Freigeben über

Konfigurieren der Verwalteten Instanz in Azure App Service (Vorschau)

Die verwaltete Instanz für Azure App Service (Vorschau) ist eine planbezogene Hostingoption für Windows-Web-Apps, die eine Anpassung des Betriebssystems, optionale private Netzwerke und eine sichere Integration mit Azure-Ressourcen erfordern. In diesem Artikel wird erläutert, wie Sie verwaltete Instanzen in wichtigen Bereichen konfigurieren:

  • Verwaltete Identität
  • Konfigurationsskripts (Installation)
  • Speicherbefestigungen
  • Registrierungsschlüssel
  • Remotedesktopprotokoll (RDP)-Zugriff

Von Bedeutung

Verwaltete Instanz befindet sich in der Vorschau, verfügbar für Windows-Web-Apps in ausgewählten Regionen und beschränkt auf Pv4- und Pmv4-Preispläne. Weitere zu befolgende Regionen. Linux und Container werden nicht unterstützt.

Hinzufügen einer verwalteten Identität (zum App Service-Plan)

Auf Planebene verwaltete Identitäten ermöglichen die Authentifizierung für Infrastrukturvorgänge, die auf der Plattformebene stattfinden, z. B. Konfigurationsskripte (Installation), die beim Start auf Azure Storage zugreifen, Registrierungsadapter, die Geheimnisse aus Key Vault abrufen, und Speicher-Mounts, die sich bei Azure Files authentifizieren. Diese Komponenten sind gemeinsam genutzte Ressourcen, die von mehreren Anwendungen des Plans in Anspruch genommen werden. Beispielsweise ermöglicht eine Identität auf Planebene der verwalteten Instanz eine einmalige Authentifizierung für Infrastrukturkomponenten, während einzelne Anwendungen ihre eigenen Identitäten für anwendungsspezifische Ressourcen wie Datenbanken und Anwendungsgeheimnisse beibehalten.

In den folgenden Szenarien sind verwaltete Identitäten für den App Service-Plan erforderlich:

  • Um sicher auf Ihr Konfigurationsskript in Azure Storage zuzugreifen und es abzurufen.
  • Für den Zugriff auf Schlüsseltresore, um Anmeldedaten und Werte für Speichereinbindungen und Registrierungsschlüsseladapter bereitzustellen.

Um eine verwaltete Identität zu erstellen, lesen Sie Verwalten von benutzerdefinierten verwalteten Identitäten.

So fügen Sie dem Plan für verwaltete Instanzen eine verwaltete Identität hinzu:

  1. Navigieren Sie im Azure-Portal zu Ihrer verwalteten Instanz.
  2. Wählen Sie Identität>Benutzerseitig zugewiesen aus.
  3. Klicken Sie auf + Hinzufügen.
  4. Wählen Sie das Abonnement und die verwaltete Identität aus.
  5. Wählen Sie Hinzufügen aus, um dem Plan die Identität hinzuzufügen.

Hinzufügen von Konfigurationsskripts (Installation)

Konfigurationsskripts (Installation) werden beim Instanzstart ausgeführt, um dauerhafte Anpassungen anzuwenden. Beispiele hierfür sind die Registrierung von Component Object Model (COM), die Installation von Microsoft/Windows Installers (MSI), die Konfiguration von Internet Information Services (IIS Server), ACL-Änderungen, die Aktivierung von Windows-Funktionen und die Einstellung von Umgebungsvariablen.

Um Konfigurationsskripte (Installation) verwenden zu können, benötigen Sie Folgendes:

  • Eine verwaltete Identität, die dem App Service-Plan zugewiesen ist
  • Ein Speicherkonto mit einem Blob-Container, der das Konfigurationsskriptpaket (install) (ZIP) enthält.
  • Eine einzelne ZIP-Datei, deren Stammverzeichnis Install.ps1 enthält (Einstiegspunkt)
  • Storage Blob Data Reader-Rolle für das Speicherkonto, den Container oder die Ressourcengruppe

So fügen Sie ein Konfigurationsskript hinzu:

  1. Wechseln Sie im Azure-Portal zu Ihrem App Service-Plan für verwaltete Instanzen.

  2. Wählen SieKonfiguration>Allgemeine Einstellungen aus.

  3. Beginnen Sie im Abschnitt Konfigurationsskript mit der Konfiguration Ihres Skripts.

    Setting Wert
    Speicherkonto Wählen Sie Ihr Speicherkonto aus.
    Container Geben Sie den Namen Ihres Containers ein.
    ZIP-Datei Geben Sie den Namen der ZIP-Datei ein.
    Wert Überprüfen, ob dieser Wert korrekt ist

  4. Wählen Sie „Übernehmen“ aus, um die Änderungen zu speichern.

Bewährte Methoden für Konfigurationsskripts

  • Erstellen Sie Skripts idempotent (vor der Installation überprüfen).
  • Schützen Sie destruktive Vorgänge (vermeiden Sie das Ändern geschützter Windows-Systemverzeichnisse).
  • Staffeln Sie große Installationen, um die Startlatenz zu reduzieren.

