informacje o wersji App Service w usłudze Azure Stack Hub 2302

Artykuł
03/29/2024

Te informacje o wersji opisują ulepszenia i poprawki w Azure App Service w usłudze Azure Stack Hub 2302 i wszelkie znane problemy. Znane problemy są podzielone na problemy bezpośrednio związane z wdrażaniem, procesem aktualizacji i problemami z kompilacją (po instalacji).

Ważne

Zaktualizuj usługę Azure Stack Hub do obsługiwanej wersji (lub wdróż najnowszy zestaw Azure Stack Development Kit), jeśli jest to konieczne, przed wdrożeniem lub zaktualizowaniem dostawcy zasobów App Service (RP). Pamiętaj, aby zapoznać się z informacjami o wersji dostawcy usług, aby dowiedzieć się więcej o nowych funkcjach, poprawkach i wszelkich znanych problemach, które mogą mieć wpływ na wdrożenie.

Obsługiwana minimalna wersja usługi Azure Stack Hub wersja App Service RP

2301 i nowsze Instalator 2302 (informacje o wersji)

Obsługiwana minimalna wersja usługi Azure Stack Hub	wersja App Service RP
2301 i nowsze	Instalator 2302 (informacje o wersji)

Dokumentacja kompilowania

Numer kompilacji App Service w usłudze Azure Stack Hub 2302 to 98.0.1.703

Co nowego?

Azure App Service w wersji Azure Stack Hub 2302 zastępuje wersję 2022 H1 i zawiera poprawki dla następujących problemów:

CVE-2023-21703 Azure App Service luka w zabezpieczeniach dotycząca podniesienia uprawnień w usłudze Azure Stack Hub.
Nie można otworzyć środowiska użytkownika Virtual Machine Scale Sets z poziomu środowiska użytkownika administratora ról App Service w portalu administracyjnym usługi Azure Stack Hub.
Wszystkie inne aktualizacje są udokumentowane w Azure App Service w usłudze Azure Stack Hub 2022 H1 Update Release Notes( Informacje o wersji aktualizacji usługi Azure Stack Hub 2022).
Od Azure App Service aktualizacji usługi Azure Stack Hub 2022 H1 litera K jest teraz zastrzeżoną literą SKU. Jeśli masz zdefiniowaną niestandardową jednostkę SKU, która używa litery K, skontaktuj się z pomocą techniczną, aby pomóc w rozwiązaniu tej sytuacji przed uaktualnieniem.

Wymagania wstępne

Przed rozpoczęciem wdrażania zapoznaj się z dokumentacją przed rozpoczęciem wdrażania.

Przed rozpoczęciem uaktualniania Azure App Service w usłudze Azure Stack Hub do wersji 2302:

Upewnij się, że usługa Azure Stack Hub została zaktualizowana do wersji 1.2108.2.127 lub 1.2206.2.52.
Upewnij się, że wszystkie role są gotowe do administrowania Azure App Service w portalu administracyjnym usługi Azure Stack Hub.
Tworzenie kopii zapasowych wpisów tajnych App Service przy użyciu administracji App Service w portalu administracyjnym usługi Azure Stack Hub.
Tworzenie kopii zapasowych baz danych App Service i SQL Server master:
- AppService_Hosting;
- AppService_Metering;
- Główny
Utwórz kopię zapasową udziału plików zawartości aplikacji dzierżawy.

Ważne

Operatorzy chmury są odpowiedzialni za konserwację i działanie serwera plików oraz SQL Server. Dostawca zasobów nie zarządza tymi zasobami. Operator chmury jest odpowiedzialny za tworzenie kopii zapasowych baz danych App Service i udziału plików zawartości dzierżawy.
Syndykuj rozszerzenie niestandardowego skryptuw wersji 1.9.3 z witryny Marketplace.

Kroki przed aktualizacją

Uwaga

Jeśli wcześniej wdrożono Azure App Service w usłudze Azure Stack Hub 2022 H1 do sygnatury usługi Azure Stack Hub, ta wersja jest niewielkim uaktualnieniem do wersji 2022 H1, która rozwiązuje dwa problemy.

