Wymagania wstępne dotyczące wdrażania usługi App Service w usłudze Azure Stack Hub
Ważne
Zaktualizuj usługę Azure Stack Hub do obsługiwanej wersji (lub wdróż najnowszy zestaw Azure Stack Development Kit), jeśli jest to konieczne, przed wdrożeniem lub zaktualizowaniem dostawcy zasobów App Service (RP). Pamiętaj, aby zapoznać się z informacjami o wersji dostawcy usług, aby dowiedzieć się więcej o nowych funkcjach, poprawkach i wszelkich znanych problemach, które mogą mieć wpływ na wdrożenie.
Obsługiwana minimalna wersja usługi Azure Stack Hub wersja App Service RP 2301 i nowsze Instalator 2302 (informacje o wersji)
Przed wdrożeniem Azure App Service w usłudze Azure Stack Hub należy wykonać kroki wymagań wstępnych w tym artykule.
Przed rozpoczęciem
W tej sekcji wymieniono wymagania wstępne dotyczące wdrożeń zintegrowanego systemu i zestawu Azure Stack Development Kit (ASDK).
Wymagania wstępne dostawcy zasobów
Jeśli dostawca zasobów został już zainstalowany, prawdopodobnie zostały spełnione następujące wymagania wstępne i można pominąć tę sekcję. W przeciwnym razie wykonaj następujące kroki przed kontynuowaniem:
Zarejestruj wystąpienie usługi Azure Stack Hub na platformie Azure, jeśli nie zostało to zrobione. Ten krok jest wymagany w miarę nawiązywania połączenia z witryną Marketplace i pobierania elementów z platformy Azure.
Jeśli nie znasz funkcji zarządzania witryną Marketplace portalu administratora usługi Azure Stack Hub, zapoznaj się z artykułem Pobieranie elementów witryny Marketplace z platformy Azure i publikowanie w usłudze Azure Stack Hub. W tym artykule przedstawiono proces pobierania elementów z platformy Azure do witryny Azure Stack Hub Marketplace. Obejmuje zarówno scenariusze połączone, jak i rozłączone. Jeśli wystąpienie usługi Azure Stack Hub jest rozłączone lub częściowo połączone, istnieją dodatkowe wymagania wstępne, które należy spełnić w ramach przygotowań do instalacji.
Zaktualizuj katalog główny Microsoft Entra. Począwszy od kompilacji 1910, nowa aplikacja musi być zarejestrowana w dzierżawie katalogu macierzystego. Ta aplikacja umożliwi usłudze Azure Stack Hub pomyślne utworzenie i zarejestrowanie nowszych dostawców zasobów (takich jak Event Hubs i inne) w dzierżawie Microsoft Entra. Jest to jednorazowa akcja, którą należy wykonać po uaktualnieniu do kompilacji 1910 lub nowszej. Jeśli ten krok nie zostanie ukończony, instalacje dostawcy zasobów witryny Marketplace nie powiedzą się.
- Po pomyślnym zaktualizowaniu wystąpienia usługi Azure Stack Hub do wersji 1910 lub nowszej postępuj zgodnie z instrukcjami dotyczącymi klonowania/pobierania repozytorium Narzędzi usługi Azure Stack Hub.
- Następnie postępuj zgodnie z instrukcjami dotyczącymi aktualizowania katalogu głównego usługi Azure Stack Hub Microsoft Entra (po zainstalowaniu aktualizacji lub nowych dostawców zasobów).
Skrypty instalatora i pomocnika
Pobierz App Service w skryptach pomocnika wdrażania usługi Azure Stack Hub.
Uwaga
Skrypty pomocnika wdrażania wymagają modułu AzureRM PowerShell. Aby uzyskać szczegółowe informacje o instalacji, zobacz Instalowanie modułu AzureRM programu PowerShell dla usługi Azure Stack Hub .
