Előfeltételek az App Service-nek az Azure Stack Hubban való üzembe helyezéséhez
Fontos
Frissítse az Azure Stack Hubot egy támogatott verzióra (vagy szükség esetén telepítse a legújabb Azure Stack Development Kitet) az App Service erőforrás-szolgáltató (RP) üzembe helyezése vagy frissítése előtt. Mindenképpen olvassa el az RP kibocsátási megjegyzéseit, amelyekből megismerheti az üzembe helyezést esetlegesen befolyásoló új funkciókat, javításokat és ismert problémákat.
Támogatott minimális Azure Stack Hub-verzió App Service RP-verzió 2301 és újabb 2302 Installer (kibocsátási megjegyzések)
Mielőtt üzembe helyezené Azure App Service az Azure Stack Hubon, el kell végeznie az ebben a cikkben szereplő előfeltételek lépéseit.
A kezdés előtt
Ez a szakasz az integrált rendszer és az Azure Stack Development Kit (ASDK) üzembe helyezésének előfeltételeit sorolja fel.
Erőforrás-szolgáltató előfeltételei
Ha már telepített egy erőforrás-szolgáltatót, valószínűleg teljesítette a következő előfeltételeket, és kihagyhatja ezt a szakaszt. Ellenkező esetben a folytatás előtt hajtsa végre az alábbi lépéseket:
Ha még nem tette meg, regisztrálja az Azure Stack Hub-példányt az Azure-ban. Erre a lépésre azért van szükség, mert az Azure-ból csatlakozik az elemekhez, és letölti az elemeket a piactérre.
Ha nem ismeri az Azure Stack Hub felügyeleti portál marketplace management funkcióját, tekintse át a Marketplace-elemek letöltése az Azure-ból című cikket, és tegye közzé az Azure Stack Hubban. A cikk végigvezeti az elemek Azure-ból az Azure Stack Hub piactérre való letöltésének folyamatán. Lefedi a csatlakoztatott és a leválasztott forgatókönyveket is. Ha az Azure Stack Hub-példány leválasztva vagy részlegesen csatlakoztatva van, a telepítés előkészítéséhez további előfeltételek is szükségesek.
Frissítse a Microsoft Entra kezdőkönyvtárát. Az 1910-es buildtől kezdve egy új alkalmazást kell regisztrálnia a kezdőkönyvtár-bérlőben. Ez az alkalmazás lehetővé teszi, hogy az Azure Stack Hub sikeresen hozzon létre és regisztráljon újabb erőforrás-szolgáltatókat (például az Event Hubsot és másokat) a Microsoft Entra-bérlővel. Ez egy egyszeri művelet, amelyet az 1910-ben vagy újabb buildre való frissítés után kell elvégezni. Ha ez a lépés nem fejeződik be, a Marketplace erőforrás-szolgáltató telepítése sikertelen lesz.
- Miután sikeresen frissítette az Azure Stack Hub-példányt 1910-re vagy újabbra, kövesse az Azure Stack Hub Tools-adattár klónozására/letöltésére vonatkozó utasításokat.
- Ezután kövesse az Azure Stack Hub Microsoft Entra Home Directory frissítésére vonatkozó utasításokat (frissítések vagy új erőforrás-szolgáltatók telepítése után).
Telepítő- és segédszkriptek
Töltse le a App Service az Azure Stack Hub üzembehelyezési segédszkriptjeiről.
Megjegyzés
Az üzembe helyezési segédszkriptekhez az AzureRM PowerShell-modul szükséges. A telepítés részleteiért lásd: Az Azure Stack Hubhoz készült PowerShell AzureRM-modul telepítése.
Töltse le a App Service az Azure Stack Hub telepítőjén.
Bontsa ki a fájlokat a segédszkriptek .zip fájlból. A rendszer a következő fájlokat és mappákat nyeri ki:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Modulok mappa
- GraphAPI.psm1
Tanúsítványok és kiszolgálókonfiguráció (integrált rendszerek)
Ez a szakasz az integrált rendszertelepítések előfeltételeit sorolja fel.
