Azure Stack Hub에 App Service를 배포하기 위한 필수 조건
중요
RP(App Service 리소스 공급자)를 배포하거나 업데이트하기 전에 필요한 경우 Azure Stack Hub를 지원되는 버전으로 업데이트하거나 최신 Azure Stack 개발 키트를 배포합니다. 배포에 영향을 줄 수 있는 새로운 기능, 수정 사항 및 알려진 문제에 대해 알아보려면 RP 릴리스 정보를 읽어보세요.
지원되는 최소 Azure Stack Hub 버전 App Service RP 버전 2301 이상 2302 설치 관리자 (릴리스 정보)
Azure Stack Hub에 Azure App Service 배포하기 전에 이 문서의 필수 구성 요소 단계를 완료해야 합니다.
시작하기 전에
이 섹션에서는 통합 시스템 및 ASDK(Azure Stack Development Kit) 배포에 대한 필수 구성 요소를 나열합니다.
리소스 공급자 필수 구성 요소
리소스 공급자를 이미 설치한 경우 다음 필수 구성 요소를 완료했을 가능성이 높으며 이 섹션을 건너뛸 수 있습니다. 그렇지 않으면 계속하기 전에 다음 단계를 완료합니다.
Azure Stack Hub instance 등록하지 않은 경우 Azure에 등록합니다. 이 단계는 Azure에서 마켓플레이스에 연결하고 항목을 다운로드할 때 필요합니다.
Azure Stack Hub 관리자 포털의 Marketplace 관리 기능에 익숙하지 않은 경우 Azure에서 마켓플레이스 항목 다운로드를 검토하고 Azure Stack Hub에 게시합니다. 이 문서에서는 Azure에서 Azure Stack Hub 마켓플레이스로 항목을 다운로드하는 프로세스를 안내합니다. 연결된 시나리오와 연결이 끊긴 시나리오를 모두 다룹니다. Azure Stack Hub instance 연결이 끊어지거나 부분적으로 연결된 경우 설치를 준비하기 위해 완료해야 할 추가 필수 구성 요소가 있습니다.
Microsoft Entra 홈 디렉터리를 업데이트합니다. 빌드 1910부터 홈 디렉터리 테넌트에서 새 애플리케이션을 등록해야 합니다. 이 앱을 사용하면 Azure Stack Hub가 Microsoft Entra 테넌트에서 최신 리소스 공급자(예: Event Hubs 등)를 성공적으로 만들고 등록할 수 있습니다. 이는 빌드 1910 이상으로 업그레이드한 후 수행해야 하는 일회성 작업입니다. 이 단계가 완료되지 않으면 마켓플레이스 리소스 공급자 설치가 실패합니다.
- Azure Stack Hub instance 1910 이상으로 업데이트한 후 Azure Stack Hub Tools 리포지토리 복제/다운로드 지침을 따릅니다.
- 그런 다음, 업데이트 또는 새 리소스 공급자를 설치한 후 Azure Stack Hub Microsoft Entra Home Directory 업데이트에 대한 지침을 따릅니다.
설치 관리자 및 도우미 스크립트
Azure Stack Hub 배포 도우미 스크립트에서 App Service 다운로드합니다.
참고
배포 도우미 스크립트에는 AzureRM PowerShell 모듈이 필요합니다. 설치 세부 정보는 Azure Stack Hub용 PowerShell AzureRM 모듈 설치를 참조하세요.
도우미 스크립트 .zip 파일에서 파일을 추출합니다. 다음 파일 및 폴더가 추출됩니다.
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- 모듈 폴더
- GraphAPI.psm1
인증서 및 서버 구성(통합 시스템)
이 섹션에서는 통합 시스템 배포를 위한 필수 구성 요소를 나열합니다.
인증서 요구 사항
프로덕션 환경에서 리소스 공급자를 실행하려면 다음 인증서를 제공해야 합니다.
- 기본 도메인 인증서
- API 인증서
- 인증서 게시
- ID 인증서
다음 섹션에 나열된 특정 요구 사항 외에도 나중에 도구를 사용하여 일반적인 요구 사항을 테스트합니다. 다음을 비롯한 전체 유효성 검사 목록은 Azure Stack Hub PKI 인증서 유효성 검사를 참조하세요.
- 의 파일 형식 입니다. Pfx
- 서버 및 클라이언트 인증으로 설정된 키 사용량
- 기타 여러 가지
기본 도메인 인증서
기본 도메인 인증서는 프런트 엔드 역할에 배치됩니다. 이 인증서를 사용하기 Azure App Service 와일드카드 또는 기본 도메인 요청에 대한 사용자 앱입니다. 인증서는 소스 제어 작업(Kudu)에도 사용됩니다.
인증서는 .pfx 형식이어야 하며 3주체 와일드카드 인증서여야 합니다. 이 요구 사항을 통해 원본 제어 작업에 대한 기본 도메인과 SCM 엔드포인트를 모두 포함하는 인증서가 하나 있습니다.
형식 | 예제 |
---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
API 인증서
API 인증서는 관리 역할에 배치됩니다. 리소스 공급자는 이를 사용하여 API 호출을 보호합니다. 게시용 인증서에는 API DNS 항목과 일치하는 제목이 포함되어야 합니다.
형식 | 예제 |
---|---|
api.appservice.<지역.><DomainName>.<확장> | api.appservice.redmond.azurestack.external |
인증서 게시
게시자 역할에 대한 인증서는 콘텐츠를 업로드할 때 앱 소유자의 FTPS 트래픽을 보호합니다. 게시용 인증서에는 FTPS DNS 항목과 일치하는 제목이 포함되어야 합니다.
형식 | 예제 |
---|---|
ftp.appservice.<지역.><DomainName>.<확장> | ftp.appservice.redmond.azurestack.external |
ID 인증서
ID 앱에 대한 인증서를 사용하면 다음을 수행할 수 있습니다.
- Microsoft Entra ID 또는 AD FS(Active Directory Federation Services) 디렉터리, Azure Stack Hub 및 App Service 통합하여 컴퓨팅 리소스 공급자와의 통합을 지원합니다.
- Azure Stack Hub에서 Azure App Service 내의 고급 개발자 도구에 대한 Single Sign-On 시나리오입니다.
ID 인증서에는 다음 형식과 일치하는 제목이 포함되어야 합니다.
형식 | 예제 |
---|---|
sso.appservice.<지역.><DomainName>.<확장> | sso.appservice.redmond.azurestack.external |
인증서 유효성 검사
App Service 리소스 공급자를 배포하기 전에 PowerShell 갤러리 사용할 수 있는 Azure Stack Hub 준비 검사기 도구를 사용하여 사용할 인증서의 유효성을 검사해야 합니다. Azure Stack Hub 준비 검사 도구는 생성된 PKI 인증서가 App Service 배포에 적합한지 확인합니다.
모범 사례로 필요한 Azure Stack Hub PKI 인증서를 사용하는 경우 필요한 경우 인증서를 테스트하고 다시 발급할 충분한 시간을 계획해야 합니다.
파일 서버 준비
Azure App Service 파일 서버를 사용해야 합니다. 프로덕션 배포의 경우 파일 서버가 고가용성이며 오류를 처리할 수 있도록 구성되어야 합니다.
고가용성 파일 서버 및 SQL Server 대한 빠른 시작 템플릿
이제 파일 서버를 배포하고 SQL Server 참조 아키텍처 빠른 시작 템플릿을 사용할 수 있습니다. 이 템플릿은 Azure Stack Hub에서 고가용성 Azure App Service 배포를 지원하도록 구성된 가상 네트워크의 Active Directory 인프라를 지원합니다.
중요
이 템플릿은 필수 구성 요소를 배포하는 방법의 참조 또는 예제로 제공됩니다. Azure Stack Hub 운영자는 특히 프로덕션 환경에서 이러한 서버를 관리하므로 organization 필요하거나 필요한 대로 템플릿을 구성해야 합니다.
참고
통합 시스템 instance 배포를 완료하려면 GitHub에서 리소스를 다운로드할 수 있어야 합니다.
사용자 지정 파일 서버를 배포하는 단계
중요
기존 가상 네트워크에 App Service 배포하도록 선택하는 경우 파일 서버는 App Service 별도의 서브넷에 배포되어야 합니다.
참고
위에서 언급한 빠른 시작 템플릿 중 하나를 사용하여 파일 서버를 배포하도록 선택한 경우 파일 서버가 템플릿 배포의 일부로 구성되므로 이 섹션을 건너뛸 수 있습니다.
Active Directory에서 그룹 및 계정 프로비저닝
다음과 같은 Active Directory 글로벌 보안 그룹을 만듭니다.
- FileShareOwners
- FileShareUsers
다음 Active Directory 계정을 서비스 계정으로 만듭니다.
- FileShareOwner
- FileShareUser
보안 모범 사례로 이러한 계정(및 모든 웹 역할)의 사용자는 고유해야 하며 강력한 사용자 이름과 암호를 가져야 합니다. 다음 조건으로 암호를 설정합니다.
- 암호 사용이 만료되지 않습니다.
- 사용 사용자가 암호를 변경할 수 없습니다.
- 사용 안 함 사용자는 다음 로그온 시 암호를 변경해야 합니다.
다음과 같이 그룹 멤버 자격에 계정을 추가합니다.
- FileShareOwners 그룹에 FileShareOwner를 추가합니다.
- FileShareUsers 그룹에 FileShareUser를 추가합니다.
작업 그룹에서 그룹 및 계정 프로비전
참고
파일 서버를 구성할 때 관리자 명령 프롬프트에서 다음 명령을 모두 실행합니다.
PowerShell을 사용하지 마세요.
Azure Resource Manager 템플릿을 사용하는 경우 사용자가 이미 만들어집니다.
다음 명령을 실행하여 FileShareOwner 및 FileShareUser 계정을 만듭니다.
<password>
을 고유한 값으로 바꿉니다.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
다음 WMIC 명령을 실행하여 계정의 암호가 만료되지 않도록 설정합니다.
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
로컬 그룹 FileShareUsers 및 FileShareOwners를 만들고 첫 번째 단계에서 계정을 추가합니다.
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
콘텐츠 공유 프로비전
콘텐츠 공유에는 테넌트 웹 사이트 콘텐츠가 포함됩니다. 단일 파일 서버에서 콘텐츠 공유를 프로비전하는 절차는 Active Directory 및 작업 그룹 환경 모두에서 동일합니다. 그러나 Active Directory의 장애 조치(failover) 클러스터와는 다릅니다.
단일 파일 서버(Active Directory 또는 작업 그룹)에서 콘텐츠 공유 프로비전
단일 파일 서버에서 관리자 권한 명령 프롬프트를 통해 다음 명령을 실행합니다. 의 값을 C:\WebSites
사용자 환경의 해당 경로로 바꿉니다.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
공유에 대한 액세스 제어 구성
파일 서버의 관리자 권한 명령 프롬프트 또는 현재 클러스터 리소스 소유자인 장애 조치(failover) 클러스터 노드에서 다음 명령을 실행합니다. 기울임꼴의 값을 사용자 환경과 관련된 값으로 대체합니다.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
작업 그룹
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
SQL Server 인스턴스 준비
참고
고가용성 파일 서버 및 SQL Server 대한 빠른 시작 템플릿을 배포하도록 선택한 경우 템플릿이 HA 구성에서 SQL Server 배포 및 구성함에 따라 이 섹션을 건너뛸 수 있습니다.
Azure Stack Hub 호스팅 및 계량 데이터베이스의 Azure App Service 경우 App Service 데이터베이스를 저장할 SQL Server instance 준비해야 합니다.
프로덕션 및 고가용성을 위해 전체 버전의 SQL Server 2014 SP2 이상을 사용하고, 혼합 모드 인증을 사용하도록 설정하고, 고가용성 구성으로 배포해야 합니다.
Azure Stack Hub의 Azure App Service SQL Server instance 모든 App Service 역할에서 액세스할 수 있어야 합니다. Azure Stack Hub의 기본 공급자 구독 내에 SQL Server 배포할 수 있습니다. 또는 Azure Stack Hub에 연결되어 있는 한 organization 내의 기존 인프라를 사용할 수 있습니다. Azure Marketplace 이미지를 사용하는 경우 그에 따라 방화벽을 구성해야 합니다.
참고
Marketplace 관리 기능을 통해 다양한 SQL IaaS VM 이미지를 사용할 수 있습니다. Marketplace 항목을 사용하여 VM을 배포하기 전에 항상 최신 버전의 SQL IaaS 확장을 다운로드해야 합니다. SQL 이미지는 Azure에서 사용할 수 있는 SQL VM과 동일합니다. 이러한 이미지에서 만든 SQL VM의 경우 IaaS 확장 및 해당 포털 개선 사항은 자동 패치 및 백업 기능과 같은 기능을 제공합니다.
모든 SQL Server 역할에 대해 기본 인스턴스나 명명된 인스턴스를 사용할 수 있습니다. 명명된 instance 사용하는 경우 SQL Server Browser 서비스를 수동으로 시작하고 포트 1434를 열어야 합니다.
App Service 설치 관리자는 SQL Server 데이터베이스 포함이 사용하도록 설정되어 있는지 확인하기 위해 검사. App Service 데이터베이스를 호스트할 SQL Server 데이터베이스 포함을 사용하도록 설정하려면 다음 SQL 명령을 실행합니다.
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
ASDK(인증서 및 서버 구성)
이 섹션에서는 ASDK 배포에 대한 필수 구성 요소를 나열합니다.
Azure App Service ASDK 배포에 필요한 인증서
Create-AppServiceCerts.ps1 스크립트는 Azure Stack Hub 인증 기관과 협력하여 App Service 필요한 4개의 인증서를 만듭니다.
파일 이름 | 사용 |
---|---|
_.appservice.local.azurestack.external.pfx | 기본 SSL 인증서 App Service |
api.appservice.local.azurestack.external.pfx | API SSL 인증서 App Service |
ftp.appservice.local.azurestack.external.pfx | App Service 게시자 SSL 인증서 |
sso.appservice.local.azurestack.external.pfx | id 애플리케이션 인증서 App Service |
인증서를 만들려면 다음 단계를 수행합니다.
- AzureStack\AzureStackAdmin 계정을 사용하여 ASDK 호스트에 로그인합니다.
- 승격된 PowerShell 세션을 엽니다.
- 도우미 스크립트를 추출한 폴더에서 Create-AppServiceCerts.ps1 스크립트를 실행합니다. 이 스크립트는 App Service 인증서를 만드는 데 필요한 스크립트와 동일한 폴더에 4개의 인증서를 만듭니다.
- 암호를 입력하여 .pfx 파일을 보호하고 기록해 둡다. 나중에 Azure Stack Hub 설치 관리자의 App Service 입력해야 합니다.
스크립트 매개 변수 Create-AppServiceCerts.ps1
매개 변수 | 필수 또는 선택 | 기본값 | Description |
---|---|---|---|
pfxPassword | 필수 | Null | 인증서 프라이빗 키를 보호하는 데 도움이 되는 암호 |
DomainName | 필수 | local.azurestack.external | Azure Stack Hub 지역 및 도메인 접미사 |
ASDK에서 Azure App Service 배포하기 위한 파일 서버용 빠른 시작 템플릿입니다.
ASDK 배포의 경우에만 Azure Resource Manager 배포 템플릿 예제를 사용하여 구성된 단일 노드 파일 서버를 배포할 수 있습니다. 단일 노드 파일 서버는 작업 그룹에 있습니다.
참고
배포를 완료하려면 ASDK instance GitHub에서 리소스를 다운로드할 수 있어야 합니다.
SQL Server 인스턴스
Azure Stack Hub 호스팅 및 계량 데이터베이스의 Azure App Service 경우 App Service 데이터베이스를 저장할 SQL Server instance 준비해야 합니다.
ASDK 배포의 경우 SQL Server Express 2014 SP2 이상을 사용할 수 있습니다. Azure Stack Hub의 App Service Windows 인증을 지원하지 않으므로 SQL Server 혼합 모드 인증을 지원하도록 구성해야 합니다.
Azure Stack Hub의 Azure App Service SQL Server instance 모든 App Service 역할에서 액세스할 수 있어야 합니다. Azure Stack Hub의 기본 공급자 구독 내에 SQL Server 배포할 수 있습니다. 또는 Azure Stack Hub에 연결되어 있는 한 organization 내의 기존 인프라를 사용할 수 있습니다. Azure Marketplace 이미지를 사용하는 경우 그에 따라 방화벽을 구성해야 합니다.
참고
Marketplace 관리 기능을 통해 다양한 SQL IaaS VM 이미지를 사용할 수 있습니다. Marketplace 항목을 사용하여 VM을 배포하기 전에 항상 최신 버전의 SQL IaaS 확장을 다운로드해야 합니다. SQL 이미지는 Azure에서 사용할 수 있는 SQL VM과 동일합니다. 이러한 이미지에서 만든 SQL VM의 경우 IaaS 확장 및 해당 포털 개선 사항은 자동 패치 및 백업 기능과 같은 기능을 제공합니다.
모든 SQL Server 역할에 대해 기본 인스턴스나 명명된 인스턴스를 사용할 수 있습니다. 명명된 instance 사용하는 경우 SQL Server Browser 서비스를 수동으로 시작하고 포트 1434를 열어야 합니다.
App Service 설치 관리자는 SQL Server 데이터베이스 포함이 사용하도록 설정되어 있는지 확인하기 위해 검사. App Service 데이터베이스를 호스트할 SQL Server 데이터베이스 포함을 사용하도록 설정하려면 다음 SQL 명령을 실행합니다.
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
필수 파일 서버 및 SQL Server에 대한 라이선스 문제
Azure Stack Hub의 Azure App Service 파일 서버와 SQL Server 작동해야 합니다. Azure Stack Hub 배포 외부에 있는 기존 리소스를 자유롭게 사용하거나 Azure Stack Hub 기본 공급자 구독 내에 리소스를 배포할 수 있습니다.
Azure Stack Hub 기본 공급자 구독 내에서 리소스를 배포하도록 선택하는 경우 해당 리소스에 대한 라이선스(Windows Server 라이선스 및 SQL Server 라이선스)는 다음 제약 조건에 따라 Azure Stack Hub에서 Azure App Service 비용에 포함됩니다.
- 인프라는 기본 공급자 구독에 배포됩니다.
- 인프라는 Azure Stack Hub 리소스 공급자의 Azure App Service 단독으로 사용됩니다. 다른 워크로드, 관리(예: SQL-RP) 또는 테넌트(예: 데이터베이스가 필요한 테넌트 앱)는 이 인프라를 사용할 수 없습니다.
파일 및 SQL 서버의 운영 책임
클라우드 운영자는 파일 서버 및 SQL Server 유지 관리 및 작업을 담당합니다. 리소스 공급자는 이러한 리소스를 관리하지 않습니다. 클라우드 운영자는 App Service 데이터베이스 및 테넌트 콘텐츠 파일 공유를 백업해야 합니다.
Azure Stack Hub에 대한 Azure Resource Manager 루트 인증서 검색
Azure Stack Hub 통합 시스템 또는 ASDK 호스트의 권한 있는 엔드포인트에 도달할 수 있는 컴퓨터에서 관리자 권한 PowerShell 세션을 엽니다.
도우미 스크립트를 추출한 폴더에서 Get-AzureStackRootCert.ps1 스크립트를 실행합니다. 스크립트는 인증서를 만드는 데 필요한 App Service 스크립트와 동일한 폴더에 루트 인증서를 만듭니다.
다음 PowerShell 명령을 실행할 때 AzureStack\CloudAdmin에 대한 권한 있는 엔드포인트 및 자격 증명을 제공해야 합니다.
Get-AzureStackRootCert.ps1
스크립트 매개 변수 Get-AzureStackRootCert.ps1
매개 변수 | 필수 또는 선택 | 기본값 | Description |
---|---|---|---|
PrivilegedEndpoint | 필수 | AzS-ERCS01 | 권한 있는 엔드포인트 |
CloudAdminCredential | 필수 | AzureStack\CloudAdmin | Azure Stack Hub 클라우드 관리자를 위한 도메인 계정 자격 증명 |
네트워크 및 ID 구성
가상 네트워크
참고
사용자 지정 가상 네트워크의 사전 생성은 Azure Stack Hub의 Azure App Service 필요한 가상 네트워크를 만들 수 있지만 공용 IP 주소를 통해 SQL 및 파일 서버와 통신해야 하므로 선택 사항입니다. App Service HA 파일 서버 및 SQL Server 빠른 시작 템플릿을 사용하여 필수 SQL 및 파일 서버 리소스를 배포하는 경우 템플릿은 가상 네트워크도 배포합니다.
Azure Stack Hub의 Azure App Service 리소스 공급자를 기존 가상 네트워크에 배포하거나 배포의 일부로 가상 네트워크를 만들 수 있습니다. 기존 가상 네트워크를 사용하면 내부 IP를 사용하여 파일 서버에 연결하고 Azure Stack Hub에서 Azure App Service 필요한 SQL Server 사용할 수 있습니다. Azure Stack Hub에 Azure App Service 설치하기 전에 가상 네트워크를 다음 주소 범위 및 서브넷으로 구성해야 합니다.
가상 네트워크 - /16
서브넷
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- WorkersSubnet /21
중요
기존 가상 네트워크에 App Service 배포하도록 선택하는 경우 SQL Server App Service 및 파일 서버와는 별도의 서브넷에 배포해야 합니다.
SSO 시나리오를 사용하도록 ID 애플리케이션 만들기
Azure App Service ID 애플리케이션(서비스 주체)을 사용하여 다음 작업을 지원합니다.
- 작업자 계층에서 가상 머신 확장 집합 통합.
- Azure Functions 포털 및 고급 개발자 도구(Kudu)용 SSO입니다.
Azure Stack Hub에서 사용 중인 ID 공급자, Microsoft Entra ID 또는 ADFS(Active Directory Federation Services)에 따라 아래의 적절한 단계에 따라 Azure Stack Hub 리소스 공급자의 Azure App Service 사용할 서비스 주체를 만들어야 합니다.
Microsoft Entra 앱 만들기
다음 단계에 따라 Microsoft Entra 테넌트에서 서비스 주체를 만듭니다.
- PowerShell instance azurestack\AzureStackAdmin으로 엽니다.
- 필수 구성 요소 단계에서 다운로드하고 추출한 스크립트의 위치로 이동합니다.
- Azure Stack Hub용 PowerShell을 설치합니다.
- Create-AADIdentityApp.ps1 스크립트를 실행합니다. 메시지가 표시되면 Azure Stack Hub 배포에 사용하는 Microsoft Entra 테넌트 ID를 입력합니다. 예를 들어 myazurestack.onmicrosoft.com 입력합니다.
- 자격 증명 창에서 Microsoft Entra 서비스 관리자 계정 및 암호를 입력합니다. 확인을 선택합니다.
- 이전에 만든 인증서의 인증서 파일 경로 및 인증서 암호를 입력합니다. 기본적으로 이 단계에 대해 만든 인증서는 sso.appservice.local.azurestack.external.pfx입니다.
- PowerShell 출력에 반환된 애플리케이션 ID를 기록해 둡니다. 다음 단계의 ID를 사용하여 애플리케이션의 권한 및 설치 중에 동의를 제공합니다.
- 새 브라우저 창을 열고 Microsoft Entra 서비스 관리자로 Azure Portal 로그인합니다.
- Microsoft Entra 서비스를 엽니다.
- 왼쪽 창에서 앱 등록 을 선택합니다.
- 7단계에서 기록한 애플리케이션 ID를 검색합니다.
- 목록에서 App Service 애플리케이션 등록을 선택합니다.
- 왼쪽 창에서 API 권한을 선택합니다.
- 테넌트>에서 관리자 동의 부여를 <선택합니다. 여기서 <테넌>트는 Microsoft Entra 테넌트 이름입니다. 예를 선택하여 동의 부여를 확인 합니다.
