Condividi tramite


Prerequisiti per la distribuzione del servizio app nell'hub di Azure Stack

Importante

Aggiornare l'hub di Azure Stack a una versione supportata (o distribuire la versione più recente di Azure Stack Development Kit), se necessario, prima di distribuire o aggiornare il provider di risorse servizio app . Assicurarsi di leggere le note sulla versione rp per informazioni su nuove funzionalità, correzioni e eventuali problemi noti che potrebbero influire sulla distribuzione.

Versione minima dell'hub di Azure Stack supportata versione rp di servizio app
2301 e versioni successive Programma di installazione 2302 (note sulla versione)

Prima di distribuire Servizio app di Azure nell'hub di Azure Stack, è necessario completare i passaggi dei prerequisiti descritti in questo articolo.

Prima di iniziare

Questa sezione elenca i prerequisiti per le distribuzioni integrate di system e Azure Stack Development Kit (ASDK).

Prerequisiti del provider di risorse

Se è già stato installato un provider di risorse, è probabile che siano stati completati i prerequisiti seguenti ed è possibile ignorare questa sezione. In caso contrario, completare questi passaggi prima di continuare:

  1. Registrare l'istanza dell'hub di Azure Stack con Azure, se non è stato fatto. Questo passaggio è necessario perché ci si connetterà e si scaricano elementi in Marketplace da Azure.

  2. Se non si ha familiarità con la funzionalità di gestione del Marketplace del portale di amministrazione dell'hub di Azure Stack, vedere Scaricare gli elementi del marketplace da Azure e pubblicare nell'hub di Azure Stack. L'articolo illustra il processo di download di elementi da Azure al marketplace dell'hub di Azure Stack. Vengono illustrati entrambi gli scenari connessi e disconnessi. Se l'istanza dell'hub di Azure Stack è disconnessa o parzialmente connessa, è necessario completare altri prerequisiti per l'installazione.

  3. Aggiornare la home directory Microsoft Entra. A partire dalla build 1910, è necessario registrare una nuova applicazione nel tenant della home directory. Questa app consentirà all'hub di Azure Stack di creare e registrare correttamente provider di risorse più recenti (ad esempio Hub eventi e altri) con il tenant Microsoft Entra. Si tratta di un'azione occasionale che deve essere eseguita dopo l'aggiornamento alla build 1910 o successiva. Se questo passaggio non viene completato, le installazioni del provider di risorse del Marketplace avranno esito negativo.

Script del programma di installazione e dell'helper

  1. Scaricare i servizio app negli script helper di distribuzione dell'hub di Azure Stack.

    Nota

    Gli script helper di distribuzione richiedono il modulo AzureRM PowerShell. Per informazioni dettagliate sull'installazione, vedere Installare il modulo AzureRM di PowerShell per l'hub di Azure Stack .

  2. Scaricare il servizio app nel programma di installazione dell'hub di Azure Stack.

  3. Estrarre i file dagli script helper .zip file. Vengono estratti i file e le cartelle seguenti:

    • Common.ps1
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • BCDR
      • ReACL.cmd
    • Cartella dei moduli
      • GraphAPI.psm1

Certificati e configurazione del server (sistemi integrati)

Questa sezione elenca i prerequisiti per le distribuzioni integrate del sistema.

Requisiti per i certificati

Per eseguire il provider di risorse nell'ambiente di produzione, è necessario fornire i certificati seguenti:

  • Certificato di dominio predefinito
  • Certificato API
  • Pubblicazione del certificato
  • Certificato di identità

Oltre ai requisiti specifici elencati nelle sezioni seguenti, si userà anche uno strumento in un secondo momento per testare i requisiti generali. Vedere Convalidare i certificati PKI dell'hub di Azure Stack per l'elenco completo delle convalide, tra cui:

  • Formato di file di . PFX
  • Utilizzo delle chiavi impostato su server e autenticazione client
  • e molti altri

Certificato di dominio predefinito

Il certificato di dominio predefinito viene inserito nel ruolo front-end. Le app utente per la richiesta di dominio jolly o predefinita per Servizio app di Azure usare questo certificato. Il certificato viene usato anche per le operazioni di controllo del codice sorgente (Kudu).