Azure App Service w usłudze Azure Stack Hub 2302 to znacząca aktualizacja, która potrwa wiele godzin. Całe wdrożenie zostanie zaktualizowane, a wszystkie role zostaną ponownie tworzone przy użyciu systemu operacyjnego Windows Server 2022 Datacenter. W związku z tym zalecamy informowanie klientów końcowych o planowanej aktualizacji przed zastosowaniem aktualizacji.

Od Azure App Service aktualizacji usługi Azure Stack Hub 2022 H1 litera K jest teraz zastrzeżoną literą SKU. Jeśli masz zdefiniowaną niestandardową jednostkę SKU, która używa litery K, skontaktuj się z pomocą techniczną, aby pomóc w rozwiązaniu tej sytuacji przed uaktualnieniem.

Zapoznaj się ze znanymi problemami dotyczącymi aktualizacji i podejmij zalecane działania.

Kroki po wdrożeniu

Ważne

Jeśli podano dostawcę zasobów App Service z wystąpieniem zawsze włączonym SQL, musisz dodać appservice_hosting i appservice_metering bazy danych do grupy dostępności i zsynchronizować bazy danych, aby zapobiec utracie usługi w przypadku przejścia w tryb failover bazy danych.

Znane problemy (aktualizacja)

W sytuacjach, w których przekonwertowano appservice_hosting i appservice_metering bazy danych na zawarte bazy danych, uaktualnienie może zakończyć się niepowodzeniem, jeśli logowanie nie zostało pomyślnie zmigrowane do zawartych użytkowników.

Jeśli przekonwertowano bazy danych appservice_hosting i appservice_metering na zawarte bazy danych po wdrożeniu i nie przeprowadzono pomyślnej migracji identyfikatorów logowania bazy danych do zawartych użytkowników, mogą wystąpić błędy uaktualniania.

Przed uaktualnieniem Azure App Service instalacji usługi Azure Stack Hub do 2020 Q3 należy wykonać następujący skrypt na SQL Server hostingu appservice_hosting i appservice_metering. Ten skrypt nie jest destrukcyjny i nie spowoduje przestoju.

Ten skrypt musi być uruchamiany w następujących warunkach:

Użytkownik, który ma uprawnienia administratora systemu, na przykład konto programu SQL SA.
Jeśli używasz funkcji SQL Always on, upewnij się, że skrypt jest uruchamiany z wystąpienia SQL zawierającego wszystkie identyfikatory logowania App Service w formularzu:
- appservice_hosting_FileServer
- appservice_hosting_HostingAdmin
- appservice_hosting_LoadBalancer
- appservice_hosting_Operations
- appservice_hosting_Publisher
- appservice_hosting_SecurePublisher
- appservice_hosting_WebWorkerManager
- appservice_metering_Common
- appservice_metering_Operations
- Wszystkie identyfikatory logowania webWorker — które znajdują się w formularzu WebWorker_<instance adres IP>

      USE appservice_hosting
      IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
      BEGIN
      DECLARE @username sysname ;  
      DECLARE user_cursor CURSOR  
      FOR
          SELECT dp.name
          FROM sys.database_principals AS dp  
          JOIN sys.server_principals AS sp
              ON dp.sid = sp.sid  
              WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
          OPEN user_cursor  
          FETCH NEXT FROM user_cursor INTO @username  
              WHILE @@FETCH_STATUS = 0  
              BEGIN  
                  EXECUTE sp_migrate_user_to_contained
                  @username = @username,  
                  @rename = N'copy_login_name',  
                  @disablelogin = N'do_not_disable_login';  
              FETCH NEXT FROM user_cursor INTO @username  
          END  
          CLOSE user_cursor ;  
          DEALLOCATE user_cursor ;
          END
      GO

      USE appservice_metering
      IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
      BEGIN
      DECLARE @username sysname ;  
      DECLARE user_cursor CURSOR  
      FOR
          SELECT dp.name
          FROM sys.database_principals AS dp  
          JOIN sys.server_principals AS sp
              ON dp.sid = sp.sid  
              WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
          OPEN user_cursor  
          FETCH NEXT FROM user_cursor INTO @username  
              WHILE @@FETCH_STATUS = 0  
              BEGIN  
                  EXECUTE sp_migrate_user_to_contained
                  @username = @username,  
                  @rename = N'copy_login_name',  
                  @disablelogin = N'do_not_disable_login';  
              FETCH NEXT FROM user_cursor INTO @username  
          END  
          CLOSE user_cursor ;  
          DEALLOCATE user_cursor ;
          END
      GO

Aplikacje dzierżawy nie mogą powiązać certyfikatów z aplikacjami po uaktualnieniu.

