Felügyelt példány konfigurálása az Azure App Service-ben (előzetes verzió)

Az Azure App Service felügyelt példánya (előzetes verzió) egy tervhez kötött hoszting opció Windows-webalkalmazások számára, amelyek operációs rendszer testreszabását, választható privát hálózati kapcsolatok kialakítását és Azure erőforrásokkal való biztonságos integrációt igényelnek. Ez a cikk bemutatja, hogyan konfigurálhatja a felügyelt példányt a főbb területeken:

  • Felügyelt identitás
  • Konfigurációs (telepítési) szkriptek
  • Tárolók csatlakoztatása
  • Rendszerleíró kulcsok
  • Távoli asztali protokoll (RDP) hozzáférése

Fontos

A felügyelt példány előzetes verzióban érhető el a Windows-webalkalmazásokhoz bizonyos régiókban, és csak Pv4- és Pmv4-díjszabási csomagokban érhető el. További követendő régiók. A Linux és a tárolók nem támogatottak.

Felügyelt identitás hozzáadása (az App Service-csomaghoz)

A tervszintű felügyelt identitások lehetővé teszik a platformrétegen futó infrastruktúra-műveletek hitelesítését, például az Azure Storage-hoz az indítás során hozzáférő konfigurációs (telepítési) szkripteket, a Key Vaultból titkos kulcsokat lekért beállításjegyzék-adaptereket és az Azure Filesba való hitelesítést tároló tárolókat. Ezek az összetevők megosztott erőforrások, amelyeket a tervben több alkalmazás is használ. Egy tervszintű identitás például lehetővé teszi, hogy a felügyelt példány egyszer hitelesítse magát az infrastruktúra-összetevők esetében, míg az egyes alkalmazások saját identitásokat tartanak fenn az alkalmazásspecifikus erőforrásokhoz, például az adatbázisokhoz és az alkalmazás titkos kulcsaihoz.

Az App Service-csomag felügyelt identitásai a következő esetekben szükségesek:

  • A konfigurációs szkript biztonságos elérése és lekérése az Azure Storage-ból.
  • Kulcstárak elérése a hitelesítő adatok és értékek ellátásához a tárolócsatlakozások és a regisztrációs kulcs-adapterek számára.

A felügyelt identitás létrehozásához tekintse meg a felhasználó által hozzárendelt felügyelt identitások kezelését .

Felügyelt identitás hozzáadása a felügyelt példány csomaghoz:

  1. Nyissa meg a felügyelt példányt az Azure-portálon.
  2. Válassza a Identitás>Felhasználó által hozzárendelt lehetőséget.
  3. Válassza ki a -t, és adja hozzá a-et.
  4. Válassza ki az előfizetést és a felügyelt identitást.
  5. Válassza a Hozzáadás lehetőséget az identitás tervhez való hozzáadásához.

Konfigurációs (telepítési) szkriptek hozzáadása

A konfigurációs (telepítési) szkriptek a példány indításakor futnak az állandó testreszabás alkalmazásához. Ilyenek például a komponensobjektum-modell (COM) regisztrációja, a Microsoft/Windows Installers (MSI) telepítései, az Internet Information Services (IIS Server) konfigurációja, az ACL-módosítások, a Windows-szolgáltatások engedélyezése, a környezeti változók beállítása.

Konfigurációs (telepítési) szkriptek használatához a következőkre van szükség:

  • Az App Service-csomaghoz rendelt felügyelt identitás
  • Egy blobtárolóval rendelkező tárfiók, amely a konfigurációs (telepítési) szkriptcsomagot (zip) tárolja.
  • Egyetlen zip-fájl, amelynek gyökere tartalmazza Install.ps1 (belépési pont)
  • Storage Blob Data Reader szerepkör a tárfiókban, tárolóban vagy erőforráscsoportban

Konfigurációs szkript hozzáadása:

  1. Nyissa meg a felügyelt példány app service-csomagját az Azure Portalon.

  2. Válassza a Konfiguráció>általános beállításai lehetőséget.

  3. A Konfigurációs szkript szakaszban először konfigurálja a szkriptet.

    Setting Érték
    Tárhelyfiók A tárfiók kiválasztása
    Konténer Adja meg a tároló nevét
    Zip-fájl Adja meg a zip-fájl nevét
    Érték Annak ellenőrzése, hogy ez az érték helyes-e

  4. Kattintson az Alkalmaz gombra a módosítások mentéséhez.

Ajánlott konfigurációs szkriptek

  • Szkriptek idempotenssé tétele (telepítés előtt ellenőrizze).
  • A romboló műveletek elleni védelem (kerülje a védett Windows rendszerkönyvtárak módosítását).
  • Az indítási késleltetés csökkentése érdekében ütemezzük lépcsőzetesen a nagy telepítéseket.

