Udostępnij za pośrednictwem


Wymagania wstępne dotyczące wdrażania usługi App Service w usłudze Azure Stack Hub

Ważne

Zaktualizuj usługę Azure Stack Hub do obsługiwanej wersji (lub wdróż najnowszy zestaw Azure Stack Development Kit), jeśli jest to konieczne, przed wdrożeniem lub zaktualizowaniem dostawcy zasobów App Service (RP). Pamiętaj, aby zapoznać się z informacjami o wersji dostawcy usług, aby dowiedzieć się więcej o nowych funkcjach, poprawkach i wszelkich znanych problemach, które mogą mieć wpływ na wdrożenie.

Obsługiwana minimalna wersja usługi Azure Stack Hub wersja App Service RP
2301 i nowsze Instalator 2302 (informacje o wersji)

Przed wdrożeniem Azure App Service w usłudze Azure Stack Hub należy wykonać kroki wymagań wstępnych w tym artykule.

Przed rozpoczęciem

W tej sekcji wymieniono wymagania wstępne dotyczące wdrożeń zintegrowanego systemu i zestawu Azure Stack Development Kit (ASDK).

Wymagania wstępne dostawcy zasobów

Jeśli dostawca zasobów został już zainstalowany, prawdopodobnie zostały spełnione następujące wymagania wstępne i można pominąć tę sekcję. W przeciwnym razie wykonaj następujące kroki przed kontynuowaniem:

  1. Zarejestruj wystąpienie usługi Azure Stack Hub na platformie Azure, jeśli nie zostało to zrobione. Ten krok jest wymagany w miarę nawiązywania połączenia z witryną Marketplace i pobierania elementów z platformy Azure.

  2. Jeśli nie znasz funkcji zarządzania witryną Marketplace portalu administratora usługi Azure Stack Hub, zapoznaj się z artykułem Pobieranie elementów witryny Marketplace z platformy Azure i publikowanie w usłudze Azure Stack Hub. W tym artykule przedstawiono proces pobierania elementów z platformy Azure do witryny Azure Stack Hub Marketplace. Obejmuje zarówno scenariusze połączone, jak i rozłączone. Jeśli wystąpienie usługi Azure Stack Hub jest rozłączone lub częściowo połączone, istnieją dodatkowe wymagania wstępne, które należy spełnić w ramach przygotowań do instalacji.

  3. Zaktualizuj katalog główny Microsoft Entra. Począwszy od kompilacji 1910, nowa aplikacja musi być zarejestrowana w dzierżawie katalogu macierzystego. Ta aplikacja umożliwi usłudze Azure Stack Hub pomyślne utworzenie i zarejestrowanie nowszych dostawców zasobów (takich jak Event Hubs i inne) w dzierżawie Microsoft Entra. Jest to jednorazowa akcja, którą należy wykonać po uaktualnieniu do kompilacji 1910 lub nowszej. Jeśli ten krok nie zostanie ukończony, instalacje dostawcy zasobów witryny Marketplace nie powiedzą się.

Skrypty instalatora i pomocnika

  1. Pobierz App Service w skryptach pomocnika wdrażania usługi Azure Stack Hub.

    Uwaga

    Skrypty pomocnika wdrażania wymagają modułu AzureRM PowerShell. Aby uzyskać szczegółowe informacje o instalacji, zobacz Instalowanie modułu AzureRM programu PowerShell dla usługi Azure Stack Hub .

  2. Pobierz App Service w instalatorze usługi Azure Stack Hub.

  3. Wyodrębnij pliki ze skryptów pomocnika .zip pliku. Wyodrębnione są następujące pliki i foldery:

    • Common.ps1
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • Zapewnienie ciągłości działania i odzyskiwanie po awarii
      • ReACL.cmd
    • Folder Modules
      • GraphAPI.psm1

Certyfikaty i konfiguracja serwera (zintegrowane systemy)

W tej sekcji wymieniono wymagania wstępne dotyczące zintegrowanych wdrożeń systemu.

