Az Azure Stack Hub 2302 App Service kibocsátási megjegyzései

Ezek a kibocsátási megjegyzések az Azure Stack Hub 2302 Azure-alkalmazás szolgáltatásának fejlesztéseit és javítását, valamint az ismert problémákat ismertetik. Az ismert problémák az üzembe helyezéssel, a frissítési folyamattal és a buildel kapcsolatos problémákra (a telepítés után) vannak felosztva.

Fontos

Az App Service-erőforrás-szolgáltató (RP) telepítése vagy frissítése előtt frissítse az Azure Stack Hubot egy támogatott verzióra (vagy szükség esetén telepítse a legújabb Azure Stack Development Kitet). Mindenképpen olvassa el az RP kibocsátási megjegyzéseit, hogy megismerje az üzembe helyezést befolyásoló új funkciókat, javításokat és ismert problémákat.

Az Azure Stack Hub támogatott minimális verziója	App Service RP-verzió
2301 és újabb	2302 Installer (kibocsátási megjegyzések)

Összeállítási referencia

Az App Service az Azure Stack Hub 2302-es buildszáma 98.0.1.703

Újdonságok

Azure-alkalmazás Service on Azure Stack Hub 2302 kiadás felváltja a 2022 H1 kiadást, és az alábbi problémák javításait tartalmazza:

• CVE-2023-21703 Azure-alkalmazás szolgáltatás az Azure Stack Hub jogosultsági biztonsági résének emelése esetén.

• Nem lehet megnyitni a virtuálisgép-méretezési csoportok felhasználói felületét az App Service-szerepkörök rendszergazdai felhasználói felületéről az Azure Stack Hub felügyeleti portálján.

• Az összes többi frissítés az Azure Stack Hub 2022 H1 frissítési kibocsátási megjegyzéseiben található Azure-alkalmazás szolgáltatásban található.

• Az Azure Stack Hub 2022 H1 Azure-alkalmazás szolgáltatásának frissítésével a K betű mostantól fenntartott termékváltozatú levél. Ha a K betűt használó egyéni termékváltozattal rendelkezik, a frissítés előtt forduljon az ügyfélszolgálathoz a helyzet megoldásához.

Előfeltételek

Az üzembe helyezés megkezdése előtt tekintse meg az Első lépések dokumentációt .

Mielőtt megkezdené az Azure Stack Hubon futó Azure-alkalmazás szolgáltatás 2302-re való frissítését:

• Győződjön meg arról, hogy az Azure Stack Hub az 1.2108.2.127-ös vagy az 1.2206.2.52-ös verzióra frissült.

• Győződjön meg arról, hogy minden szerepkör készen áll a Azure-alkalmazás szolgáltatásfelügyeletében az Azure Stack Hub felügyeleti portálján.

• Az App Service titkos kulcsainak biztonsági mentése az App Service-felügyelet használatával az Azure Stack Hub felügyeleti portálján.

• Az App Service és az SQL Server főadatbázisainak biztonsági mentése:

  • AppService_Hosting;
  • AppService_Metering;
  • Mester

• A bérlői alkalmazás tartalomfájl-megosztásának biztonsági mentése.

  Fontos

  A felhőszolgáltatók felelősek a fájlkiszolgáló és az SQL Server karbantartásáért és működéséért. Az erőforrás-szolgáltató nem kezeli ezeket az erőforrásokat. A felhőszolgáltató feladata az App Service-adatbázisok és a bérlői tartalomfájl-megosztás biztonsági mentése.

• Az egyéni szkriptbővítmény 1.9.3-es verziójának szindikálása a Marketplace-ről.

Frissítés előtti lépések

Feljegyzés

Ha korábban üzembe helyezte a Azure-alkalmazás Szolgáltatást az Azure Stack Hub 2022 H1-ben az Azure Stack Hub-bélyegen, ez a kiadás egy kisebb frissítés a 2022 H1-re, amely két problémát old meg.

Azure-alkalmazás Azure Stack Hub 2302 szolgáltatás jelentős frissítés, amely több órát is igénybe vehet. A teljes központi telepítés frissül, és minden szerepkör újra létre lesz hozva a Windows Server 2022 Datacenter operációs rendszerrel. Ezért javasoljuk, hogy a frissítés alkalmazása előtt tájékoztassa a végfelhasználót a tervezett frissítésről.