Wyodrębnij pliki ze skryptów pomocnika .zip pliku. Wyodrębnione są następujące pliki i foldery:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- Zapewnienie ciągłości działania i odzyskiwanie po awarii
- ReACL.cmd
- Folder Modules
- GraphAPI.psm1
Certyfikaty i konfiguracja serwera (zintegrowane systemy)
W tej sekcji wymieniono wymagania wstępne dotyczące zintegrowanych wdrożeń systemu.
Wymagania certyfikatu
Aby uruchomić dostawcę zasobów w środowisku produkcyjnym, należy podać następujące certyfikaty:
- Domyślny certyfikat domeny
- Certyfikat interfejsu API
- Certyfikat publikowania
- Certyfikat tożsamości
Oprócz określonych wymagań wymienionych w poniższych sekcjach użyjesz również narzędzia do późniejszego przetestowania pod kątem ogólnych wymagań. Zobacz Weryfikowanie certyfikatów PKI usługi Azure Stack Hub , aby uzyskać pełną listę weryfikacji, w tym:
- Format pliku . PFX
- Klucz użycia ustawiony na serwer i uwierzytelnianie klienta
- i kilka innych
Domyślny certyfikat domeny
Domyślny certyfikat domeny jest umieszczany w roli frontonu. Aplikacje użytkowników do obsługi symboli wieloznacznych lub domyślnego żądania domeny, aby Azure App Service użyć tego certyfikatu. Certyfikat jest również używany do operacji kontroli źródła (Kudu).
Certyfikat musi być w formacie pfx i powinien być certyfikatem wieloznacznymi trzech podmiotów. To wymaganie pozwala jednemu certyfikatowi na pokrycie zarówno domeny domyślnej, jak i punktu końcowego SCM na potrzeby operacji kontroli źródła.
| Format | Przykład |
|---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Certyfikat interfejsu API
Certyfikat interfejsu API jest umieszczany w roli zarządzanie. Dostawca zasobów używa go do zabezpieczania wywołań interfejsu API. Certyfikat do publikowania musi zawierać temat zgodny z wpisem DNS interfejsu API.
| Format | Przykład |
|---|---|
| api.appservice.<region>.<>Nazwa domeny.<Rozszerzenie> | api.appservice.redmond.azurestack.external |
Certyfikat publikowania
Certyfikat roli Wydawca zabezpiecza ruch FTPS dla właścicieli aplikacji podczas przekazywania zawartości. Certyfikat do publikowania musi zawierać temat zgodny z wpisem DNS FTPS.
| Format | Przykład |
|---|---|
| ftp.appservice.<region>.<>Nazwa domeny.<Rozszerzenie> | ftp.appservice.redmond.azurestack.external |
Certyfikat tożsamości
Certyfikat aplikacji tożsamości umożliwia:
- Integracja między katalogiem Tożsamość Microsoft Entra lub Active Directory Federation Services (AD FS), usługą Azure Stack Hub i App Service w celu obsługi integracji z dostawcą zasobów obliczeniowych.
- Scenariusze logowania jednokrotnego dla zaawansowanych narzędzi deweloperskich w Azure App Service w usłudze Azure Stack Hub.
Certyfikat tożsamości musi zawierać podmiot zgodny z następującym formatem.
| Format | Przykład |
|---|---|
| sso.appservice.<region>.<>Nazwa domeny.<Rozszerzenie> | sso.appservice.redmond.azurestack.external |
Weryfikowanie certyfikatów
Przed wdrożeniem dostawcy zasobów App Service należy zweryfikować certyfikaty, które mają być używane przy użyciu narzędzia do sprawdzania gotowości usługi Azure Stack Hub dostępnego w Galeria programu PowerShell. Narzędzie do sprawdzania gotowości usługi Azure Stack Hub sprawdza, czy wygenerowane certyfikaty PKI są odpowiednie do wdrożenia App Service.
Najlepszym rozwiązaniem jest to, że podczas pracy z dowolnym z niezbędnych certyfikatów PKI usługi Azure Stack Hub należy zaplanować wystarczający czas na przetestowanie i ponowne utworzenie certyfikatów w razie potrzeby.
