App Service sur les notes de publication d’Azure Stack Hub 2022 H1

Ces notes de publication décrivent les améliorations et les correctifs dans Azure App Service sur les notes de publication d’Azure Stack Hub 2022 H1 et tous les problèmes connus. Les problèmes connus ont été répartis selon qu’ils concernent le déploiement, le processus de mise à jour ou la build (après l’installation).

Important

Mettez à jour Azure Stack Hub vers une version prise en charge (ou déployez le dernier Kit de développement Azure Stack), si nécessaire, avant de déployer ou de mettre à jour le fournisseur de ressources App Service (RP). Veillez à lire les notes de publication basées sur les revendications afin de découvrir les nouvelles fonctionnalités, les correctifs et les problèmes connus susceptibles d’affecter votre déploiement.

Version minimale d’Azure Stack Hub prise en charge	Version basée sur les revendications de App Service
2301 et versions ultérieures	2302 Installer (notes de publication)

Référence de build

Le numéro de build App Service sur Azure Stack Hub 2022 H1 est 98.0.1.699

Nouveautés

Azure App Service sur Azure Stack Hub 2022 H1 apporte de nombreuses nouvelles fonctionnalités à Azure Stack Hub.

• Tous les rôles sont désormais alimentés par Windows Server 2022 Datacenter.
• Les administrateurs peuvent isoler l’image de plateforme pour une utilisation par App Service sur Azure Stack Hub, en définissant la référence SKU sur AppService.
• Mise à jour de la conception réseau pour tous les Virtual Machine Scale Sets de travail, en répondant aux clients confrontés à des problèmes d’épuisement des ports SNAT.
• Augmentation du nombre d’adresses sortantes pour toutes les applications. La liste mise à jour des adresses sortantes peut être découverte dans les propriétés d’une application dans le portail Azure Stack Hub.
• Les administrateurs peuvent définir un préfixe de déploiement à trois caractères pour les instances individuelles de chaque groupe de machines virtuelles identiques déployées, ce qui est utile lors de la gestion de plusieurs instances Azure Stack Hub.
• Le Centre de déploiement est désormais activé pour les locataires, ce qui remplace l’expérience Options de déploiement. IMPORTANT : les opérateurs devront reconfigurer leurs sources de déploiement à mesure que les URL de redirection ont changé avec cette mise à jour. En outre, les locataires devront reconnecter leurs applications à leurs fournisseurs de contrôle de code source.
• À compter de cette mise à jour, la lettre K est désormais une lettre de référence SKU réservée. Si vous avez défini une référence SKU personnalisée utilisant la lettre K, contactez le support technique pour vous aider à résoudre cette situation avant la mise à niveau.

Prérequis

Avant de passer au déploiement, consultez la documentation Avant de commencer.

Avant de commencer la mise à niveau de Azure App Service sur Azure Stack vers 2022 H1 :

• Vérifiez que votre Azure Stack Hub est mis à jour vers 1.2108.2.127 ou 1.2206.2.52.

• Vérifiez que tous les rôles sont prêts dans le Azure App Service Administration dans le portail Administration Azure Stack Hub.

• Sauvegardez App Service secrets à l’aide de l’administration App Service dans le portail Administration Azure Stack Hub.

• Sauvegardez les bases de données MASTER d’App Service et de SQL Server :

  • AppService_Hosting
  • AppService_Metering
  • Master

• Sauvegardez le partage de fichiers de contenu de l’application cliente.

  Important

  Les opérateurs cloud sont responsables de la maintenance et du fonctionnement du serveur de fichiers et de SQL Server. Le fournisseur de ressources ne gère pas ces ressources. L'opérateur cloud est responsable de la sauvegarde des bases de données App Service et du partage des fichiers de contenu des locataires.

• Syndicatez l’extension de script personnalisé version 1.9.3 à partir de la Place de marché.

Mises à jour

Azure App Service sur Azure Stack Update 2022 H1 inclut les améliorations et correctifs suivants :

• Mises à jour des portails Locataire, Administration et Functions d’App Service, ainsi que des outils Kudu. Cohérentes avec celles de la version du SDK du portail Azure Stack.

• Mise à jour du runtime Azure Functions vers la version 1.0.13154.

• Mises à jour du service principal afin d’améliorer la fiabilité et l’envoi de messages d’erreur, ce qui facilite le diagnostic des problèmes courants.