• Az Azure Stack Hub 2022 H1 Azure-alkalmazás szolgáltatásának frissítésével a K betű mostantól fenntartott termékváltozatú levél. Ha a K betűt használó egyéni termékváltozattal rendelkezik, a frissítés előtt forduljon az ügyfélszolgálathoz a helyzet megoldásához.

Tekintse át az ismert problémákat a frissítéshez , és végezze el az előírt műveleteket.

Üzembe helyezés után lépések

Fontos

Ha az App Service-erőforrás-szolgáltatónak biztosított egy SQL Always On-példányt, hozzá kell adnia a appservice_hosting és appservice_metering adatbázisokat egy rendelkezésre állási csoporthoz, és szinkronizálnia kell az adatbázisokat, hogy megakadályozza a szolgáltatás elvesztését adatbázis-feladatátvétel esetén.

Ismert problémák (frissítés)

• Azokban az esetekben, amikor a appservice_hosting és appservice_metering adatbázisokat tartalmazott adatbázisokká alakította át, a frissítés meghiúsulhat, ha a bejelentkezések nem lettek sikeresen migrálva a tartalmazott felhasználókra.

  Ha az appservice_hosting és appservice_metering adatbázisokat az üzembe helyezés után tartalmazott adatbázissá alakította át, és nem migrálta sikeresen az adatbázis-bejelentkezéseket a tartalmazott felhasználókra, frissítési hibákat tapasztalhat.

  A Azure-alkalmazás Szolgáltatás Azure Stack Hubon való telepítése 2020 3. negyedévére való frissítése előtt a következő szkriptet kell végrehajtania az SQL Serveren futó appservice_hosting és appservice_metering. Ez a szkript nem romboló, és nem okoz állásidőt.

  Ezt a szkriptet a következő feltételek mellett kell futtatni:

  • Egy rendszergazdai jogosultsággal rendelkező felhasználó, például az SQL SA-fiók.
  • Ha az SQL Always on parancsot használja, győződjön meg arról, hogy a szkript az űrlap összes App Service-bejelentkezését tartalmazó SQL-példányból fut:
    • appservice_hosting_FileServer
    • appservice_hosting_HostingAdmin
    • appservice_hosting_LoadBalancer
    • appservice_hosting_Operations
    • appservice_hosting_Publisher
    • appservice_hosting_SecurePublisher
    • appservice_hosting_WebWorkerManager
    • appservice_metering_Common
    • appservice_metering_Operations
    • Minden WebWorker-bejelentkezés – amely WebWorker_instance IP-cím formájában< van>

        USE appservice_hosting
        IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
        BEGIN
        DECLARE @username sysname ;  
        DECLARE user_cursor CURSOR  
        FOR
            SELECT dp.name
            FROM sys.database_principals AS dp  
            JOIN sys.server_principals AS sp
                ON dp.sid = sp.sid  
                WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
            OPEN user_cursor  
            FETCH NEXT FROM user_cursor INTO @username  
                WHILE @@FETCH_STATUS = 0  
                BEGIN  
                    EXECUTE sp_migrate_user_to_contained
                    @username = @username,  
                    @rename = N'copy_login_name',  
                    @disablelogin = N'do_not_disable_login';  
                FETCH NEXT FROM user_cursor INTO @username  
            END  
            CLOSE user_cursor ;  
            DEALLOCATE user_cursor ;
            END
        GO
  
        USE appservice_metering
        IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
        BEGIN
        DECLARE @username sysname ;  
        DECLARE user_cursor CURSOR  
        FOR
            SELECT dp.name
            FROM sys.database_principals AS dp  
            JOIN sys.server_principals AS sp
                ON dp.sid = sp.sid  
                WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
            OPEN user_cursor  
            FETCH NEXT FROM user_cursor INTO @username  
                WHILE @@FETCH_STATUS = 0  
                BEGIN  
                    EXECUTE sp_migrate_user_to_contained
                    @username = @username,  
                    @rename = N'copy_login_name',  
                    @disablelogin = N'do_not_disable_login';  
                FETCH NEXT FROM user_cursor INTO @username  
            END  
            CLOSE user_cursor ;  
            DEALLOCATE user_cursor ;
            END
        GO
  

• A bérlői alkalmazások nem tudnak tanúsítványokat kötni az alkalmazásokhoz a frissítés után.

