Prérequis pour le déploiement d’App Service sur Azure Stack Hub
Important
Mettez à jour Azure Stack Hub vers une version prise en charge (ou déployez le dernier Kit de développement Azure Stack), si nécessaire, avant de déployer ou de mettre à jour le fournisseur de ressources App Service (RP). Veillez à lire les notes de publication basées sur les revendications afin de découvrir les nouvelles fonctionnalités, les correctifs et les problèmes connus susceptibles d’affecter votre déploiement.
Version minimale d’Azure Stack Hub prise en charge Version basée sur les revendications de App Service 2301 et versions ultérieures Programme d’installation 2302 (notes de publication)
Avant de déployer Azure App Service sur Azure Stack Hub, vous devez effectuer les étapes de prérequis décrites dans cet article.
Avant de commencer
Cette section répertorie les prérequis relatifs aux déploiements du système intégré et du Kit de développement Azure Stack (ASDK).
Prérequis pour le fournisseur de ressources
Si vous avez déjà installé un fournisseur de ressources, vous avez probablement rempli les prérequis suivants et pouvez ignorer cette section. Sinon, faites ce qui suit avant de continuer :
Inscrivez votre instance Azure Stack Hub auprès d’Azure si ce n’est déjà fait. Cette étape est nécessaire, car vous allez vous connecter à la Place de marché et y télécharger des éléments à partir d’Azure.
Si vous ne connaissez pas la fonctionnalité Gestion de la Place de marché du portail administrateur Azure Stack Hub, consultez Télécharger des éléments de la Place de marché Azure et les publier sur Azure Stack Hub. Cet article vous guide tout au long du processus de téléchargement des éléments à partir d’Azure vers la Place de marché Azure Stack Hub. Il couvre les deux scénarios, connecté et déconnecté. Si votre instance Azure Stack Hub est déconnectée ou partiellement connectée, d’autres prérequis doivent être respectés en vue de l’installation.
Mettez à jour votre répertoire de base Microsoft Entra. À partir de la build 1910, une nouvelle application doit être inscrite dans votre abonné de répertoire de base. Cette application permet à Azure Stack Hub de créer et d’inscrire avec succès des fournisseurs de ressources plus récents (comme Event Hubs et d’autres) auprès de votre locataire Microsoft Entra. Il s’agit d’une action ponctuelle qui doit être effectuée après la mise à niveau vers la build 1910 ou une build plus récente. Si cette étape n’est pas effectuée, les installations du fournisseur de ressources échouent.
- Après avoir correctement mis à jour votre instance Azure Stack Hub vers la build 1910 (ou supérieure), suivez les instructions relatives au clonage/téléchargement du dépôt d’outils Azure Stack Hub.
- Suivez ensuite les instructions relatives à la mise à jour d’Azure Stack Hub Microsoft Entra répertoire de base (après avoir installé des mises à jour ou de nouveaux fournisseurs de ressources).
Programme d’installation et scripts d’assistance
Téléchargez les scripts d’assistance au déploiement App Service sur Azure Stack Hub.
Remarque
Les scripts d’assistance au déploiement requièrent le module AzureRM PowerShell. Pour des détails sur l’installation, consultez Installer le module AzureRM PowerShell pour Azure Stack Hub.
Téléchargez le programme d’installation d’App Service sur Azure Stack Hub.
Extrayez les fichiers à partir du fichier zip des scripts d’assistance. Les fichiers et dossiers suivants sont extraits :
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Dossier Modules
- GraphAPI.psm1
Certificats et configuration du serveur (systèmes intégrés)
Cette section répertorie les prérequis relatifs aux déploiements de systèmes intégrés.
Configuration requise des certificats
Pour exécuter le fournisseur de ressources en production, vous devez fournir les certificats suivants :
- Certificat de domaine par défaut
- Certificat d’API
- Certificat de publication
- Certificat d’identité
Outre les exigences spécifiques décrites dans les sections suivantes, vous utiliserez également un outil ultérieurement pour tester les exigences générales. Consultez Valider des certificats PKI Azure Stack Hub pour obtenir la liste complète des validations, notamment :
- Format de fichier . PFX
- Utilisation de la clé définie sur l’authentification serveur et client
- et plusieurs autres
Certificat de domaine par défaut
Le certificat de domaine par défaut est placé sur le rôle front-end. Les applications utilisateur pour une demande de domaine par défaut ou de caractères génériques à Azure App Service utilisent ce certificat. Le certificat est également utilisé pour les opérations de contrôle de code source (Kudu).