Tanúsítványkövetelmények
Az erőforrás-szolgáltató éles környezetben való futtatásához a következő tanúsítványokat kell megadnia:
- Alapértelmezett tartományi tanúsítvány
- API-tanúsítvány
- Tanúsítvány közzététele
- Identitástanúsítvány
A következő szakaszokban felsorolt konkrét követelmények mellett később egy eszközt is használ az általános követelmények teszteléséhez. Az ellenőrzések teljes listájáért lásd: Azure Stack Hub PKI-tanúsítványok érvényesítése , beleértve a következőket:
- Fájlformátuma : . PFX
- A kulcshasználat kiszolgáló- és ügyfélhitelesítésre van beállítva
- és még sok más
Alapértelmezett tartományi tanúsítvány
Az alapértelmezett tartománytanúsítvány az előtérbeli szerepkörre kerül. Helyettesítő vagy alapértelmezett tartományi kérés felhasználói alkalmazásai a tanúsítvány Azure App Service használatára. A tanúsítványt a forrásvezérlési műveletekhez (Kudu) is használják.
A tanúsítványnak .pfx formátumúnak kell lennie, és három tulajdonos helyettesítő tanúsítványnak kell lennie. Ez a követelmény lehetővé teszi, hogy egy tanúsítvány az alapértelmezett tartományt és az SCM-végpontot is lefedje a forrásvezérlési műveletekhez.
Formátum | Példa |
---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
API-tanúsítvány
Az API-tanúsítvány a Felügyeleti szerepkörbe kerül. Az erőforrás-szolgáltató ezt használja az API-hívások biztonságossá tételéhez. A közzétételi tanúsítványnak tartalmaznia kell egy olyan tárgyat, amely megfelel az API DNS-bejegyzésének.
Formátum | Példa |
---|---|
api.appservice.<régióban>.<DomainName>.<Kiterjesztés> | api.appservice.redmond.azurestack.external |
Tanúsítvány közzététele
A Publisher-szerepkör tanúsítványa biztosítja az FTPS-forgalmat az alkalmazástulajdonosok számára a tartalom feltöltésekor. A közzétételi tanúsítványnak tartalmaznia kell egy tárgyat, amely megfelel az FTPS DNS-bejegyzésnek.
Formátum | Példa |
---|---|
ftp.appservice.<régióban>.<DomainName>.<Kiterjesztés> | ftp.appservice.redmond.azurestack.external |
Identitástanúsítvány
Az identitásalkalmazás tanúsítványa a következőket teszi lehetővé:
- A Microsoft Entra ID vagy Active Directory összevonási szolgáltatások (AD FS) (AD FS) címtár, az Azure Stack Hub és a App Service közötti integráció a számítási erőforrás-szolgáltatóval való integráció támogatásához.
- Egyszeri bejelentkezési forgatókönyvek fejlett fejlesztői eszközökhöz Azure App Service az Azure Stack Hubon.
Az identitástanúsítványnak tartalmaznia kell egy, az alábbi formátumnak megfelelő tárgyat.
Formátum | Példa |
---|---|
sso.appservice.<régióban>.<DomainName>.<Kiterjesztés> | sso.appservice.redmond.azurestack.external |
Tanúsítványok ellenőrzése
A App Service erőforrás-szolgáltató üzembe helyezése előtt ellenőriznie kell a használni kívánt tanúsítványokat a PowerShell-galéria elérhető Azure Stack Hub Készenlét-ellenőrző eszközzel. Az Azure Stack Hub készenlét-ellenőrző eszköze ellenőrzi, hogy a létrehozott PKI-tanúsítványok alkalmasak-e App Service üzembe helyezésre.
Ajánlott eljárásként a szükséges Azure Stack Hub PKI-tanúsítványokkal végzett munka során elegendő időt kell megterveznie a tanúsítványok tesztelésére és újbóli kiadására, ha szükséges.
A fájlkiszolgáló előkészítése
Azure App Service fájlkiszolgáló használatát igényli. Éles üzemelő példányok esetén a fájlkiszolgálót úgy kell konfigurálni, hogy magas rendelkezésre állású legyen, és képes legyen kezelni a hibákat.