  A probléma oka az, hogy a Windows Server 2022-re való frissítés után az előtérbeli funkciók hiányoznak. Az operátoroknak ezt az eljárást kell követnie a probléma megoldásához.

  1. Az Azure Stack Hub felügyeleti portálján keresse meg a hálózati biztonsági csoportokat , és tekintse meg a ControllersNSG hálózati biztonsági csoportot.

  2. Alapértelmezés szerint a távoli asztal minden App Service-infrastruktúra-szerepkörre le van tiltva. Módosítsa a Inbound_Rdp_3389 szabályműveletet a Hozzáférés engedélyezése gombra.

  3. Lépjen az App Service erőforrás-szolgáltató üzembe helyezését tartalmazó erőforráscsoportra, alapértelmezés szerint a név AppService.<régióhoz>, és csatlakozzon a CN0-VM-hez.

  4. Térjen vissza a CN0-VM távoli asztali munkamenetéhez.

  5. Rendszergazdai PowerShell-munkamenetben futtassa a következőt:

     Fontos

     A szkript végrehajtása során az előtér-méretezési csoport minden példánya szünetel. Ha egy üzenet jelzi, hogy a szolgáltatás telepítve van, a példány újraindul. Használja a szünetet a szkriptben az előtér rendelkezésre állásának fenntartásához. Az operátoroknak mindig gondoskodniuk kell arról, hogy legalább egy előtérpéldány "Kész" legyen, hogy a bérlői alkalmazások fogadhassák a forgalmat, és ne tapasztaljanak állásidőt.

     $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
     $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
     $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
     
     Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
         $lb = $_
         $session = New-PSSession -ComputerName $lb.Name -Credential $cred
     
         Invoke-Command -Session $session {
           $f = Get-WindowsFeature -Name Web-CertProvider
           if (-not $f.Installed) {
               Write-Host Install feature on $env:COMPUTERNAME
               Install-WindowsFeature -Name Web-CertProvider
     
               Shutdown /t 5 /r /f 
           }
        }
     }
     
     Remove-PSSession -Session $session
     
     Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
     

  6. Az Azure Stack felügyeleti portálján lépjen vissza a ControllersNSG hálózati biztonsági csoporthoz.

  7. Módosítsa a Inbound_Rdp_3389 szabályt a hozzáférés megtagadásához.

Ismert problémák (telepítés után)

• A feldolgozók nem érik el a fájlkiszolgálót, ha az App Service egy meglévő virtuális hálózaton van üzembe helyezve, és a fájlkiszolgáló csak a magánhálózaton érhető el, ahogyan azt az Azure Stack Azure-alkalmazás szolgáltatás üzembe helyezési dokumentációja ismerteti.

  Ha úgy döntött, hogy egy meglévő virtuális hálózaton és egy belső IP-címen szeretne csatlakozni a fájlkiszolgálóhoz, hozzá kell adnia egy kimenő biztonsági szabályt, amely lehetővé teszi az SMB-forgalmat a feldolgozó alhálózat és a fájlkiszolgáló között. Nyissa meg a WorkersNsg webhelyet a felügyeleti portálon, és adjon hozzá egy kimenő biztonsági szabályt a következő tulajdonságokkal:

  • Forrás: Bármely
  • Forrásport tartománya: *
  • Cél: IP-címek
  • Cél IP-címtartomány: A fájlkiszolgáló IP-címtartománya
  • Célporttartomány: 445
  • Protokoll: TCP
  • Művelet: Engedélyezés
  • Prioritás: 700
  • Név: Outbound_Allow_SMB445

• A fájlkiszolgálóval kommunikáló feldolgozók késésének megszüntetése érdekében javasoljuk, hogy a következő szabályt adja hozzá a feldolgozó NSG-hez, hogy engedélyezze a kimenő LDAP- és Kerberos-forgalmat az Active Directory-vezérlőkhöz, ha a fájlkiszolgálót az Active Directory használatával biztonságossá teszi; Ha például a gyorsútmutató-sablont használta a HA-fájlkiszolgáló és az SQL Server üzembe helyezéséhez.

