Compartir a través de

Configuración de Instancia administrada en Azure App Service (versión preliminar)

Instancia administrada en Azure App Service (versión preliminar) es una opción de hospedaje con ámbito de plan para aplicaciones web Windows que necesitan personalización del sistema operativo (SO), redes privadas opcionales e integración segura con recursos de Azure. En este artículo se explica cómo configurar Instancia administrada en áreas clave:

  • Identidad administrada
  • Scripts de configuración (instalación)
  • Montajes de almacenamiento
  • Claves del Registro
  • Acceso al Protocolo de escritorio remoto (RDP)

Importante

La instancia administrada está en versión preliminar, disponible para las aplicaciones web de Windows en regiones seleccionadas y limitada a los planes de precios Pv4 y Pmv4. Más regiones a seguir. No se admiten contenedores y Linux.

Adición de una identidad administrada (al plan de App Service)

Las identidades administradas a nivel de plan permiten la autenticación para las operaciones de infraestructura que se realizan en la capa de plataforma, como los scripts de configuración (instalación) que acceden a Azure Storage durante el inicio, los adaptadores del registro que extraen secretos de Key Vault y los montajes de almacenamiento que se autentican en Azure Files. Estos componentes son recursos compartidos que consumen varias aplicaciones del plan. Por ejemplo, una identidad de nivel de plan permite a Instancia administrada autenticarse una vez para los componentes de infraestructura, mientras que las aplicaciones individuales mantienen sus propias identidades para recursos específicos de la aplicación, como bases de datos y secretos de aplicación.

Las identidades administradas para el plan de App Service son necesarias en los escenarios siguientes:

  • Para acceder y recuperar de forma segura tu script de configuración desde Azure Storage.
  • Acceda a Key Vault para proporcionar credenciales y valores para puntos de montaje de almacenamiento y adaptadores de claves de registro.

Consulte Administración de identidades administradas asignadas por el usuario para crear una identidad administrada.

Para agregar una identidad administrada al plan de Instancia Administrada:

  1. Vaya a la instancia administrada en Azure Portal.
  2. Seleccione Identidad>Usuario asignado.
  3. Seleccione +Agregar.
  4. Seleccione la suscripción y la identidad administrada.
  5. Seleccione Agregar para agregar la identidad al plan.

Adición de scripts de configuración (instalación)

Los scripts de configuración (instalación) se ejecutan en el inicio de la instancia para aplicar la personalización persistente. Entre los ejemplos se incluyen el registro del modelo de objetos componentes (COM), las instalaciones de Microsoft/Windows Installers (MSI), la configuración de Internet Information Services (IIS Server), los cambios de ACL, la habilitación de características de Windows y la configuración de variables de entorno.

Necesita lo siguiente para usar scripts de configuración (instalación):

  • Una identidad administrada asignada al plan de App Service
  • Una cuenta de almacenamiento con un contenedor de blobs que contiene el paquete de script de configuración (instalación) (zip).
  • Un único archivo ZIP cuya raíz contiene Install.ps1 (punto de entrada)
  • Storage Blob Data Reader rol en la cuenta de almacenamiento, el contenedor o el grupo de recursos

Para agregar un script de configuración:

  1. Vaya al plan de App Service de Instancia Administrada en el portal de Azure.

  2. Seleccione Configuración>Ajustes Generales.

  3. En la sección Script de configuración , comience configurando el script.

    Configuración Importancia
    Cuenta de almacenamiento Selección de la cuenta de almacenamiento
    Contenedor Escriba el nombre del contenedor.
    Archivo ZIP Escriba el nombre del archivo ZIP.
    Importancia Compruebe que este valor es correcto

  4. Seleccione Aplicar para guardar los cambios.

Procedimientos recomendados del script de configuración

  • Crear scripts idempotentes (verificar antes de instalar).
  • Proteja las operaciones destructivas (evite modificar los directorios del sistema windows protegidos).
  • Escalonar instalaciones pesadas para reducir la latencia de inicio.

Ejemplo de estructura zip mínima:

Install.ps1
myInstallerfileNameGoesHere.msi
config.xml

Script de configuración de ejemplo:

# Install Components, for example Crystal Reports, Control Library, Database Driver
$ComponentInstaller = "myInstallerFileNameGoesHere.msi"
try {
    $Component = Join-Path $PSScriptRoot $ComponentInstaller
    Start-Process $Component -ArgumentList "/q" -Wait -ErrorAction Stop
} catch {
    Write-Error "Failed to install ${ComponentInstaller}: $_"
    exit 1
}

Configuración de montajes de almacenamiento

Los montajes de almacenamiento proporcionan almacenamiento externo persistente (por ejemplo, Azure Files) accesible para la aplicación. Se usa para el código heredado que necesita acceso al sistema de archivos compartido, no para secretos (use Key Vault). Aunque el almacenamiento local (temporal) también está disponible, los cambios persistentes requieren montajes de almacenamiento.