Gyorsútmutató-sablon magas rendelkezésre állású fájlkiszolgálókhoz és SQL Server
Mostantól elérhető egy referenciaarchitektúra gyorsindítási sablonja, amely üzembe helyez egy fájlkiszolgálót és SQL Server. Ez a sablon támogatja az Active Directory-infrastruktúrát egy olyan virtuális hálózatban, amely a Azure App Service Azure Stack Hubon való magas rendelkezésre állású üzembe helyezésének támogatására van konfigurálva.
Fontos
Ez a sablon referenciaként vagy példaként szolgál az előfeltételek üzembe helyezésének módjára. Mivel az Azure Stack Hub-operátor felügyeli ezeket a kiszolgálókat, különösen éles környezetben, a sablont szükség szerint vagy a szervezet igényei szerint kell konfigurálnia.
Megjegyzés
Az integrált rendszerpéldánynak képesnek kell lennie erőforrásokat letölteni a GitHubról az üzembe helyezés befejezéséhez.
Egyéni fájlkiszolgáló üzembe helyezésének lépései
Fontos
Ha úgy dönt, hogy egy meglévő virtuális hálózaton helyezi üzembe a App Service, a fájlkiszolgálót a App Service-től eltérő alhálózaton kell üzembe helyezni.
Megjegyzés
Ha úgy döntött, hogy a fent említett rövid útmutatósablonok egyikével helyez üzembe egy fájlkiszolgálót, kihagyhatja ezt a szakaszt, mivel a fájlkiszolgálók a sablontelepítés részeként vannak konfigurálva.
Csoportok és fiókok létrehozása az Active Directoryban
Hozza létre a következő Active Directory globális biztonsági csoportokat:
- FileShareOwners
- Fájlmegosztások
Hozza létre a következő Active Directory-fiókokat szolgáltatásfiókként:
- FileShareOwner
- FileShareUser
Biztonsági ajánlott eljárásként az ilyen fiókok (és az összes webes szerepkör) felhasználóinak egyedinek kell lenniük, és erős felhasználónevekkel és jelszavakkal kell rendelkezniük. Állítsa be a jelszavakat a következő feltételekkel:
- A Jelszó engedélyezése soha nem jár le.
- A felhasználó nem módosíthatja a jelszót.
- A letiltáskor a felhasználónak módosítania kell a jelszót a következő bejelentkezéskor.
Adja hozzá a fiókokat a csoporttagságokhoz az alábbiak szerint:
- Adja hozzá a FileShareOwnert a FileShareOwners csoporthoz.
- Adja hozzá a FileShareUser elemet a FileShareUsers csoporthoz.
Csoportok és fiókok kiépítése munkacsoportban
Megjegyzés
Fájlkiszolgáló konfigurálásakor futtassa az alábbi parancsokat egy rendszergazdai parancssorból.
Ne használja a PowerShellt.
Az Azure Resource Manager sablon használatakor a felhasználók már létrejönnek.
Futtassa az alábbi parancsokat a FileShareOwner és a FileShareUser fiókok létrehozásához. Cserélje le a elemet
<password>
a saját értékeire.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
A következő WMIC-parancsok futtatásával állítsa be, hogy a fiókok jelszavai soha ne járjanak le:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
Hozza létre a Fájlmegosztásfelhasználók és a FileShareOwners helyi csoportokat, és adja hozzá a fiókokat az első lépésben:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
A tartalommegosztás kiépítése
A tartalommegosztás bérlői webhelytartalmat tartalmaz. A tartalommegosztás egyetlen fájlkiszolgálón történő kiépítésének eljárása az Active Directory és a munkacsoport-környezetek esetében is ugyanaz. Az Active Directoryban azonban más a feladatátvevő fürt.