Példa minimális zip-struktúra:

Install.ps1
myInstallerfileNameGoesHere.msi
config.xml

Példa konfigurációs szkriptre:

# Install Components, for example Crystal Reports, Control Library, Database Driver
$ComponentInstaller = "myInstallerFileNameGoesHere.msi"
try {
    $Component = Join-Path $PSScriptRoot $ComponentInstaller
    Start-Process $Component -ArgumentList "/q" -Wait -ErrorAction Stop
} catch {
    Write-Error "Failed to install ${ComponentInstaller}: $_"
    exit 1
}

Tárolók csatlakoztatásának konfigurálása

A tárolási csatlakoztatások állandó külső tárolót (például Azure Files) biztosítanak, amely elérhető az alkalmazás számára. A megosztott fájlrendszer-hozzáférést igénylő örökölt kódhoz használható, nem titkos kulcsokhoz (a Key Vault használatával). Bár a helyi (ideiglenes) tároló is elérhető, az állandó módosításokhoz tárolócsatlakozásokra van szükség.

A tárolócsatlakozások konfigurálásához a következőkre van szükség:

  • Felügyelt identitás (Key Vault-hozzáféréshez)
  • Key Vault-titkos kulcs (hitelesítőadat-forrás)

Tárolók csatlakoztatásának konfigurálása:

  1. Nyissa meg a felügyelt példányt az Azure-portálon.
  2. Válassza a Konfiguráció>Csatolások lehetőséget.
  3. Válassza az + Új tároló csatlakoztatása lehetőséget.

Adja meg a következő adatokat a tároló csatlakoztatásának konfigurálásához:

Setting Érték
Név Csatlakoztatási név megadása
Tárolási típus Azure-fájlok, egyéni vagy helyi (ideiglenes tárolás)
Tároló fiók Tárfiók kiválasztása vagy megadása
Fájlmegosztás Fájlmegosztás kiválasztása
Érték Kulcstartó kiválasztása
Titok Válassza ki a kulcstartó titkos kulcsát
Meghajtóbetűjel csatlakoztatása Meghajtóbetűjel elérési út kiválasztása

Külső tárolót csatlakoztathat a felügyelt példányhoz. A csatlakoztatott tároló állandó az újraindítások között, és elérhető az alkalmazás fájlrendszeréből.

Tárolók csatlakoztatásának konfigurálása az Azure Files használatával

Az Azure Files tárhely-csatlakoztatás konfigurálása:

  1. Hozzon létre egy Azure Storage-fiókot és egy Azure Files-megosztást.
  2. Titkos kulcsként tároljon egy kapcsolati hitelesítő adatot a Key Vaultban. Támogatott titkos kód tartalma: (Pl.: DefaultEndpointsProtocol=...;AccountName=...;AccountKey=...;EndpointSuffix=core.windows.net)
  3. Adja hozzá a csatolmányt a felügyelt példányhoz (Azure portál vagy ARM/Bicep/Terraform).

Jótanács

A fokozott biztonság érdekében kényszerítse ki a megosztási szintű engedélyeket az Azure RBAC+ megosztási ACL-ekkel.

Tárolócsatlakozások konfigurálása egyéni UNC használatával

Csatolások használata máshol üzemeltetett SMB-megosztásokhoz (helyszíni, virtuális gépen vagy nem Microsoft rendszerben). Győződjön meg a hálózati kapcsolatról (virtuális hálózati integráció/ privát végpontok/ tűzfalak).

  1. Ha hitelesítő adatokra van szükség, tárolja őket egy Key Vault-titkos kódban a következő formátumban: username=<user>,password=<password>
    • Kerülje a tartományi rendszergazdai fiókokat; használjon minimális jogosultságú szolgáltatásidentitást.
  2. Adja hozzá a csatlakoztatást a felügyelt példányban.

Regisztrációs kulcsok konfigurálása

Egyes alkalmazások a Windows beállításjegyzékből beolvasott értékektől függnek. Beállításkulcs-adapterrel beállításkulcsokat hozhat létre, és az Azure Key Vault titkos kulcsait használhatja értékként.