Wymagania certyfikatu

Aby uruchomić dostawcę zasobów w środowisku produkcyjnym, należy podać następujące certyfikaty:

  • Domyślny certyfikat domeny
  • Certyfikat interfejsu API
  • Certyfikat publikowania
  • Certyfikat tożsamości

Oprócz określonych wymagań wymienionych w poniższych sekcjach użyjesz również narzędzia do późniejszego przetestowania pod kątem ogólnych wymagań. Zobacz Weryfikowanie certyfikatów PKI usługi Azure Stack Hub , aby uzyskać pełną listę weryfikacji, w tym:

  • Format pliku . PFX
  • Klucz użycia ustawiony na serwer i uwierzytelnianie klienta
  • i kilka innych

Domyślny certyfikat domeny

Domyślny certyfikat domeny jest umieszczany w roli frontonu. Aplikacje użytkowników do obsługi symboli wieloznacznych lub domyślnego żądania domeny, aby Azure App Service użyć tego certyfikatu. Certyfikat jest również używany do operacji kontroli źródła (Kudu).

Certyfikat musi być w formacie pfx i powinien być certyfikatem wieloznacznymi trzech podmiotów. To wymaganie pozwala jednemu certyfikatowi na pokrycie zarówno domeny domyślnej, jak i punktu końcowego SCM na potrzeby operacji kontroli źródła.

Format Przykład
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

Certyfikat interfejsu API

Certyfikat interfejsu API jest umieszczany w roli zarządzanie. Dostawca zasobów używa go do zabezpieczania wywołań interfejsu API. Certyfikat do publikowania musi zawierać temat zgodny z wpisem DNS interfejsu API.

Format Przykład
api.appservice.<region>.<>Nazwa domeny.<Rozszerzenie> api.appservice.redmond.azurestack.external

Certyfikat publikowania

Certyfikat roli Wydawca zabezpiecza ruch FTPS dla właścicieli aplikacji podczas przekazywania zawartości. Certyfikat do publikowania musi zawierać temat zgodny z wpisem DNS FTPS.

Format Przykład
ftp.appservice.<region>.<>Nazwa domeny.<Rozszerzenie> ftp.appservice.redmond.azurestack.external

Certyfikat tożsamości

Certyfikat aplikacji tożsamości umożliwia:

  • Integracja między katalogiem Tożsamość Microsoft Entra lub Active Directory Federation Services (AD FS), usługą Azure Stack Hub i App Service w celu obsługi integracji z dostawcą zasobów obliczeniowych.
  • Scenariusze logowania jednokrotnego dla zaawansowanych narzędzi deweloperskich w Azure App Service w usłudze Azure Stack Hub.

Certyfikat tożsamości musi zawierać podmiot zgodny z następującym formatem.

Format Przykład
sso.appservice.<region>.<>Nazwa domeny.<Rozszerzenie> sso.appservice.redmond.azurestack.external

Weryfikowanie certyfikatów

Przed wdrożeniem dostawcy zasobów App Service należy zweryfikować certyfikaty, które mają być używane przy użyciu narzędzia do sprawdzania gotowości usługi Azure Stack Hub dostępnego w Galeria programu PowerShell. Narzędzie do sprawdzania gotowości usługi Azure Stack Hub sprawdza, czy wygenerowane certyfikaty PKI są odpowiednie do wdrożenia App Service.

Najlepszym rozwiązaniem jest to, że podczas pracy z dowolnym z niezbędnych certyfikatów PKI usługi Azure Stack Hub należy zaplanować wystarczający czas na przetestowanie i ponowne utworzenie certyfikatów w razie potrzeby.

Przygotowywanie serwera plików

Azure App Service wymaga użycia serwera plików. W przypadku wdrożeń produkcyjnych serwer plików musi być skonfigurowany tak, aby był wysoce dostępny i mógł obsługiwać błędy.