• Mises à jour des outils et frameworks d’applications suivants :

  • Mise à jour cumulative 2022-09 pour .NET Framework 3.5 et 4.8 pour le système d’exploitation serveur Microsoft version 21H2 pour x64 (KB5017028).
  • ASP.NET Core
    • 3.1.18
    • 3.1.23
    • 6.0.2
    • 6.0.3
  • Eclipse Temurin OpenJDK 8
    • 8u302
    • 8u312
    • 8u322
  • Microsoft OpenJDK 11
    • 11.0.12.7.1
    • 11.0.13.8
    • 11.0.14.1
    • 17.0.1.12
    • 17.0.2.8
  • MSBuild
    • 16.7.0
    • 17.1.0
  • MSDeploy 3.5.100608.567
  • NodeJS
    • 14.18.1
    • 16.9.1
    • 16.13.0
  • npm
    • 6.14.15
    • 7.21.1
    • 8.1.0
  • Tomcat
    • 8.5.69
    • 8.5.72
    • 8.5.78
    • 9.0.52
    • 9.0.54
    • 9.0.62
    • 10.0.12
    • 10.0.20
  • Mise à jour de Kudu vers 97.40427.5713.

• Mises à jour du système d’exploitation sous-jacent pour tous les rôles :

  • 2022-09 Mise à jour cumulative pour Windows Server 2022 pour les systèmes x64 (KB5017316).
  • Defender Definition 1.373.353.0

• Les Mises à jour cumulatives pour Windows Server sont désormais appliquées aux rôles de contrôleur dans le cadre du déploiement et de la mise à niveau.

Problèmes résolus dans cette version

• Propre automatiquement les tables SiteDataRecord et TraceMessages dans la ou les bases de données du fournisseur de ressources App Service.
• Le certificat privé s’affiche désormais dans les sites avec un ou plusieurs emplacements de déploiement.
• Amélioration de la fiabilité du processus de mise à niveau, en vérifiant que tous les rôles sont prêts.

Étapes préalables à la mise à jour

Azure App Service sur Azure Stack Hub 2022 H1 est une mise à jour importante et peut donc prendre plusieurs heures, car l’ensemble du déploiement est mis à jour et tous les rôles sont recréés avec le système d’exploitation Windows Server 2022 Datacenter. Par conséquent, nous recommandons d’informer les clients finaux de la mise à jour planifiée avant l’application de la mise à jour.

• Depuis Azure App Service sur la mise à jour Azure Stack Hub 2022 H1, la lettre K est désormais une lettre de référence SKU réservée. Si vous avez défini une référence SKU personnalisée à l’aide de la lettre K, contactez le support technique pour vous aider à résoudre cette situation avant la mise à niveau.

Passez en revue les problèmes connus de la mise à jour et prenez les mesures requises.

Étapes de post-déploiement

Important

Si vous avez indiqué le fournisseur de ressources App Service avec une instance SQL Always On, vous DEVEZ ajouter les bases de données appservice_hosting et appservice_metering à un groupe de disponibilité et synchroniser les bases de données pour éviter toute perte de service en cas de basculement d’une base de données.

Problèmes connus (mise à jour)

• Dans les situations où un client a converti les bases de données appservice_hosting et appservice_metering en base de données autonome, la mise à niveau peut échouer si les connexions n’ont pas été correctement migrées vers des utilisateurs autonomes.

Les clients qui ont converti les bases de données appservice_hosting et appservice_metering en bases de données autonomes après le déploiement et qui n’ont pas correctement migré les connexions de base de données vers des utilisateurs autonomes peuvent rencontrer des échecs de mise à niveau.

Les clients doivent exécuter le script suivant sur l’instance SQL Server hébergeant appservice_hosting et appservice_metering avant de mettre à niveau l’installation Azure App Service sur Azure Stack Hub vers 2020 T3. Ce script est non destructeur et n’entraîne pas de temps d’arrêt.

Ce script doit être exécuté dans les conditions suivantes :

• Par un utilisateur disposant des privilèges d’administrateur système, par exemple le compte d'administrateur système (SA) SQL ;

• Si vous utilisez SQL Always On, assurez-vous que le script est exécuté à partir de l’instance SQL contenant toutes les connexions App Service sous la forme :

  • appservice_hosting_FileServer
  • appservice_hosting_HostingAdmin
  • appservice_hosting_LoadBalancer
  • appservice_hosting_Operations
  • appservice_hosting_Publisher
  • appservice_hosting_SecurePublisher
  • appservice_hosting_WebWorkerManager
  • appservice_metering_Common
  • appservice_metering_Operations
  • Toutes les connexions WebWorker, qui se présentent sous la forme WebWorker_<adresse IP de l’instance>