Beispiel für minimale ZIP-Struktur:

Install.ps1
myInstallerfileNameGoesHere.msi
config.xml

Beispiel für Konfigurationsskript

# Install Components, for example Crystal Reports, Control Library, Database Driver
$ComponentInstaller = "myInstallerFileNameGoesHere.msi"
try {
    $Component = Join-Path $PSScriptRoot $ComponentInstaller
    Start-Process $Component -ArgumentList "/q" -Wait -ErrorAction Stop
} catch {
    Write-Error "Failed to install ${ComponentInstaller}: $_"
    exit 1
}

Konfigurieren von Speichereinbindungen

Speichereinbindungen bieten beständigen externen Speicher (z. B. Azure Files), auf den Ihre App zugegriffen werden kann. Verwenden Sie diese Option für Legacy-Code, der Zugriff auf ein gemeinsames Dateisystem erfordert, jedoch nicht für Geheimnisse (verwenden Sie hierfür Key Vault). Lokaler (temporärer) Speicher ist ebenfalls verfügbar, jedoch erfordern dauerhafte Änderungen Speichereinbindungen.

Für die Konfiguration von Speichereinbindungen benötigen Sie Folgendes:

  • Verwaltete Identität (für den Key Vault-Zugriff)
  • Schlüsseltresorgeheimnis (Anmeldeinformationsquelle)

Zur Konfiguration von Speichereinbindungen:

  1. Navigieren Sie im Azure-Portal zu Ihrer verwalteten Instanz.
  2. Wählen Sie Konfiguration>Einbindungen aus.
  3. Wählen Sie + Neue Speichereinbindung aus.

Geben Sie die folgenden Details zum Konfigurieren der Speichereinbindung an:

Setting Wert
Name Geben Sie einen Einbindungsnamen ein.
Speichertypus Azure Files, benutzerdefiniert oder lokal (temporärer Speicher)
Speicherkonto Auswählen oder Eingeben eines Speicherkontos
Dateifreigabe Auswählen einer Dateifreigabe
Wert Auswählen einer Key Vault-Instanz
Geheim Auswählen des Schlüsseltresorschlüssels
Bereitstellen des Laufwerkbuchstaben Laufwerkbuchstabenpfad auswählen

Sie können externen Speicher in Ihre verwaltete Instanz einbinden. Der bereitgestellte Speicher ist über Neustarts hinweg persistent und kann über das Dateisystem Ihrer App zugänglich sein.

Konfigurieren von Speichereinbindungen mit Azure Files

So konfigurieren Sie eine Azure Files-Speichereinbindung:

  1. Erstellen Sie ein Azure-Speicherkonto und eine Azure Files-Freigabe.
  2. Speichern Sie eine Verbindungsanmeldeinformationen im Key Vault als geheimen Schlüssel. Unterstützte geheime Inhalte: (z. B.: DefaultEndpointsProtocol=...;AccountName=...;AccountKey=...;EndpointSuffix=core.windows.net)
  3. Fügen Sie die Bereitstellung in verwalteter Instanz (Azure-Portal oder ARM/Bicep/Terraform) hinzu.

Tipp

Setzen Sie Berechtigungen auf Freigabeebene über Azure RBAC + Freigabe-ACLs für erhöhte Sicherheit durch.

Konfigurieren von Speichereinbindungen mit benutzerdefiniertem UNC

Verwenden Sie Einbindungen für an anderer Stelle gehostete SMB-Freigaben (lokal, VM oder Nicht-Microsoft). Stellen Sie die Netzwerkkonnektivität (virtuelle Netzwerkintegration/ private Endpunkte/Firewalls) sicher.

  1. Wenn Anmeldeinformationen erforderlich sind, speichern Sie sie in einem Schlüsseltresorschlüssel im Format: username=<user>,password=<password>
    • Vermeiden Sie Domänenadminkonten; verwenden Sie eine Dienstidentität mit geringsten Rechten.
  2. Fügen Sie die Einbindung in der verwalteten Instanz hinzu.

Konfigurieren von Registrierungsschlüsseln

Einige Anwendungen sind von Werten abhängig, die aus der Windows-Registrierung gelesen werden. Mit einem Registrierungsschlüsseladapter können Sie Registrierungsschlüssel erstellen und geheime Schlüssel aus Azure Key Vault als Wert verwenden.