A tartalommegosztás kiépítése egyetlen fájlkiszolgálón (Active Directory vagy munkacsoport)
Egyetlen fájlkiszolgálón futtassa a következő parancsokat egy emelt szintű parancssorban. Cserélje le az értéket C:\WebSites
a környezet megfelelő elérési útjaira.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
A hozzáférés-vezérlés konfigurálása a megosztásokhoz
Futtassa az alábbi parancsokat egy emelt szintű parancssorban a fájlkiszolgálón vagy a feladatátvevő fürtcsomóponton, amely a fürt jelenlegi erőforrás-tulajdonosa. Cserélje le a dőlt betűs értékeket a környezetre jellemző értékekre.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Munkacsoport
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Az SQL Server-példány előkészítése
Megjegyzés
Ha a magas rendelkezésre állású fájlkiszolgáló és a SQL Server gyorsindítási sablonjának üzembe helyezését választotta, kihagyhatja ezt a szakaszt, mivel a sablon üzembe helyezi és konfigurálja SQL Server egy HA-konfigurációban.
Az Azure Stack Hub üzemeltetési és mérési adatbázisainak Azure App Service elő kell készítenie egy SQL Server példányt a App Service adatbázisok tárolásához.
Éles és magas rendelkezésre állási célokból a SQL Server 2014 SP2 vagy újabb verziójának teljes verzióját kell használnia, engedélyeznie kell a vegyes módú hitelesítést, és magas rendelkezésre állású konfigurációban kell üzembe helyeznie.
Az Azure Stack Hubon Azure App Service SQL Server példányának elérhetőnek kell lennie az összes App Service szerepkörből. Az Azure Stack Hub alapértelmezett szolgáltatói előfizetésében üzembe helyezhet SQL Server. Vagy használhatja a szervezeten belüli meglévő infrastruktúrát (feltéve, hogy van kapcsolat az Azure Stack Hubbal). Ha Azure Marketplace lemezképet használ, ne felejtse el ennek megfelelően konfigurálni a tűzfalat.
Megjegyzés
A Marketplace Management szolgáltatáson keresztül számos SQL IaaS virtuálisgép-rendszerkép érhető el. Mielőtt marketplace-elem használatával üzembe helyez egy virtuális gépet, mindig töltse le az SQL IaaS-bővítmény legújabb verzióját. Az SQL-rendszerképek megegyeznek az Azure-ban elérhető SQL-virtuális gépekkel. Az ezekből a rendszerképekből létrehozott SQL-virtuális gépek esetében az IaaS-bővítmény és a megfelelő portálfejlesztések olyan funkciókat biztosítanak, mint az automatikus javítás és a biztonsági mentési képességek.
Bármelyik SQL Server szerepkörhöz használhat alapértelmezett példányt vagy elnevezett példányt. Ha névvel ellátott példányt használ, mindenképpen indítsa el manuálisan a SQL Server Browser szolgáltatást, és nyissa meg az 1434-ös portot.
A App Service telepítő ellenőrzi, hogy a SQL Server engedélyezve van-e az adatbázis-elszigetelés. Ha engedélyezni szeretné az adatbázis-elszigetelést a App Service adatbázisokat üzemeltető SQL Server, futtassa az alábbi SQL-parancsokat:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Tanúsítványok és kiszolgálókonfiguráció (ASDK)
Ez a szakasz az ASDK-üzemelő példányok előfeltételeit sorolja fel.
A Azure App Service ASDK üzembe helyezéséhez szükséges tanúsítványok
A Create-AppServiceCerts.ps1 szkript az Azure Stack Hub tanúsítványszolgáltatójával együttműködve hozza létre a App Service szükséges négy tanúsítványt.
Fájlnév | Használat |
---|---|
_.appservice.local.azurestack.external.pfx | App Service alapértelmezett SSL-tanúsítvány |
api.appservice.local.azurestack.external.pfx | APP SERVICE API SSL-tanúsítvány |
ftp.appservice.local.azurestack.external.pfx | App Service közzétevő SSL-tanúsítványa |
sso.appservice.local.azurestack.external.pfx | App Service identitásalkalmazás tanúsítványa |
A tanúsítványok létrehozásához kövesse az alábbi lépéseket:
- Jelentkezzen be az ASDK-gazdagépre az AzureStack\AzureStackAdmin fiókkal.