Przygotowywanie serwera plików
Azure App Service wymaga użycia serwera plików. W przypadku wdrożeń produkcyjnych serwer plików musi być skonfigurowany tak, aby był wysoce dostępny i mógł obsługiwać błędy.
Szablon szybkiego startu dla serwera plików o wysokiej dostępności i SQL Server
Szablon przewodnika Szybki start dotyczący architektury referencyjnej jest teraz dostępny, który wdroży serwer plików i SQL Server. Ten szablon obsługuje infrastrukturę usługi Active Directory w sieci wirtualnej skonfigurowanej do obsługi wdrożenia Azure App Service o wysokiej dostępności w usłudze Azure Stack Hub.
Ważne
Ten szablon jest oferowany jako odwołanie lub przykład sposobu wdrażania wymagań wstępnych. Ponieważ operator usługi Azure Stack Hub zarządza tymi serwerami, szczególnie w środowiskach produkcyjnych, należy skonfigurować szablon zgodnie z potrzebami lub wymaganiami organizacji.
Uwaga
Aby ukończyć wdrożenie, zintegrowane wystąpienie systemu musi być w stanie pobrać zasoby z usługi GitHub.
Kroki wdrażania niestandardowego serwera plików
Ważne
Jeśli zdecydujesz się wdrożyć App Service w istniejącej sieci wirtualnej, serwer plików powinien zostać wdrożony w oddzielnej podsieci od App Service.
Uwaga
Jeśli wybrano wdrożenie serwera plików przy użyciu jednego z szablonów szybkiego startu wymienionych powyżej, możesz pominąć tę sekcję, ponieważ serwery plików są skonfigurowane jako część wdrożenia szablonu.
Aprowizowanie grup i kont w usłudze Active Directory
Utwórz następujące globalne grupy zabezpieczeń usługi Active Directory:
- Właściciele udziałów plików
- FileShareUsers
Utwórz następujące konta usługi Active Directory jako konta usług:
- FileShareOwner
- FileShareUser
Najlepszym rozwiązaniem w zakresie zabezpieczeń jest to, że użytkownicy tych kont (i dla wszystkich ról sieci Web) powinni być unikatowi i mieć silne nazwy użytkownika i hasła. Ustaw hasła z następującymi warunkami:
- Włącz hasło nigdy nie wygasa.
- Włącz opcję Użytkownik nie może zmienić hasła.
- Wyłącz opcję Użytkownik musi zmienić hasło przy następnym logowaniu.
Dodaj konta do członkostwa w grupach w następujący sposób:
- Dodaj fileShareOwner do grupy FileShareOwners .
- Dodaj fileShareUser do grupy FileShareUsers .
Aprowizuj grupy i konta w grupie roboczej
Uwaga
Podczas konfigurowania serwera plików uruchom wszystkie następujące polecenia w wierszu polecenia administratora.
Nie używaj programu PowerShell.
Gdy używasz szablonu usługi Azure Resource Manager, użytkownicy są już utworzeni.
Uruchom następujące polecenia, aby utworzyć konta FileShareOwner i FileShareUser. Zastąp
<password>ciąg własnymi wartościami.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noUstaw hasła dla kont, aby nigdy nie wygasały, uruchamiając następujące polecenia WMIC:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSEUtwórz grupy lokalne FileShareUsers i FileShareOwners i dodaj konta w pierwszym kroku do nich:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Aprowizuj udział zawartości
Udział zawartości zawiera zawartość witryny sieci Web dzierżawy. Procedura aprowizowania udziału zawartości na jednym serwerze plików jest taka sama zarówno w środowiskach usługi Active Directory, jak i grupy roboczej. Różni się to jednak w przypadku klastra trybu failover w usłudze Active Directory.