Szablon szybkiego startu dla serwera plików o wysokiej dostępności i SQL Server

Szablon przewodnika Szybki start dotyczący architektury referencyjnej jest teraz dostępny, który wdroży serwer plików i SQL Server. Ten szablon obsługuje infrastrukturę usługi Active Directory w sieci wirtualnej skonfigurowanej do obsługi wdrożenia Azure App Service o wysokiej dostępności w usłudze Azure Stack Hub.

Ważne

Ten szablon jest oferowany jako odwołanie lub przykład sposobu wdrażania wymagań wstępnych. Ponieważ operator usługi Azure Stack Hub zarządza tymi serwerami, szczególnie w środowiskach produkcyjnych, należy skonfigurować szablon zgodnie z potrzebami lub wymaganiami organizacji.

Uwaga

Aby ukończyć wdrożenie, zintegrowane wystąpienie systemu musi być w stanie pobrać zasoby z usługi GitHub.

Kroki wdrażania niestandardowego serwera plików

Ważne

Jeśli zdecydujesz się wdrożyć App Service w istniejącej sieci wirtualnej, serwer plików powinien zostać wdrożony w oddzielnej podsieci od App Service.

Uwaga

Jeśli wybrano wdrożenie serwera plików przy użyciu jednego z szablonów szybkiego startu wymienionych powyżej, możesz pominąć tę sekcję, ponieważ serwery plików są skonfigurowane jako część wdrożenia szablonu.

Aprowizowanie grup i kont w usłudze Active Directory
  1. Utwórz następujące globalne grupy zabezpieczeń usługi Active Directory:

    • Właściciele udziałów plików
    • FileShareUsers
  2. Utwórz następujące konta usługi Active Directory jako konta usług:

    • FileShareOwner
    • FileShareUser

    Najlepszym rozwiązaniem w zakresie zabezpieczeń jest to, że użytkownicy tych kont (i dla wszystkich ról sieci Web) powinni być unikatowi i mieć silne nazwy użytkownika i hasła. Ustaw hasła z następującymi warunkami:

    • Włącz hasło nigdy nie wygasa.
    • Włącz opcję Użytkownik nie może zmienić hasła.
    • Wyłącz opcję Użytkownik musi zmienić hasło przy następnym logowaniu.
  3. Dodaj konta do członkostwa w grupach w następujący sposób:

    • Dodaj fileShareOwner do grupy FileShareOwners .
    • Dodaj fileShareUser do grupy FileShareUsers .
Aprowizuj grupy i konta w grupie roboczej

Uwaga

Podczas konfigurowania serwera plików uruchom wszystkie następujące polecenia w wierszu polecenia administratora.
Nie używaj programu PowerShell.

Gdy używasz szablonu usługi Azure Resource Manager, użytkownicy są już utworzeni.

  1. Uruchom następujące polecenia, aby utworzyć konta FileShareOwner i FileShareUser. Zastąp <password> ciąg własnymi wartościami.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. Ustaw hasła dla kont, aby nigdy nie wygasały, uruchamiając następujące polecenia WMIC:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. Utwórz grupy lokalne FileShareUsers i FileShareOwners i dodaj konta w pierwszym kroku do nich:

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

Aprowizuj udział zawartości

Udział zawartości zawiera zawartość witryny sieci Web dzierżawy. Procedura aprowizowania udziału zawartości na jednym serwerze plików jest taka sama zarówno w środowiskach usługi Active Directory, jak i grupy roboczej. Różni się to jednak w przypadku klastra trybu failover w usłudze Active Directory.

Aprowizuj udział zawartości na jednym serwerze plików (active directory lub grupie roboczej)

Na jednym serwerze plików uruchom następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień. Zastąp wartość parametru C:\WebSites odpowiednimi ścieżkami w danym środowisku.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Konfigurowanie kontroli dostępu do udziałów

Uruchom następujące polecenia w wierszu polecenia z podwyższonym poziomem uprawnień na serwerze plików lub w węźle klastra trybu failover, który jest bieżącym właścicielem zasobu klastra. Zastąp wartości kursywą wartościami specyficznymi dla danego środowiska.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Grupa robocza

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Przygotowywanie wystąpienia programu SQL Server

Uwaga

Jeśli wybrano wdrożenie szablonu Szybkiego startu dla serwera plików o wysokiej dostępności i SQL Server, możesz pominąć tę sekcję, ponieważ szablon wdraża i konfiguruje SQL Server w konfiguracji wysokiej dostępności.