Le certificat doit être un certificat générique à trois sujets au format .pfx. Cette exigence permet à un seul certificat de couvrir à la fois au domaine par défaut et au point de terminaison SCM pour les opérations de contrôle de code source.
| Format | Exemple |
|---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Certificat d’API
Le certificat de l’API est placé sur le rôle de gestion. Le fournisseur de ressources l’utilise pour aider à sécuriser les appels d’API. Le certificat de publication doit contenir un objet qui correspond à l’entrée DNS de l’API.
| Format | Exemple |
|---|---|
| api.appservice.<région>.<nom_domaine>.<extension> | api.appservice.redmond.azurestack.external |
Certificat de publication
Le certificat du rôle de serveur de publication sécurise le trafic FTPS quand les propriétaires d’applications chargent du contenu. Le certificat de publication doit contenir un objet qui correspond à l’entrée DNS FTPS.
| Format | Exemple |
|---|---|
| ftp.appservice.<region>.<DomainName>.<extension> | ftp.appservice.redmond.azurestack.external |
Certificat d’identité
Le certificat de l’application d’identité permet :
- Intégration entre le répertoire Microsoft Entra ID ou Services ADFS (AD FS), Azure Stack Hub et App Service pour prendre en charge l’intégration avec le fournisseur de ressources de calcul.
- Des scénarios d’authentification unique pour les outils de développement avancés dans Azure App Service sur Azure Stack Hub.
Le certificat d’identité doit contenir un objet qui correspond au format suivant.
| Format | Exemple |
|---|---|
| sso.appservice.<region>.<DomainName>.<extension> | sso.appservice.redmond.azurestack.external |
Valider les certificats
Avant de déployer le fournisseur de ressources App Service, vous devez valider les certificats à utiliser à l’aide de l’outil Azure Stack Hub Readiness Checker disponible dans la PowerShell Gallery. L’outil Azure Stack Hub Readiness Checker vérifie que les certificats PKI générés conviennent pour le déploiement d’App Service.
En guise de bonne pratique, quand vous utilisez un ou plusieurs des certificats PKI Azure Stack Hub nécessaires, prévoyez suffisamment de temps pour tester et réémettre les certificats au besoin.
Préparer le serveur de fichiers
Azure App Service requiert l’utilisation d’un serveur de fichiers. Pour les déploiements de production, le serveur de fichiers doit être configuré en haute disponibilité et capable de gérer les défaillances.
Modèle de démarrage rapide pour un serveur de fichiers et SQL Server à haute disponibilité
Un modèle de démarrage rapide d'architecture de référence est maintenant disponible pour déployer un serveur de fichiers et SQL Server. Ce modèle prend en charge l’infrastructure Active Directory dans un réseau virtuel qui est configuré pour prendre en charge un déploiement à haut niveau de disponibilité d’Azure App Service sur Azure Stack Hub.
Important
Ce modèle est proposé sous la forme d’une référence ou d’un exemple de la façon dont vous pouvez déployer les composants requis. Comme l’opérateur Azure Stack Hub gère ces serveurs, en particulier dans les environnements de production, vous devez configurer le modèle lorsque cela est nécessaire ou si votre organisation l’impose.
Remarque
L’instance de système intégré doit pouvoir télécharger des ressources à partir de GitHub pour terminer le déploiement.
Étapes pour déployer un serveur de fichiers personnalisé
Important
Si vous choisissez de déployer App Service dans un réseau virtuel existant, vous devez déployer le serveur de fichiers dans un sous-réseau distinct d’App Service.
Remarque
Si vous avez choisi de déployer un serveur de fichiers à l’aide de l’un des modèles de démarrage rapide mentionnés ci-dessus, vous pouvez ignorer cette section car les serveurs de fichiers sont configurés dans le cadre du déploiement de modèle.