        USE appservice_hosting
        IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
        BEGIN
        DECLARE @username sysname ;  
        DECLARE user_cursor CURSOR  
        FOR
            SELECT dp.name
            FROM sys.database_principals AS dp  
            JOIN sys.server_principals AS sp
                ON dp.sid = sp.sid  
                WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
            OPEN user_cursor  
            FETCH NEXT FROM user_cursor INTO @username  
                WHILE @@FETCH_STATUS = 0  
                BEGIN  
                    EXECUTE sp_migrate_user_to_contained
                    @username = @username,  
                    @rename = N'copy_login_name',  
                    @disablelogin = N'do_not_disable_login';  
                FETCH NEXT FROM user_cursor INTO @username  
            END  
            CLOSE user_cursor ;  
            DEALLOCATE user_cursor ;
            END
        GO

        USE appservice_metering
        IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
        BEGIN
        DECLARE @username sysname ;  
        DECLARE user_cursor CURSOR  
        FOR
            SELECT dp.name
            FROM sys.database_principals AS dp  
            JOIN sys.server_principals AS sp
                ON dp.sid = sp.sid  
                WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
            OPEN user_cursor  
            FETCH NEXT FROM user_cursor INTO @username  
                WHILE @@FETCH_STATUS = 0  
                BEGIN  
                    EXECUTE sp_migrate_user_to_contained
                    @username = @username,  
                    @rename = N'copy_login_name',  
                    @disablelogin = N'do_not_disable_login';  
                FETCH NEXT FROM user_cursor INTO @username  
            END  
            CLOSE user_cursor ;  
            DEALLOCATE user_cursor ;
            END
        GO

• Les applications clientes ne peuvent pas lier les certificats aux applications après la mise à niveau.

  La cause de ce problème est due à une fonctionnalité manquante sur Front-Ends après la mise à niveau vers Windows Server 2022. Les opérateurs doivent suivre cette procédure pour résoudre le problème.

  1. Dans le portail d’administration Azure Stack Hub, accédez à Groupes de sécurité réseau et affichez les contrôleurs Groupe de sécurité réseauNSG .

  2. Par défaut, le Bureau à distance est désactivé pour tous les rôles d’infrastructure App Service. Modifiez l’action de règle de Inbound_Rdp_2289 sur Autoriser l’accès.

  3. Accédez au groupe de ressources contenant le déploiement du fournisseur de ressources App Service. Par défaut, le nom est AppService.<région> et connectez-vous à CN0-VM.

  4. Revenez à la session Bureau à distance CN0-VM .

  5. Dans une session PowerShell Administrateur, exécutez :

     Important

     Pendant l’exécution de ce script, il y aura une pause pour chaque instance dans le groupe identique frontal. S’il existe un message indiquant que la fonctionnalité est en cours d’installation, que instance sera redémarré, utilisez la pause dans le script pour maintenir la disponibilité du serveur frontal. Les opérateurs doivent s’assurer qu’au moins un instance front-end est « Prêt » à tout moment pour s’assurer que les applications clientes peuvent recevoir du trafic et ne pas subir de temps d’arrêt.

     $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
     $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
     $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
     
     Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
         $lb = $_
         $session = New-PSSession -ComputerName $lb.Name -Credential $cred
     
         Invoke-Command -Session $session {
           $f = Get-WindowsFeature -Name Web-CertProvider
           if (-not $f.Installed) {
               Write-Host Install feature on $env:COMPUTERNAME
               Install-WindowsFeature -Name Web-CertProvider
     
               Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
               Shutdown /t 5 /r /f 
           }
     }
     
     Remove-PSSession -Session $session     
     

  6. Dans le portail d’administration Azure Stack, revenez au groupe de sécurité réseau ContrôleursNSG .

  7. Modifiez la règle de Inbound_Rdp_3389 pour refuser l’accès.

Problèmes connus (après l’installation)

• Les rôles de travail ne peuvent pas atteindre le serveur de fichiers si App Service est déployé dans un réseau virtuel existant et si le serveur de fichiers est uniquement disponible sur le réseau privé, comme indiqué dans la documentation de déploiement d’Azure App Service sur Azure Stack.