W przypadku Azure App Service w bazach danych hostingu i pomiarów usługi Azure Stack Hub należy przygotować wystąpienie SQL Server do przechowywania baz danych App Service.

Do celów produkcyjnych i wysokiej dostępności należy użyć pełnej wersji SQL Server 2014 SP2 lub nowszej, włączyć uwierzytelnianie w trybie mieszanym i wdrożyć w konfiguracji o wysokiej dostępności.

Wystąpienie SQL Server dla Azure App Service w usłudze Azure Stack Hub musi być dostępne ze wszystkich ról App Service. Można wdrożyć SQL Server w ramach domyślnej subskrypcji dostawcy w usłudze Azure Stack Hub. Możesz też korzystać z istniejącej infrastruktury w organizacji (o ile istnieje łączność z usługą Azure Stack Hub). Jeśli używasz obrazu Azure Marketplace, pamiętaj, aby odpowiednio skonfigurować zaporę.

Uwaga

Wiele obrazów maszyn wirtualnych IaaS SQL jest dostępnych za pośrednictwem funkcji zarządzania witryną Marketplace. Przed wdrożeniem maszyny wirtualnej przy użyciu elementu marketplace upewnij się, że przed wdrożeniem maszyny wirtualnej zawsze pobierasz najnowszą wersję rozszerzenia IaaS SQL. Obrazy SQL są takie same jak maszyny wirtualne SQL, które są dostępne na platformie Azure. W przypadku maszyn wirtualnych SQL utworzonych na podstawie tych obrazów rozszerzenie IaaS i odpowiednie ulepszenia portalu zapewniają funkcje, takie jak automatyczne stosowanie poprawek i możliwości tworzenia kopii zapasowych.

W przypadku dowolnej z ról SQL Server można użyć wystąpienia domyślnego lub nazwanego wystąpienia. Jeśli używasz nazwanego wystąpienia, należy ręcznie uruchomić usługę SQL Server Browser i otworzyć port 1434.

Instalator App Service sprawdzi, czy SQL Server ma włączone zawieranie bazy danych. Aby włączyć zawieranie bazy danych na SQL Server, które będą hostować bazy danych App Service, uruchom następujące polecenia SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Certyfikaty i konfiguracja serwera (ASDK)

W tej sekcji wymieniono wymagania wstępne dotyczące wdrożeń zestawu ASDK.

Certyfikaty wymagane do wdrożenia zestawu ASDK Azure App Service

Skrypt Create-AppServiceCerts.ps1 współpracuje z urzędem certyfikacji usługi Azure Stack Hub w celu utworzenia czterech certyfikatów, które App Service potrzeby.

Nazwa pliku Zastosowanie
_.appservice.local.azurestack.external.pfx App Service domyślny certyfikat SSL
api.appservice.local.azurestack.external.pfx certyfikat SSL interfejsu API App Service
ftp.appservice.local.azurestack.external.pfx certyfikat SSL wydawcy App Service
sso.appservice.local.azurestack.external.pfx App Service certyfikat aplikacji tożsamości

Aby utworzyć certyfikaty, wykonaj następujące kroki:

  1. Zaloguj się do hosta ASDK przy użyciu konta AzureStack\AzureStackAdmin.
  2. Otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień.
  3. Uruchom skrypt Create-AppServiceCerts.ps1 z folderu, w którym wyodrębniono skrypty pomocnika. Ten skrypt tworzy cztery certyfikaty w tym samym folderze co skrypt, który App Service wymaga tworzenia certyfikatów.
  4. Wprowadź hasło, aby zabezpieczyć pliki pfx i zanotuj je. Musisz wprowadzić go później w App Service w instalatorze usługi Azure Stack Hub.