Aprowizuj udział zawartości na jednym serwerze plików (active directory lub grupie roboczej)
Na jednym serwerze plików uruchom następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień. Zastąp wartość parametru C:\WebSites odpowiednimi ścieżkami w danym środowisku.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Konfigurowanie kontroli dostępu do udziałów
Uruchom następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień na serwerze plików lub w węźle klastra trybu failover, który jest bieżącym właścicielem zasobu klastra. Zastąp wartości kursywą wartościami specyficznymi dla danego środowiska.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Grupa robocza
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Przygotowywanie wystąpienia programu SQL Server
Uwaga
Jeśli wybrano wdrożenie szablonu Szybkiego startu dla serwera plików o wysokiej dostępności i SQL Server, możesz pominąć tę sekcję, ponieważ szablon wdraża i konfiguruje SQL Server w konfiguracji wysokiej dostępności.
W przypadku Azure App Service w bazach danych hostingu i pomiarów usługi Azure Stack Hub należy przygotować wystąpienie SQL Server do przechowywania baz danych App Service.
Do celów produkcyjnych i wysokiej dostępności należy użyć pełnej wersji SQL Server 2014 SP2 lub nowszej, włączyć uwierzytelnianie w trybie mieszanym i wdrożyć w konfiguracji o wysokiej dostępności.
Wystąpienie SQL Server dla Azure App Service w usłudze Azure Stack Hub musi być dostępne ze wszystkich ról App Service. Można wdrożyć SQL Server w ramach domyślnej subskrypcji dostawcy w usłudze Azure Stack Hub. Możesz też korzystać z istniejącej infrastruktury w organizacji (o ile istnieje łączność z usługą Azure Stack Hub). Jeśli używasz obrazu Azure Marketplace, pamiętaj, aby odpowiednio skonfigurować zaporę.
Uwaga
Wiele obrazów maszyn wirtualnych IaaS SQL jest dostępnych za pośrednictwem funkcji zarządzania witryną Marketplace. Przed wdrożeniem maszyny wirtualnej przy użyciu elementu marketplace upewnij się, że przed wdrożeniem maszyny wirtualnej zawsze pobierasz najnowszą wersję rozszerzenia IaaS SQL. Obrazy SQL są takie same jak maszyny wirtualne SQL, które są dostępne na platformie Azure. W przypadku maszyn wirtualnych SQL utworzonych na podstawie tych obrazów rozszerzenie IaaS i odpowiednie ulepszenia portalu zapewniają funkcje, takie jak automatyczne stosowanie poprawek i możliwości tworzenia kopii zapasowych.
W przypadku dowolnej z ról SQL Server można użyć wystąpienia domyślnego lub nazwanego wystąpienia. Jeśli używasz nazwanego wystąpienia, należy ręcznie uruchomić usługę SQL Server Browser i otworzyć port 1434.
Instalator App Service sprawdzi, czy SQL Server ma włączone zawieranie bazy danych. Aby włączyć zawieranie bazy danych na SQL Server, które będą hostować bazy danych App Service, uruchom następujące polecenia SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certyfikaty i konfiguracja serwera (ASDK)
W tej sekcji wymieniono wymagania wstępne dotyczące wdrożeń zestawu ASDK.
Certyfikaty wymagane do wdrożenia zestawu ASDK Azure App Service
Skrypt Create-AppServiceCerts.ps1 współpracuje z urzędem certyfikacji usługi Azure Stack Hub w celu utworzenia czterech certyfikatów, które App Service potrzeby.
| Nazwa pliku | Zastosowanie |
|---|---|
| _.appservice.local.azurestack.external.pfx | App Service domyślny certyfikat SSL |
| api.appservice.local.azurestack.external.pfx | certyfikat SSL interfejsu API App Service |
| ftp.appservice.local.azurestack.external.pfx | certyfikat SSL wydawcy App Service |
| sso.appservice.local.azurestack.external.pfx | App Service certyfikat aplikacji tożsamości |
Aby utworzyć certyfikaty, wykonaj następujące kroki:
- Zaloguj się do hosta ASDK przy użyciu konta AzureStack\AzureStackAdmin.
- Otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień.