A beállításkulcsok konfigurálásához a következőkre van szüksége:

  • Felügyelt identitás (Key Vault-hozzáféréshez)
  • Key Vault-titkos kulcs (hitelesítőadat-forrás)

Beállításkulcsok konfigurálása:

  1. Nyissa meg a konfigurációs>beállításkulcsokat.

  2. Válassza ki a -t, és adja hozzá a-et.

    Setting Érték
    Útvonal Adja meg a beállításjegyzék elérési útját
    Boltozat Adjon meg egy meglévő tárolónevet
    Titok A kulcstartó titkos kulcsának kiválasztása vagy megadása
    Típus Karakterlánc vagy DWORD

  3. Válassza a Hozzáadás lehetőséget a beállításkulcs hozzáadásához.

Caution

Legyen óvatos a rendszerkritikus beállításjegyzék-útvonalak módosításakor. A helytelen módosítások hatással lehetnek a példány stabilitására.

RDP-hozzáférés (Bastion) konfigurálása

Rövid útmutató: Az Azure Bastion automatikus üzembe helyezése lehetővé teszi a virtuálisgép-példányokhoz való biztonságos csatlakozást távoli asztali protokoll (RDP) használatával. Az Azure Bastionon keresztüli RDP átmeneti diagnosztika (naplóvizsgálat, gyors ellenőrzés). Ha a Bastiont a portálon keresztül szeretné használni, frissítse Bastion-erőforrását standard tarifacsomagra, és válassza a natív ügyféltámogatást és IP-Based kapcsolatot.

A Bastion/RDP-hozzáféréshez a következő erőforrásokra van szüksége:

  • A felügyelt példánynak integrálva kell lennie egy virtuális hálózatba.
  • Azure Bastion-gazdagép a cél virtuális hálózaton
  • A 3389-s portot engedélyezni kell az NSG Bastion alhálózatról az App Service-csomag NSG alhálózatára

A Bastion konfigurálása:

  1. Lépjen a Configuration>Bastion/RDP webhelyre.
  2. Ellenőrizze, hogy a virtuális hálózat csatlakoztatva van-e.
  3. Válassza a Távoli asztal engedélyezése (a Bastionon keresztül) lehetőséget.

Caution

Ne alkalmazzon manuális telepítőket vagy konfigurációs módosításokat kizárólag RDP-vel. A módosítások elvesznek az újrahasznosítás során, vagy konfigurációs eltérést hoznak létre.

Gyakori kérdések (GYIK)

Milyen operációs rendszer (operációs rendszer) fut felügyelt példányon az Azure App Service-ben?

Windows Server 2022.

Engedélyezhetek további Windows-szerepköröket és -funkciókat?

Igen, egy konfigurációs szkripten keresztül. A Windows Server egy későbbi kiadásából eltávolított funkciók azonban nem lesznek elérhetők a felügyelt példányban.

Az Azure App Service felügyelt példánya rendszeres platform- és alkalmazásveremfrissítéseket kap?

Igen, a példányok rutinszerű platformfrissítéseket és karbantartást kapnak. Az előre telepített alkalmazásveremek is rendszeresen frissülnek. A konfigurációs (telepítési) szkriptekkel telepített összes összetevőt fenn kell tartania.

Mely programozási nyelvek vannak telepítve felügyelt példányon az Azure App Service-ben?

Microsoft .NET Framework 3.5, 4.8 és Microsoft .NET 8.0. Ha más futtatókörnyezetekre van szüksége, konfigurációs szkripttel telepítheti őket. Azure App Service nem tart fenn további futtatókörnyezeteket a platformkarbantartás részeként, és manuálisan kell frissítenie őket.

Milyen korlátozások vonatkoznak a konfigurációs (telepítési) szkriptekre?

A konfigurációs (telepítési) szkriptek függőségeket telepíthetnek, szerepköröket és funkciókat engedélyezhetnek, és testre szabhatják az operációs rendszert. A romboló műveletek (például törlés Windows\System32) azonban nem támogatottak , és a példányok instabilitásához vezethetnek.

Milyen jogosultsági szinten fut egy konfigurációs (telepítési) szkript?

A konfigurációs (telepítési) szkriptek rendszergazdai engedélyekkel vannak végrehajtva a rendszerszintű összetevők telepítésének és konfigurálásának engedélyezéséhez.

Milyen szerepkör-engedélyekkel rendelkezik egy operátor, amikor a Bastion használatával csatlakozik egy példányhoz?

A Bastionon keresztül csatlakozó operátorok rendszergazdai jogosultságokkal rendelkeznek a munkamenet során.

Hogyan háríthatom el a konfigurációs (telepítési) szkripttel vagy a beállításjegyzék-/tárolóadapterekkel kapcsolatos hibákat?

