace (instalace)
  • Připojení úložných systémů
  • Klíče registru
  • Přístup pomocí protokolu RDP (Remote Desktop Protocol)

Důležité

Spravovaná instance je ve verzi Preview, je dostupná pro webové aplikace pro Windows ve vybraných oblastech a omezuje se na cenové plány Pv4 a Pmv4. Další oblasti, které se mají sledovat. Linux a kontejnery se nepodporují.

Přidání spravované identity (do plánu služby App Service)

Spravované identity na úrovni plánu umožňují ověřování pro operace infrastruktury, ke kterým dochází na úrovni platformy, jako jsou například skripty konfigurace (instalace) přistupující ke službě Azure Storage během spouštění, adaptéry registru stahující tajné kódy ze služby Key Vault a připojení úložiště k Azure Files. Tyto komponenty jsou sdílené prostředky, které využívá více aplikací v plánu. Identita na úrovni plánu například umožňuje spravované instanci ověřovat jednou pro součásti infrastruktury, zatímco jednotlivé aplikace udržují své vlastní identity pro prostředky specifické pro aplikace, jako jsou databáze a tajné kódy aplikací.

Spravované identity pro plán služby App Service se vyžadují v následujících scénářích:

  • Zabezpečený přístup ke konfiguračnímu skriptu ze služby Azure Storage a jeho načtení.
  • Pro přístup k úložišti klíčů použijte Key Vaulty, abyste poskytli přihlašovací údaje a hodnoty pro úložiště a adaptéry klíčů registru.

Informace o správě spravovaných identit přiřazených uživatelem pro vytvoření spravované identity

Přidání spravované identity do plánu spravované instance:

  1. Na webu Azure Portal přejděte ke své spravované instanci.
  2. VybertePřiřazený uživatel>.
  3. Vyberte + Přidat.
  4. Vyberte předplatné a spravovanou identitu.
  5. Vyberte Přidat a přidejte identitu do plánu.

Přidání skriptů konfigurace (instalace)

Skripty konfigurace (instalace) se spouští při spuštění instance, aby se použilo trvalé přizpůsobení. Mezi příklady patří registrace modelu COM (Component Object Model), instalace Instalační služby systému Microsoft/Windows (MSI), konfigurace Internetové informační služby (server IIS), změny seznamu ACL, povolení funkcí systému Windows, nastavení proměnných prostředí.

K použití konfiguračních skriptů (instalace) potřebujete následující:

  • Spravovaná identita přiřazená k plánu služby App Service
  • Účet úložiště s kontejnerem objektů blob, který obsahuje balíček skriptu konfigurace (instalace) (zip).
  • Jeden soubor ZIP, jehož kořenový adresář obsahuje Install.ps1 (vstupní bod)
  • Storage Blob Data Reader role v účtu úložiště, kontejneru nebo skupině prostředků

Přidání konfiguračního skriptu:

  1. Na webu Azure Portal přejděte do plánu služby App Service spravované instance.

  2. VyberteObecné nastavení>.

  3. V části Konfigurační skript začněte konfigurací skriptu.

    Setting Hodnota
    Účet úložiště Vyberte svůj účet úložiště.
    Container Zadejte název kontejneru.
    Soubor ZIP Zadejte název souboru ZIP.
    Hodnota Ověřte správnost této hodnoty.

  4. Chcete-li uložit změny, vyberte Použít.

Osvědčené postupy konfiguračního skriptu

  • Proveďte idempotentní skripty (zkontrolujte před instalací).
  • Ochrana destruktivních operací (vyhněte se úpravám chráněných systémových adresářů Windows).
  • Zasadíte velké instalace, abyste snížili latenci spouštění.

Příklad minimální struktury zipu:

Install.ps1
myInstallerfileNameGoesHere.msi
config.xml

Ukázkový konfigurační skript:

# Install Components, for example Crystal Reports, Control Library, Database Driver
$ComponentInstaller = "myInstallerFileNameGoesHere.msi"
try {
    $Component = Join-Path $PSScriptRoot $ComponentInstaller
    Start-Process $Component -ArgumentList "/q" -Wait -ErrorAction Stop
} catch {
    Write-Error "Failed to install ${ComponentInstaller}: $_"
    exit 1
}

Konfigurace připojení úložiště

Připojení úložiště poskytují trvalé externí úložiště (například Soubory Azure) přístupné pro vaši aplikaci. Používá se pro starší verze kódu, který potřebuje přístup ke sdílenému systému souborů, ne pro tajné kódy (použijte Key Vault). I když je k dispozici místní (dočasné) úložiště, trvalé změny vyžadují připojení úložiště.

Ke konfiguraci připojení úložiště potřebujete následující:

  • Spravovaná identita (pro přístup ke službě Key Vault)
  • Tajný klíč služby Key Vault (zdroj přihlašovacích údajů)

Konfigurace připojení úložiště:

  1. Na webu Azure Portal přejděte ke své spravované instanci.
  2. Vyberte Připojení konfigurace>.
  3. Vyberte + Nové připojení úložiště.