Przyczyną tego problemu jest brak funkcji frontonu po uaktualnieniu do systemu Windows Server 2022. Operatorzy muszą postępować zgodnie z tą procedurą, aby rozwiązać ten problem.
1. W portalu administracyjnym usługi Azure Stack Hub przejdź do sieciowych grup zabezpieczeń i wyświetl sieciowa grupa zabezpieczeń KontroleryNSG .
2. Domyślnie pulpit zdalny jest wyłączony dla wszystkich ról infrastruktury App Service. Zmodyfikuj akcję reguły Inbound_Rdp_3389 , aby zezwolić na dostęp.
3. Przejdź do grupy zasobów zawierającej wdrożenie dostawcy zasobów App Service, domyślnie nazwa to AppService.<region> i połącz się z maszyną wirtualną CN0-VM.
4. Wróć do sesji pulpitu zdalnego CN0-VM .
5. W uruchomieniu sesji programu PowerShell administratora:
  
  Ważne
  
  Podczas wykonywania tego skryptu zostanie wstrzymana dla każdego wystąpienia w zestawie skalowania frontonu. Jeśli jest wyświetlany komunikat wskazujący, że funkcja jest zainstalowana, to wystąpienie zostanie ponownie uruchomione. Użyj wstrzymywania skryptu, aby zachować dostępność frontonu. Operatorzy muszą zapewnić, że co najmniej jedno wystąpienie frontonu jest "Gotowe" przez cały czas, aby zapewnić, że aplikacje dzierżawy mogą odbierać ruch i nie występują przestoje.
```
$c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
$spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
$cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)

Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
    $lb = $_
    $session = New-PSSession -ComputerName $lb.Name -Credential $cred

    Invoke-Command -Session $session {
      $f = Get-WindowsFeature -Name Web-CertProvider
      if (-not $f.Installed) {
          Write-Host Install feature on $env:COMPUTERNAME
          Install-WindowsFeature -Name Web-CertProvider

          Shutdown /t 5 /r /f 
      }
   }
}

Remove-PSSession -Session $session

Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
```
6. W portalu administracyjnym usługi Azure Stack wróć do sieciowej grupy zabezpieczeń ControllersNSG .
7. Zmodyfikuj regułę Inbound_Rdp_3389 w celu odmowy dostępu.

Znane problemy (po instalacji)

Pracownicy nie mogą nawiązać połączenia z serwerem plików po wdrożeniu App Service w istniejącej sieci wirtualnej, a serwer plików jest dostępny tylko w sieci prywatnej, jak pokazano w dokumentacji wdrażania usługi Azure Stack w Azure App Service.

Jeśli zdecydujesz się wdrożyć w istniejącej sieci wirtualnej i wewnętrzny adres IP, aby nawiązać połączenie z serwerem plików, musisz dodać regułę zabezpieczeń ruchu wychodzącego, włączając ruch SMB między podsiecią procesu roboczego a serwerem plików. Przejdź do obszaru WorkersNsg w portalu administracyjnym i dodaj regułę zabezpieczeń ruchu wychodzącego z następującymi właściwościami:
- Źródło: Dowolne
- Zakres portów źródłowych: *
- Miejsce docelowe: adresy IP
- Zakres docelowych adresów IP: zakres adresów IP dla serwera plików
- Zakres portów docelowych: 445
- Protokół: TCP
- Akcja: Zezwalaj
- Priorytet: 700
- Nazwa: Outbound_Allow_SMB445
Aby usunąć opóźnienie podczas komunikacji procesów roboczych z serwerem plików, zalecamy również dodanie następującej reguły do sieciowej grupy zabezpieczeń procesu roboczego, aby zezwolić na ruch wychodzący LDAP i Kerberos do kontrolerów usługi Active Directory w przypadku zabezpieczenia serwera plików przy użyciu usługi Active Directory; jeśli na przykład użyto szablonu Szybkiego startu do wdrożenia serwera plików wysokiej dostępności i SQL Server.