Approvisionner des groupes et des comptes dans Active Directory
Créez les groupes de sécurité globaux Active Directory suivants :
- FileShareOwners
- FileShareUsers
Créez les comptes Active Directory suivants en tant que comptes du service :
- FileShareOwner
- FileShareUser
En ce qui concerne les meilleures pratiques en termes de sécurité, les utilisateurs de ces comptes (et pour tous les rôles web) doivent être uniques et détenir des noms d’utilisateur et des mots de passe sécurisés. Définissez les mots de passe avec les conditions suivantes :
- Activez Le mot de passe n’expire jamais.
- Activez L’utilisateur ne peut pas changer de mot de passe.
- Désactivez L’utilisateur doit changer de mot de passe à la prochaine ouverture de session.
Ajoutez les comptes aux appartenances aux groupes comme suit :
- Ajoutez FileShareOwner au groupe FileShareOwners.
- Ajoutez FileShareUser au groupe FileShareUsers.
Approvisionner des groupes et des comptes dans un groupe de travail
Remarque
Quand vous configurez un serveur de fichiers, exécutez toutes les commandes suivantes à partir d’une invite de commandes en mode Administrateur.
N’utilisez pas PowerShell.
Lorsque vous utilisez le modèle Azure Resource Manager, les utilisateurs sont déjà créés.
Exécutez les commandes suivantes pour créer les comptes FileShareOwner et FileShareUser. Remplacez
<password>par vos propres valeurs.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noDéfinissez les mots de passe pour les comptes de sorte qu’ils n’expirent jamais en exécutant les commandes WMIC suivantes :
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSECréez les groupes locaux FileShareUsers et FileShareOwners et ajoutez-y les comptes lors de la première étape :
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Approvisionner le partage de contenu
Le partage de contenu contient le contenu du site web du locataire. La procédure de provisionnement du partage de contenu sur un seul serveur de fichiers est identique pour les environnements Active Directory et de groupe de travail. Mais elle est différente pour un cluster de basculement dans Active Directory.
Approvisionnez le partage de contenu sur un seul serveur de fichiers (Active Directory ou Groupe de travail)
Exécutez les commandes suivantes dans une invite de commandes avec élévation de privilèges sur un serveur de fichiers unique. Remplacez la valeur pour C:\WebSites par les chemins d’accès correspondants dans votre environnement.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Configurer le contrôle d’accès aux partages
Exécutez les commandes suivantes dans une invite de commandes avec élévation de privilèges sur le serveur de fichiers ou sur le nœud de cluster de basculement, qui est le propriétaire actuel de la ressource de cluster. Remplacez les valeurs en italiques par les valeurs spécifiques de votre environnement.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Groupe de travail
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Préparer l’instance SQL Server
Remarque
Si vous avez choisi de déployer le modèle de démarrage rapide pour un serveur de fichiers et SQL Server à haute disponibilité, vous pouvez ignorer cette section, car le modèle déploie et configure SQL Server dans une configuration haute disponibilité (HA).
Pour qu’Azure App Service sur Azure Stack Hub héberge et contrôle les bases de données, vous devez préparer une instance SQL Server pour stocker les bases de données d’App Service.
Pour des raisons de production et de haute disponibilité, vous devez utiliser une version complète de SQL Server 2014 SP2 ou une version ultérieure, activer l’authentification en mode mixte et déployer une configuration hautement disponible.
L’instance SQL Server pour Azure App Service sur Azure Stack Hub doit être accessible depuis tous les rôles App Service. SQL Server peut être déployé au sein d’un abonnement de fournisseur par défaut dans Azure Stack Hub. Vous pouvez aussi vous servir d’une infrastructure existante au sein de votre organisation (sous réserve d’une connectivité avec Azure Stack Hub). Si vous utilisez une image de Place de marché Azure, pensez à configurer le pare-feu en conséquence.
