Mengonfigurasi Instans Terkelola di Azure App Service (pratinjau)

Instans Terkelola di Azure App Service (pratinjau) adalah opsi hosting tercakup paket untuk aplikasi web Windows yang memerlukan penyesuaian Sistem Operasi (OS), jaringan privat opsional, dan integrasi aman dengan sumber daya Azure. Artikel ini menjelaskan cara mengonfigurasi Instans Terkelola di area utama:

  • Identitas yang dikelola
  • Skrip konfigurasi (instal)
  • Pemasangan penyimpanan
  • Kunci registri
  • Akses Protokol Desktop Jarak Jauh (RDP)

Penting

Instans Terkelola sedang dalam pratinjau, tersedia untuk aplikasi web Windows di wilayah tertentu, dan hanya terbatas pada paket harga Pv4 dan Pmv4. Lebih banyak wilayah yang harus diikuti. Linux dan kontainer tidak didukung.

Menambahkan identitas Terkelola (ke paket App Service)

Identitas terkelola tingkat paket memungkinkan autentikasi untuk operasi infrastruktur yang terjadi di lapisan platform, seperti skrip konfigurasi (instal) yang mengakses Azure Storage selama startup, adaptor registri yang menarik rahasia dari Key Vault, dan pemasangan penyimpanan mengautentikasi ke Azure Files. Komponen-komponen ini adalah sumber daya bersama yang digunakan beberapa aplikasi pada paket. Misalnya, identitas tingkat rencana memungkinkan Instans Terkelola mengautentikasi sekali untuk komponen infrastruktur sementara aplikasi individual mempertahankan identitas mereka sendiri untuk sumber daya khusus aplikasi seperti database dan rahasia aplikasi.

Identitas terkelola untuk paket App Service diperlukan dalam skenario berikut:

  • Untuk mengakses dan mengambil skrip konfigurasi Anda dengan aman dari Azure Storage.
  • Akses Key Vaults untuk menyediakan kredensial dan nilai bagi Storage Mounts dan Registry Key Adapters.

Lihat mengelola identitas terkelola yang ditetapkan pengguna untuk membuat identitas terkelola.

Untuk menambahkan Identitas Terkelola ke paket Instans Terkelola:

  1. Buka Instans Terkelola Anda di portal Microsoft Azure.
  2. Pilih Identitas>Pengguna yang ditetapkan.
  3. Pilih + Tambahkan.
  4. Pilih langganan dan identitas terkelola.
  5. Pilih Tambahkan untuk menambahkan identitas ke rencana.

Menambahkan skrip konfigurasi (instal)

Skrip konfigurasi (instal) berjalan pada startup instans untuk menerapkan kustomisasi persisten. Contohnya termasuk, pendaftaran Model Objek Komponen (COM), penginstal Microsoft/Windows (MSI), konfigurasi Layanan Informasi Internet (IIS Server), perubahan ACL, mengaktifkan Fitur Windows, mengatur variabel lingkungan.

Anda memerlukan hal berikut untuk menggunakan skrip konfigurasi (instal):

  • Identitas terkelola yang ditetapkan ke paket App Service
  • Akun penyimpanan dengan kontainer Blob yang menyimpan paket skrip konfigurasi (instal) (zip).
  • Satu file zip yang akarnya berisi Install.ps1 (titik masuk)
  • Storage Blob Data Reader peran pada akun penyimpanan, kontainer, atau grup sumber daya

Untuk menambahkan skrip konfigurasi:

  1. Buka paket Layanan Aplikasi Instans Terkelola Anda di portal Microsoft Azure.

  2. PilihPengaturan Umum>.

  3. Di bagian Skrip konfigurasi , mulailah dengan mengonfigurasi skrip Anda.

    Setting Nilai
    Akun Penyimpanan Pilih akun penyimpanan Anda
    Kontainer Masukkan nama kontainer Anda
    File Zip Masukkan nama file zip
    Nilai Verifikasi bahwa nilai ini sudah benar

  4. Pilih Terapkan untuk menyimpan perubahan.

Praktik terbaik untuk skrip konfigurasi

  • Buat skrip idempoten (periksa sebelum menginstal).
  • Jaga operasi destruktif (hindari memodifikasi direktori sistem Windows yang dilindungi).
  • Jadwalkan pemasangan berat secara bertahap untuk mengurangi latensi startup.