Il certificato deve essere in formato pfx e deve essere un certificato con caratteri jolly a tre soggetti. Questo requisito consente a un certificato di coprire sia il dominio predefinito che l'endpoint SCM per le operazioni di controllo del codice sorgente.

Formato Esempio
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

Certificato API

Il certificato API viene inserito nel ruolo Gestione. Il provider di risorse lo usa per proteggere le chiamate API. Il certificato per la pubblicazione deve contenere un oggetto corrispondente alla voce DNS dell'API.

Formato Esempio
api.appservice.<area> geografica.<DomainName>.<Estensione> api.appservice.redmond.azurestack.external

Pubblicazione del certificato

Il certificato per il ruolo di pubblicazione protegge il traffico FTPS per i proprietari delle app quando caricano il contenuto. Il certificato per la pubblicazione deve contenere un oggetto corrispondente alla voce DNS FTPS.

Formato Esempio
ftp.appservice.<area> geografica.<DomainName>.<Estensione> ftp.appservice.redmond.azurestack.external

Certificato di identità

Il certificato per l'app di identità abilita:

  • Integrazione tra la directory Microsoft Entra ID o Active Directory Federation Services (AD FS), l'hub di Azure Stack e servizio app per supportare l'integrazione con il provider di risorse di calcolo.
  • Scenari di Single Sign-On per strumenti di sviluppo avanzati all'interno di Servizio app di Azure nell'hub di Azure Stack.

Il certificato per l'identità deve contenere un oggetto corrispondente al formato seguente.

Formato Esempio
sso.appservice.<area> geografica.<DomainName>.<Estensione> sso.appservice.redmond.azurestack.external

Convalidare i certificati

Prima di distribuire il provider di risorse servizio app, è necessario convalidare i certificati da usare usando lo strumento Verifica conformità hub di Azure Stack disponibile dal PowerShell Gallery. Lo strumento di verifica dell'idoneità dell'hub di Azure Stack verifica che i certificati PKI generati siano adatti per la distribuzione servizio app.

Come procedura consigliata, quando si lavora con uno dei certificati PKI dell'hub di Azure Stack necessari, è consigliabile pianificare un tempo sufficiente per testare e riemettere i certificati, se necessario.

Preparare il file server

Servizio app di Azure richiede l'uso di un file server. Per le distribuzioni di produzione, il file server deve essere configurato per essere a disponibilità elevata e in grado di gestire gli errori.

Modello di avvio rapido per file server a disponibilità elevata e SQL Server

È ora disponibile un modello di avvio rapido dell'architettura di riferimento che distribuirà un file server e SQL Server. Questo modello supporta l'infrastruttura di Active Directory in una rete virtuale configurata per supportare una distribuzione a disponibilità elevata di Servizio app di Azure nell'hub di Azure Stack.

Importante

Questo modello viene offerto come riferimento o esempio di come distribuire i prerequisiti. Poiché l'operatore hub di Azure Stack gestisce questi server, in particolare negli ambienti di produzione, è necessario configurare il modello in base alle esigenze o richieste dall'organizzazione.

Nota

L'istanza integrata del sistema deve essere in grado di scaricare le risorse da GitHub per completare la distribuzione.

Passaggi per distribuire un file server personalizzato

Importante

Se si sceglie di distribuire servizio app in una rete virtuale esistente, il file server deve essere distribuito in una subnet separata da servizio app.

Nota

Se si è scelto di distribuire un file server usando uno dei modelli di avvio rapido indicati in precedenza, è possibile ignorare questa sezione perché i file server sono configurati come parte della distribuzione del modello.