parametry skryptu Create-AppServiceCerts.ps1

Parametr Wymagane lub opcjonalne Wartość domyślna Opis
pfxPassword Wymagane Null Hasło, które pomaga chronić klucz prywatny certyfikatu
DomainName Wymagane local.azurestack.external Sufiks regionu i domeny usługi Azure Stack Hub

Szablon szybkiego startu dla serwera plików dla wdrożeń Azure App Service w zestawie ASDK.

Tylko w przypadku wdrożeń zestawu ASDK można użyć przykładowego szablonu wdrażania usługi Azure Resource Manager w celu wdrożenia skonfigurowanego serwera plików z jednym węzłem. Serwer plików z jednym węzłem będzie znajdować się w grupie roboczej.

Uwaga

Aby ukończyć wdrożenie, wystąpienie zestawu ASDK musi być w stanie pobrać zasoby z usługi GitHub.

wystąpienie SQL Server

W przypadku Azure App Service w bazach danych hostingu i pomiarów usługi Azure Stack Hub należy przygotować wystąpienie SQL Server do przechowywania baz danych App Service.

W przypadku wdrożeń zestawu ASDK można użyć SQL Server Express 2014 SP2 lub nowszej wersji. SQL Server należy skonfigurować do obsługi uwierzytelniania w trybie mieszanym, ponieważ App Service w usłudze Azure Stack Hub nie obsługuje uwierzytelniania systemu Windows.

Wystąpienie SQL Server dla Azure App Service w usłudze Azure Stack Hub musi być dostępne ze wszystkich ról App Service. Można wdrożyć SQL Server w ramach domyślnej subskrypcji dostawcy w usłudze Azure Stack Hub. Możesz też korzystać z istniejącej infrastruktury w organizacji (o ile istnieje łączność z usługą Azure Stack Hub). Jeśli używasz obrazu Azure Marketplace, pamiętaj, aby odpowiednio skonfigurować zaporę.

Uwaga

Wiele obrazów maszyn wirtualnych IaaS SQL jest dostępnych za pośrednictwem funkcji zarządzania witryną Marketplace. Przed wdrożeniem maszyny wirtualnej przy użyciu elementu marketplace upewnij się, że przed wdrożeniem maszyny wirtualnej zawsze pobierasz najnowszą wersję rozszerzenia IaaS SQL. Obrazy SQL są takie same jak maszyny wirtualne SQL, które są dostępne na platformie Azure. W przypadku maszyn wirtualnych SQL utworzonych na podstawie tych obrazów rozszerzenie IaaS i odpowiednie ulepszenia portalu zapewniają funkcje, takie jak automatyczne stosowanie poprawek i możliwości tworzenia kopii zapasowych.

W przypadku dowolnej z ról SQL Server można użyć wystąpienia domyślnego lub nazwanego wystąpienia. Jeśli używasz nazwanego wystąpienia, należy ręcznie uruchomić usługę SQL Server Browser i otworzyć port 1434.

Instalator App Service sprawdzi, czy SQL Server ma włączone zawieranie bazy danych. Aby włączyć zawieranie bazy danych na SQL Server, które będą hostować bazy danych App Service, uruchom następujące polecenia SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Zagadnienia dotyczące licencjonowania wymaganego serwera plików i programu SQL Server

Azure App Service w usłudze Azure Stack Hub wymaga serwera plików i SQL Server do działania. Możesz bezpłatnie korzystać z istniejących zasobów znajdujących się poza wdrożeniem usługi Azure Stack Hub lub wdrażać zasoby w ramach subskrypcji domyślnego dostawcy usługi Azure Stack Hub.