Necesita lo siguiente para configurar montajes de almacenamiento:

  • Identidad administrada (para el acceso a Key Vault)
  • Secreto de Key Vault (origen de credenciales)

Para configurar montajes de almacenamiento:

  1. Vaya a la instancia administrada en Azure Portal.
  2. Seleccione Configuración>Montajes.
  3. Seleccione + Nuevo montaje de almacenamiento.

Proporcione los detalles siguientes para configurar el montaje de almacenamiento:

Configuración Importancia
Nombre Escriba un nombre de punto de montaje.
Tipo de almacenamiento Azure Files, Personalizado o Local (almacenamiento temporal)
Cuenta de almacenamiento Selección o escritura de una cuenta de almacenamiento
Compartición de archivos Selección de un recurso compartido de archivos
Importancia Selección de un almacén de claves
Secreto Selecciona el secreto del almacén de claves
Letra de unidad de montaje Seleccionar ruta de letra de unidad

Puede montar el almacenamiento externo en la instancia administrada. El almacenamiento montado es persistente en los reinicios y es accesible desde el sistema de archivos de la aplicación.

Configuración de montajes de almacenamiento con Azure Files

Para configurar un montaje de almacenamiento de Azure Files:

  1. Cree una Cuenta de almacenamiento de Azure y una compartición de archivos de Azure.
  2. Almacene una credencial de conexión en Key Vault como secreto. Contenidos secretos soportados: (ej.: DefaultEndpointsProtocol=...;AccountName=...;AccountKey=...;EndpointSuffix=core.windows.net)
  3. Agregue el montaje en la instancia administrada (portal de Azure o ARM/Bicep/Terraform).

Sugerencia

Aplique permisos de nivel de compartición a través de Azure RBAC + ACLs de recursos compartidos para una seguridad mejorada.

Configuración de montajes de almacenamiento con UNC personalizado

Utilice puntos de montaje para recursos compartidos SMB hospedados en otro lugar (en las instalaciones, máquinas virtuales o que no sean de Microsoft). Asegúrese de la conectividad de red (integración de red virtual, puntos de conexión privados o firewalls).

  1. Si se necesitan credenciales, almacénelas en un secreto de Key Vault con el formato : username=<user>,password=<password>
    • Evitar cuentas de administrador de dominio; use una identidad de servicio con privilegios mínimos.
  2. Agregue el punto de montaje en la instancia administrada.

Configuración de claves del Registro

Algunas aplicaciones dependen de los valores leídos del Registro de Windows. Con un adaptador de clave del Registro, puede crear claves del Registro y usar secretos de Azure Key Vault como valor.

Necesita lo siguiente para configurar las claves del Registro:

  • Identidad administrada (para el acceso a Key Vault)
  • Secreto de Key Vault (origen de credenciales)

Para configurar las claves del Registro:

  1. Vaya a Configuración>Claves del Registro.

  2. Seleccione +Agregar.

    Configuración Importancia
    Ruta Escriba la ruta de acceso del Registro.
    Vault Introduzca un nombre de bóveda existente.
    Secreto Seleccione o escriba el secreto de la bóveda de claves.
    Tipo Cadena o DWORD

  3. Seleccione Agregar para agregar la clave del Registro.

Precaución

Tenga cuidado al modificar las rutas críticas del registro del sistema. Los cambios incorrectos pueden afectar a la estabilidad de la instancia.

Configuración del acceso a RDP (Bastion)

Inicio rápido: La implementación de Azure Bastion le permite conectarse de forma segura a las instancias de máquina virtual mediante el Protocolo de escritorio remoto (RDP). RDP a través de Azure Bastion es para diagnósticos transitorios (inspección de registros, validación rápida). Si piensa usar Bastión a través del portal, actualice el recurso de Bastión al plan de tarifa estándar y seleccione Compatibilidad con el cliente nativo y conexión basada en IP.

Necesita los siguientes recursos para el acceso a Bastion/RDP:

  • Instancia administrada debe estar integrada en la red virtual.
  • Host de Azure Bastion en la red virtual de destino
  • Se debe permitir el puerto 3389 desde el NSG de la subred de Bastion al NSG de la subred del plan de App Service.

Para configurar Bastion:

  1. Vaya aConfiguración>Bastion/RDP.
  2. Compruebe que la red virtual está conectada.
  3. Seleccione Permitir escritorio remoto (a través de Bastion) .

Precaución

No aplique instaladores manuales ni cambios de configuración únicamente a través de RDP. Los cambios se pierden al reciclar o crear desviación de configuración.

Preguntas más frecuentes

¿Qué sistema operativo (os) se ejecuta en Instancia administrada en Azure App Service?

Windows Server 2022.

¿Puedo habilitar más roles y características de Windows?

Sí, a través de un script de configuración. Sin embargo, las características eliminadas de una versión futura de Windows Server no estarán disponibles en Instancia administrada.

¿La instancia administrada de Azure App Service recibe actualizaciones periódicas de la plataforma y de la pila de aplicaciones?