Effettuare il provisioning di gruppi e account in Active Directory
  1. Creare i seguenti gruppi di sicurezza globali di Active Directory:

    • FileShareOwners
    • FileShareUsers
  2. Creare gli account Active Directory seguenti come account di servizio:

    • FileShareOwner
    • FileShareUser

    Come procedura consigliata per la sicurezza, gli utenti per questi account (e per tutti i ruoli Web) devono essere univoci e avere nomi utente e password sicuri. Impostare le password con le condizioni seguenti:

    • Abilita password non scade mai.
    • Abilitare l'utente non può modificare la password.
    • Disabilitare l'utente deve modificare la password all'accesso successivo.
  3. Aggiungere gli account alle appartenenze a gruppi come riportato di seguito:

    • Aggiungere FileShareOwner al gruppo FileShareOwners .
    • Aggiungere FileShareUser al gruppo FileShareUsers.
Effettuare il provisioning di gruppi e account in un gruppo di lavoro

Nota

Quando si configura un file server, eseguire tutti i comandi seguenti da un prompt dei comandi amministratore.
Non usare PowerShell.

Quando si usa il modello di Azure Resource Manager, gli utenti sono già stati creati.

  1. Eseguire i comandi indicati di seguito per creare gli account FileShareOwner e FileShareUser. Sostituire <password> con i propri valori.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. Impostare le password per gli account per non scadere mai eseguendo i comandi WMIC seguenti:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. Creare i gruppi locali FileShareUsers e FileShareOwners e aggiungere gli account nel primo passaggio:

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

Effettuare il provisioning della condivisione contenuto

La condivisione contenuto contiene contenuto del sito Web tenant. La procedura per effettuare il provisioning della condivisione contenuto in un singolo file server è identica sia per gli ambienti di Active Directory che per i gruppi di lavoro. Ma è diverso per un cluster di failover in Active Directory.

Effettuare il provisioning della condivisione contenuto in un singolo file server (Active Directory o gruppo di lavoro)

In un singolo file server eseguire i comandi riportati di seguito a un prompt dei comandi con privilegi elevati. Sostituire il valore per C:\WebSites con i percorsi corrispondenti nell'ambiente.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Configurare il controllo di accesso alle condivisioni

Eseguire i comandi seguenti in un prompt dei comandi con privilegi elevati nel file server o nel nodo del cluster di failover, ovvero il proprietario della risorsa del cluster corrente. Sostituire i valori in corsivo con valori specifici dell'ambiente.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Gruppo di lavoro

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Preparare l'istanza di SQL Server

Nota

Se si è scelto di distribuire il modello di avvio rapido per File Server a disponibilità elevata e SQL Server, è possibile ignorare questa sezione come modello distribuisce e configura SQL Server in una configurazione a disponibilità elevata.

Per la Servizio app di Azure nei database di hosting e misurazione dell'hub di Azure Stack, è necessario preparare un'istanza di SQL Server per contenere i database servizio app.

Per scopi di produzione e disponibilità elevata, è necessario usare una versione completa di SQL Server 2014 SP2 o versione successiva, abilitare l'autenticazione in modalità mista e distribuire in una configurazione a disponibilità elevata.

L'istanza di SQL Server per Servizio app di Azure nell'hub di Azure Stack deve essere accessibile da tutti i ruoli di servizio app. È possibile distribuire SQL Server all'interno della sottoscrizione del provider predefinito nell'hub di Azure Stack. In alternativa, è possibile usare l'infrastruttura esistente all'interno dell'organizzazione , purché sia disponibile la connettività all'hub di Azure Stack. Se si usa un'immagine Azure Marketplace, ricordare di configurare di conseguenza il firewall.