- Nyisson meg egy emelt szintű PowerShell-munkamenetet.
- Futtassa a Create-AppServiceCerts.ps1 szkriptet abból a mappából, ahol kibontotta a segédszkripteket. Ez a szkript négy tanúsítványt hoz létre ugyanabban a mappában, mint a App Service tanúsítványok létrehozásához szükséges szkript.
- Adjon meg egy jelszót a .pfx fájlok védelméhez, és jegyezze fel. Ezt később meg kell adnia az Azure Stack Hub telepítőjének App Service.
Create-AppServiceCerts.ps1 szkriptparaméterek
Paraméter | Kötelező vagy választható | Alapértelmezett érték | Description |
---|---|---|---|
pfxPassword | Kötelező | Null | Jelszó, amely segít megvédeni a tanúsítvány titkos kulcsát |
DomainName | Kötelező | local.azurestack.external | Azure Stack Hub-régió és tartomány utótagja |
Rövid útmutatósablon fájlkiszolgálóhoz az ASDK-n futó Azure App Service üzembe helyezéséhez.
Csak ASDK üzemelő példányok esetén használhatja az Azure Resource Manager üzembehelyezési sablont egy konfigurált egycsomópontos fájlkiszolgáló üzembe helyezéséhez. Az egycsomópontos fájlkiszolgáló munkacsoportban lesz.
Megjegyzés
Az ASDK-példánynak képesnek kell lennie erőforrásokat letölteni a GitHubról az üzembe helyezés befejezéséhez.
SQL Server példány
Az Azure Stack Hub üzemeltetési és mérési adatbázisainak Azure App Service elő kell készítenie egy SQL Server példányt a App Service adatbázisok tárolásához.
ASDK üzemelő példányok esetén a SQL Server Express 2014 SP2-t vagy újabb verziót használhatja. SQL Server úgy kell konfigurálni, hogy támogassa a vegyes módú hitelesítést, mert az Azure Stack Hubon App Service NEM támogatja a Windows-hitelesítést.
Az Azure Stack Hubon Azure App Service SQL Server példányának elérhetőnek kell lennie az összes App Service szerepkörből. Az Azure Stack Hub alapértelmezett szolgáltatói előfizetésében üzembe helyezhet SQL Server. Vagy használhatja a szervezeten belüli meglévő infrastruktúrát (feltéve, hogy van kapcsolat az Azure Stack Hubbal). Ha Azure Marketplace rendszerképet használ, ne felejtse el ennek megfelelően konfigurálni a tűzfalat.
Megjegyzés
Számos SQL IaaS virtuálisgép-rendszerkép érhető el a Marketplace Management szolgáltatáson keresztül. A virtuális gépek Marketplace-elem használatával történő üzembe helyezése előtt mindig töltse le az SQL IaaS-bővítmény legújabb verzióját. Az SQL-rendszerképek megegyeznek az Azure-ban elérhető SQL virtuális gépekkel. Az ezekből a rendszerképekből létrehozott SQL virtuális gépek esetében az IaaS-bővítmény és a portál megfelelő fejlesztései olyan funkciókat biztosítanak, mint az automatikus javítás és a biztonsági mentés.
Az SQL Server szerepkörök bármelyikéhez használhat alapértelmezett vagy elnevezett példányt. Ha nevesített példányt használ, mindenképpen indítsa el manuálisan a SQL Server Browser szolgáltatást, és nyissa meg az 1434-ös portot.
A App Service telepítője ellenőrzi, hogy a SQL Server engedélyezve van-e az adatbázis-elszigetelés. Ha engedélyezni szeretné az adatbázis-elszigetelést a App Service adatbázisokat tároló SQL Server, futtassa az alábbi SQL-parancsokat:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
A szükséges fájl- és SQL-kiszolgálóval kapcsolatos licencelési megfontolások
Azure App Service az Azure Stack Hubon egy fájlkiszolgálóra és egy SQL Server működésére van szükség. Szabadon használhatja az Azure Stack Hub üzemelő példányán kívül található, már meglévő erőforrásokat, vagy telepítheti az erőforrásokat az Alapértelmezett Azure Stack Hub-szolgáltatói előfizetésen belül.