A hibaelhárításhoz tekintse át a konfigurációs (telepítési) szkriptek naplóit. Ezek a C:\InstallScripts\Script\Install.log fájlban találhatók a példányon (nem a webalkalmazásban). Az App Service konzolnaplók továbbíthatók az Azure Monitor, és a Log Analyticsbe.

Az adapternaplók a gép gyökerében találhatók, vagy az App Service platformnaplóiba vannak bejelentkezve.

Mi a felügyelt példány címezhető memóriája az Azure App Service feldolgozópéldányán?

Az Azure App Service-feldolgozópéldány felügyelt példányának címezhető memóriája a választott díjszabási csomagtól függ. Az alábbi táblázat az Azure App Service feldolgozópéldány felügyelt példányának címezhető memóriáját sorolja fel. Fontos megfontolni, hogy rendelkezik-e olyan konfigurációs szkripttel, amely több összetevőt, szolgáltatást stb. telepít. Ezek az erőforrások befolyásolják a webalkalmazások által használható memória mennyiségét.

Tarifacsomag Cores Memória (MB)
P0v4 1 2048
P1v4 2 5952
P2v4 4 13440
P3v4 8 28672
P1Mv4 2 13440
P2Mv4 4 28672
P3Mv4 8 60160
P4Mv4 16 121088
P5Mv4 32 246016

Melyik Azure Storage-szolgáltatást használjam konfigurációs (telepítési) szkript feltöltéséhez?

A szkript és a szükséges függőségek feltöltéséhez használja az Azure Storage blobszolgáltatást.

Korlátozva van a konfigurációs (telepítési) szkript elnevezése és formátuma?

Igen, a szkriptnek el kell neveznie Install.ps1. Csak a PowerShell támogatott. Győződjön meg arról, hogy konfigurációs (telepítési) szkriptet és függőségeket tölt fel egyetlen .zip fájlként.

Van méretkorlát a zip-fájl részeként feltölthető függőségekre?

A rendszer nem kényszerít méretkorlátot. Ne feledje, hogy a függőségek általános mérete hatással van a példány kiépítési idejére.

Az App Service-csomagadaptereken lévő felügyelt példányok hozzáadása vagy szerkesztése újraindítja a csomagpéldányokat?

Igen, a felügyelt példányok csomagadaptereinek (konfigurációs szkript/tároló/beállításjegyzék) hozzáadása vagy szerkesztése újraindítja az alapul szolgáló példányokat, és hatással van a csomagban üzembe helyezett összes webalkalmazásra. Ne feledje, hogy a példány újraindítása eltávolítja az RDP-munkameneten keresztül végrehajtott összes módosítást. Mindig használjon konfigurációs (telepítési) szkriptet a függőségek telepítésének vagy más szükséges konfigurációs módosításoknak a megőrzéséhez.

A felügyelt példányok csomagja több példánysal rendelkezik, újraindíthatok egy példányt?

Igen, keresse meg a felügyelt példányt, és válassza a Példányok lehetőséget a bal oldali menüben. Ezután válassza az újraindítást a példány neve mellett.

Az App Service-csomag felügyelt példánya több webalkalmazással rendelkezik, újraindíthatok egy webalkalmazást?

Igen, keresse meg az alkalmazás Áttekintés lapját, és válassza az Újraindítás lehetőséget.

Hozzárendelhetem a felügyelt identitást a webalkalmazásomhoz az App Service-csomag felügyelt példányán belül?

Igen, hozzárendelhet egy másik felügyelt identitást egy webalkalmazáshoz a felügyelt példányon belül. Kövesse a felügyelt identitásra vonatkozó útmutatást

Korlátozva van az App Service-csomag felügyelt példányához létrehozható adapterek száma?

Nem, nincs korlátozva a tároló- vagy regisztrációs adapterek száma. Az App Service-csomagban csak egyetlen konfigurációs (telepítési) szkriptadapter hozható létre felügyelt példányhoz. Az adapterek számának növelése befolyásolhatja a felügyelt példány üzembe helyezésének idejét.

Mely régiókban támogatott a felügyelt példány az App Service-ben?

Az App Service Managed Instance támogatása jelenleg az USA keleti régiójára, az USA nyugati középső régiójára, az USA keleti régiójára, Észak-Európára, Kelet-Ausztráliára, Közép-Indiára és Dél-Indiára korlátozódik. Idővel több régió lesz hozzáadva az előzetes verzióhoz. A régiók frissített listájának lekéréséhez használja a következő CLI-parancsot (az Azure CLI 2.82.0-s vagy újabb verzióját kell használnia).

az appservice list-locations --managed-instance-enabled --sku <Pv4 or PmV4 sku your require, for example P1v4>

Kapcsolódó tartalom

  • Last updated on