Nota

Alcune immagini di macchine virtuali IaaS SQL sono disponibili tramite la funzionalità Gestione marketplace. Assicurarsi di scaricare sempre la versione più recente dell'estensione SQL IaaS prima di distribuire una macchina virtuale usando un elemento marketplace. Le immagini SQL sono uguali alle macchine virtuali SQL disponibili in Azure. Per le macchine virtuali SQL create da queste immagini, l'estensione IaaS e i miglioramenti del portale corrispondenti forniscono funzionalità come l'applicazione automatica delle patch e le funzionalità di backup.

Per uno dei ruoli di SQL Server, è possibile utilizzare un'istanza predefinita o una denominata. Se si usa un'istanza denominata, assicurarsi di avviare manualmente il servizio SQL Server Browser e aprire la porta 1434.

Il programma di installazione di servizio app verificherà che il SQL Server abbia il contenimento del database abilitato. Per abilitare il contenimento del database nel SQL Server che ospiterà i database servizio app, eseguire questi comandi SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Certificati e configurazione del server (ASDK)

Questa sezione elenca i prerequisiti per le distribuzioni ASDK.

Certificati necessari per la distribuzione asDK di Servizio app di Azure

Lo script Create-AppServiceCerts.ps1 funziona con l'autorità di certificazione dell'hub di Azure Stack per creare i quattro certificati necessari servizio app.

Nome file Uso
_.appservice.local.azurestack.external.pfx servizio app certificato SSL predefinito
api.appservice.local.azurestack.external.pfx certificato SSL dell'API servizio app
ftp.appservice.local.azurestack.external.pfx certificato SSL del server di pubblicazione servizio app
sso.appservice.local.azurestack.external.pfx servizio app certificato dell'applicazione identity

Per creare i certificati, seguire questa procedura:

  1. Accedere all'host ASDK usando l'account AzureStack\AzureStackAdmin.
  2. Aprire una sessione di PowerShell con privilegi elevati.
  3. Eseguire lo script Create-AppServiceCerts.ps1 dalla cartella in cui sono stati estratti gli script helper. Questo script crea quattro certificati nella stessa cartella dello script che servizio app necessario per la creazione di certificati.
  4. Immettere una password per proteggere i file pfx e prendere nota di esso. È necessario immetterlo in un secondo momento nella servizio app nel programma di installazione dell'hub di Azure Stack.

parametri di script Create-AppServiceCerts.ps1

Parametro Obbligatoria o facoltativa Valore predefinito Descrizione
pfxPassword Necessario Null Password che consente di proteggere la chiave privata del certificato
DomainName Necessario local.azurestack.external Area dell'hub di Azure Stack e suffisso di dominio

Modello di avvio rapido per file server per le distribuzioni di Servizio app di Azure in ASDK.

Solo per le distribuzioni ASDK, è possibile usare il modello di distribuzione azure Resource Manager di esempio per distribuire un file server a nodo singolo configurato. Il file server a nodo singolo si troverà in un gruppo di lavoro.

Nota

Per completare la distribuzione, l'istanza di ASDK deve essere in grado di scaricare le risorse da GitHub.

Istanza di SQL Server

Per il Servizio app di Azure nei database di hosting e misurazione dell'hub di Azure Stack, è necessario preparare un'istanza di SQL Server per contenere i database servizio app.

Per le distribuzioni ASDK, è possibile usare SQL Server Express 2014 SP2 o versione successiva. SQL Server deve essere configurato per supportare l'autenticazione in modalità mista perché servizio app nell'hub di Azure Stack NON supporta l'autenticazione di Windows.

L'istanza di SQL Server per Servizio app di Azure nell'hub di Azure Stack deve essere accessibile da tutti i ruoli servizio app. È possibile distribuire SQL Server all'interno della sottoscrizione del provider predefinito nell'hub di Azure Stack. In alternativa, è possibile usare l'infrastruttura esistente all'interno dell'organizzazione, purché sia presente la connettività all'hub di Azure Stack. Se si usa un'immagine Azure Marketplace, ricordarsi di configurare il firewall di conseguenza.