Zum Konfigurieren von Registrierungsschlüsseln benötigen Sie Folgendes:

  • Verwaltete Identität (für den Key Vault-Zugriff)
  • Schlüsseltresorgeheimnis (Anmeldeinformationsquelle)

So konfigurieren Sie Registrierungsschlüssel:

  1. Wechseln Sie zuKonfiguration>Registrierungsschlüssel.

  2. Klicken Sie auf + Hinzufügen.

    Setting Wert
    Pfad Geben Sie den Registrierungspfad ein.
    Tresor Geben Sie einen vorhandenen Tresornamen ein.
    Geheim Auswählen oder Eingeben des Schlüsseltresorschlüssels
    Typ Zeichenfolge oder DWORD

  3. Wählen Sie Hinzufügen aus, um den Registrierungsschlüssel hinzuzufügen.

Vorsicht

Seien Sie vorsichtig, wenn Sie systemkritische Registrierungspfade ändern. Falsche Änderungen können sich auf die Instanzstabilität auswirken.

Konfigurieren des RDP-Zugriffs (Bastion)

Schnellstart: Die automatische Bereitstellung von Azure Bastion ermöglicht Ihnen eine sichere Verbindung mit Ihren VM-Instanzen über das Remotedesktopprotokoll (RDP). RDP über Azure Bastion dient der vorübergehenden Diagnose (Protokollüberprüfung, schnelle Überprüfung). Wenn Sie Bastion über das Portal verwenden möchten, aktualisieren Sie Ihre Bastion-Ressource auf der Preisstufe Standard, und wählen Sie Nativer Clientsupport und IP-basierte Verbindung aus.

Sie benötigen die folgenden Ressourcen für Bastion-/RDP-Zugriff:

  • Verwaltete Instanz muss ein virtuelles Netzwerk integriert sein.
  • Azure Bastion-Host im virtuellen Zielnetzwerk
  • Port 3389 muss vom Bastion-Subnetz NSG zum App Service Plan Subnetz NSG zugelassen werden.

So konfigurieren Sie Bastion:

  1. Wechseln Sie zu Konfiguration>Bastion/RDP.
  2. Überprüfen Sie, ob das virtuelle Netzwerk verbunden ist.
  3. Wählen Sie Remotedesktop zulassen (über Bastion) aus.

Vorsicht

Führen Sie manuelle Installationen oder Konfigurationsänderungen nicht ausschließlich über RDP durch. Änderungen gehen beim Wiederverwenden oder Erstellen von Konfigurationsabweichungen verloren.

Häufig gestellte Fragen (FAQ)

Welches Betriebssystem wird auf der verwalteten Instanz für Azure App Service ausgeführt?

Windows Server 2022.

Kann ich weitere Windows-Rollen und -Features aktivieren?

Ja, über ein Konfigurationsskript. Features, die aus einer zukünftigen Version von Windows Server entfernt wurden, sind in verwalteter Instanz jedoch nicht verfügbar.

Empfängt die verwaltete Instanz für Azure App Service regelmäßige Plattform- und Anwendungsstapelupdates?

Ja, Instanzen erhalten routinemäßige Plattformupdates und Wartung. Vorinstallierte Anwendungsstapel werden ebenfalls regelmäßig aktualisiert. Sie müssen alle Komponenten verwalten, die über Konfigurationsskripts (Installation) installiert sind.

Welche Programmiersprachen werden auf der verwalteten Instanz für Azure App Service installiert?

Microsoft .NET Framework 3.5, 4.8 und Microsoft .NET 8.0. Wenn Sie andere Runtimes benötigen, können Sie sie mit einem Konfigurationsskript installieren. Diese werden nicht von der Plattform verwaltet und müssen manuell aktualisiert werden.

Welche Einschränkungen gelten für die Konfigurationsskripts (Installation)?

Konfigurationsskripts (Installation) können Abhängigkeiten installieren, Rollen und Features aktivieren und das Betriebssystem anpassen. Destruktive Vorgänge (z. B. das Löschen von Windows\System32) werden jedoch nicht unterstützt und können beispielsweise zu Instabilität führen.

Auf welcher Berechtigungsstufe wird ein Konfigurationsskript (Installation) ausgeführt?

Konfigurationsskripts (Installation) werden mit Adminberechtigungen ausgeführt, um die Installation und Konfiguration von Komponenten auf Systemebene zu ermöglichen.

Welche Rollenberechtigungen hat ein Operator beim Herstellen einer Verbindung mit einer Instanz mithilfe von Bastion?

Operatoren, die über Bastion verbunden sind, verfügen während der Sitzung über Adminrechte.

Wie behebt ich Fehler mit meinem Konfigurationsskript (Installation) oder Registrierungs-/Speicheradaptern?