Remarque
Un certain nombre d'images de machines virtuelles IaaS SQL sont disponibles via la fonctionnalité Gestion de la Place de marché. Assurez-vous de toujours télécharger la dernière version de l’extension Iaas SQL avant de déployer une machine virtuelle à l’aide d’un élément de la Place de marché. Les images SQL sont les mêmes que les machines virtuelles SQL sont disponibles dans Azure. Pour les machines virtuelles SQL créées à partir de ces images, l’extension IaaS et les améliorations apportées au portail correspondantes fournissent des fonctionnalités de mise à jour corrective et de sauvegarde automatique.
Pour tous les rôles SQL Server, vous pouvez utiliser une instance par défaut ou une instance nommée. Si vous utilisez une instance nommée, assurez-vous de démarrer manuellement le service SQL Server Browser et d’ouvrir le port 1434.
Le programme d’installation App Service vérifie que l’autonomie de la base de données est activée sur SQL Server. Pour activer l’autonomie de la base de données sur le serveur SQL Server qui hébergera les bases de données App Service, exécutez ces commandes SQL :
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certificats et configuration du serveur (ASDK)
Cette section répertorie les prérequis relatifs aux déploiements d'ASDK.
Certificats requis pour le déploiement ASDK d’Azure App Service
Le script Create-AppServiceCerts.ps1 fonctionne avec l’autorité de certification Azure Stack Hub pour créer les quatre certificats dont App Service a besoin.
| Nom de fichier | Utilisation |
|---|---|
| _.appservice.local.azurestack.external.pfx | Certificat SSL par défaut d’App Service |
| api.appservice.local.azurestack.external.pfx | Certificat SSL de l’API App Service |
| ftp.appservice.local.azurestack.external.pfx | Certificat SSL d’App Service Publisher |
| sso.appservice.local.azurestack.external.pfx | Certificat d’application d’identité App Service |
Pour créer les certificats, suivez les étapes ci-dessous :
- Connectez-vous à l’hôte ASDK en utilisant le compte AzureStack\AzureStackAdmin.
- Ouvrez une session PowerShell avec élévation de privilèges.
- Exécutez le script Create-AppServiceCerts.ps1 à partir du dossier où vous avez extrait les scripts d’assistance. Ce script crée quatre certificats dans le même dossier que le script dont App Service a besoin pour créer des certificats.
- Entrez un mot de passe pour sécuriser les fichiers .pfx et prenez-en note. Vous devez l’entrer ultérieurement dans le programme d’installation d’App Service sur Azure Stack Hub.
Paramètres du script Create-AppServiceCerts.ps1
| Paramètre | Obligatoire ou facultatif | Valeur par défaut | Description |
|---|---|---|---|
| pfxPassword | Obligatoire | Null | Mot de passe pour aider à protéger la clé privée du certificat |
| DomainName | Obligatoire | local.azurestack.external | Suffixe de la région et du domaine Azure Stack Hub |
Modèle de démarrage rapide pour un serveur de fichiers utilisé pour les déploiements d’Azure App Service sur ASDK.
Pour les déploiements d’ASDK uniquement, vous pouvez utiliser cet exemple de modèle de déploiement Azure Resource Manager pour déployer un serveur de fichiers configuré avec un seul nœud. Le serveur de fichiers à nœud unique sera dans un groupe de travail.
Remarque
L’instance ASDK doit être en mesure de télécharger des ressources à partir de GitHub pour terminer le déploiement.
Instance SQL Server
Pour qu’Azure App Service sur Azure Stack Hub héberge et contrôle les bases de données, vous devez préparer une instance SQL Server pour stocker les bases de données d’App Service.
Pour les déploiements d’ASDK, vous pouvez utiliser SQL Server Express 2014 SP2 ou une version ultérieure. SQL Server doit être configuré pour prendre en charge l’authentification en mode mixte, car App service sur Azure Stack Hub ne prend PAS en charge l’authentification Windows.
L’instance SQL Server pour Azure App Service sur Azure Stack Hub doit être accessible depuis tous les rôles App Service. SQL Server peut être déployé au sein d’un abonnement de fournisseur par défaut dans Azure Stack Hub. Vous pouvez aussi vous servir d’une infrastructure existante au sein de votre organisation (sous réserve d’une connectivité avec Azure Stack Hub). Si vous utilisez une image de Place de marché Azure, pensez à configurer le pare-feu en conséquence.