Nota

Una serie di immagini di macchine virtuali IaaS SQL è disponibile tramite la funzionalità di gestione del Marketplace. Assicurarsi di scaricare sempre la versione più recente dell'estensione SQL IaaS prima di distribuire una macchina virtuale usando un elemento del Marketplace. Le immagini SQL sono le stesse delle macchine virtuali SQL disponibili in Azure. Per le macchine virtuali SQL create da queste immagini, l'estensione IaaS e i miglioramenti del portale corrispondenti forniscono funzionalità come l'applicazione automatica di patch e le funzionalità di backup.

Per uno dei ruoli di SQL Server, è possibile utilizzare un'istanza predefinita o una denominata. Se si usa un'istanza denominata, assicurarsi di avviare manualmente il servizio SQL Server Browser e aprire la porta 1434.

Il programma di installazione di servizio app verificherà che il SQL Server abbia il contenimento del database abilitato. Per abilitare il contenimento del database nel SQL Server che ospiterà i database servizio app, eseguire questi comandi SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Dubbi relativi alle licenze per file server e SQL Server richiesti

Servizio app di Azure nell'hub di Azure Stack richiede il funzionamento di un file server e SQL Server. È possibile usare risorse preesistenti che si trovano all'esterno della distribuzione dell'hub di Azure Stack o distribuire le risorse all'interno della sottoscrizione del provider predefinito dell'hub di Azure Stack.

Se si sceglie di distribuire le risorse all'interno della sottoscrizione del provider predefinito dell'hub di Azure Stack, le licenze per tali risorse (licenze di Windows Server e licenze SQL Server) sono incluse nel costo di Servizio app di Azure nell'hub di Azure Stack soggetto ai vincoli seguenti:

  • l'infrastruttura viene distribuita nella sottoscrizione del provider predefinito;
  • l'infrastruttura viene usata esclusivamente dal Servizio app di Azure nel provider di risorse dell'hub di Azure Stack. Nessun altro carico di lavoro, amministrativo (altri provider di risorse, ad esempio SQL-RP) o tenant (ad esempio: app tenant, che richiedono un database), è autorizzato a usare questa infrastruttura.

Responsabilità operativa dei file e dei server SQL

Gli operatori cloud sono responsabili della manutenzione e del funzionamento del file server e del SQL Server. Il provider di risorse non gestisce queste risorse. L'operatore cloud è responsabile del backup dei database servizio app e della condivisione file di contenuto del tenant.

Recuperare il certificato radice di Azure Resource Manager per l'hub di Azure Stack

Aprire una sessione di PowerShell con privilegi elevati in un computer in grado di raggiungere l'endpoint con privilegi nel sistema integrato dell'hub di Azure Stack o nell'host ASDK.

Eseguire lo script Get-AzureStackRootCert.ps1 dalla cartella in cui sono stati estratti gli script helper. Lo script crea un certificato radice nella stessa cartella dello script che servizio app necessario per la creazione di certificati.

Quando si esegue il comando di PowerShell seguente, è necessario fornire l'endpoint con privilegi e le credenziali per AzureStack\CloudAdmin.

    Get-AzureStackRootCert.ps1

parametri di script Get-AzureStackRootCert.ps1

Parametro Obbligatoria o facoltativa Valore predefinito Descrizione
PrivilegedEndpoint Necessario AzS-ERCS01 Endpoint con privilegi
CloudAdminCredential Necessario AzureStack\CloudAdmin Credenziali dell'account di dominio per gli amministratori cloud dell'hub di Azure Stack

Configurazione di rete e identità

Rete virtuale

Nota

La creazione preliminare di una rete virtuale personalizzata è facoltativa perché il Servizio app di Azure nell'hub di Azure Stack può creare la rete virtuale necessaria, ma dovrà quindi comunicare con SQL e File Server tramite indirizzi IP pubblici. Se si usa il modello di avvio rapido servizio app a disponibilità elevata e SQL Server per distribuire le risorse SQL e File Server necessarie, il modello distribuirà anche una rete virtuale.

