Udostępnij za pośrednictwem

Informacje o wersji usługi App Service w usłudze Azure Stack Hub 2302

  • Artykuł

Te informacje o wersji opisują ulepszenia i poprawki w usłudze aplikacja systemu Azure w usłudze Azure Stack Hub 2302 oraz wszelkie znane problemy. Znane problemy są podzielone na problemy bezpośrednio związane z wdrażaniem, procesem aktualizacji i problemami z kompilacją (po instalacji).

Ważne

Zaktualizuj usługę Azure Stack Hub do obsługiwanej wersji (lub w razie potrzeby wdróż najnowszy zestaw Azure Stack Development Kit) przed wdrożeniem lub zaktualizowaniem dostawcy zasobów usługi App Service. Pamiętaj, aby zapoznać się z informacjami o wersji dostawcy usług, aby dowiedzieć się więcej o nowych funkcjach, poprawkach i wszelkich znanych problemach, które mogą mieć wpływ na wdrożenie.

Obsługiwana minimalna wersja usługi Azure Stack Hub Wersja dostawcy usługi App Service
2301 i nowsze Instalator 2302 (informacje o wersji)

Dokumentacja kompilowania

Numer kompilacji usługi App Service w usłudze Azure Stack Hub 2302 to 98.0.1.703

Co nowego?

wersja aplikacja systemu Azure Service w usłudze Azure Stack Hub 2302 zastępuje wersję 2022 H1 i zawiera poprawki następujących problemów:

  • CVE-2023-21703 aplikacja systemu Azure luka w zabezpieczeniach dotycząca podniesienia uprawnień w usłudze Azure Stack Hub.

  • Nie można otworzyć środowiska użytkownika usługi Virtual Machine Scale Sets z poziomu środowiska użytkownika administratora ról usługi App Service w portalu administracyjnym usługi Azure Stack Hub.

  • Wszystkie inne aktualizacje są udokumentowane w artykule aplikacja systemu Azure Service on Azure Stack Hub 2022 H1 Update Release Notes (Informacje o wersji aktualizacji usługi aplikacja systemu Azure w usłudze Azure Stack Hub 2022 H1).

  • Od czasu aktualizacji usługi aplikacja systemu Azure w usłudze Azure Stack Hub 2022 H1 litera K jest teraz zastrzeżoną literą SKU. Jeśli masz zdefiniowaną niestandardową jednostkę SKU, która używa litery K, skontaktuj się z pomocą techniczną, aby pomóc w rozwiązaniu tej sytuacji przed uaktualnieniem.

Wymagania wstępne

Przed rozpoczęciem wdrażania zapoznaj się z dokumentacją przed rozpoczęciem wdrażania.

Przed rozpoczęciem uaktualniania usługi aplikacja systemu Azure w usłudze Azure Stack Hub do wersji 2302:

  • Upewnij się, że usługa Azure Stack Hub została zaktualizowana do wersji 1.2108.2.127 lub 1.2206.2.52.

  • Upewnij się, że wszystkie role są gotowe do administrowania usługą aplikacja systemu Azure w portalu administracyjnym usługi Azure Stack Hub.

  • Tworzenie kopii zapasowych wpisów tajnych usługi App Service przy użyciu administrowania usługą App Service w portalu administracyjnym usługi Azure Stack Hub.

  • Tworzenie kopii zapasowych baz danych master usługi App Service i programu SQL Server:

    • AppService_Hosting;
    • AppService_Metering;
    • Główna

  • Utwórz kopię zapasową udziału plików zawartości aplikacji dzierżawy.

    Ważne

    Operatorzy chmury są odpowiedzialni za konserwację i działanie serwera plików i programu SQL Server. Dostawca zasobów nie zarządza tymi zasobami. Operator chmury jest odpowiedzialny za tworzenie kopii zapasowych baz danych usługi App Service i udziału plików zawartości dzierżawy.

  • Zsyndykuj rozszerzenie niestandardowego skryptu w wersji 1.9.3 z witryny Marketplace.