Ha úgy dönt, hogy üzembe helyezi az erőforrásokat az Azure Stack Hub alapértelmezett szolgáltatói előfizetésében, az erőforrások licenceit (Windows Server-licencek és SQL Server licencek) az Azure Stack Hubon Azure App Service költségei tartalmazzák, az alábbi korlátozások mellett:
- az infrastruktúra az alapértelmezett szolgáltatói előfizetésben van üzembe helyezve;
- az infrastruktúrát kizárólag a Azure App Service használja az Azure Stack Hub erőforrás-szolgáltatóján. Nincs más számítási feladat, rendszergazda (más erőforrás-szolgáltatók, például: SQL-RP) vagy bérlő (például bérlőalkalmazások, amelyek adatbázist igényelnek) nem használhatják ezt az infrastruktúrát.
A fájl- és sql-kiszolgálók üzemeltetési felelőssége
A felhőszolgáltatók felelősek a fájlkiszolgáló és a SQL Server karbantartásáért és működéséért. Az erőforrás-szolgáltató nem kezeli ezeket az erőforrásokat. A felhőszolgáltató feladata a App Service adatbázisok és a bérlői tartalomfájl-megosztás biztonsági mentése.
Az Azure Stack Hub Azure Resource Manager főtanúsítványának lekérése
Nyisson meg egy emelt szintű PowerShell-munkamenetet egy olyan számítógépen, amely elérheti az Azure Stack Hub integrált rendszer vagy ASDK-gazdagép kiemelt végpontját.
Futtassa a Get-AzureStackRootCert.ps1 szkriptet abból a mappából, ahol kicsomagolta a segédszkripteket. A szkript létrehoz egy főtanúsítványt ugyanabban a mappában, amelyben a App Service szükséges a tanúsítványok létrehozásához.
A következő PowerShell-parancs futtatásakor meg kell adnia a kiemelt végpontot és az AzureStack\CloudAdmin hitelesítő adatait.
Get-AzureStackRootCert.ps1
szkriptparaméterek Get-AzureStackRootCert.ps1
Paraméter | Kötelező vagy választható | Alapértelmezett érték | Description |
---|---|---|---|
PrivilegedEndpoint | Kötelező | AzS-ERCS01 | Emelt szintű végpont |
CloudAdminCredential | Kötelező | AzureStack\CloudAdmin | Tartományi fiók hitelesítő adatai az Azure Stack Hub felhőrendszergazdái számára |
Hálózati és identitáskonfiguráció
Virtuális hálózat
Megjegyzés
Az egyéni virtuális hálózat előtelepítése nem kötelező, mivel az Azure Stack Hub Azure App Service létrehozhatják a szükséges virtuális hálózatot, de ezután nyilvános IP-címeken keresztül kell kommunikálniuk az SQL-sel és a fájlkiszolgálóval. Ha a App Service HA-fájlkiszolgálót és SQL Server gyorsindítási sablont használja az előfeltételként szükséges SQL- és Fájlkiszolgáló-erőforrások üzembe helyezéséhez, a sablon egy virtuális hálózatot is üzembe helyez.
Azure App Service az Azure Stack Hubon lehetővé teszi az erőforrás-szolgáltató üzembe helyezését egy meglévő virtuális hálózaton, vagy lehetővé teszi virtuális hálózat létrehozását az üzembe helyezés részeként. Meglévő virtuális hálózat használata lehetővé teszi, hogy belső IP-címek csatlakozzanak a fájlkiszolgálóhoz, és SQL Server az Azure Stack Hubon Azure App Service által megkövetelt SQL Server. A virtuális hálózatot a következő címtartományokkal és alhálózatokkal kell konfigurálni, mielőtt telepíti Azure App Service az Azure Stack Hubon:
Virtuális hálózat – /16
Alhálózatok
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- WorkersSubnet /21
Fontos
Ha úgy dönt, hogy App Service egy meglévő virtuális hálózaton helyezi üzembe, a SQL Server a App Service és a fájlkiszolgálótól eltérő alhálózaton kell üzembe helyezni.