Servizio app di Azure nell'hub di Azure Stack consente di distribuire il provider di risorse in una rete virtuale esistente o di creare una rete virtuale come parte della distribuzione. L'uso di una rete virtuale esistente consente l'uso di indirizzi IP interni per connettersi al file server e SQL Server richiesti da Servizio app di Azure nell'hub di Azure Stack. La rete virtuale deve essere configurata con l'intervallo di indirizzi e le subnet seguenti prima di installare Servizio app di Azure nell'hub di Azure Stack:

Rete virtuale - /16

Subnet

  • ControllersSubnet /24
  • ManagementServersSubnet /24
  • FrontEndsSubnet /24
  • Server di pubblicazioneSubnet /24
  • WorkerSubnet /21

Importante

Se si sceglie di distribuire servizio app in una rete virtuale esistente, il SQL Server deve essere distribuito in una subnet separata da servizio app e file server.

Creare un'applicazione di identità per abilitare gli scenari SSO

Servizio app di Azure usa un'applicazione di identità (entità servizio) per supportare le operazioni seguenti:

  • Integrazione del set di scalabilità di macchine virtuali nei livelli di lavoro.
  • SSO per il portale di Funzioni di Azure e gli strumenti di sviluppo avanzati (Kudu).

A seconda del provider di identità usato dall'hub di Azure Stack, Microsoft Entra ID o Active Directory Federation Services (ADFS) è necessario seguire la procedura appropriata seguente per creare l'entità servizio da usare dal provider di risorse dell'hub di Azure Stack Servizio app di Azure.

Creare un'app Microsoft Entra

Seguire questa procedura per creare l'entità servizio nel tenant Microsoft Entra:

  1. Aprire un'istanza di PowerShell come azurestack\AzureStackAdmin.
  2. Passare al percorso degli script scaricati ed estratti nel passaggio prerequisito.
  3. Installare PowerShell per l'hub di Azure Stack.
  4. Eseguire lo script Create-AADIdentityApp.ps1 . Quando richiesto, immettere l'ID tenant Microsoft Entra usato per la distribuzione dell'hub di Azure Stack. Ad esempio, immettere myazurestack.onmicrosoft.com.
  5. Nella finestra Credenziali immettere l'account amministratore del servizio Microsoft Entra e la password. Selezionare OK.
  6. Immettere il percorso del file del certificato e la password del certificato per il certificato creato in precedenza. Il certificato creato per questo passaggio per impostazione predefinita è sso.appservice.local.azurestack.external.pfx.
  7. Prendere nota dell'ID applicazione restituito nell'output di PowerShell. Usare l'ID nei passaggi seguenti per fornire il consenso per le autorizzazioni dell'applicazione e durante l'installazione.
  8. Aprire una nuova finestra del browser e accedere al portale di Azure come amministratore del servizio Microsoft Entra.
  9. Aprire il servizio Microsoft Entra.
  10. Selezionare Registrazioni app nel riquadro sinistro.
  11. Cercare l'ID applicazione annotato nel passaggio 7.
  12. Selezionare l'servizio app registrazione dell'applicazione dall'elenco.
  13. Selezionare Autorizzazioni API nel riquadro sinistro.
  14. Selezionare Concedi consenso amministratore per <il tenant>, dove <tenant è il nome del tenant> Microsoft Entra. Confermare la concessione del consenso selezionando .
    Create-AADIdentityApp.ps1
Parametro Obbligatoria o facoltativa Valore predefinito Descrizione
DirectoryTenantName Necessario Null Microsoft Entra ID tenant. Specificare il GUID o la stringa. Un esempio è myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Necessario Null Amministrazione endpoint di Azure Resource Manager. Un esempio è adminmanagement.local.azurestack.external.
TenantARMEndpoint Necessario Null Endpoint di Azure Resource Manager tenant. Un esempio è management.local.azurestack.external.
AzureStackAdminCredential Necessario Null Microsoft Entra credenziali di amministratore del servizio.
CertificateFilePath Necessario Null Percorso completo del file del certificato dell'applicazione di identità generato in precedenza.
CertificatePassword Necessario Null Password che consente di proteggere la chiave privata del certificato.
Ambiente Facoltativo AzureCloud Nome dell'ambiente cloud supportato in cui è disponibile il servizio Graph di Azure Active Directory di destinazione. Valori consentiti: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'.