Jeśli zdecydujesz się wdrożyć zasoby w ramach subskrypcji domyślnego dostawcy usługi Azure Stack Hub, licencje dla tych zasobów (licencje systemu Windows Server i licencje SQL Server) są uwzględniane w kosztach Azure App Service w usłudze Azure Stack Hub z zastrzeżeniem następujących ograniczeń:

  • infrastruktura jest wdrażana w domyślnej subskrypcji dostawcy;
  • infrastruktura jest używana wyłącznie przez dostawcę zasobów usługi Azure App Service w usłudze Azure Stack Hub. Żadne inne obciążenia, administracyjne (inni dostawcy zasobów, na przykład SQL-RP) lub dzierżawa (na przykład aplikacje dzierżawy, które wymagają bazy danych), mogą korzystać z tej infrastruktury.

Odpowiedzialność operacyjna za pliki i serwery SQL

Operatorzy chmury są odpowiedzialni za konserwację i działanie serwera plików oraz SQL Server. Dostawca zasobów nie zarządza tymi zasobami. Operator chmury jest odpowiedzialny za tworzenie kopii zapasowych baz danych App Service i udziału plików zawartości dzierżawy.

Pobieranie certyfikatu głównego usługi Azure Resource Manager dla usługi Azure Stack Hub

Otwórz sesję programu PowerShell z podwyższonym poziomem uprawnień na komputerze, który może uzyskać dostęp do uprzywilejowanego punktu końcowego na zintegrowanym systemie usługi Azure Stack Hub lub hoście ASDK.

Uruchom skrypt Get-AzureStackRootCert.ps1 z folderu, w którym wyodrębniono skrypty pomocnika. Skrypt tworzy certyfikat główny w tym samym folderze co skrypt, który App Service wymaga tworzenia certyfikatów.

Po uruchomieniu następującego polecenia programu PowerShell musisz podać uprzywilejowany punkt końcowy i poświadczenia dla elementu AzureStack\CloudAdmin.

    Get-AzureStackRootCert.ps1

parametry skryptu Get-AzureStackRootCert.ps1

Parametr Wymagane lub opcjonalne Wartość domyślna Opis
PrivilegedEndpoint Wymagane AzS-ERCS01 Uprzywilejowany punkt końcowy
CloudAdminCredential Wymagane AzureStack\CloudAdmin Poświadczenia konta domeny dla administratorów chmury usługi Azure Stack Hub

Konfiguracja sieci i tożsamości

Sieć wirtualna

Uwaga

Wstępne utworzenie niestandardowej sieci wirtualnej jest opcjonalne, ponieważ Azure App Service w usłudze Azure Stack Hub może utworzyć wymaganą sieć wirtualną, ale następnie będzie musiała komunikować się z programem SQL i serwerem plików za pośrednictwem publicznych adresów IP. Jeśli użyjesz szablonu App Service HA File Server i SQL Server Szybki start, aby wdrożyć wstępnie wymagane zasoby programu SQL i serwera plików, szablon wdroży również sieć wirtualną.

Azure App Service w usłudze Azure Stack Hub umożliwia wdrożenie dostawcy zasobów w istniejącej sieci wirtualnej lub utworzenie sieci wirtualnej w ramach wdrożenia. Korzystanie z istniejącej sieci wirtualnej umożliwia używanie wewnętrznych adresów IP do łączenia się z serwerem plików i SQL Server wymaganych przez Azure App Service w usłudze Azure Stack Hub. Przed zainstalowaniem Azure App Service w usłudze Azure Stack Hub należy skonfigurować sieć wirtualną z następującym zakresem adresów i podsieciami:

Sieć wirtualna — /16

Podsieci

  • ControllersSubnet /24
  • ManagementServersSubnet /24
  • /24 FrontEndsSubnet
  • PublishersSubnet /24
  • /21 WorkerSubnet

Ważne

Jeśli zdecydujesz się wdrożyć App Service w istniejącej sieci wirtualnej, SQL Server należy wdrożyć w oddzielnej podsieci od App Service i serwera plików.