Identitásalkalmazás létrehozása egyszeri bejelentkezéses forgatókönyvek engedélyezéséhez
Azure App Service identitásalkalmazást (szolgáltatásnevet) használ a következő műveletek támogatásához:
- Virtuálisgép-méretezési csoport integrációja a feldolgozói szinteken.
- SSO a Azure Functions portálhoz és a fejlett fejlesztői eszközökhöz (Kudu).
Attól függően, hogy az Azure Stack Hub melyik identitásszolgáltatót használja, Microsoft Entra ID vagy Active Directory összevonási szolgáltatások (AD FS) (ADFS) az alábbi lépéseket követve kell létrehoznia a szolgáltatásnevet a Azure App Service az Azure Stack Hub erőforrás-szolgáltatóján.
Microsoft Entra-alkalmazás létrehozása
Kövesse az alábbi lépéseket a szolgáltatásnév létrehozásához a Microsoft Entra-bérlőben:
- Nyisson meg egy PowerShell-példányt azurestack\AzureStackAdmin néven.
- Nyissa meg az előfeltételként megadott lépésben letöltött és kinyert szkriptek helyét.
- Telepítse az Azure Stack Hubhoz készült PowerShellt.
- Futtassa a Create-AADIdentityApp.ps1 szkriptet. Amikor a rendszer kéri, adja meg az Azure Stack Hub üzembe helyezéséhez használt Microsoft Entra bérlőazonosítót. Írja be például a myazurestack.onmicrosoft.com.
- A Hitelesítő adatok ablakban adja meg a Microsoft Entra szolgáltatásadminisztrátori fiókját és jelszavát. Válassza az OK lehetőséget.
- Adja meg a korábban létrehozott tanúsítvány tanúsítványfájljának elérési útját és jelszavát. Az ehhez a lépéshez létrehozott tanúsítvány alapértelmezés szerint sso.appservice.local.azurestack.external.pfx.
- Jegyezze fel a PowerShell-kimenetben visszaadott alkalmazásazonosítót. Az azonosítót a következő lépésekben használhatja az alkalmazás engedélyeinek jóváhagyásához, valamint a telepítés során.
- Nyisson meg egy új böngészőablakot, és jelentkezzen be a Azure Portal Microsoft Entra szolgáltatásadminisztrátorként.
- Nyissa meg a Microsoft Entra szolgáltatást.
- A bal oldali panelen válassza az Alkalmazásregisztrációk lehetőséget.
- Keresse meg a 7. lépésben feljegyzett alkalmazásazonosítót.
- Válassza ki a App Service alkalmazásregisztrációt a listából.
- A bal oldali panelen válassza az API-engedélyek lehetőséget.
- Válassza a Rendszergazdai hozzájárulás megadása a bérlőhöz <>lehetőséget, ahol <a bérlő> a Microsoft Entra bérlő neve. Erősítse meg a hozzájárulás megadását az Igen lehetőség kiválasztásával.
Create-AADIdentityApp.ps1
Paraméter | Kötelező vagy választható | Alapértelmezett érték | Description |
---|---|---|---|
DirectoryTenantName | Kötelező | Null | Microsoft Entra bérlőazonosító. Adja meg a GUID-t vagy a sztringet. Ilyen például a myazureaaddirectory.onmicrosoft.com. |
AdminArmEndpoint | Kötelező | Null | Rendszergazda Azure Resource Manager végpontot. Ilyen például a adminmanagement.local.azurestack.external. |
TenantARMEndpoint | Kötelező | Null | Bérlői Azure Resource Manager végpont. Ilyen például a management.local.azurestack.external. |
AzureStackAdminCredential | Kötelező | Null | Microsoft Entra szolgáltatásadminisztrátor hitelesítő adatait. |
CertificateFilePath | Kötelező | Null | A korábban létrehozott identitásalkalmazás-tanúsítványfájl teljes elérési útja. |
CertificatePassword | Kötelező | Null | Jelszó, amely segít megvédeni a tanúsítvány titkos kulcsát. |
Környezet | Választható | AzureCloud | Annak a támogatott felhőkörnyezetnek a neve, amelyben a cél Azure Active Directory Graph Service elérhető. Engedélyezett értékek: "AzureCloud", "AzureChinaCloud", "AzureUSGovernment", "AzureGermanCloud". |
ADFS-alkalmazás létrehozása
- Nyisson meg egy PowerShell-példányt azurestack\AzureStackAdmin néven.