Creare un'app ADFS

  1. Aprire un'istanza di PowerShell come azurestack\AzureStackAdmin.
  2. Passare al percorso degli script scaricati ed estratti nel passaggio prerequisito.
  3. Installare PowerShell per l'hub di Azure Stack.
  4. Eseguire lo script diCreate-ADFSIdentityApp.ps1 .
  5. Nella finestra Credenziali immettere l'account di amministratore e la password del cloud AD FS. Selezionare OK.
  6. Specificare il percorso del file di certificato e la password del certificato per il certificato creato in precedenza. Il certificato creato per questo passaggio per impostazione predefinita è sso.appservice.local.azurestack.external.pfx.
    Create-ADFSIdentityApp.ps1
Parametro Obbligatoria o facoltativa Valore predefinito Descrizione
AdminArmEndpoint Necessario Null Amministrazione endpoint di Azure Resource Manager. Un esempio è adminmanagement.local.azurestack.external.
PrivilegedEndpoint Necessario Null Endpoint con privilegi. Un esempio è AzS-ERCS01.
CloudAdminCredential Necessario Null Credenziali dell'account di dominio per gli amministratori cloud dell'hub di Azure Stack. Un esempio è Azurestack\CloudAdmin.
CertificateFilePath Necessario Null Percorso completo del file PFX del certificato dell'applicazione di identità.
CertificatePassword Necessario Null Password che consente di proteggere la chiave privata del certificato.

Scaricare elementi dalla Azure Marketplace

Servizio app di Azure nell'hub di Azure Stack richiede che gli elementi vengano scaricati dall'Azure Marketplace, rendendoli disponibili in Azure Stack Hub Marketplace. Questi elementi devono essere scaricati prima di avviare la distribuzione o l'aggiornamento di Servizio app di Azure nell'hub di Azure Stack:

Importante

Windows Server Core non è un'immagine della piattaforma supportata da usare con Servizio app di Azure nell'hub di Azure Stack.

Non usare le immagini di valutazione per le distribuzioni di produzione.

  1. Versione più recente dell'immagine della macchina virtuale Windows Server 2022 Datacenter.
  1. Immagine della macchina virtuale completa di Windows Server 2022 Datacenter con Microsoft.Net 3.5.1 SP1 attivata. Servizio app di Azure nell'hub di Azure Stack richiede che Microsoft .NET 3.5.1 SP1 sia attivato nell'immagine usata per la distribuzione. Le immagini di Windows Server 2022 del Marketplace non hanno questa funzionalità abilitata e negli ambienti disconnessi non possono raggiungere Microsoft Update per scaricare i pacchetti da installare tramite GESTIONE dei dati. Pertanto, è necessario creare e usare un'immagine di Windows Server 2022 con questa funzionalità pre-abilitata con distribuzioni disconnesse.

    Per informazioni dettagliate sulla creazione di un'immagine personalizzata e sull'aggiunta a Marketplace, vedere Aggiungere un'immagine di macchina virtuale personalizzata all'hub di Azure Stack . Assicurarsi di specificare le proprietà seguenti quando si aggiunge l'immagine al Marketplace:

    • Publisher = MicrosoftWindowsServer
    • Offerta = WindowsServer
    • SKU = AppService
    • Version = Specificare la versione "più recente"
  1. Estensione script personalizzata v1.9.1 o successiva. Questo elemento è un'estensione della macchina virtuale.

Passaggi successivi

Installare il provider di risorse servizio app