Kroki przed aktualizacją

Uwaga

Jeśli wcześniej wdrożono usługę aplikacja systemu Azure w usłudze Azure Stack Hub 2022 H1 do sygnatury usługi Azure Stack Hub, ta wersja jest drobnym uaktualnieniem do wersji 2022 H1, która rozwiązuje dwa problemy.

aplikacja systemu Azure Service w usłudze Azure Stack Hub 2302 to znacząca aktualizacja, która potrwa wiele godzin. Całe wdrożenie zostanie zaktualizowane, a wszystkie role zostaną ponownie odtworzone przy użyciu systemu operacyjnego Windows Server 2022 Datacenter. Dlatego zalecamy informowanie klientów końcowych o planowanej aktualizacji przed zastosowaniem aktualizacji.

  • Od czasu aktualizacji usługi aplikacja systemu Azure w usłudze Azure Stack Hub 2022 H1 litera K jest teraz zastrzeżoną literą SKU. Jeśli masz zdefiniowaną niestandardową jednostkę SKU, która używa litery K, skontaktuj się z pomocą techniczną, aby pomóc w rozwiązaniu tej sytuacji przed uaktualnieniem.

Zapoznaj się ze znanymi problemami dotyczącymi aktualizacji i podejmij wszelkie zalecane działania.

Kroki po wdrożeniu

Ważne

Jeśli dostawca zasobów usługi App Service został dostarczony z wystąpieniem zawsze włączonego programu SQL, należy dodać appservice_hosting i appservice_metering bazy danych do grupy dostępności i zsynchronizować bazy danych, aby zapobiec utracie usługi w przypadku przejścia bazy danych w tryb failover.

Znane problemy (aktualizacja)

  • W sytuacjach, w których przekonwertowano bazy danych appservice_hosting i appservice_metering na zawarte bazy danych, uaktualnienie może zakończyć się niepowodzeniem, jeśli logowania nie zostały pomyślnie zmigrowane do zawartych użytkowników.

    Jeśli przekonwertowano bazy danych appservice_hosting i appservice_metering na zawarte bazy danych po wdrożeniu i nie przeprowadzono pomyślnej migracji identyfikatorów logowania bazy danych do zawartych użytkowników, mogą wystąpić błędy uaktualniania.

    Przed uaktualnieniem usługi aplikacja systemu Azure usługi aplikacja systemu Azure w usłudze Azure Stack Hub do 2020 q3 należy wykonać poniższy skrypt na serwerze SQL Server hostowania appservice_hosting i appservice_metering. Ten skrypt jest niedestrukcyjny i nie spowoduje przestoju.

    Ten skrypt musi zostać uruchomiony w następujących warunkach:

    • Według użytkownika, który ma uprawnienia administratora systemu, na przykład konto programu SQL SA.
    • Jeśli używasz funkcji SQL Always on, upewnij się, że skrypt jest uruchamiany z wystąpienia SQL zawierającego wszystkie identyfikatory logowania usługi App Service w formularzu:
      • appservice_hosting_FileServer
      • appservice_hosting_HostingAdmin
      • appservice_hosting_LoadBalancer
      • appservice_hosting_Operations
      • appservice_hosting_Publisher
      • appservice_hosting_SecurePublisher
      • appservice_hosting_WebWorkerManager
      • appservice_metering_Common
      • appservice_metering_Operations
      • Wszystkie identyfikatory logowania webworker — które znajdują się w postaci WebWorker_<instance adres IP>
          USE appservice_hosting
      IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
      BEGIN
      DECLARE @username sysname ;  
      DECLARE user_cursor CURSOR  
      FOR
          SELECT dp.name
          FROM sys.database_principals AS dp  
          JOIN sys.server_principals AS sp
              ON dp.sid = sp.sid  
              WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
          OPEN user_cursor  
          FETCH NEXT FROM user_cursor INTO @username  
              WHILE @@FETCH_STATUS = 0  
              BEGIN  
                  EXECUTE sp_migrate_user_to_contained
                  @username = @username,  
                  @rename = N'copy_login_name',  
                  @disablelogin = N'do_not_disable_login';  
              FETCH NEXT FROM user_cursor INTO @username  
          END  
          CLOSE user_cursor ;  
          DEALLOCATE user_cursor ;
          END
      GO

      USE appservice_metering
      IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
      BEGIN
      DECLARE @username sysname ;  
      DECLARE user_cursor CURSOR  
      FOR
          SELECT dp.name
          FROM sys.database_principals AS dp  
          JOIN sys.server_principals AS sp
              ON dp.sid = sp.sid  
              WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
          OPEN user_cursor  
          FETCH NEXT FROM user_cursor INTO @username  
              WHILE @@FETCH_STATUS = 0  
              BEGIN  
                  EXECUTE sp_migrate_user_to_contained
                  @username = @username,  
                  @rename = N'copy_login_name',  
                  @disablelogin = N'do_not_disable_login';  
              FETCH NEXT FROM user_cursor INTO @username  
          END  
          CLOSE user_cursor ;  
          DEALLOCATE user_cursor ;
          END
      GO

  • Aplikacje dzierżawy nie mogą powiązać certyfikatów z aplikacjami po uaktualnieniu.