- Nyissa meg az előfeltétel lépésben letöltött és kinyert szkriptek helyét.
- Telepítse az Azure Stack Hubhoz készült PowerShellt.
- Futtassa a Create-ADFSIdentityApp.ps1 szkriptet.
- A Hitelesítő adatok ablakban adja meg az AD FS felhőbeli rendszergazdai fiókját és jelszavát. Válassza az OK lehetőséget.
- Adja meg a korábban létrehozott tanúsítvány elérési útját és tanúsítványjelszóját. Az ehhez a lépéshez létrehozott tanúsítvány alapértelmezés szerint sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
Paraméter | Kötelező vagy választható | Alapértelmezett érték | Description |
---|---|---|---|
AdminArmEndpoint | Kötelező | Null | Rendszergazda Azure Resource Manager végpontot. Ilyen például a adminmanagement.local.azurestack.external. |
PrivilegedEndpoint | Kötelező | Null | Kiemelt végpont. Ilyen például az AzS-ERCS01. |
CloudAdminCredential | Kötelező | Null | Tartományi fiók hitelesítő adatai az Azure Stack Hub felhőrendszergazdái számára. Ilyen például az Azurestack\CloudAdmin. |
CertificateFilePath | Kötelező | Null | Az identitásalkalmazás PFX-tanúsítványfájljának teljes elérési útja. |
CertificatePassword | Kötelező | Null | Jelszó, amely segít megvédeni a tanúsítvány titkos kulcsát. |
Elemek letöltése a Azure Marketplace
Azure App Service az Azure Stack Hubon az elemeket le kell tölteni a Azure Marketplace, és elérhetővé kell tenni őket az Azure Stack Hub Marketplace-en. Ezeket az elemeket le kell tölteni, mielőtt megkezdené a Azure App Service üzembe helyezését vagy frissítését az Azure Stack Hubon:
Fontos
A Windows Server Core nem támogatott platformrendszerkép az Azure Stack Hub Azure App Service használatához.
Éles környezetekhez ne használjon kiértékelési lemezképeket.
- A Windows Server 2022 Datacenter virtuálisgép-lemezképének legújabb verziója.
Windows Server 2022 Datacenter Teljes virtuálisgép-rendszerkép Microsoft.Net 3.5.1 SP1 aktiválásával. Azure App Service az Azure Stack Hubon a Microsoft .NET 3.5.1 SP1 aktiválását igényli az üzembe helyezéshez használt lemezképen. A Marketplace-beli szindikált Windows Server 2022 rendszerképek nem rendelkeznek engedélyezve ezzel a funkcióval, és a leválasztott környezetekben nem lehet elérni a Microsoft Update-et a DISM-en keresztül telepíteni kívánt csomagok letöltéséhez. Ezért létre kell hoznia és használnia kell egy Windows Server 2022 rendszerképet ezzel a funkcióval, amely előre engedélyezve van a leválasztott üzemelő példányokkal.
Az egyéni rendszerképek létrehozásával és a Marketplace-hez való hozzáadással kapcsolatos részletekért lásd: Egyéni virtuálisgép-rendszerkép hozzáadása az Azure Stack Hubhoz . A rendszerkép Marketplace-hez való hozzáadásakor mindenképpen adja meg a következő tulajdonságokat:
- Publisher = MicrosoftWindowsServer
- Ajánlat = WindowsServer
- Termékváltozat = AppService
- Verzió = Adja meg a "legújabb" verziót
- Egyéni szkriptbővítmény v1.9.1 vagy újabb. Ez az elem egy virtuálisgép-bővítmény.