Tworzenie aplikacji tożsamości w celu włączenia scenariuszy logowania jednokrotnego

Azure App Service używa aplikacji tożsamości (jednostki usługi) do obsługi następujących operacji:

  • Integracja zestawu skalowania maszyn wirtualnych w warstwach procesów roboczych.
  • Logowanie jednokrotne dla portalu Azure Functions i zaawansowanych narzędzi programistycznych (Kudu).

W zależności od dostawcy tożsamości używanego przez usługę Azure Stack Hub Tożsamość Microsoft Entra lub Active Directory Federation Services (ADFS) należy wykonać odpowiednie kroki, aby utworzyć jednostkę usługi do użycia przez dostawcę zasobów usługi Azure App Service w usłudze Azure Stack Hub.

Tworzenie aplikacji Microsoft Entra

Wykonaj następujące kroki, aby utworzyć jednostkę usługi w dzierżawie Microsoft Entra:

  1. Otwórz wystąpienie programu PowerShell jako azurestack\AzureStackAdmin.
  2. Przejdź do lokalizacji pobranych i wyodrębnionych skryptów w kroku wymagań wstępnych.
  3. Zainstaluj program PowerShell dla usługi Azure Stack Hub.
  4. Uruchom skrypt Create-AADIdentityApp.ps1 . Po wyświetleniu monitu wprowadź identyfikator dzierżawy Microsoft Entra używany do wdrożenia usługi Azure Stack Hub. Na przykład wprowadź myazurestack.onmicrosoft.com.
  5. W oknie Poświadczenia wprowadź konto administratora usługi Microsoft Entra i hasło. Wybierz przycisk OK.
  6. Wprowadź ścieżkę pliku certyfikatu i hasło certyfikatu dla utworzonego wcześniej certyfikatu. Certyfikat utworzony dla tego kroku domyślnie to sso.appservice.local.azurestack.external.pfx.
  7. Zanotuj identyfikator aplikacji zwrócony w danych wyjściowych programu PowerShell. Identyfikator jest używany w poniższych krokach, aby wyrazić zgodę na uprawnienia aplikacji i podczas instalacji.
  8. Otwórz nowe okno przeglądarki i zaloguj się do Azure Portal jako administrator usługi Microsoft Entra.
  9. Otwórz usługę Microsoft Entra.
  10. Wybierz pozycję Rejestracje aplikacji w okienku po lewej stronie.
  11. Wyszukaj identyfikator aplikacji zanotowany w kroku 7.
  12. Wybierz rejestrację aplikacji App Service z listy.
  13. Wybierz pozycję Uprawnienia interfejsu API w okienku po lewej stronie.
  14. Wybierz pozycję Udziel zgody administratora dla <dzierżawy, gdzie dzierżawa jest nazwą dzierżawy> Microsoft Entra.>< Potwierdź udzielenie zgody, wybierając pozycję Tak.
    Create-AADIdentityApp.ps1
Parametr Wymagane lub opcjonalne Wartość domyślna Opis
DirectoryTenantName Wymagane Null Microsoft Entra identyfikator dzierżawy. Podaj identyfikator GUID lub ciąg. Przykładem jest myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Wymagane Null Administracja punkt końcowy usługi Azure Resource Manager. Przykładem jest adminmanagement.local.azurestack.external.
TenantARMEndpoint Wymagane Null Punkt końcowy usługi Azure Resource Manager dzierżawy. Przykładem jest management.local.azurestack.external.
AzureStackAdminCredential Wymagane Null Microsoft Entra poświadczenia administratora usługi.
CertificateFilePath Wymagane Null Pełna ścieżka do wygenerowanego wcześniej pliku certyfikatu aplikacji tożsamości.
CertificatePassword Wymagane Null Hasło, które pomaga chronić klucz prywatny certyfikatu.
Środowisko Opcjonalne AzureCloud Nazwa obsługiwanego środowiska chmury, w którym dostępna jest docelowa usługa Azure Active Directory Graph. Dozwolone wartości: "AzureCloud", "AzureChinaCloud", "AzureUSGovernment", "AzureGermanCloud".