    Przyczyną tego problemu jest brak funkcji frontonu po uaktualnieniu do systemu Windows Server 2022. Aby rozwiązać ten problem, operatorzy muszą postępować zgodnie z tą procedurą.

    1. W portalu administracyjnym usługi Azure Stack Hub przejdź do sieciowych grup zabezpieczeń i wyświetl grupę zabezpieczeń ControllersNSG Network.

    2. Domyślnie pulpit zdalny jest wyłączony dla wszystkich ról infrastruktury usługi App Service. Zmodyfikuj akcję reguły Inbound_Rdp_3389 zezwalaj na dostęp.

    3. Przejdź do grupy zasobów zawierającej wdrożenie dostawcy zasobów usługi App Service. Domyślnie nazwa to AppService.<region> i połącz się z maszyną wirtualną CN0-VM.

    4. Wróć do sesji pulpitu zdalnego CN0-VM .

    5. W sesji programu PowerShell administratora uruchom:

      Ważne

      Podczas wykonywania tego skryptu zostanie wstrzymana dla każdego wystąpienia w zestawie skalowania frontonu. Jeśli zostanie wyświetlony komunikat wskazujący, że funkcja jest zainstalowana, to wystąpienie zostanie ponownie uruchomione. Aby zachować dostępność frontonu, użyj wstrzymywania skryptu. Operatorzy muszą zapewnić, że co najmniej jedno wystąpienie frontonu jest "Gotowe" przez cały czas, aby zapewnić, że aplikacje dzierżawy mogą odbierać ruch i nie występują przestoje.

      $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
$spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
$cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)

Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
    $lb = $_
    $session = New-PSSession -ComputerName $lb.Name -Credential $cred

    Invoke-Command -Session $session {
      $f = Get-WindowsFeature -Name Web-CertProvider
      if (-not $f.Installed) {
          Write-Host Install feature on $env:COMPUTERNAME
          Install-WindowsFeature -Name Web-CertProvider

          Shutdown /t 5 /r /f 
      }
   }
}

Remove-PSSession -Session $session

Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"

    6. W portalu administracyjnym usługi Azure Stack przejdź z powrotem do sieciowej grupy zabezpieczeń ControllersNSG .

    7. Zmodyfikuj regułę Inbound_Rdp_3389, aby odmówić dostępu.

Znane problemy (po instalacji)

  • Procesy robocze nie mogą uzyskać dostępu do serwera plików, gdy usługa App Service jest wdrożona w istniejącej sieci wirtualnej, a serwer plików jest dostępny tylko w sieci prywatnej, jak pokazano w dokumentacji wdrażania usługi aplikacja systemu Azure w usłudze Azure Stack.

    Jeśli zdecydujesz się wdrożyć w istniejącej sieci wirtualnej i wewnętrzny adres IP w celu nawiązania połączenia z serwerem plików, musisz dodać regułę zabezpieczeń ruchu wychodzącego, włączając ruch SMB między podsiecią procesu roboczego a serwerem plików. Przejdź do obszaru WorkerNsg w portalu administracyjnym i dodaj regułę zabezpieczeń dla ruchu wychodzącego z następującymi właściwościami:

    • Źródło: dowolne
    • Zakres portów źródłowych: *
    • Miejsce docelowe: adresy IP
    • Zakres docelowych adresów IP: zakres adresów IP dla serwera plików
    • Zakres portów docelowych: 445
    • Protokół: TCP
    • Akcja: Zezwalaj
    • Priorytet: 700
    • Nazwa: Outbound_Allow_SMB445

  • Aby usunąć opóźnienie podczas komunikacji procesów roboczych z serwerem plików, zalecamy również dodanie następującej reguły do sieciowej grupy zabezpieczeń procesu roboczego, aby zezwolić na ruch wychodzący LDAP i Kerberos do kontrolerów usługi Active Directory w przypadku zabezpieczenia serwera plików przy użyciu usługi Active Directory; jeśli na przykład użyto szablonu Szybkiego startu do wdrożenia serwera plików wysokiej dostępności i programu SQL Server.