Remarque
Un certain nombre d'images de machines virtuelles IaaS SQL sont disponibles via la fonctionnalité Gestion de la Place de marché. Assurez-vous de toujours télécharger la dernière version de l’extension Iaas SQL avant de déployer une machine virtuelle à l’aide d’un élément de la Place de marché. Les images SQL sont les mêmes que les machines virtuelles SQL sont disponibles dans Azure. Pour les machines virtuelles SQL créées à partir de ces images, l’extension IaaS et les améliorations apportées au portail correspondantes fournissent des fonctionnalités de mise à jour corrective et de sauvegarde automatique.
Pour tous les rôles SQL Server, vous pouvez utiliser une instance par défaut ou une instance nommée. Si vous utilisez une instance nommée, assurez-vous de démarrer manuellement le service SQL Server Browser et d’ouvrir le port 1434.
Le programme d’installation App Service vérifie que l’autonomie de la base de données est activée sur SQL Server. Pour activer l’autonomie de la base de données sur le serveur SQL Server qui hébergera les bases de données App Service, exécutez ces commandes SQL :
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Problèmes de licences pour le serveur de fichiers requis et SQL Server
Azure App Service sur Azure Stack Hub nécessite un serveur de fichiers et SQL Server pour fonctionner. Vous êtes libre d’utiliser des ressources préexistantes situées en dehors de votre déploiement Azure Stack Hub ou de déployer des ressources au sein de leur abonnement fournisseur par défaut Azure Stack Hub.
Si vous choisissez de déployer les ressources au sein de votre Abonnement fournisseur par défaut Azure Stack Hub, les licences pour ces ressources (licences Windows Server et licences SQL Server) sont incluses dans le coût d’Azure App Service sur Azure Stack Hub et soumises aux contraintes suivantes :
- l’infrastructure est déployée dans l’abonnement fournisseur par défaut ;
- l’infrastructure est utilisée exclusivement par Azure App Service sur le fournisseur de ressources Azure Stack Hub. Les autres charges de travail, d’administration (autres fournisseurs de ressources, par exemple : SQL-RP) ou de locataire (par exemple, applications de locataire, qui nécessitent une base de données) ne sont pas autorisées à utiliser cette infrastructure.
Responsabilité opérationnelle des serveurs de fichiers et SQL
Les opérateurs cloud sont responsables de la maintenance et du fonctionnement du serveur de fichiers et de SQL Server. Le fournisseur de ressources ne gère pas ces ressources. L'opérateur cloud est responsable de la sauvegarde des bases de données App Service et du partage des fichiers de contenu des locataires.
Récupérer le certificat racine Azure Resource Manager pour Azure Stack Hub
Ouvrez une session PowerShell avec élévation de privilèges sur un ordinateur qui peut atteindre le point de terminaison privilégié sur le système intégré Azure Stack Hub ou l’hôte ASDK.
Exécutez le script Get-AzureStackRootCert.ps1 à partir du dossier où vous avez extrait les scripts d’assistance. Le script crée un certificat racine dans le même dossier que le script dont App Service a besoin pour créer des certificats.
Lorsque vous exécutez la commande PowerShell suivante, vous devez fournir le point de terminaison privilégié et les informations d’identification du compte AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Paramètres du script Get-AzureStackRootCert.ps1
| Paramètre | Obligatoire ou facultatif | Valeur par défaut | Description |
|---|---|---|---|
| PrivilegedEndpoint | Obligatoire | AzS-ERCS01 | Point de terminaison privilégié |
| CloudAdminCredential | Obligatoire | AzureStack\CloudAdmin | Informations d’identification du compte de domaine pour les administrateurs cloud d’Azure Stack Hub |
Configuration du réseau et de l'identité
Réseau virtuel
Remarque
La création préalable d’un réseau virtuel personnalisé est optionnelle, car le service Azure App Service sur Azure Stack Hub peut créer le réseau virtuel requis, mais il devra ensuite communiquer avec SQL et File Server via des adresses IP publiques. Si vous utilisez le serveur de fichiers haute disponibilité App Service et le modèle de démarrage rapide SQL Server pour déployer les ressources de serveur de fichiers et SQL préalablement requises, le modèle déploie également un réseau virtuel.