Zadejte následující podrobnosti ke konfiguraci připojení úložiště:

Setting Hodnota
Název Zadejte název připojení.
Typ úložiště Soubory Azure, vlastní nebo místní (dočasné úložiště)
Účet úložiště Výběr nebo zadání účtu úložiště
Sdílení souborů Výběr sdílené složky
Hodnota Výběr trezoru klíčů
Tajný Výběr tajného klíče trezoru klíčů
Písmeno jednotky pro připojení Výběr cesty k písmenu jednotky

Ke spravované instanci můžete připojit externí úložiště. Připojené úložiště je trvalé při restartování a přístupné ze systému souborů vaší aplikace.

Konfigurace připojení úložiště se službou Azure Files

Konfigurace připojení služby Azure Files Storage:

  1. Vytvořte účet úložiště Azure a sdílenou složku Azure Files.
  2. Uložte přihlašovací údaje připojení ve službě Key Vault jako tajný klíč. Podporovaný obsah tajného kódu: (např. DefaultEndpointsProtocol=...;AccountName=...;AccountKey=...;EndpointSuffix=core.windows.net)
  3. Přidejte připojení ve spravované instanci (Azure Portal nebo ARM, Bicep nebo Terraform).

Návod

Vynucujte oprávnění na úrovni sdílené složky prostřednictvím seznamů ACL azure RBAC a sdílených složek pro lepší zabezpečení.

Konfigurace připojení úložiště s využitím vlastní unc

Připojení se používají pro sdílené složky SMB hostované jinde (místní, virtuální počítač nebo jiné společnosti než Microsoft). Zajistěte síťové připojení (integrace virtuální sítě / privátní koncové body nebo brány firewall).

  1. Pokud jsou přihlašovací údaje potřeba, uložte je do tajného kódu služby Key Vault ve formátu: username=<user>,password=<password>
    • Vyhněte se účtům správce domény; použijte identitu služby s nejnižšími oprávněními.
  2. Přidejte připojení ve spravované instanci.

Konfigurace klíčů registru

Některé aplikace závisí na hodnotách načtených z registru Systému Windows. Pomocí adaptéru klíče registru můžete jako hodnotu vytvořit klíče registru a používat tajné kódy ze služby Azure Key Vault.

Ke konfiguraci klíčů registru potřebujete následující:

  • Spravovaná identita (pro přístup ke službě Key Vault)
  • Tajný klíč služby Key Vault (zdroj přihlašovacích údajů)

Konfigurace klíčů registru:

  1. Přejděte do konfiguračních>klíčů registru.

  2. Vyberte + Přidat.

    Setting Hodnota
    Cesta Zadejte cestu registru.
    Trezor Zadejte název existujícího trezoru.
    Tajný Výběr nebo zadání tajného klíče trezoru klíčů
    Typ Řetězec nebo DWORD

  3. Vyberte Přidat a přidejte klíč registru.

Upozornění

Při úpravě cest registru kritických pro systém buďte opatrní. Nesprávná změna může ovlivnit stabilitu instance.

Konfigurace přístupu RDP (Bastion)

Rychlý start: Automatické nasazení služby Azure Bastion umožňuje zabezpečené připojení k instancím virtuálních počítačů prostřednictvím protokolu RDP (Remote Desktop Protocol). Protokol RDP prostřednictvím služby Azure Bastion slouží k přechodné diagnostice (kontrola protokolu, rychlé ověření). Pokud máte v úmyslu používat Bastion prostřednictvím portálu, upgradujte prostředek Bastionu na cenovou úroveň Standard a vyberte nativní podporu klientů a IP-Based Připojení.

Pro přístup k Bastionu nebo protokolu RDP potřebujete následující prostředky:

  • Spravovaná instance musí být integrovaná virtuální síť.
  • Hostitel služby Azure Bastion v cílové virtuální síti
  • Port 3389 musí být povolený ze skupiny zabezpečení sítě podsítě Bastionu do skupiny zabezpečení sítě plánu služby App Service.

Konfigurace Bastionu:

  1. Přejděte do konfiguračního>bastionu nebo protokolu RDP.
  2. Ověřte, že je virtuální síť připojená.
  3. Vyberte Povolit vzdálenou plochu (přes Bastion).

Upozornění

Nepoužívejte ruční instalační programy ani změny konfigurace výhradně prostřednictvím protokolu RDP. Změny se ztratí při recyklaci nebo vytvoření posunu konfigurace.

Nejčastější dotazy

Jaký operační systém (operační systém) běží ve službě Managed Instance ve službě Azure App Service?

Windows Server 2022.

Můžu povolit více rolí a funkcí Windows?

Ano, prostřednictvím konfiguračního skriptu. Funkce odebrané z budoucí verze Windows Serveru ale nebudou ve spravované instanci nedostupné.

Přijímá spravovaná instance ve službě Azure App Service pravidelné aktualizace sady platforem a aplikací?

