Bővítménygazda előkészítése az Azure Stack Hubban
A bővítménygazda a szükséges TCP/IP-portok számának csökkentésével védi az Azure Stack Hubot. Ez a cikk az Azure Stack Hub előkészítését ismerteti az 1808-at követően automatikusan engedélyezett bővítménygazda számára az Azure Stack Hub frissítési csomagján keresztül. Ez a cikk az Azure Stack Hub 1808-ban, 1809-ben és 1811-ben frissített frissítéseire vonatkozik.
Tanúsítványkövetelmények
A bővítménygazda két új tartománynévteret implementál, hogy egyedi gazdagépbejegyzéseket garantáljon az egyes portálbővítményekhez. Az új tartománynévterekhez két további helyettesítő tanúsítványra van szükség a biztonságos kommunikáció biztosításához.
A táblázatban az új névterek és a hozzájuk tartozó tanúsítványok láthatók:
| Üzembehelyezési mappa | A tanúsítvány tulajdonosának és tulajdonosának alternatív nevei (SAN) | Hatókör (régiónként) | Altartomány-névtér |
|---|---|---|---|
| Rendszergazda bővítménygazda | *.adminhosting.<régióban>.<fqdn> (helyettesítő SSL-tanúsítványok) | Rendszergazda bővítménygazda | adminhosting.<régióban>.<Fqdn> |
| Nyilvános bővítménygazda | *.Hosting.<régióban>.<fqdn> (helyettesítő SSL-tanúsítványok) | Nyilvános bővítménygazda | Hosting.<régióban>.<Fqdn> |
A tanúsítványra vonatkozó részletes követelményekért lásd: Az Azure Stack Hub nyilvános kulcsú infrastruktúra tanúsítványkövetelményei.
Tanúsítvány-aláírási kérelem létrehozása
Az Azure Stack Hub Készenlét-ellenőrző eszközével létrehozhat egy tanúsítvány-aláírási kérést a két új és szükséges SSL-tanúsítványhoz. Kövesse az Azure Stack Hub-tanúsítványok aláírási kérésének létrehozását ismertető cikkben leírt lépéseket.
Megjegyzés
Ezt a lépést kihagyhatja attól függően, hogy hogyan kérte az SSL-tanúsítványokat.
Új tanúsítványok érvényesítése
Nyissa meg a PowerShellt emelt szintű engedéllyel a hardveres életciklus-gazdagépen vagy az Azure Stack Hub felügyeleti munkaállomásán.
Futtassa a következő parancsmagot az Azure Stack Hub készültségi ellenőrző eszköz telepítéséhez:
Install-Module -Name Microsoft.AzureStack.ReadinessCheckerFuttassa a következő szkriptet a szükséges mappastruktúra létrehozásához:
New-Item C:\Certificates -ItemType Directory $directories = 'ACSBlob','ACSQueue','ACSTable','Admin Portal','ARM Admin','ARM Public','KeyVault','KeyVaultInternal','Public Portal', 'Admin extension host', 'Public extension host' $destination = 'c:\certificates' $directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}Megjegyzés
Ha Microsoft Entra azonosítójú összevont szolgáltatásokkal (AD FS) telepíti az üzembe helyezést, a szkriptben a következő könyvtárakat kell hozzáadni a $directories:
ADFS,Graph.Helyezze a meglévő tanúsítványokat, amelyeket jelenleg az Azure Stack Hubban használ, a megfelelő könyvtárakba. Tegyük fel például a Rendszergazda ARM-tanúsítványt a
Arm Adminmappába. Ezután helyezze az újonnan létrehozott üzemeltetési tanúsítványokat a ésPublic extension hostaAdmin extension hostkönyvtárakba.Futtassa a következő parancsmagot a tanúsítványellenőrzés elindításához:
$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString Start-AzsReadinessChecker -CertificatePath c:\certificates -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AADEllenőrizze a kimenetet, és hogy az összes tanúsítvány megfelel-e az összes tesztnek.
Bővítménygazdatanúsítványok importálása
A következő lépésekhez használjon olyan számítógépet, amely képes csatlakozni az Azure Stack Hub kiemelt végponthoz. Győződjön meg arról, hogy rendelkezik hozzáféréssel az adott számítógépről származó új tanúsítványfájlokhoz.
A következő lépésekhez használjon olyan számítógépet, amely képes csatlakozni az Azure Stack Hub kiemelt végponthoz. Győződjön meg arról, hogy hozzáfér az új tanúsítványfájlokhoz a számítógépről.
Nyissa meg a PowerShell ISE-t a következő szkriptblokkok végrehajtásához.
Importálja a rendszergazdai üzemeltetési végpont tanúsítványát.
$CertPassword = read-host -AsSecureString -prompt "Certificate Password" $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint." [Byte[]]$AdminHostingCertContent = [Byte[]](Get-Content c:\certificate\myadminhostingcertificate.pfx -Encoding Byte) Invoke-Command -ComputerName <PrivilegedEndpoint computer name> ` -Credential $CloudAdminCred ` -ConfigurationName "PrivilegedEndpoint" ` -ArgumentList @($AdminHostingCertContent, $CertPassword) ` -ScriptBlock { param($AdminHostingCertContent, $CertPassword) Import-AdminHostingServiceCert $AdminHostingCertContent $certPassword }Importálja az üzemeltetési végpont tanúsítványát.