Azure App Service sur Azure Stack Hub permet de déployer le fournisseur de ressources sur un réseau virtuel existant ou de créer un réseau virtuel dans le cadre du déploiement. Si vous avez un réseau virtuel existant, vous pouvez utiliser des adresses IP internes pour vous connecter au serveur de fichiers et à SQL Server requis par Azure App Service sur Azure Stack Hub. Vous devez configurer le réseau virtuel avec la plage d’adresses et les sous-réseaux suivants avant d’installer Azure App Service sur Azure Stack Hub :
Réseau virtuel - /16
Sous-réseaux
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- WorkersSubnet /21
Important
Si vous choisissez de déployer App Service dans un réseau virtuel existant, SQL Server doit être déployé dans un sous-réseau distinct d’App Service et du serveur de fichiers.
Créer une application d’identité pour activer les scénarios d’authentification unique
Azure App Service utilise une application d’identité (principal de service) pour prendre en charge les opérations suivantes :
- Intégration d’un groupe de machines virtuelles identiques sur les niveaux de travail.
- Authentification unique pour le portail Azure Functions et outils de développement avancés (Kudu).
Selon le fournisseur d’identité utilisé par Azure Stack Hub, Microsoft Entra ID ou Services ADFS (ADFS), vous devez suivre les étapes appropriées ci-dessous pour créer le principal de service à utiliser par le Azure App Service sur le fournisseur de ressources Azure Stack Hub.
Créer une application Microsoft Entra
Procédez comme suit pour créer le principal de service dans votre locataire Microsoft Entra :
- Ouvrez une instance PowerShell en tant que azurestack\Azurestackadmin.
- Accédez à l’emplacement où les scripts ont été téléchargés et extraits dans l’étape des prérequis.
- Installez PowerShell pour Azure Stack Hub.
- Exécutez le script Create-AADIdentityApp.ps1. Lorsque vous y êtes invité, entrez l’ID de locataire Microsoft Entra que vous utilisez pour votre déploiement Azure Stack Hub. Par exemple, entrez myazurestack.onmicrosoft.com.
- Dans la fenêtre Informations d’identification, entrez votre compte d’administrateur de service Microsoft Entra et votre mot de passe. Sélectionnez OK.
- Entrez le chemin d’accès au fichier du certificat et le mot de passe du certificat pour le certificat créé précédemment. Le certificat par défaut créé pour cette étape est sso.appservice.local.azurestack.external.pfx.
- Notez l’ID d’application qui est retourné dans la sortie PowerShell. Vous utilisez l’ID au cours des étapes suivantes pour donner votre consentement aux demandes d’autorisation de l’application, et pendant l’installation.
- Ouvrez une nouvelle fenêtre de navigateur et connectez-vous au Portail Azure en tant qu’administrateur du service Microsoft Entra.
- Ouvrez le service Microsoft Entra.
- Dans le volet gauche, sélectionnez Inscriptions d’applications.
- Recherchez l’ID d’application que vous avez noté à l’étape 7.
- Sélectionnez l’inscription d’application App Service dans la liste.
- Dans le volet gauche, sélectionnez Autorisations d’API.
- Sélectionnez Accorder le consentement de l’administrateur pour <le locataire>, où <locataire> est le nom de votre locataire Microsoft Entra. Confirmez l’octroi du consentement en sélectionnant Oui.