Contoh struktur zip minimal:

Install.ps1
myInstallerfileNameGoesHere.msi
config.xml

Contoh skrip konfigurasi:

# Install Components, for example Crystal Reports, Control Library, Database Driver
$ComponentInstaller = "myInstallerFileNameGoesHere.msi"
try {
    $Component = Join-Path $PSScriptRoot $ComponentInstaller
    Start-Process $Component -ArgumentList "/q" -Wait -ErrorAction Stop
} catch {
    Write-Error "Failed to install ${ComponentInstaller}: $_"
    exit 1
}

Mengonfigurasi pengaitan penyimpanan

Pemasangan penyimpanan menyediakan penyimpanan eksternal persisten (misalnya Azure Files) yang dapat diakses oleh aplikasi Anda. Gunakan untuk kode warisan yang memerlukan akses sistem file bersama, bukan untuk rahasia (gunakan Key Vault). Meskipun penyimpanan lokal (sementara) juga tersedia, perubahan persisten memerlukan pemasangan penyimpanan.

Anda memerlukan hal berikut untuk mengonfigurasi pemasangan penyimpanan:

  • Identitas terkelola (untuk akses Key Vault)
  • Rahasia Key Vault (sumber kredensial)

Untuk mengonfigurasi pemasangan penyimpanan:

  1. Buka Instans Terkelola Anda di portal Microsoft Azure.
  2. Pilih Konfigurasi>Mounts.
  3. Pilih + Pemasangan perangkat penyimpanan baru.

Berikan detail berikut untuk mengonfigurasi pemasangan penyimpanan:

Setting Nilai
Nama Masukkan nama mount
Jenis penyimpanan File Azure, Kustom, atau Lokal (penyimpanan sementara)
Akun penyimpanan Memilih atau memasukkan akun penyimpanan
Pembagian file Pilih ruang penyimpanan bersama
Nilai Pilih Peti Kunci
Rahasia Pilih rahasia Key Vault
Pasang huruf drive Pilih jalur huruf drive

Anda dapat memasang penyimpanan eksternal ke Instans Terkelola Anda. Penyimpanan yang dipasang persisten selama restart dan dapat diakses melalui sistem file aplikasi Anda.

Konfigurasi sambungan penyimpanan dengan Azure Files

Untuk mengonfigurasi penyambungan penyimpanan Azure Files:

  1. Buat Akun Azure Storage dan berbagi Azure Files.
  2. Simpan kredensial koneksi di Key Vault sebagai rahasia. Konten rahasia yang didukung: (Misalnya: DefaultEndpointsProtocol=...;AccountName=...;AccountKey=...;EndpointSuffix=core.windows.net)
  3. Tambahkan pemasangan di Instans Terkelola (portal Microsoft Azure atau ARM/Bicep/Terraform).

Petunjuk / Saran

Menegakkan izin tingkat berbagi melalui Azure RBAC + share ACLs untuk meningkatkan keamanan.

Mengonfigurasi pemasangan penyimpanan dengan UNC kustom

Gunakan 'mount' untuk berkas SMB yang di-hosting di lokasi lain (lokal, VM, atau non-Microsoft). Pastikan konektivitas jaringan (integrasi jaringan virtual / titik akhir privat / firewall).

  1. Jika kredensial diperlukan, simpan dalam rahasia Key Vault dalam format: username=<user>,password=<password>
    • Hindari akun admin domain; gunakan identitas layanan dengan hak istimewa paling sedikit.
  2. Tambahkan mount di Instans Terkelola.

Mengonfigurasi kunci registri

Beberapa aplikasi bergantung pada nilai yang dibaca dari Windows Registry. Dengan adaptor Kunci Registri, Anda dapat membuat kunci registri dan menggunakan rahasia dari Azure Key Vault sebagai nilainya.

Anda memerlukan hal berikut untuk mengonfigurasi kunci registri:

  • Identitas terkelola (untuk akses Key Vault)
  • rahasia Key Vault (sumber kredensial)

Untuk mengonfigurasi kunci registri:

  1. Buka Konfigurasi>Kunci Registri.

  2. Pilih + Tambahkan.

    Setting Nilai
    Jalur Masukkan jalur registri
    Vault Masukkan nama vault yang sudah ada
    Rahasia Pilih atau masukkan rahasia Key Vault
    Tipe String atau DWORD

  3. Pilih Tambahkan untuk menambahkan kunci registri.

Perhatian

Berhati-hatilah saat memodifikasi jalur registri yang kritis sistem. Perubahan yang salah dapat memengaruhi stabilitas instans.