Sí, las instancias reciben actualizaciones y mantenimiento rutinarios de la plataforma. Las pilas de aplicaciones preinstaladas también se actualizan periódicamente. Es necesario mantener los componentes instalados mediante scripts de configuración (instalación).

¿Qué lenguajes de programación se instalan en Instancia administrada en Azure App Service?

Microsoft .NET Framework 3.5, 4.8 y Microsoft .NET 8.0. Si necesita otros entornos de ejecución, puede instalarlos mediante un script de configuración. La plataforma no los mantendrá y se debe actualizar manualmente.

¿Cuáles son las limitaciones de los scripts de configuración (instalación)?

Los scripts de configuración (instalación) pueden instalar dependencias, habilitar roles y características y personalizar el sistema operativo. Sin embargo, Windows\System32 operaciones destructivas (por ejemplo, eliminar ) y pueden dar lugar a inestabilidad de instancias.

¿En qué nivel de permisos se ejecuta un script de configuración (instalación)?

Los scripts de configuración (instalación) se ejecutan con permisos de administrador para permitir la instalación y configuración de componentes de nivel de sistema.

¿Qué permisos de rol tiene un operador al conectarse a una instancia mediante Bastion?

Los operadores que se conectan a través de Bastion tienen privilegios de administrador durante la sesión.

¿Cómo puedo solucionar errores con el script de configuración (instalación) o los adaptadores de registro o almacenamiento?

Para solucionar problemas, revise los registros de los scripts de configuración (instalación). Se pueden encontrar en C:\InstallScripts\Script\Install.log en la instancia (no en la aplicación web). Como alternativa, los registros de la consola de App Service se pueden enviar a Azure Monitor y Log Analytics.

Los registros del adaptador se pueden encontrar en la raíz de la máquina, o alternativamente, se almacenan también en los registros de la Plataforma de App Service.

¿Cuál es la memoria direccionable de una instancia administrada en la instancia de trabajo de Azure App Service?

La memoria direccionable de una instancia de instancia administrada en Azure App Service varía en función del plan de precios elegido. La siguiente tabla enumera la memoria direccionable para la instancia de trabajo de la Instancia Administrada en Azure App Service. Es importante tener en cuenta si tiene un script de configuración que instala más componentes, servicios, etc. Estos recursos afectan a la cantidad de memoria disponible para su uso por parte de las aplicaciones web.

Plan de precios Núcleos Memoria (MB)
P0v4 1 2048
P1v4 2 5952
P2v4 4 13440
P3v4 8 28672
P1Mv4 2 13440
P2Mv4 4 28672
P3Mv4 8 60160
P4Mv4 16 121088
P5Mv4 32 246016

¿Qué servicio de Azure Storage debo usar para cargar un script de configuración (instalación)?

Use El servicio de blobs de Azure Storage para cargar el script y las dependencias necesarias.

¿Hay alguna restricción en la nomenclatura y el formato del script de configuración (instalación)?

Sí, el script debe tener el nombre Install.ps1. Solo se admite PowerShell. Asegúrese de cargar el script de configuración (instalación) y las dependencias como un único archivo .zip.

¿Hay un límite de tamaño para las dependencias que puedo cargar como parte del archivo ZIP?

No se aplica ningún límite de tamaño. Recuerde que el tamaño general de las dependencias afecta al tiempo de aprovisionamiento de instancias.

¿La adición o edición de instancias administradas en los adaptadores del plan de App Service reinicia las instancias del plan?

Sí, agregar o editar adaptadores de plan de Instancia administrada (script de configuración, almacenamiento o registro) reinicia las instancias subyacentes y afecta a todas las aplicaciones web implementadas en el plan. Recuerde que el reinicio de instancia quita todos los cambios realizados a través de la sesión RDP. Use siempre el script de configuración (instalación) para conservar la instalación de dependencias u otros cambios de configuración necesarios.

¿Mi plan de Instancia Administrada tiene varias instancias? ¿Puedo reiniciar una sola instancia?

Sí, vaya a instancia administrada y seleccione Instancias en el menú de la izquierda. A continuación, seleccione reiniciar junto al nombre de la instancia.

Mi instancia administrada en el plan de App Service tiene varias aplicaciones web. ¿Puedo reiniciar una sola aplicación web?

Sí, vaya a la página Información general de la aplicación y seleccione Reiniciar.

¿Puedo asignar identidad administrada a mi aplicación web dentro del plan de Instancia administrada en App Service?

Sí, puede asignar una identidad administrada diferente a una aplicación web dentro de la instancia administrada. Siga las instrucciones de identidad administrada.

¿Hay alguna limitación en el número de adaptadores que puedo crear para Instancia administrada en el plan de App Service?

No, no hay ningún límite en el número de adaptadores de almacenamiento o registro. Solo se puede crear un único adaptador de script de configuración (instalación) para Managed Instance en un plan de App Service. El aumento del número de adaptadores podría afectar el tiempo de aprovisionamiento de una instancia administrada.

Contenido relacionado

  • Last updated on