    Przejdź do obszaru WorkerNsg w portalu administracyjnym i dodaj regułę zabezpieczeń dla ruchu wychodzącego z następującymi właściwościami:

    • Źródło: dowolne
    • Zakres portów źródłowych: *
    • Miejsce docelowe: adresy IP
    • Zakres docelowych adresów IP: zakres adresów IP dla serwerów usługi AD, na przykład przy użyciu szablonu Szybkiego startu 10.0.0.100, 10.0.0.101
    • Zakres portów docelowych: 389 88
    • Protokół: dowolny
    • Akcja: Zezwalaj
    • Priorytet: 710
    • Nazwa: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers

  • Aplikacje dzierżawy nie mogą powiązać certyfikatów z aplikacjami po uaktualnieniu.

    Przyczyną tego problemu jest brak funkcji na frontonach po uaktualnieniu do systemu Windows Server 2022. Operatorzy muszą postępować zgodnie z tą procedurą, aby rozwiązać ten problem:

    1. W portalu administracyjnym usługi Azure Stack Hub przejdź do sieciowych grup zabezpieczeń i wyświetl grupę zabezpieczeń ControllersNSG Network.

    2. Domyślnie pulpit zdalny jest wyłączony dla wszystkich ról infrastruktury usługi App Service. Zmodyfikuj akcję reguły Inbound_Rdp_3389 zezwalaj na dostęp.

    3. Przejdź do grupy zasobów zawierającej wdrożenie dostawcy zasobów usługi App Service. Domyślnie nazwa to AppService.<region> i połącz się z maszyną wirtualną CN0-VM.

    4. Wróć do sesji pulpitu zdalnego CN0-VM .

    5. W sesji programu PowerShell administratora uruchom:

      Ważne

      Podczas wykonywania tego skryptu zostanie wstrzymana dla każdego wystąpienia w zestawie skalowania frontonu. Jeśli zostanie wyświetlony komunikat wskazujący, że funkcja jest zainstalowana, to wystąpienie zostanie ponownie uruchomione. Aby zachować dostępność frontonu, użyj wstrzymywania skryptu. Operatorzy muszą zapewnić, że co najmniej jedno wystąpienie frontonu jest "Gotowe" przez cały czas, aby zapewnić, że aplikacje dzierżawy mogą odbierać ruch i nie występują przestoje.

      $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
$spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
$cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)

Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
    $lb = $_
    $session = New-PSSession -ComputerName $lb.Name -Credential $cred

    Invoke-Command -Session $session {
      $f = Get-WindowsFeature -Name Web-CertProvider
      if (-not $f.Installed) {
          Write-Host Install feature on $env:COMPUTERNAME
          Install-WindowsFeature -Name Web-CertProvider

          Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
          Shutdown /t 5 /r /f 
      }
   }
}

Remove-PSSession -Session $session

    6. W portalu administracyjnym usługi Azure Stack przejdź z powrotem do sieciowej grupy zabezpieczeń ControllersNSG .

    7. Zmodyfikuj regułę Inbound_Rdp_3389, aby odmówić dostępu.

Znane problemy dotyczące administratorów chmury działających w usłudze aplikacja systemu Azure Service w usłudze Azure Stack

  • Domeny niestandardowe nie są obsługiwane w środowiskach bez połączenia.

    Usługa App Service przeprowadza weryfikację własności domeny względem publicznych punktów końcowych DNS. W związku z tym domeny niestandardowe nie są obsługiwane w scenariuszach bez połączenia.

  • Integracja sieci wirtualnej dla aplikacji sieci Web i funkcji nie jest obsługiwana.

    Możliwość dodawania integracji sieci wirtualnej do aplikacji sieci Web i funkcji jest wyświetlana w portalu usługi Azure Stack Hub, a jeśli dzierżawa spróbuje skonfigurować, wystąpi wewnętrzny błąd serwera. Ta funkcja nie jest obsługiwana w usłudze aplikacja systemu Azure w usłudze Azure Stack Hub.

Następne kroki