Tworzenie aplikacji usług AD FS

  1. Otwórz wystąpienie programu PowerShell jako azurestack\AzureStackAdmin.
  2. Przejdź do lokalizacji pobranych i wyodrębnionych skryptów w kroku wymagań wstępnych.
  3. Zainstaluj program PowerShell dla usługi Azure Stack Hub.
  4. Uruchom skrypt Create-ADFSIdentityApp.ps1 .
  5. W oknie Poświadczenia wprowadź konto administratora chmury usług AD FS i hasło. Wybierz przycisk OK.
  6. Podaj ścieżkę pliku certyfikatu i hasło certyfikatu dla utworzonego wcześniej certyfikatu. Certyfikat utworzony dla tego kroku domyślnie to sso.appservice.local.azurestack.external.pfx.
    Create-ADFSIdentityApp.ps1
Parametr Wymagane lub opcjonalne Wartość domyślna Opis
AdminArmEndpoint Wymagane Null Administracja punkt końcowy usługi Azure Resource Manager. Przykładem jest adminmanagement.local.azurestack.external.
PrivilegedEndpoint Wymagane Null Uprzywilejowany punkt końcowy. Przykładem jest AzS-ERCS01.
CloudAdminCredential Wymagane Null Poświadczenia konta domeny dla administratorów chmury usługi Azure Stack Hub. Przykładem jest azurestack\CloudAdmin.
CertificateFilePath Wymagane Null Pełna ścieżka do pliku PFX certyfikatu aplikacji tożsamości.
CertificatePassword Wymagane Null Hasło, które pomaga chronić klucz prywatny certyfikatu.

Pobieranie elementów z Azure Marketplace

Azure App Service w usłudze Azure Stack Hub wymaga pobrania elementów z Azure Marketplace, udostępniając je w witrynie Azure Stack Hub Marketplace. Te elementy należy pobrać przed rozpoczęciem wdrażania lub uaktualniania Azure App Service w usłudze Azure Stack Hub:

Ważne

Windows Server Core nie jest obsługiwanym obrazem platformy do użycia z Azure App Service w usłudze Azure Stack Hub.

Nie używaj obrazów ewaluacyjnych do wdrożeń produkcyjnych.

  1. Najnowsza wersja obrazu maszyny wirtualnej z systemem Windows Server 2022 Datacenter.
  1. Obraz pełnej maszyny wirtualnej z systemem Windows Server 2022 z aktywowaną Microsoft.Net 3.5.1 z dodatkiem SP1. Azure App Service w usłudze Azure Stack Hub wymaga aktywowania programu Microsoft .NET 3.5.1 z dodatkiem SP1 na obrazie używanym do wdrożenia. Obrazy z systemem Windows Server 2022 z systemem Marketplace nie mają włączonej tej funkcji, a w środowiskach bez połączenia nie można nawiązać połączenia z usługą Microsoft Update w celu pobrania pakietów do zainstalowania za pośrednictwem narzędzia DISM. W związku z tym należy utworzyć i użyć obrazu systemu Windows Server 2022 z tą funkcją wstępnie włączoną z odłączonym wdrożeniem.

    Aby uzyskać szczegółowe informacje na temat tworzenia obrazu niestandardowego i dodawania do witryny Marketplace, zobacz Dodawanie niestandardowego obrazu maszyny wirtualnej do usługi Azure Stack Hub . Podczas dodawania obrazu do witryny Marketplace należy określić następujące właściwości:

    • Publisher = MicrosoftWindowsServer
    • Oferta = WindowsServer
    • SKU = AppService
    • Wersja = Określ "najnowszą" wersję
  1. Rozszerzenie niestandardowego skryptu w wersji 1.9.1 lub nowszej. Ten element jest rozszerzeniem maszyny wirtualnej.

Następne kroki

Instalowanie dostawcy zasobów App Service