- Uruchom skrypt Create-AppServiceCerts.ps1 z folderu, w którym wyodrębniono skrypty pomocnika. Ten skrypt tworzy cztery certyfikaty w tym samym folderze co skrypt, który App Service wymaga tworzenia certyfikatów.
- Wprowadź hasło, aby zabezpieczyć pliki pfx i zanotuj je. Musisz wprowadzić go później w App Service w instalatorze usługi Azure Stack Hub.
parametry skryptu Create-AppServiceCerts.ps1
| Parametr | Wymagane lub opcjonalne | Wartość domyślna | Opis |
|---|---|---|---|
| pfxPassword | Wymagane | Null | Hasło, które pomaga chronić klucz prywatny certyfikatu |
| DomainName | Wymagane | local.azurestack.external | Sufiks regionu i domeny usługi Azure Stack Hub |
Szablon szybkiego startu dla serwera plików dla wdrożeń Azure App Service w zestawie ASDK.
Tylko w przypadku wdrożeń zestawu ASDK można użyć przykładowego szablonu wdrażania usługi Azure Resource Manager w celu wdrożenia skonfigurowanego serwera plików z jednym węzłem. Serwer plików z jednym węzłem będzie znajdować się w grupie roboczej.
Uwaga
Aby ukończyć wdrożenie, wystąpienie zestawu ASDK musi być w stanie pobrać zasoby z usługi GitHub.
wystąpienie SQL Server
W przypadku Azure App Service w bazach danych hostingu i pomiarów usługi Azure Stack Hub należy przygotować wystąpienie SQL Server do przechowywania baz danych App Service.
W przypadku wdrożeń zestawu ASDK można użyć SQL Server Express 2014 SP2 lub nowszej wersji. SQL Server należy skonfigurować do obsługi uwierzytelniania w trybie mieszanym, ponieważ App Service w usłudze Azure Stack Hub nie obsługuje uwierzytelniania systemu Windows.
Wystąpienie SQL Server dla Azure App Service w usłudze Azure Stack Hub musi być dostępne ze wszystkich ról App Service. Można wdrożyć SQL Server w ramach domyślnej subskrypcji dostawcy w usłudze Azure Stack Hub. Możesz też korzystać z istniejącej infrastruktury w organizacji (o ile istnieje łączność z usługą Azure Stack Hub). Jeśli używasz obrazu Azure Marketplace, pamiętaj, aby odpowiednio skonfigurować zaporę.
Uwaga
Wiele obrazów maszyn wirtualnych IaaS SQL jest dostępnych za pośrednictwem funkcji zarządzania witryną Marketplace. Przed wdrożeniem maszyny wirtualnej przy użyciu elementu marketplace upewnij się, że przed wdrożeniem maszyny wirtualnej zawsze pobierasz najnowszą wersję rozszerzenia IaaS SQL. Obrazy SQL są takie same jak maszyny wirtualne SQL, które są dostępne na platformie Azure. W przypadku maszyn wirtualnych SQL utworzonych na podstawie tych obrazów rozszerzenie IaaS i odpowiednie ulepszenia portalu zapewniają funkcje, takie jak automatyczne stosowanie poprawek i możliwości tworzenia kopii zapasowych.
W przypadku dowolnej z ról SQL Server można użyć wystąpienia domyślnego lub nazwanego wystąpienia. Jeśli używasz nazwanego wystąpienia, należy ręcznie uruchomić usługę SQL Server Browser i otworzyć port 1434.
Instalator App Service sprawdzi, czy SQL Server ma włączone zawieranie bazy danych. Aby włączyć zawieranie bazy danych na SQL Server, które będą hostować bazy danych App Service, uruchom następujące polecenia SQL:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Zagadnienia dotyczące licencjonowania wymaganego serwera plików i programu SQL Server
Azure App Service w usłudze Azure Stack Hub wymaga serwera plików i SQL Server do działania. Możesz bezpłatnie korzystać z istniejących zasobów znajdujących się poza wdrożeniem usługi Azure Stack Hub lub wdrażać zasoby w ramach subskrypcji domyślnego dostawcy usługi Azure Stack Hub.