Create-AADIdentityApp.ps1
| Paramètre | Obligatoire ou facultatif | Valeur par défaut | Description |
|---|---|---|---|
| DirectoryTenantName | Obligatoire | Null | Microsoft Entra l’ID de locataire. Fournir le GUID ou une chaîne. Par exemple : myazureaaddirectory.onmicrosoft.com. |
| AdminArmEndpoint | Obligatoire | Null | Point de terminaison Azure Resource Manager d’administrateur. Par exemple : adminmanagement.local.azurestack.external. |
| TenantARMEndpoint | Obligatoire | Null | Point de terminaison Azure Resource Manager de locataire. Par exemple : management.local.azurestack.external. |
| AzureStackAdminCredential | Obligatoire | Null | Microsoft Entra informations d’identification de l’administrateur de service. |
| CertificateFilePath | Obligatoire | Null | Chemin complet du fichier de certificat d’application d’identité généré précédemment. |
| CertificatePassword | Obligatoire | Null | Mot de passe pour aider à protéger la clé privée du certificat. |
| Environnement | Facultatif | AzureCloud | Le nom de l’environnement de Cloud pris en charge dans lequel le service Graph Azure Active Directory cible est disponible. Valeurs autorisées : 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'. |
Créer une application ADFS
- Ouvrez une instance PowerShell en tant que azurestack\Azurestackadmin.
- Accédez à l’emplacement où les scripts ont été téléchargés et extraits dans l’étape des prérequis.
- Installez PowerShell pour Azure Stack Hub.
- Exécutez le script Create-ADFSIdentityApp.ps1.
- Dans la fenêtre Informations d’identification, entrez votre compte administrateur et votre mot de passe pour le cloud AD FS. Sélectionnez OK.
- Entrez le chemin d’accès au fichier du certificat et le mot de passe du certificat pour le certificat créé précédemment. Le certificat par défaut créé pour cette étape est sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
| Paramètre | Obligatoire ou facultatif | Valeur par défaut | Description |
|---|---|---|---|
| AdminArmEndpoint | Obligatoire | Null | Point de terminaison Azure Resource Manager d’administrateur. Par exemple : adminmanagement.local.azurestack.external. |
| PrivilegedEndpoint | Obligatoire | Null | Point de terminaison privilégié. Par exemple : AzS-ERCS01. |
| CloudAdminCredential | Obligatoire | Null | Informations d’identification du compte de domaine pour les administrateurs cloud d’Azure Stack Hub. Par exemple : Azurestack\CloudAdmin. |
| CertificateFilePath | Obligatoire | Null | Chemin complet du fichier PFX du certificat d’application d’identité. |
| CertificatePassword | Obligatoire | Null | Mot de passe pour aider à protéger la clé privée du certificat. |
Télécharger des éléments à partir de la Place de marché Azure
Azure App Service sur Azure Stack Hub nécessite que les éléments soient téléchargés à partir de la Place de marché Azure afin de les rendre disponibles dans la Place de marché Azure Stack Hub. Vous devez télécharger les éléments suivants avant de commencer le déploiement ou la mise à niveau d’Azure App Service sur Azure Stack Hub :
Important
Windows Server Core n’est pas une image de plateforme prise en charge pour une utilisation avec Azure App Service sur Azure Stack Hub.
N’utilisez pas d’images d’évaluation pour les déploiements de production.
- Dernière version de l’image de machine virtuelle Windows Server 2022 Datacenter.
Image de machine virtuelle complète Windows Server 2022 Datacenter avec Microsoft.Net 3.5.1 SP1 activé. Azure App Service sur Azure Stack Hub exige l'activation de Microsoft .NET 3.5.1 SP1 sur l'image utilisée pour le déploiement. Les images Windows Server 2022 syndiquées de la Place de marché n’ont pas cette fonctionnalité activée et dans les environnements déconnectés ne peuvent pas contacter Microsoft Update pour télécharger les packages à installer via DISM. Par conséquent, vous devez créer et utiliser une image Windows Server 2022 avec cette fonctionnalité pré-activée avec des déploiements déconnectés.
Pour plus d’informations sur la création d’une image personnalisée et sur son ajout à la Place de marché, consultez Ajouter une image de machine virtuelle personnalisée à Azure Stack Hub. Lorsque vous ajoutez l'image à la Place de marché, veillez à spécifier les propriétés suivantes :
- Serveur de publication = MicrosoftWindowsServer
- Offre = WindowsServer
- SKU = AppService
- Version = Spécifier la dernière version
- L’extension de script personnalisé v1.9.1 (ou version ultérieure) . Cet élément est une extension de machine virtuelle.
Étapes suivantes
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour