Delen via


Vereisten voor het implementeren van App Service op Azure Stack Hub

Belangrijk

Werk Azure Stack Hub zo nodig bij naar een ondersteunde versie (of implementeer de nieuwste Azure Stack Development Kit) voordat u de App Service resourceprovider (RP) implementeert of bijwerkt. Lees de opmerkingen bij de RP-release voor meer informatie over nieuwe functionaliteit, oplossingen en bekende problemen die van invloed kunnen zijn op uw implementatie.

Ondersteunde minimale versie van Azure Stack Hub App Service RP-versie
2301 en hoger 2302-installatieprogramma (opmerkingen bij de release)

Voordat u Azure App Service in Azure Stack Hub implementeert, moet u de vereiste stappen in dit artikel voltooien.

Voordat u aan de slag gaat

In deze sectie vindt u de vereisten voor zowel geïntegreerde systeem- als ASDK-implementaties (Azure Stack Development Kit).

Vereisten voor resourceprovider

Als u al een resourceprovider hebt geïnstalleerd, hebt u waarschijnlijk aan de volgende vereisten voldaan en kunt u deze sectie overslaan. Voer anders deze stappen uit voordat u doorgaat:

  1. Registreer uw Azure Stack Hub-exemplaar bij Azure als u dit nog niet hebt gedaan. Deze stap is vereist omdat u verbinding maakt met en items downloadt naar Marketplace van Azure.

  2. Als u niet bekend bent met de functie Marketplace-beheer van de Azure Stack Hub-beheerportal, raadpleegt u Marketplace-items downloaden van Azure en publiceren naar Azure Stack Hub. In dit artikel wordt stapsgewijs uitgelegd hoe u items downloadt van Azure naar de Azure Stack Hub Marketplace. Het omvat zowel verbonden als niet-verbonden scenario's. Als de verbinding met uw Azure Stack Hub-exemplaar is verbroken of gedeeltelijk is verbonden, zijn er aanvullende vereisten die moeten worden uitgevoerd ter voorbereiding op de installatie.

  3. Werk uw Microsoft Entra basismap bij. Vanaf build 1910 moet er een nieuwe toepassing worden geregistreerd in uw basismaptenant. Met deze app kan Azure Stack Hub nieuwere resourceproviders (zoals Event Hubs en andere) maken en registreren bij uw Microsoft Entra-tenant. Dit is een eenmalige actie die moet worden uitgevoerd na een upgrade naar build 1910 of hoger. Als deze stap niet is voltooid, mislukken de installaties van marketplace-resourceproviders.

Installatie- en helperscripts

  1. Download de App Service op azure Stack Hub-helperscripts voor implementaties.

    Notitie

    Voor de implementatiehulpscripts is de AzureRM PowerShell-module vereist. Zie PowerShell AzureRM-module installeren voor Azure Stack Hub voor installatiedetails.

  2. Download het installatieprogramma voor App Service in Azure Stack Hub.

  3. Pak de bestanden uit de helperscripts .zip bestand. De volgende bestanden en mappen worden uitgepakt:

    • Common.ps1
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • BCDR
      • ReACL.cmd
    • Map Modules
      • GraphAPI.psm1

Certificaten en serverconfiguratie (geïntegreerde systemen)

In deze sectie vindt u de vereisten voor geïntegreerde systeemimplementaties.

Certificaatvereisten

Als u de resourceprovider in productie wilt uitvoeren, moet u de volgende certificaten opgeven:

  • Standaarddomeincertificaat
  • API-certificaat
  • Certificaat publiceren
  • Identiteitscertificaat

Naast specifieke vereisten die in de volgende secties worden vermeld, gebruikt u later ook een hulpprogramma om te testen op algemene vereisten. Zie PKI-certificaten van Azure Stack Hub valideren voor de volledige lijst met validaties, waaronder:

  • Bestandsindeling van . PFX
  • Sleutelgebruik ingesteld op server- en clientverificatie
  • en verschillende andere

Standaarddomeincertificaat

Het standaarddomeincertificaat wordt op de front-endrol geplaatst. Gebruikers-apps voor jokertekens of standaarddomeinaanvragen om dit certificaat te Azure App Service gebruiken. Het certificaat wordt ook gebruikt voor broncodebeheerbewerkingen (Kudu).

Het certificaat moet de PFX-indeling hebben en moet een jokertekencertificaat met drie onderwerpen zijn. Met deze vereiste kan één certificaat zowel het standaarddomein als het SCM-eindpunt dekt voor broncodebeheerbewerkingen.

Indeling Voorbeeld
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

API-certificaat

Het API-certificaat wordt op de rol Beheer geplaatst. De resourceprovider gebruikt deze om API-aanroepen te beveiligen. Het certificaat voor publicatie moet een onderwerp bevatten dat overeenkomt met de API DNS-vermelding.

Indeling Voorbeeld
api.appservice.<regio>.<>Domeinnaam.<Extensie> api.appservice.redmond.azurestack.external

Certificaat publiceren

Het certificaat voor de rol Uitgever beveiligt het FTPS-verkeer voor app-eigenaren wanneer ze inhoud uploaden. Het certificaat voor publicatie moet een onderwerp bevatten dat overeenkomt met de FTPS DNS-vermelding.

Indeling Voorbeeld
ftp.appservice.<regio>.<>Domeinnaam.<Extensie> ftp.appservice.redmond.azurestack.external

Identiteitscertificaat

Het certificaat voor de identiteits-app maakt het volgende mogelijk:

  • Integratie tussen de directory Microsoft Entra ID of Active Directory Federation Services (AD FS), Azure Stack Hub en App Service ter ondersteuning van integratie met de rekenresourceprovider.
  • Scenario's voor eenmalige aanmelding voor geavanceerde ontwikkelhulpprogramma's binnen Azure App Service in Azure Stack Hub.

Het certificaat voor identiteit moet een onderwerp bevatten dat overeenkomt met de volgende indeling.

Indeling Voorbeeld
sso.appservice.<regio>.<>Domeinnaam.<Extensie> sso.appservice.redmond.azurestack.external

Certificaten valideren

Voordat u de App Service resourceprovider implementeert, moet u de certificaten valideren die moeten worden gebruikt met behulp van het hulpprogramma Gereedheidscontrole van Azure Stack Hub dat beschikbaar is op de PowerShell Gallery. Het hulpprogramma gereedheidscontrole van Azure Stack Hub valideert of de gegenereerde PKI-certificaten geschikt zijn voor App Service implementatie.

Als best practice moet u bij het werken met een van de benodigde PKI-certificaten van Azure Stack Hub voldoende tijd plannen om certificaten te testen en opnieuw uit te geven, indien nodig.

De bestandsserver voorbereiden

voor Azure App Service is het gebruik van een bestandsserver vereist. Voor productie-implementaties moet de bestandsserver zo zijn geconfigureerd dat deze maximaal beschikbaar is en fouten kan verwerken.

Snelstartsjabloon voor maximaal beschikbare bestandsservers en SQL Server

Er is nu een snelstartsjabloon voor referentiearchitectuur beschikbaar waarmee een bestandsserver en SQL Server worden geïmplementeerd. Deze sjabloon ondersteunt de Active Directory-infrastructuur in een virtueel netwerk dat is geconfigureerd ter ondersteuning van een maximaal beschikbare implementatie van Azure App Service in Azure Stack Hub.

Belangrijk

Deze sjabloon wordt aangeboden als referentie of voorbeeld van hoe u de vereisten kunt implementeren. Omdat de Azure Stack Hub-operator deze servers beheert, met name in productieomgevingen, moet u de sjabloon zo nodig of vereist door uw organisatie configureren.

Notitie

Het geïntegreerde systeemexemplaar moet resources kunnen downloaden van GitHub om de implementatie te voltooien.

Stappen voor het implementeren van een aangepaste bestandsserver

Belangrijk

Als u ervoor kiest om App Service in een bestaand virtueel netwerk te implementeren, moet de bestandsserver worden geïmplementeerd in een afzonderlijk subnet van App Service.

Notitie

Als u ervoor hebt gekozen om een bestandsserver te implementeren met behulp van een van de bovenstaande quickstart-sjablonen, kunt u deze sectie overslaan omdat de bestandsservers zijn geconfigureerd als onderdeel van de sjabloonimplementatie.

Groepen en accounts inrichten in Active Directory
  1. Maak de volgende algemene Active Directory-beveiligingsgroepen:

    • FileShareOwners
    • FileShareUsers
  2. Maak de volgende Active Directory-accounts als serviceaccounts:

    • FileShareOwner
    • FileShareUser

    Als best practice voor beveiliging moeten de gebruikers voor deze accounts (en voor alle webrollen) uniek zijn en sterke gebruikersnamen en wachtwoorden hebben. Stel de wachtwoorden in met de volgende voorwaarden:

    • Wachtwoord inschakelen verloopt nooit.
    • Schakel Gebruiker kan wachtwoord niet wijzigen in.
    • Schakel Gebruiker moet wachtwoord wijzigen bij volgende aanmelding uit.
  3. Voeg de accounts als volgt toe aan de groepslidmaatschappen:

    • Voeg FileShareOwner toe aan de groep FileShareOwners .
    • Voeg FileShareUser toe aan de groep FileShareUsers .
Groepen en accounts inrichten in een werkgroep

Notitie

Wanneer u een bestandsserver configureert, voert u alle volgende opdrachten uit vanaf een beheerdersopdrachtprompt.
Gebruik Geen PowerShell.

Wanneer u de sjabloon Azure Resource Manager gebruikt, zijn de gebruikers al gemaakt.

  1. Voer de volgende opdrachten uit om de accounts FileShareOwner en FileShareUser te maken. Vervang <password> door uw eigen waarden.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. Stel de wachtwoorden voor de accounts zo in dat ze nooit verlopen door de volgende WMIC-opdrachten uit te voeren:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. Maak de lokale groepen FileShareUsers en FileShareOwners en voeg de accounts in de eerste stap eraan toe:

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

De inhoudsshare inrichten

De inhoudsshare bevat inhoud van de tenantwebsite. De procedure voor het inrichten van de inhoudsshare op één bestandsserver is hetzelfde voor zowel Active Directory- als werkgroepomgevingen. Maar dit is anders voor een failovercluster in Active Directory.

De inhoudsshare inrichten op één bestandsserver (Active Directory of werkgroep)

Voer op één bestandsserver de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid. Vervang de waarde voor door C:\WebSites de bijbehorende paden in uw omgeving.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Toegangsbeheer configureren voor de shares

Voer de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid op de bestandsserver of op het failoverclusterknooppunt, dat de huidige eigenaar van de clusterresource is. Vervang cursief waarden door waarden die specifiek zijn voor uw omgeving.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Werkgroep

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

De SQL Server-instantie voorbereiden

Notitie

Als u ervoor hebt gekozen om de quickstartsjabloon voor maximaal beschikbare bestandsserver en SQL Server te implementeren, kunt u deze sectie overslaan omdat de sjabloon SQL Server implementeert en configureert in een configuratie met hoge beschikbaarheid.

Voor de Azure App Service op Azure Stack Hub-hosting- en -metingdatabases moet u een SQL Server-exemplaar voorbereiden voor het opslaan van de App Service databases.

Voor productie- en hoge beschikbaarheidsdoeleinden moet u een volledige versie van SQL Server 2014 SP2 of hoger gebruiken, verificatie in gemengde modus inschakelen en implementeren in een configuratie met hoge beschikbaarheid.

Het SQL Server exemplaar voor Azure App Service in Azure Stack Hub moet toegankelijk zijn vanuit alle App Service rollen. U kunt SQL Server implementeren binnen het standaardproviderabonnement in Azure Stack Hub. U kunt ook gebruikmaken van de bestaande infrastructuur binnen uw organisatie (zolang er verbinding is met Azure Stack Hub). Als u een Azure Marketplace-installatiekopieën gebruikt, moet u de firewall dienovereenkomstig configureren.

Notitie

Een aantal VM-installatiekopieën voor SQL IaaS is beschikbaar via de functie Marketplace-beheer. Zorg ervoor dat u altijd de nieuwste versie van de SQL IaaS-extensie downloadt voordat u een VIRTUELE machine implementeert met behulp van een Marketplace-item. De SQL-installatiekopieën zijn hetzelfde als de SQL-VM's die beschikbaar zijn in Azure. Voor SQL-VM's die op basis van deze installatiekopieën zijn gemaakt, bieden de IaaS-extensie en de bijbehorende portalverbeteringen functies zoals automatische patches en back-upmogelijkheden.

Voor een van de SQL Server rollen kunt u een standaardexemplaar of een benoemd exemplaar gebruiken. Als u een benoemd exemplaar gebruikt, moet u de SQL Server Browser-service handmatig starten en poort 1434 openen.

Het App Service-installatieprogramma controleert of de SQL Server database-insluiting heeft ingeschakeld. Voer de volgende SQL-opdrachten uit om database-insluiting in te schakelen op de SQL Server waarop de App Service-databases worden gehost:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Certificaten en serverconfiguratie (ASDK)

In deze sectie vindt u de vereisten voor ASDK-implementaties.

Vereiste certificaten voor ASDK-implementatie van Azure App Service

Het Create-AppServiceCerts.ps1-script werkt met de Azure Stack Hub-certificeringsinstantie om de vier certificaten te maken die App Service nodig heeft.

Bestandsnaam Gebruik
_.appservice.local.azurestack.external.pfx App Service standaard SSL-certificaat
api.appservice.local.azurestack.external.pfx APP SERVICE API SSL-certificaat
ftp.appservice.local.azurestack.external.pfx SSL-certificaat van App Service uitgever
sso.appservice.local.azurestack.external.pfx App Service identiteitstoepassingscertificaat

Voer de volgende stappen uit om de certificaten te maken:

  1. Meld u aan bij de ASDK-host met het AzureStack\AzureStackAdmin-account.
  2. Open een PowerShell-sessie met verhoogde bevoegdheid.
  3. Voer het Create-AppServiceCerts.ps1-script uit vanuit de map waarin u de helperscripts hebt uitgepakt. Met dit script worden vier certificaten gemaakt in dezelfde map als het script dat App Service nodig heeft voor het maken van certificaten.
  4. Voer een wachtwoord in om de PFX-bestanden te beveiligen en noteer dit. U moet deze later invoeren in het App Service in het installatieprogramma van Azure Stack Hub.

Create-AppServiceCerts.ps1 scriptparameters

Parameter Vereist of optioneel Standaardwaarde Beschrijving
pfxPassword Vereist Null Wachtwoord waarmee de persoonlijke sleutel van het certificaat wordt beveiligd
DomainName Vereist local.azurestack.external Regio en domeinachtervoegsel van Azure Stack Hub

Snelstartsjabloon voor bestandsserver voor implementaties van Azure App Service op ASDK.

Alleen voor ASDK-implementaties kunt u de voorbeeldsjabloon Azure Resource Manager-implementatie gebruiken om een geconfigureerde bestandsserver met één knooppunt te implementeren. De bestandsserver met één knooppunt bevindt zich in een werkgroep.

Notitie

Het ASDK-exemplaar moet resources kunnen downloaden van GitHub om de implementatie te voltooien.

SQL Server exemplaar

Voor de Azure App Service op Azure Stack Hub-hosting- en -metingdatabases moet u een SQL Server-exemplaar voorbereiden voor het opslaan van de App Service databases.

Voor ASDK-implementaties kunt u SQL Server Express 2014 SP2 of hoger gebruiken. SQL Server moet worden geconfigureerd om verificatie in gemengde modus te ondersteunen, omdat App Service op Azure Stack Hub Geen ondersteuning biedt voor Windows-verificatie.

Het SQL Server exemplaar voor Azure App Service in Azure Stack Hub moet toegankelijk zijn vanuit alle App Service rollen. U kunt SQL Server implementeren binnen het standaardproviderabonnement in Azure Stack Hub. U kunt ook gebruikmaken van de bestaande infrastructuur binnen uw organisatie (zolang er verbinding is met Azure Stack Hub). Als u een Azure Marketplace-installatiekopieën gebruikt, moet u de firewall dienovereenkomstig configureren.

Notitie

Een aantal INSTALLATIEkopieën van SQL IaaS-VM's is beschikbaar via de functie Marketplace-beheer. Zorg ervoor dat u altijd de nieuwste versie van de SQL IaaS-extensie downloadt voordat u een VM implementeert met behulp van een Marketplace-item. De SQL-installatiekopieën zijn hetzelfde als de SQL-VM's die beschikbaar zijn in Azure. Voor SQL-VM's die op basis van deze installatiekopieën zijn gemaakt, bieden de IaaS-extensie en de bijbehorende portalverbeteringen functies zoals automatische patching en back-upmogelijkheden.

Voor een van de SQL Server rollen kunt u een standaardexemplaren of een benoemd exemplaar gebruiken. Als u een benoemd exemplaar gebruikt, moet u de SQL Server Browser-service handmatig starten en poort 1434 openen.

Het App Service-installatieprogramma controleert of de SQL Server database-insluiting heeft ingeschakeld. Voer de volgende SQL-opdrachten uit om database-insluiting in te schakelen op de SQL Server waarop de App Service-databases worden gehost:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Licentieproblemen voor vereiste bestandsserver en SQL-server

voor Azure App Service in Azure Stack Hub zijn een bestandsserver en SQL Server vereist. U kunt bestaande resources buiten uw Azure Stack Hub-implementatie gebruiken of resources implementeren binnen hun Azure Stack Hub Default Provider-abonnement.

Als u ervoor kiest om de resources binnen uw Azure Stack Hub Default Provider-abonnement te implementeren, worden de licenties voor deze resources (Windows Server-licenties en SQL Server-licenties) opgenomen in de kosten van Azure App Service op Azure Stack Hub, afhankelijk van de volgende beperkingen:

  • de infrastructuur wordt geïmplementeerd in het standaardproviderabonnement;
  • de infrastructuur wordt uitsluitend gebruikt door de resourceprovider Azure App Service op Azure Stack Hub. Andere workloads, beheerders (andere resourceproviders, bijvoorbeeld: SQL-RP) of tenants (bijvoorbeeld: tenant-apps waarvoor een database is vereist), mogen geen gebruik maken van deze infrastructuur.

Operationele verantwoordelijkheid voor bestands- en SQL-servers

Cloudoperators zijn verantwoordelijk voor het onderhoud en de werking van de bestandsserver en SQL Server. Deze resources worden niet beheerd door de resourceprovider. De cloudoperator is verantwoordelijk voor het maken van back-ups van de App Service databases en de bestandsshare voor tenantinhoud.

Het Azure Resource Manager-basiscertificaat ophalen voor Azure Stack Hub

Open een PowerShell-sessie met verhoogde bevoegdheid op een computer die het bevoegde eindpunt op het geïntegreerde Azure Stack Hub-systeem of de ASDK-host kan bereiken.

Voer het Get-AzureStackRootCert.ps1-script uit vanuit de map waarin u de helperscripts hebt uitgepakt. Het script maakt een basiscertificaat in dezelfde map als het script dat App Service nodig heeft voor het maken van certificaten.

Wanneer u de volgende PowerShell-opdracht uitvoert, moet u het bevoegde eindpunt en de referenties voor de AzureStack\CloudAdmin opgeven.

    Get-AzureStackRootCert.ps1

Get-AzureStackRootCert.ps1 scriptparameters

Parameter Vereist of optioneel Standaardwaarde Beschrijving
PrivilegedEndpoint Vereist AzS-ERCS01 Bevoegd eindpunt
CloudAdminCredential Vereist AzureStack\CloudAdmin Domeinaccountreferenties voor Azure Stack Hub-cloudbeheerders

Netwerk- en identiteitsconfiguratie

Virtueel netwerk

Notitie

Het vooraf maken van een aangepast virtueel netwerk is optioneel omdat de Azure App Service in Azure Stack Hub het vereiste virtuele netwerk kan maken, maar vervolgens moet communiceren met SQL en bestandsserver via openbare IP-adressen. Als u de App Service hoge bestandsserver en SQL Server quickstartsjabloon gebruikt om de vereiste SQL- en bestandsserverresources te implementeren, implementeert de sjabloon ook een virtueel netwerk.

met Azure App Service in Azure Stack Hub kunt u de resourceprovider implementeren in een bestaand virtueel netwerk of een virtueel netwerk maken als onderdeel van de implementatie. Het gebruik van een bestaand virtueel netwerk maakt het gebruik van interne IP-adressen mogelijk om verbinding te maken met de bestandsserver en SQL Server vereist voor Azure App Service op Azure Stack Hub. Het virtuele netwerk moet worden geconfigureerd met het volgende adresbereik en subnetten voordat u Azure App Service installeert in Azure Stack Hub:

Virtueel netwerk - /16

Subnetten

  • ControllersSubnet /24
  • ManagementServersSubnet /24
  • FrontEndsSubnet /24
  • PublishersSubnet /24
  • WorkersSubnet-/21

Belangrijk

Als u ervoor kiest om App Service in een bestaand virtueel netwerk te implementeren, moet de SQL Server worden geïmplementeerd in een afzonderlijk subnet van App Service en de bestandsserver.

Een identiteitstoepassing maken om scenario's voor eenmalige aanmelding in te schakelen

Azure App Service gebruikt een identiteitstoepassing (service-principal) ter ondersteuning van de volgende bewerkingen:

  • Integratie van virtuele-machineschaalsets in werklagen.
  • Eenmalige aanmelding voor de Azure Functions portal en geavanceerde ontwikkelhulpprogramma's (Kudu).

Afhankelijk van de id-provider die de Azure Stack Hub gebruikt, Microsoft Entra ID of Active Directory Federation Services (ADFS) moet u de onderstaande stappen volgen om de service-principal te maken voor gebruik door de Azure App Service op Azure Stack Hub-resourceprovider.

Een Microsoft Entra-app maken

Volg deze stappen om de service-principal te maken in uw Microsoft Entra-tenant:

  1. Open een PowerShell-exemplaar als azurestack\AzureStackAdmin.
  2. Ga naar de locatie van de scripts die u hebt gedownload en uitgepakt in de vereiste stap.
  3. Installeer PowerShell voor Azure Stack Hub.
  4. Voer het scriptCreate-AADIdentityApp.ps1 uit. Wanneer u hierom wordt gevraagd, voert u de Microsoft Entra tenant-id in die u gebruikt voor uw Azure Stack Hub-implementatie. Voer bijvoorbeeld myazurestack.onmicrosoft.com in.
  5. Voer in het venster Referentie uw Microsoft Entra servicebeheerdersaccount en wachtwoord in. Selecteer OK.
  6. Voer het pad naar het certificaatbestand en het certificaatwachtwoord in voor het certificaat dat u eerder hebt gemaakt. Het certificaat dat voor deze stap standaard wordt gemaakt, is sso.appservice.local.azurestack.external.pfx.
  7. Noteer de toepassings-id die wordt geretourneerd in de PowerShell-uitvoer. U gebruikt de id in de volgende stappen om toestemming te geven voor de machtigingen van de toepassing en tijdens de installatie.
  8. Open een nieuw browservenster en meld u aan bij de Azure Portal als de Microsoft Entra-servicebeheerder.
  9. Open de Microsoft Entra-service.
  10. Selecteer App-registraties in het linkerdeelvenster.
  11. Zoek naar de toepassings-id die u in stap 7 hebt genoteerd.
  12. Selecteer de App Service toepassingsregistratie in de lijst.
  13. Selecteer API-machtigingen in het linkerdeelvenster.
  14. Selecteer Beheerderstoestemming verlenen voor <tenant>, waarbij <tenant> de naam is van uw Microsoft Entra tenant. Bevestig de toestemmingsverlening door Ja te selecteren.
    Create-AADIdentityApp.ps1
Parameter Vereist of optioneel Standaardwaarde Beschrijving
DirectoryTenantName Vereist Null Microsoft Entra tenant-id. Geef de GUID of tekenreeks op. Een voorbeeld is myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Vereist Null Beheer Azure Resource Manager-eindpunt. Een voorbeeld is adminmanagement.local.azurestack.external.
TenantARMEndpoint Vereist Null Tenant Azure Resource Manager-eindpunt. Een voorbeeld is management.local.azurestack.external.
AzureStackAdminCredential Vereist Null Microsoft Entra servicebeheerdersreferenties.
CertificateFilePath Vereist Null Volledig pad naar het certificaatbestand van de identiteitstoepassing dat eerder is gegenereerd.
CertificatePassword Vereist Null Wachtwoord waarmee de persoonlijke sleutel van het certificaat wordt beveiligd.
Omgeving Optioneel AzureCloud De naam van de ondersteunde cloudomgeving waarin de doel-Azure Active Directory Graph Service beschikbaar is. Toegestane waarden: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'.