Jeśli zdecydujesz się wdrożyć zasoby w ramach subskrypcji domyślnego dostawcy usługi Azure Stack Hub, licencje dla tych zasobów (licencje systemu Windows Server i licencje SQL Server) są uwzględniane w kosztach Azure App Service w usłudze Azure Stack Hub z zastrzeżeniem następujących ograniczeń:
- infrastruktura jest wdrażana w domyślnej subskrypcji dostawcy;
- infrastruktura jest używana wyłącznie przez dostawcę zasobów usługi Azure App Service w usłudze Azure Stack Hub. Żadne inne obciążenia, administracyjne (inni dostawcy zasobów, na przykład SQL-RP) lub dzierżawa (na przykład aplikacje dzierżawy, które wymagają bazy danych), mogą korzystać z tej infrastruktury.
Odpowiedzialność operacyjna za pliki i serwery SQL
Operatorzy chmury są odpowiedzialni za konserwację i działanie serwera plików oraz SQL Server. Dostawca zasobów nie zarządza tymi zasobami. Operator chmury jest odpowiedzialny za tworzenie kopii zapasowych baz danych App Service i udziału plików zawartości dzierżawy.
Pobieranie certyfikatu głównego usługi Azure Resource Manager dla usługi Azure Stack Hub
Otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień na komputerze, który może uzyskać dostęp do uprzywilejowanego punktu końcowego na zintegrowanym systemie usługi Azure Stack Hub lub hoście ASDK.
Uruchom skrypt Get-AzureStackRootCert.ps1 z folderu, w którym wyodrębniono skrypty pomocnika. Skrypt tworzy certyfikat główny w tym samym folderze co skrypt, który App Service wymaga tworzenia certyfikatów.
Po uruchomieniu następującego polecenia programu PowerShell musisz podać uprzywilejowany punkt końcowy i poświadczenia dla elementu AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
parametry skryptu Get-AzureStackRootCert.ps1
| Parametr | Wymagane lub opcjonalne | Wartość domyślna | Opis |
|---|---|---|---|
| PrivilegedEndpoint | Wymagane | AzS-ERCS01 | Uprzywilejowany punkt końcowy |
| CloudAdminCredential | Wymagane | AzureStack\CloudAdmin | Poświadczenia konta domeny dla administratorów chmury usługi Azure Stack Hub |
Konfiguracja sieci i tożsamości
Sieć wirtualna
Uwaga
Wstępne utworzenie niestandardowej sieci wirtualnej jest opcjonalne, ponieważ Azure App Service w usłudze Azure Stack Hub może utworzyć wymaganą sieć wirtualną, ale następnie będzie musiała komunikować się z programem SQL i serwerem plików za pośrednictwem publicznych adresów IP. Jeśli użyjesz szablonu App Service HA File Server i SQL Server Szybki start, aby wdrożyć wstępnie wymagane zasoby programu SQL i serwera plików, szablon wdroży również sieć wirtualną.
Azure App Service w usłudze Azure Stack Hub umożliwia wdrożenie dostawcy zasobów w istniejącej sieci wirtualnej lub utworzenie sieci wirtualnej w ramach wdrożenia. Korzystanie z istniejącej sieci wirtualnej umożliwia używanie wewnętrznych adresów IP do łączenia się z serwerem plików i SQL Server wymaganych przez Azure App Service w usłudze Azure Stack Hub. Przed zainstalowaniem Azure App Service w usłudze Azure Stack Hub należy skonfigurować sieć wirtualną z następującym zakresem adresów i podsieciami:
Sieć wirtualna — /16
Podsieci
- ControllersSubnet /24
- ManagementServersSubnet /24
- /24 FrontEndsSubnet
- PublishersSubnet /24
- /21 WorkerSubnet
Ważne
Jeśli zdecydujesz się wdrożyć App Service w istniejącej sieci wirtualnej, SQL Server należy wdrożyć w oddzielnej podsieci od App Service i serwera plików.