  Si vous avez choisi de procéder au déploiement dans un réseau virtuel existant et une adresse IP interne pour vous connecter à votre serveur de fichiers, vous devez ajouter une règle de sécurité sortante, qui autorise le trafic SMB entre le sous-réseau Worker et le serveur de fichiers. Accédez au WorkersNsg dans le portail d’administration, puis ajoutez une règle de sécurité sortante comportant les propriétés suivantes :

  • Source : Quelconque
  • Plage de ports source : : *
  • Destination : Adresses IP
  • Plage d’adresses IP de destination : plage d’adresses IP de votre serveur de fichiers
  • Plage de ports de destination : 445
  • Protocole : TCP
  • Action : Allow
  • Priorité : 700
  • Nom : Outbound_Allow_SMB445

• Pour supprimer la latence lorsque les workers communiquent avec le serveur de fichiers, nous vous recommandons également d’ajouter la règle suivante au groupe de sécurité réseau worker afin d’autoriser le trafic LDAP et Kerberos sortant vers vos contrôleurs Active Directory si vous sécurisez le serveur de fichiers à l’aide d’Active Directory, par exemple si vous avez utilisé le modèle de démarrage rapide pour déployer un serveur de fichiers haute disponibilité et SQL Server.

  Accédez au WorkersNsg dans le portail d’administration, puis ajoutez une règle de sécurité sortante comportant les propriétés suivantes :

  • Source : Quelconque
  • Plage de ports source : : *
  • Destination : Adresses IP
  • Plage d’adresses IP de destination : plage des IP de vos serveurs AD, par exemple, avec le modèle de démarrage rapide 10.0.0.100, 10.0.0.101
  • Plage des ports de destination : 389,88
  • Protocole : Tous
  • Action : Allow
  • Priorité : 710
  • Nom : Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers

• Les applications clientes ne peuvent pas lier les certificats aux applications après la mise à niveau.

  La cause de ce problème est due à une fonctionnalité manquante sur Front-Ends après la mise à niveau vers Windows Server 2022. Les opérateurs doivent suivre cette procédure pour résoudre le problème.

  1. Dans le portail d’administration Azure Stack Hub, accédez à Groupes de sécurité réseau et affichez les contrôleurs Groupe de sécurité réseauNSG .

  2. Par défaut, le Bureau à distance est désactivé pour tous les rôles d’infrastructure App Service. Modifiez l’action de règle de Inbound_Rdp_2289 sur Autoriser l’accès.

  3. Accédez au groupe de ressources contenant le déploiement du fournisseur de ressources App Service. Par défaut, le nom est AppService.<région> et connectez-vous à CN0-VM.

  4. Revenez à la session Bureau à distance CN0-VM .

  5. Dans une session PowerShell Administrateur, exécutez :

     Important

     Pendant l’exécution de ce script, il y aura une pause pour chaque instance dans le groupe identique frontal. S’il existe un message indiquant que la fonctionnalité est en cours d’installation, que instance sera redémarré, utilisez la pause dans le script pour maintenir la disponibilité du serveur frontal. Les opérateurs doivent s’assurer qu’au moins un instance front-end est « Prêt » à tout moment pour s’assurer que les applications clientes peuvent recevoir du trafic et ne pas subir de temps d’arrêt.

     $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
     $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
     $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
     
     Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
         $lb = $_
         $session = New-PSSession -ComputerName $lb.Name -Credential $cred
     
         Invoke-Command -Session $session {
           $f = Get-WindowsFeature -Name Web-CertProvider
           if (-not $f.Installed) {
               Write-Host Install feature on $env:COMPUTERNAME
               Install-WindowsFeature -Name Web-CertProvider
     
               Shutdown /t 5 /r /f 
           }
     }
     
     Remove-PSSession -Session $session
     
     Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
     

  6. Dans le portail d’administration Azure Stack, revenez au groupe de sécurité réseau ContrôleursNSG .

  7. Modifiez la règle de Inbound_Rdp_3389 pour refuser l’accès.

Problèmes connus des administrateurs cloud utilisant Azure App Service sur Azure Stack

• Les domaines personnalisés ne sont pas pris en charge dans les environnements déconnectés.

  App Service effectue la vérification de la propriété du domaine sur les points de terminaison DNS publics. Par conséquent, les domaines personnalisés ne sont pas pris en charge dans les scénarios déconnectés.

• Réseau virtuel’intégration pour Web et Function Apps n’est pas prise en charge.

  La possibilité d’ajouter une intégration de réseau virtuel aux applications web et de fonction s’affiche dans le portail Azure Stack Hub et, si un locataire tente de configurer, il reçoit une erreur de serveur interne. Cette fonctionnalité n’est pas prise en charge dans Azure App Service sur Azure Stack Hub.

Étapes suivantes

• Pour une présentation d’Azure App Service, consultez Vue d’ensemble d’App Service sur Azure Stack.
• Pour plus d’informations sur la préparation au déploiement d’App Service on Azure Stack, consultez Avant de commencer avec App Service sur Azure Stack.