Ano, instance přijímají rutinní aktualizace a údržbu platformy. Předinstalované zásobníky aplikací se také pravidelně aktualizují. Musíte udržovat všechny komponenty nainstalované prostřednictvím konfiguračních (instalačních) skriptů.

Které programovací jazyky se instalují do spravované instance ve službě Azure App Service?

Microsoft .NET Framework 3.5, 4.8 a Microsoft .NET 8.0. Pokud potřebujete další moduly runtime, můžete je nainstalovat pomocí konfiguračního skriptu. Tyto služby nebudou udržovány platformou a musí být aktualizovány ručně.

Jaká jsou omezení konfiguračních (instalačních) skriptů?

Konfigurační (instalační) skripty můžou instalovat závislosti, povolovat role a funkce a přizpůsobovat operační systém. Destruktivní operace (například odstranění Windows\System32) však nejsou podporovány a mohou vést k nestabilitě instancí.

Na jaké úrovni oprávnění se spouští konfigurační (instalační) skript?

Skripty konfigurace (instalace) se spouštějí s oprávněními správce , které umožňují instalaci a konfiguraci součástí na úrovni systému.

Jaká oprávnění role má operátor při připojování k instanci pomocí Bastionu?

Operátoři připojující se přes Bastion mají během relace oprávnění správce .

Jak můžu řešit potíže se selháním konfiguračního skriptu (instalace) nebo adaptéry registru nebo úložiště?

Pokud chcete řešit potíže, projděte si protokoly pro skripty konfigurace (instalace). Najdete je v C:\InstallScripts\Script\Install.log v instanci (ne ve webové aplikaci). Protokoly konzoly služby App Service je také možné odeslat do služby Azure Monitor a Log Analytics.

Protokoly adaptéru najdete v kořenovém adresáři počítače, případně se přihlásí k protokolům platformy App Service.

Jaká je adresovatelná paměť spravované instance v instanci pracovního procesu Služby Azure App Service?

Adresovatelná paměť spravované instance v instanci pracovního procesu Azure App Service se liší v závislosti na zvoleném cenovém plánu. Následující tabulka uvádí adresovatelnou paměť pro spravovanou instanci v instanci pracovního procesu Azure App Service. Je důležité zvážit, jestli máte konfigurační skript, který nainstaluje další komponenty, služby atd. Tyto prostředky ovlivňují množství paměti dostupné pro vaše webové aplikace.

Cenový plán Cores Paměť (MB)
P0v4 1 2048
P1v4 2 5952
P2v4 4 13440
P3v4 8 28672
P1Mv4 2 13440
P2Mv4 4 28672
P3Mv4 8 60160
P4Mv4 16 121088
P5Mv4 32 246016

Kterou službu Azure Storage mám použít k nahrání konfiguračního skriptu (instalace)?

K nahrání skriptu a požadovaných závislostí použijte službu Azure Storage Blob Service.

Existuje omezení pro pojmenování a formát konfiguračního skriptu (instalace)?

Ano, skript musí mít název Install.ps1. Podporuje se jenom PowerShell. Ujistěte se, že chcete nahrát konfigurační (instalační) skript a závislosti jako jeden soubor .zip.

Je pro závislosti, které můžu nahrát jako součást souboru ZIP, limit velikosti?

Nevynucuje se žádný limit velikosti. Mějte na paměti, že celková velikost závislostí má vliv na čas zřizování instance.

Restartuje přidávání nebo úpravy spravovaných instancí na adaptérech plánu služby App Service instance plánu?

Ano, přidání nebo úprava adaptérů plánu spravované instance (konfigurační skript, úložiště nebo registr) restartuje základní instance a ovlivní všechny webové aplikace nasazené do plánu. Nezapomeňte, že restartování instance odebere všechny změny provedené prostřednictvím relace RDP. K zachování instalace závislostí nebo dalších požadovaných změn konfigurace vždy používejte konfigurační skript (instalace).

Můj plán spravované instance má více instancí, můžu restartovat jednu instanci?

Ano, přejděte do spravované instance a v nabídce vlevo vyberte Instance. Pak vyberte restartovat vedle názvu instance.

Moje spravovaná instance v plánu služby App Service má více webových aplikací, můžu restartovat jednu webovou aplikaci?

Ano, přejděte na stránku Přehled aplikace a vyberte Restartovat.

Můžu přiřadit spravovanou identitu své webové aplikaci v rámci spravované instance v plánu služby App Service?

Ano, k webové aplikaci ve spravované instanci můžete přiřadit jinou spravovanou identitu. Postupujte podle pokynů ke spravované identitě.

Je omezený počet adaptérů, které můžu vytvořit pro spravovanou instanci v plánu služby App Service?

Ne, počet adaptérů úložiště nebo registru není nijak omezený. V plánu služby App Service můžete vytvořit pouze jeden adaptér skriptu konfigurace (instalace) pro spravovanou instanci. Zvýšení počtu adaptérů může mít vliv na dobu zřizování pro spravovanou instanci.

Související obsah

  • Last updated on