Überprüfen Sie zur Problembehandlung die Protokolle für Konfigurationsskripts (Installation). Sie finden sie in C:\InstallScripts\Script\Install.log in der Instanz (nicht in der Web-App). Alternativ können App Service-Konsolenprotokolle an Azure Monitor und Log Analytics ausgeliefert werden.

Adapterprotokolle finden Sie im Stammverzeichnis des Computers, alternativ werden sie in App Service Platform Logs angemeldet.

Was ist der adressierbare Speicher einer verwalteten Instanz für Azure App Service-Workerinstanz?

Der adressierbare Speicher einer Verwalteten Instanz in Azure App Service-Workerinstanz hängt von dem gewählten Preisplan ab. In der folgenden Tabelle sind die adressierbaren Speicher für die Verwaltete Instanz in Azure App Service-Workerinstanz aufgeführt. Es ist wichtig zu berücksichtigen, ob Sie über ein Konfigurationsskript verfügen, das weitere Komponenten, Dienste usw. installiert. Diese Ressourcen wirken sich auf die Menge des verfügbaren Arbeitsspeichers aus, der von Ihren Web-Apps verwendet werden kann.

Preisplan Kerne Arbeitsspeicher (MB)
P0v4 1 2048
P1v4 2 5952
P2v4 4 13.440
P3v4 8 28672
P1Mv4 2 13.440
P2Mv4 4 28672
P3Mv4 8 60160
P4Mv4 16 121088
P5Mv4 32 246016

Welchen Azure Storage-Dienst sollte ich zum Hochladen eines Konfigurationsskripts (Installation) verwenden?

Verwenden Sie den Azure Storage-Blob-Dienst zum Hochladen des Skripts und der erforderlichen Abhängigkeiten.

Gibt es eine Einschränkung bei der Benennung und dem Format für das Konfigurationsskript (Installation)?

Ja, das Skript muss Install.ps1 benannt werden. Nur PowerShell wird unterstützt. Stellen Sie sicher, dass Konfigurationsskripts und Abhängigkeiten als einzelne ZIP-Datei hochgeladen werden.

Gibt es eine Größenbeschränkung für die Abhängigkeiten, die ich als Teil der ZIP-Datei hochladen kann?

Es wird keine Größenbeschränkung erzwungen. Denken Sie daran, dass sich die Gesamtgröße der Abhängigkeiten auf die Bereitstellungszeit der Instanz auswirkt.

Startet das Hinzufügen oder Bearbeiten der verwalteten Instanz für Azure App Service-Planadaptern die Planinstanzen neu?

Ja, das Hinzufügen oder Bearbeiten von Adaptern für verwaltete Instanzen (Konfigurationsskript/Speicher/Registrierung) starten die zugrunde liegenden Instanzen neu und wirken sich auf alle Web-Apps aus, die für den Plan bereitgestellt werden. Denken Sie daran, dass die Instanz neu gestartet wird, alle Änderungen, die über RDP-Sitzung vorgenommen wurden, entfernt werden. Verwenden Sie immer das Konfigurationsskript (Installation), um Abhängigkeiten der Installation oder anderer Konfigurationsänderungen beizubehalten, die erforderlich sind.

Mein Verwalteter Instanzen-Plan hat mehrere Instanzen. Kann ich eine einzelne Instanz neu starten?

Ja, navigieren Sie zur verwalteten Instanz, und wählen Sie im linken Menü „Instanzen“ aus. Wählen Sie dann neben dem Namen der Instanz „Neustart“ aus.

Kann ich in meinem App Service-Plan mit verwalteter Instanz eine einzelne Webanwendung neu starten, obwohl er mehrere Webanwendungen umfasst?

Ja, navigieren Sie zur Seite Übersicht in der App, und wählen Sie Neu starten aus.

Kann ich meiner Webanwendung in der Verwalteten Instanz im App Service-Plan verwaltete Identität zuweisen?

Ja, Sie können einer Webanwendung innerhalb der verwalteten Instanz eine andere verwaltete Identität zuweisen. Befolgen der Richtlinien für verwaltete Identitäten

Gibt es eine Einschränkung für die Anzahl der Adapter, die ich für die Verwaltete Instanz im App Service-Plan erstellen kann?

Nein, es gibt keine Beschränkung für die Anzahl der Speicher- oder Registrierungsadapter. Sie können nur einen einzelnen Konfigurationsskriptadapter (Installation) für die Verwaltete Instanz im App Service-Plan erstellen. Die Erhöhung der Anzahl von Adaptern kann sich auf die Bereitstellungszeit für verwaltete Instanzen auswirken.

Verwandte Inhalte

  • Last updated on