$CertPassword = read-host -AsSecureString -prompt "Certificate Password" $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint." [Byte[]]$HostingCertContent = [Byte[]](Get-Content c:\certificate\myhostingcertificate.pfx -Encoding Byte) Invoke-Command -ComputerName <PrivilegedEndpoint computer name> ` -Credential $CloudAdminCred ` -ConfigurationName "PrivilegedEndpoint" ` -ArgumentList @($HostingCertContent, $CertPassword) ` -ScriptBlock { param($HostingCertContent, $CertPassword) Import-UserHostingServiceCert $HostingCertContent $certPassword }
DNS-konfiguráció frissítése
Megjegyzés
Ez a lépés nem szükséges, ha DNS-zóna delegálást használt a DNS-integrációhoz. Ha az egyes gazdagépek A rekordjai az Azure Stack Hub-végpontok közzétételére lettek konfigurálva, két további A gazdagéprekordot kell létrehoznia:
| IP | Hostname (Gazdanév) | Típus |
|---|---|---|
| <IP> | *. Adminhosting.<Régió>.<FQDN> | A |
| <IP> | *. Hosting.<Régió>.<FQDN> | A |
A lefoglalt IP-címek lekérhetők a kiemelt végpont használatával a Get-AzureStackStampInformation parancsmag futtatásával.
Portok és protokollok
Az Azure Stack Hub adatközpont-integrációja – Közzétételi végpontok című cikk azokat a portokat és protokollokat ismerteti, amelyek bejövő kommunikációt igényelnek az Azure Stack Hub közzétételéhez a bővítménygazda bevezetése előtt.
Új végpontok közzététele
A tűzfalon keresztül két új végpontot kell közzétenni. A nyilvános VIP-készletből lefoglalt IP-címek az alábbi kóddal kérhetők le, amelyeket az Azure Stack Hub-környezet kiemelt végpontjáról kell futtatni.
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IpOfERCSMachine>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IpOfERCSMachine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Obtain DNS Servers and extension host information from Azure Stack Hub Stamp Information and find the IPs for the Host Extension Endpoints
$StampInformation = Invoke-Command $PEPSession {Get-AzureStackStampInformation} | Select-Object -Property ExternalDNSIPAddress01, ExternalDNSIPAddress02, @{n="TenantHosting";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://*.","testdnsentry"-replace "/"}}, @{n="AdminHosting";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://*.","testdnsentry"-replace "/"}},@{n="TenantHostingDNS";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://",""-replace "/"}}, @{n="AdminHostingDNS";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://",""-replace "/"}}
If (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting -ErrorAction SilentlyContinue) {
Write-Host "Can access AZS DNS" -ForegroundColor Green
$AdminIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress02 -Name $StampInformation.AdminHosting).IPAddress
Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
$TenantIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting).IPAddress
Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Else {
Write-Host "Cannot access AZS DNS" -ForegroundColor Yellow
$AdminIP = (Resolve-DnsName -Name $StampInformation.AdminHosting).IPAddress
Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
$TenantIP = (Resolve-DnsName -Name $StampInformation.TenantHosting).IPAddress
Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Remove-PSSession -Session $PEPSession
Kimenetpélda
Can access AZS DNS
The IP for the Admin Extension Host is: *.adminhosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.adminhosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
The IP address for the Tenant Extension Host is *.hosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.hosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
Megjegyzés
Végezze el ezt a módosítást a bővítménygazda engedélyezése előtt. Ez lehetővé teszi, hogy az Azure Stack Hub-portálok folyamatosan elérhetők legyenek.
| Végpont (VIP) | Protokoll | Portok |
|---|---|---|
| Rendszergazda üzemeltetés | HTTPS | 443 |
| Üzemeltetés | HTTPS | 443 |
Meglévő közzétételi szabályok frissítése (Bővítménygazda engedélyezésének közzététele)
Megjegyzés
Az 1808-ban elérhető Azure Stack Hub frissítési csomag még nem engedélyezi a bővítménygazda használatát. A szükséges tanúsítványok importálásával felkészülhet a bővítménygazdákra. Ne zárjon be portokat, mielőtt a bővítménygazda automatikusan engedélyezve lesz egy Azure Stack Hub-frissítési csomagon keresztül az 1808-os frissítés után.
A meglévő tűzfalszabályokban a következő meglévő végpontportokat kell bezárni.
Megjegyzés
Javasoljuk, hogy a sikeres ellenőrzés után zárja be ezeket a portokat.
| Végpont (VIP) | Protokoll | Portok |
|---|---|---|
| Portál (rendszergazda) | HTTPS | 12495 12499 12646 12647 12648 12649 12650 13001 13003 13010 13011 13012 13020 13021 13026 30015 |
| Portál (felhasználó) | HTTPS | 12495 12649 13001 13010 13011 13012 13020 13021 30015 13003 |
| Azure Resource Manager (rendszergazda) | HTTPS | 30024 |
| Azure Resource Manager (felhasználó) | HTTPS | 30024 |
Következő lépések
- Tudnivalók a tűzfal-integrációról.
- Tudnivalók az Azure Stack Hub-tanúsítványok aláírási kérésének generálásáról.