Create-AADIdentityApp.ps1
매개 변수 | 필수 또는 선택 | 기본값 | Description |
---|---|---|---|
DirectoryTenantName | 필수 | Null | 테넌트 ID를 Microsoft Entra. GUID 또는 문자열을 제공합니다. 예를 들어 myazureaaddirectory.onmicrosoft.com. |
AdminArmEndpoint | 필수 | Null | Azure Resource Manager 엔드포인트를 관리. 예를 들어 adminmanagement.local.azurestack.external이 있습니다. |
TenantARMEndpoint | 필수 | Null | 테넌트 Azure Resource Manager 엔드포인트. 예를 들어 management.local.azurestack.external이 있습니다. |
AzureStackAdminCredential | 필수 | Null | 서비스 관리자 자격 증명을 Microsoft Entra. |
CertificateFilePath | 필수 | Null | 이전에 생성된 ID 애플리케이션 인증서 파일의 전체 경로입니다. |
CertificatePassword | 필수 | Null | 인증서 프라이빗 키를 보호하는 데 도움이 되는 암호입니다. |
환경 | Optional | AzureCloud | 대상 Azure Active Directory Graph Service를 사용할 수 있는 지원되는 클라우드 환경의 이름입니다. 허용되는 값: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'. |
ADFS 앱 만들기
- PowerShell instance azurestack\AzureStackAdmin으로 엽니다.
- 필수 구성 요소 단계에서 다운로드하고 추출한 스크립트의 위치로 이동합니다.
- Azure Stack Hub용 PowerShell을 설치합니다.
- Create-ADFSIdentityApp.ps1 스크립트를 실행합니다.
- 자격 증명 창에서 AD FS 클라우드 관리자 계정 및 암호를 입력합니다. 확인을 선택합니다.
- 이전에 만든 인증서에 대한 인증서 파일 경로 및 인증서 암호를 제공합니다. 기본적으로 이 단계에 대해 만든 인증서는 sso.appservice.local.azurestack.external.pfx입니다.
Create-ADFSIdentityApp.ps1
매개 변수 | 필수 또는 선택 | 기본값 | Description |
---|---|---|---|
AdminArmEndpoint | 필수 | Null | Azure Resource Manager 엔드포인트를 관리. 예를 들어 adminmanagement.local.azurestack.external이 있습니다. |
PrivilegedEndpoint | 필수 | Null | 권한 있는 엔드포인트. 예를 들어 AzS-ERCS01이 있습니다. |
CloudAdminCredential | 필수 | Null | Azure Stack Hub 클라우드 관리자를 위한 도메인 계정 자격 증명입니다. 예를 들어 Azurestack\CloudAdmin이 있습니다. |
CertificateFilePath | 필수 | Null | ID 애플리케이션의 인증서 PFX 파일에 대한 전체 경로입니다. |
CertificatePassword | 필수 | Null | 인증서 프라이빗 키를 보호하는 데 도움이 되는 암호입니다. |
Azure Marketplace 항목 다운로드
Azure Stack Hub의 Azure App Service 항목을 Azure Marketplace 다운로드하여 Azure Stack Hub Marketplace에서 사용할 수 있도록 해야 합니다. Azure Stack Hub에서 Azure App Service 배포 또는 업그레이드를 시작하기 전에 이러한 항목을 다운로드해야 합니다.
중요
Windows Server Core는 Azure Stack Hub에서 Azure App Service 사용할 수 있는 지원되는 플랫폼 이미지가 아닙니다.
프로덕션 배포에 평가 이미지를 사용하지 마세요.
- 최신 버전의 Windows Server 2022 Datacenter VM 이미지
Microsoft.Net 3.5.1 SP1이 활성화된 Windows Server 2022 Datacenter 전체 VM 이미지. Azure Stack Hub의 Azure App Service 배포에 사용되는 이미지에서 Microsoft .NET 3.5.1 SP1을 활성화해야 합니다. Marketplace에서 신디케이트된 Windows Server 2022 이미지에는 이 기능이 사용하도록 설정되어 있지 않으며 연결이 끊긴 환경에서는 Microsoft 업데이트에 도달하여 DISM을 통해 설치할 패키지를 다운로드할 수 없습니다. 따라서 연결이 끊긴 배포에서 이 기능을 미리 사용하도록 설정한 Windows Server 2022 이미지를 만들고 사용해야 합니다.
사용자 지정 이미지를 만들고 Marketplace에 추가하는 방법에 대한 자세한 내용은 Azure Stack Hub 에 사용자 지정 VM 이미지 추가를 참조하세요. Marketplace에 이미지를 추가할 때 다음 속성을 지정해야 합니다.
- Publisher = MicrosoftWindowsServer
- 제품 = WindowsServer
- SKU = AppService
- 버전 = "최신" 버전 지정
- 사용자 지정 스크립트 확장 v1.9.1 이상. 이 항목은 VM 확장입니다.