  Nyissa meg a WorkersNsg webhelyet a felügyeleti portálon, és adjon hozzá egy kimenő biztonsági szabályt a következő tulajdonságokkal:

  • Forrás: Bármely
  • Forrásport tartománya: *
  • Cél: IP-címek
  • Cél IP-címtartomány: Ip-címek tartománya az AD-kiszolgálókhoz, például a 10.0.0.100-as, 10.0.0.101-as gyorsútmutató-sablonnal
  • Célporttartomány: 389,88
  • Protokoll: bármely
  • Művelet: Engedélyezés
  • Prioritás: 710
  • Név: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers

• A bérlői alkalmazások nem tudnak tanúsítványokat kötni az alkalmazásokhoz a frissítés után.

  A probléma oka az, hogy a Windows Server 2022-re való frissítés után hiányzik egy funkció az előtérben. A probléma megoldásához az operátoroknak az alábbi eljárást kell követnie:

  1. Az Azure Stack Hub felügyeleti portálján keresse meg a hálózati biztonsági csoportokat , és tekintse meg a ControllersNSG hálózati biztonsági csoportot.

  2. Alapértelmezés szerint a távoli asztal minden App Service-infrastruktúra-szerepkörre le van tiltva. Módosítsa a Inbound_Rdp_3389 szabályműveletet a Hozzáférés engedélyezése gombra.

  3. Lépjen az App Service erőforrás-szolgáltató üzembe helyezését tartalmazó erőforráscsoportra, alapértelmezés szerint a név AppService.<régióhoz>, és csatlakozzon a CN0-VM-hez.

  4. Térjen vissza a CN0-VM távoli asztali munkamenetéhez.

  5. Rendszergazdai PowerShell-munkamenetben futtassa a következőt:

     Fontos

     A szkript végrehajtása során az előtér-méretezési csoport minden példánya szünetel. Ha egy üzenet jelzi, hogy a szolgáltatás telepítve van, a példány újraindul. Használja a szünetet a szkriptben az előtér rendelkezésre állásának fenntartásához. Az operátoroknak mindig gondoskodniuk kell arról, hogy legalább egy előtérpéldány "Kész" legyen, hogy a bérlői alkalmazások fogadhassák a forgalmat, és ne tapasztaljanak állásidőt.

     $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
     $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
     $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
     
     Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
         $lb = $_
         $session = New-PSSession -ComputerName $lb.Name -Credential $cred
     
         Invoke-Command -Session $session {
           $f = Get-WindowsFeature -Name Web-CertProvider
           if (-not $f.Installed) {
               Write-Host Install feature on $env:COMPUTERNAME
               Install-WindowsFeature -Name Web-CertProvider
     
               Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
               Shutdown /t 5 /r /f 
           }
        }
     }
     
     Remove-PSSession -Session $session      
     

  6. Az Azure Stack felügyeleti portálján lépjen vissza a ControllersNSG hálózati biztonsági csoporthoz.

  7. Módosítsa a Inbound_Rdp_3389 szabályt a hozzáférés megtagadásához.

Az Azure Stacken Azure-alkalmazás szolgáltatást üzemeltető felhőadminisztrátorokkal kapcsolatos ismert problémák

• Az egyéni tartományok nem támogatottak a leválasztott környezetekben.

  Az App Service tartományi tulajdonjog-ellenőrzést végez a nyilvános DNS-végpontokon. Ennek eredményeképpen az egyéni tartományok nem támogatottak a leválasztott forgatókönyvekben.

• A web- és függvényalkalmazások virtuális hálózati integrációja nem támogatott.

  A virtuális hálózati integráció webes és függvényalkalmazásokhoz való hozzáadásának képessége az Azure Stack Hub portálon jelenik meg, és ha egy bérlő konfigurálni próbál, belső kiszolgálóhiba jelenik meg. Ez a funkció nem támogatott az Azure Stack Hub Azure-alkalmazás szolgáltatásában.

Következő lépések

• A Azure-alkalmazás Szolgáltatás áttekintését az Azure-alkalmazás Service on Azure Stack áttekintésében tekintheti meg.
• Az App Service Azure Stacken való üzembe helyezésének előkészítésével kapcsolatos további információkért lásd : Az App Service használatának első lépései az Azure Stacken.