Tworzenie aplikacji tożsamości w celu włączenia scenariuszy logowania jednokrotnego
Azure App Service używa aplikacji tożsamości (jednostki usługi) do obsługi następujących operacji:
- Integracja zestawu skalowania maszyn wirtualnych w warstwach procesów roboczych.
- Logowanie jednokrotne dla portalu Azure Functions i zaawansowanych narzędzi programistycznych (Kudu).
W zależności od dostawcy tożsamości używanego przez usługę Azure Stack Hub Tożsamość Microsoft Entra lub Active Directory Federation Services (ADFS) należy wykonać odpowiednie kroki, aby utworzyć jednostkę usługi do użycia przez dostawcę zasobów usługi Azure App Service w usłudze Azure Stack Hub.
Tworzenie aplikacji Microsoft Entra
Wykonaj następujące kroki, aby utworzyć jednostkę usługi w dzierżawie Microsoft Entra:
- Otwórz wystąpienie programu PowerShell jako azurestack\AzureStackAdmin.
- Przejdź do lokalizacji pobranych i wyodrębnionych skryptów w kroku wymagań wstępnych.
- Zainstaluj program PowerShell dla usługi Azure Stack Hub.
- Uruchom skrypt Create-AADIdentityApp.ps1 . Po wyświetleniu monitu wprowadź identyfikator dzierżawy Microsoft Entra używany do wdrożenia usługi Azure Stack Hub. Na przykład wprowadź myazurestack.onmicrosoft.com.
- W oknie Poświadczenia wprowadź konto administratora usługi Microsoft Entra i hasło. Wybierz przycisk OK.
- Wprowadź ścieżkę pliku certyfikatu i hasło certyfikatu dla utworzonego wcześniej certyfikatu. Certyfikat utworzony dla tego kroku domyślnie to sso.appservice.local.azurestack.external.pfx.
- Zanotuj identyfikator aplikacji zwrócony w danych wyjściowych programu PowerShell. Identyfikator jest używany w poniższych krokach, aby wyrazić zgodę na uprawnienia aplikacji i podczas instalacji.
- Otwórz nowe okno przeglądarki i zaloguj się do Azure Portal jako administrator usługi Microsoft Entra.
- Otwórz usługę Microsoft Entra.
- Wybierz pozycję Rejestracje aplikacji w okienku po lewej stronie.
- Wyszukaj identyfikator aplikacji zanotowany w kroku 7.
- Wybierz rejestrację aplikacji App Service z listy.
- Wybierz pozycję Uprawnienia interfejsu API w okienku po lewej stronie.
- Wybierz pozycję Udziel zgody administratora dla <dzierżawy, gdzie dzierżawa jest nazwą dzierżawy> Microsoft Entra.>< Potwierdź udzielenie zgody, wybierając pozycję Tak.
Create-AADIdentityApp.ps1
| Parametr | Wymagane lub opcjonalne | Wartość domyślna | Opis |
|---|---|---|---|
| DirectoryTenantName | Wymagane | Null | Microsoft Entra identyfikator dzierżawy. Podaj identyfikator GUID lub ciąg. Przykładem jest myazureaaddirectory.onmicrosoft.com. |
| AdminArmEndpoint | Wymagane | Null | Administracja punkt końcowy usługi Azure Resource Manager. Przykładem jest adminmanagement.local.azurestack.external. |
| TenantARMEndpoint | Wymagane | Null | Punkt końcowy usługi Azure Resource Manager dzierżawy. Przykładem jest management.local.azurestack.external. |
| AzureStackAdminCredential | Wymagane | Null | Microsoft Entra poświadczenia administratora usługi. |
| CertificateFilePath | Wymagane | Null | Pełna ścieżka do wygenerowanego wcześniej pliku certyfikatu aplikacji tożsamości. |
| CertificatePassword | Wymagane | Null | Hasło, które pomaga chronić klucz prywatny certyfikatu. |
| Środowisko | Opcjonalne | AzureCloud | Nazwa obsługiwanego środowiska chmury, w którym dostępna jest docelowa usługa Azure Active Directory Graph. Dozwolone wartości: "AzureCloud", "AzureChinaCloud", "AzureUSGovernment", "AzureGermanCloud". |
Tworzenie aplikacji usług AD FS
- Otwórz wystąpienie programu PowerShell jako azurestack\AzureStackAdmin.