Mengonfigurasi akses RDP (Bastion)

Mulai cepat: Menyebarkan Azure Bastion secara otomatis memungkinkan Anda terhubung dengan aman ke instans VM Anda melalui Protokol Desktop Jarak Jauh (RDP). RDP melalui Azure Bastion adalah untuk diagnostik sementara (inspeksi log, validasi cepat). Jika Anda berniat menggunakan Bastion melalui portal, tingkatkan sumber daya Bastion Anda ke tingkat harga standar dan pilih Dukungan Klien Asli dan Koneksi IP-Based.

Anda memerlukan sumber daya berikut untuk akses Bastion/RDP:

  • Instans Terkelola harus terintegrasi dengan jaringan virtual
  • Host Azure Bastion pada jaringan virtual target
  • Port 3389 harus diizinkan dari NSG subnet Bastion ke subnet Paket App Service NSG

Untuk mengonfigurasi Bastion:

  1. Buka Konfigurasi>Bastion/RDP.
  2. Verifikasi bahwa Virtual Network tersambung.
  3. Pilih Izinkan Desktop Jauh (melalui Bastion).

Perhatian

Jangan terapkan penginstal manual atau perubahan konfigurasi hanya melalui RDP. Perubahan hilang saat daur ulang atau membuat penyimpangan konfigurasi.

Tanya Jawab Umum (FAQ)

Sistem operasi (os) apa yang berjalan pada Instans Terkelola di Azure App Service?

Windows Server 2022.

Bisakah saya mengaktifkan lebih banyak peran dan fitur Windows?

Ya, melalui skrip konfigurasi. Namun, fitur yang dihapus dari rilis Windows Server di masa mendatang, tidak akan tersedia di Instans Terkelola.

Apakah Instans Terkelola di Azure App Service menerima pembaruan platform reguler dan tumpukan aplikasi?

Ya, instance menerima pembaruan platform dan pemeliharaan secara rutin. Tumpukan aplikasi yang telah diinstal sebelumnya juga diperbarui secara berkala. Anda diharuskan untuk mempertahankan komponen apa pun yang diinstal melalui skrip konfigurasi (instal).

Bahasa pemrograman mana yang diinstal pada Instans Terkelola di Azure App Service?

Microsoft .NET Framework 3.5, 4.8, dan Microsoft .NET 8.0. Jika Memerlukan runtime lain, Anda dapat menginstalnya menggunakan skrip konfigurasi. Azure App Service tidak akan mempertahankan runtime tambahan sebagai bagian dari pemeliharaan platform dan Anda harus memperbaruinya secara manual.

Apa batasan pada skrip konfigurasi (instal) ?

Skrip konfigurasi (instal) dapat menginstal dependensi, mengaktifkan peran dan fitur, dan menyesuaikan sistem operasi. Namun, operasi destruktif (misalnya, menghapus Windows\System32) tidak didukung dan dapat mengakibatkan ketidakstabilan instans.

Pada tingkat izin apa skrip konfigurasi (penginstalan) dijalankan?

Skrip konfigurasi (instal) dijalankan dengan izin Administrator untuk memungkinkan penginstalan dan konfigurasi komponen tingkat sistem.

Izin peran apa yang dimiliki operator saat menyambungkan ke instans menggunakan Bastion?

Operator yang terhubung melalui Bastion memiliki hak istimewa Administrator selama sesi.

Bagaimana cara memecahkan masalah kegagalan dengan skrip konfigurasi (penginstalan) atau adaptor registri/penyimpanan saya?

Untuk memecahkan masalah, tinjau log untuk skrip konfigurasi (instal). Mereka dapat ditemukan di C:\InstallScripts\Script\Install.log pada instans (bukan aplikasi web). Atau, log konsol App Service dapat dikirim ke Azure Monitor dan Log Analytics.

Log adaptor dapat ditemukan di akar komputer, atau log tersebut masuk ke Log Platform App Service.