Een ADFS-app maken

  1. Open een PowerShell-exemplaar als azurestack\AzureStackAdmin.
  2. Ga naar de locatie van de scripts die u hebt gedownload en uitgepakt in de vereiste stap.
  3. Installeer PowerShell voor Azure Stack Hub.
  4. Voer het Create-ADFSIdentityApp.ps1-script uit.
  5. Voer in het venster Referentie uw AD FS-cloudbeheerdersaccount en wachtwoord in. Selecteer OK.
  6. Geef het pad naar het certificaatbestand en het certificaatwachtwoord op voor het certificaat dat u eerder hebt gemaakt. Het certificaat dat standaard voor deze stap wordt gemaakt, is sso.appservice.local.azurestack.external.pfx.
    Create-ADFSIdentityApp.ps1
Parameter Vereist of optioneel Standaardwaarde Beschrijving
AdminArmEndpoint Vereist Null Beheer Azure Resource Manager-eindpunt. Een voorbeeld is adminmanagement.local.azurestack.external.
PrivilegedEndpoint Vereist Null Bevoegd eindpunt. Een voorbeeld is AzS-ERCS01.
CloudAdminCredential Vereist Null Domeinaccountreferenties voor Azure Stack Hub-cloudbeheerders. Een voorbeeld is Azurestack\CloudAdmin.
CertificateFilePath Vereist Null Volledig pad naar het PFX-certificaatbestand van de identiteitstoepassing.
CertificatePassword Vereist Null Wachtwoord waarmee de persoonlijke sleutel van het certificaat wordt beveiligd.

Items downloaden van de Azure Marketplace

Azure App Service in Azure Stack Hub vereist dat items worden gedownload van de Azure Marketplace, zodat ze beschikbaar zijn in de Azure Stack Hub Marketplace. Deze items moeten worden gedownload voordat u de implementatie of upgrade van Azure App Service op Azure Stack Hub start:

Belangrijk

Windows Server Core is geen ondersteunde platforminstallatiekopieën voor gebruik met Azure App Service in Azure Stack Hub.

Gebruik geen evaluatie-installatiekopieën voor productie-implementaties.

  1. De nieuwste versie van windows Server 2022 Datacenter VM-installatiekopieën.
  1. Volledige VM-installatiekopie van Windows Server 2022 Datacenter met Microsoft.Net 3.5.1 SP1 geactiveerd. Azure App Service in Azure Stack Hub vereist dat Microsoft .NET 3.5.1 SP1 is geactiveerd op de installatiekopie die wordt gebruikt voor de implementatie. Voor Windows Server 2022-installatiekopieën die zijn gesyndiceerd op marketplace is deze functie niet ingeschakeld en in niet-verbonden omgevingen kan Microsoft Update niet worden bereikt om de pakketten te downloaden die via DISM moeten worden geïnstalleerd. Daarom moet u een Installatiekopieën van Windows Server 2022 maken en gebruiken waarbij deze functie vooraf is ingeschakeld met niet-verbonden implementaties.

    Zie Een aangepaste VM-installatiekopieën toevoegen aan Azure Stack Hub voor meer informatie over het maken van een aangepaste installatiekopieën en toevoegen aan Marketplace. Zorg ervoor dat u de volgende eigenschappen opgeeft wanneer u de installatiekopieën toevoegt aan Marketplace:

    • Publisher = MicrosoftWindowsServer
    • Aanbieding = WindowsServer
    • SKU = AppService
    • Version = Geef de 'nieuwste' versie op
  1. Aangepaste scriptextensie v1.9.1 of hoger. Dit item is een VM-extensie.

Volgende stappen

De App Service-resourceprovider installeren