- Przejdź do lokalizacji pobranych i wyodrębnionych skryptów w kroku wymagań wstępnych.
- Zainstaluj program PowerShell dla usługi Azure Stack Hub.
- Uruchom skrypt Create-ADFSIdentityApp.ps1 .
- W oknie Poświadczenia wprowadź konto administratora chmury usług AD FS i hasło. Wybierz przycisk OK.
- Podaj ścieżkę pliku certyfikatu i hasło certyfikatu dla utworzonego wcześniej certyfikatu. Certyfikat utworzony dla tego kroku domyślnie to sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
| Parametr | Wymagane lub opcjonalne | Wartość domyślna | Opis |
|---|---|---|---|
| AdminArmEndpoint | Wymagane | Null | Administracja punkt końcowy usługi Azure Resource Manager. Przykładem jest adminmanagement.local.azurestack.external. |
| PrivilegedEndpoint | Wymagane | Null | Uprzywilejowany punkt końcowy. Przykładem jest AzS-ERCS01. |
| CloudAdminCredential | Wymagane | Null | Poświadczenia konta domeny dla administratorów chmury usługi Azure Stack Hub. Przykładem jest azurestack\CloudAdmin. |
| CertificateFilePath | Wymagane | Null | Pełna ścieżka do pliku PFX certyfikatu aplikacji tożsamości. |
| CertificatePassword | Wymagane | Null | Hasło, które pomaga chronić klucz prywatny certyfikatu. |
Pobieranie elementów z Azure Marketplace
Azure App Service w usłudze Azure Stack Hub wymaga pobrania elementów z Azure Marketplace, udostępniając je w witrynie Azure Stack Hub Marketplace. Te elementy należy pobrać przed rozpoczęciem wdrażania lub uaktualniania Azure App Service w usłudze Azure Stack Hub:
Ważne
Windows Server Core nie jest obsługiwanym obrazem platformy do użycia z Azure App Service w usłudze Azure Stack Hub.
Nie używaj obrazów ewaluacyjnych do wdrożeń produkcyjnych.
- Najnowsza wersja obrazu maszyny wirtualnej z systemem Windows Server 2022 Datacenter.
Obraz pełnej maszyny wirtualnej z systemem Windows Server 2022 z aktywowaną Microsoft.Net 3.5.1 z dodatkiem SP1. Azure App Service w usłudze Azure Stack Hub wymaga aktywowania programu Microsoft .NET 3.5.1 z dodatkiem SP1 na obrazie używanym do wdrożenia. Obrazy z systemem Windows Server 2022 z systemem Marketplace nie mają włączonej tej funkcji, a w środowiskach bez połączenia nie można nawiązać połączenia z usługą Microsoft Update w celu pobrania pakietów do zainstalowania za pośrednictwem narzędzia DISM. W związku z tym należy utworzyć i użyć obrazu systemu Windows Server 2022 z tą funkcją wstępnie włączoną z odłączonym wdrożeniem.
Aby uzyskać szczegółowe informacje na temat tworzenia obrazu niestandardowego i dodawania do witryny Marketplace, zobacz Dodawanie niestandardowego obrazu maszyny wirtualnej do usługi Azure Stack Hub . Podczas dodawania obrazu do witryny Marketplace należy określić następujące właściwości:
- Publisher = MicrosoftWindowsServer
- Oferta = WindowsServer
- SKU = AppService
- Wersja = Określ "najnowszą" wersję
- Rozszerzenie niestandardowego skryptu w wersji 1.9.1 lub nowszej. Ten element jest rozszerzeniem maszyny wirtualnej.