Przejdź do obszaru WorkersNsg w portalu administracyjnym i dodaj regułę zabezpieczeń ruchu wychodzącego z następującymi właściwościami:
- Źródło: Dowolne
- Zakres portów źródłowych: *
- Miejsce docelowe: adresy IP
- Zakres docelowych adresów IP: zakres adresów IP dla serwerów usługi AD, na przykład w szablonie Szybkiego startu 10.0.0.100, 10.0.0.101
- Zakres portów docelowych: 389 88
- Protokół: dowolny
- Akcja: Zezwalaj
- Priorytet: 710
- Nazwa: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers
Aplikacje dzierżawy nie mogą powiązać certyfikatów z aplikacjami po uaktualnieniu.

Przyczyną tego problemu jest brak funkcji frontonu po uaktualnieniu do systemu Windows Server 2022. Operatorzy muszą postępować zgodnie z tą procedurą, aby rozwiązać problem:
1. W portalu administracyjnym usługi Azure Stack Hub przejdź do sieciowych grup zabezpieczeń i wyświetl sieciowa grupa zabezpieczeń KontroleryNSG .
2. Domyślnie pulpit zdalny jest wyłączony dla wszystkich ról infrastruktury App Service. Zmodyfikuj akcję reguły Inbound_Rdp_3389 , aby zezwolić na dostęp.
3. Przejdź do grupy zasobów zawierającej wdrożenie dostawcy zasobów App Service, domyślnie nazwa to AppService.<region> i połącz się z maszyną wirtualną CN0-VM.
4. Wróć do sesji pulpitu zdalnego CN0-VM .
5. W uruchomieniu sesji programu PowerShell administratora:
  
  Ważne
  
  Podczas wykonywania tego skryptu zostanie wstrzymana dla każdego wystąpienia w zestawie skalowania frontonu. Jeśli jest wyświetlany komunikat wskazujący, że funkcja jest zainstalowana, to wystąpienie zostanie ponownie uruchomione. Użyj wstrzymywania skryptu, aby zachować dostępność frontonu. Operatorzy muszą zapewnić, że co najmniej jedno wystąpienie frontonu jest "Gotowe" przez cały czas, aby zapewnić, że aplikacje dzierżawy mogą odbierać ruch i nie występują przestoje.
```
$c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
$spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
$cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)

Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
    $lb = $_
    $session = New-PSSession -ComputerName $lb.Name -Credential $cred

    Invoke-Command -Session $session {
      $f = Get-WindowsFeature -Name Web-CertProvider
      if (-not $f.Installed) {
          Write-Host Install feature on $env:COMPUTERNAME
          Install-WindowsFeature -Name Web-CertProvider

          Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
          Shutdown /t 5 /r /f 
      }
   }
}

Remove-PSSession -Session $session      
```
6. W portalu administracyjnym usługi Azure Stack wróć do sieciowej grupy zabezpieczeń ControllersNSG .
7. Zmodyfikuj regułę Inbound_Rdp_3389 w celu odmowy dostępu.

Znane problemy dotyczące Azure App Service operacyjnych administratorów chmury w usłudze Azure Stack

Domeny niestandardowe nie są obsługiwane w środowiskach bez połączenia.

App Service przeprowadza weryfikację własności domeny względem publicznych punktów końcowych DNS. W związku z tym domeny niestandardowe nie są obsługiwane w scenariuszach rozłączonych.
Virtual Network integracja aplikacji internetowych i funkcji nie jest obsługiwana.

Możliwość dodawania integracji sieci wirtualnej do aplikacji sieci Web i funkcji jest wyświetlana w portalu usługi Azure Stack Hub, a jeśli dzierżawa próbuje skonfigurować, zostanie wyświetlony wewnętrzny błąd serwera. Ta funkcja nie jest obsługiwana w Azure App Service w usłudze Azure Stack Hub.

Następne kroki

Aby zapoznać się z omówieniem Azure App Service, zobacz omówienie Azure App Service w usłudze Azure Stack.
Aby uzyskać więcej informacji o sposobie przygotowania do wdrożenia App Service w usłudze Azure Stack, zobacz Przed rozpoczęciem pracy z App Service w usłudze Azure Stack.

Udostępnij za pośrednictwem