Apa memori instans terkelola yang dapat diatasi pada instans pekerja Azure App Service?

Memori yang dapat dialokasikan dari Instans Terkelola pada instans pekerja Azure App Service bervariasi sesuai paket harga yang dipilih. Tabel berikut mencantumkan memori yang dapat diatasi untuk Instans Terkelola pada instans pekerja Azure App Service. Penting untuk dipertimbangkan jika Anda memiliki skrip konfigurasi yang menginstal lebih banyak komponen, layanan, dll. Sumber daya ini memengaruhi jumlah memori yang tersedia untuk digunakan oleh aplikasi web Anda.

Paket harga Inti-intinya Memori (MB)
P0v4 1 2048
P1v4 2 5952
P2v4 4 13440
P3v4 8 28672
P1Mv4 2 13440
P2Mv4 4 28672
P3Mv4 8 60160
P4Mv4 16 121088
P5Mv4 32 246016

Layanan Azure Storage mana yang harus saya gunakan untuk mengunggah skrip konfigurasi (penginstalan) ?

Gunakan layanan blob Azure Storage untuk mengunggah skrip dan dependensi yang diperlukan.

Apakah ada batasan penamaan dan format untuk skrip konfigurasi (instal)?

Ya, skrip harus bernama Install.ps1. Hanya PowerShell yang didukung. Pastikan untuk mengunggah skrip dan dependensi konfigurasi (instal) sebagai satu file .zip.

Apakah ada batas ukuran untuk dependensi yang dapat saya unggah sebagai bagian dari file zip?

Tidak ada batas ukuran yang diberlakukan. Ingatlah bahwa ukuran keseluruhan dependensi berdampak pada waktu penyediaan instans.

Apakah menambahkan atau mengedit Instans Terkelola pada adaptor paket App Service memulai ulang instans paket?

Ya, menambahkan atau mengedit adaptor paket Instans Terkelola (skrip konfigurasi/penyimpanan/registri) akan memulai ulang instans dasar dan memengaruhi semua aplikasi web yang dideploy ke paket tersebut. Ingat bahwa memulai ulang instans akan menghapus semua perubahan yang dilakukan melalui sesi RDP. Selalu gunakan skrip konfigurasi (instal) untuk mempertahankan penginstalan dependensi atau perubahan konfigurasi lainnya yang diperlukan.

Paket Instans Terkelola saya memiliki beberapa instans dapatkah saya menghidupkan ulang satu instans?

Ya, telusuri ke Instans Terkelola dan pilih Instans di menu sebelah kiri. Kemudian pilih restart di samping nama instance.

Paket Instans Terkelola di App Service saya memiliki beberapa aplikasi web dapatkah saya menghidupkan ulang satu aplikasi web?

Ya, telusuri ke halaman Gambaran Umum aplikasi dan pilih Mulai Ulang.

Dapatkah saya menetapkan Identitas Terkelola ke aplikasi web saya dalam paket Instans Terkelola di App Service?

Ya, Anda dapat menetapkan identitas Terkelola yang berbeda ke aplikasi web dalam Instans Terkelola. Ikuti panduan Managed Identity

Apakah ada batasan jumlah adaptor yang dapat saya buat untuk Instans Terkelola pada paket App Service?

Tidak, tidak ada batasan jumlah adaptor penyimpanan atau registri. Anda hanya dapat membuat adaptor skrip konfigurasi tunggal (instal) untuk Instans Terkelola pada paket App Service. Peningkatan jumlah adaptor dapat memengaruhi waktu provisi untuk Instans Terkelola.

Wilayah mana yang memiliki dukungan untuk Instans Terkelola di App Service?

Saat ini dukungan untuk Managed Instance pada App Service terbatas pada US Timur, AS Tengah Barat, Asia Timur, Eropa Utara, Australia Timur, India Tengah, dan India Selatan. Lebih banyak wilayah akan ditambahkan ke pratinjau dari waktu ke waktu. Untuk mendapatkan daftar wilayah yang diperbarui, Anda bisa menggunakan perintah CLI berikut (Anda harus menggunakan Azure CLI versi 2.82.0 atau yang lebih tinggi).

az appservice list-locations --managed-instance-enabled --sku <Pv4 or PmV4 sku your require, for example P1v4>

Konten terkait

  • Last updated on