Partilhar via


Notas de versão do Serviço de Aplicativo no Azure Stack Hub 2302

Estas notas de versão descrevem as melhorias e correções no Serviço de Aplicativo do Azure no Azure Stack Hub 2302 e quaisquer problemas conhecidos. Os problemas conhecidos são divididos em problemas diretamente relacionados à implantação, ao processo de atualização e aos problemas com a compilação (pós-instalação).

Importante

Atualize o Azure Stack Hub para uma versão suportada (ou implante o Kit de Desenvolvimento do Azure Stack mais recente), se necessário, antes de implantar ou atualizar o provedor de recursos (RP) do Serviço de Aplicativo. Certifique-se de ler as notas de versão do RP para saber mais sobre novas funcionalidades, correções e quaisquer problemas conhecidos que possam afetar sua implantação.

Versão mínima suportada do Azure Stack Hub Versão RP do Serviço de Aplicativo
2301 e mais recentes 2302 Installer (notas de versão)

Referência de compilação

O número de compilação do Serviço de Aplicativo no Azure Stack Hub 2302 é 98.0.1.703

Novidades?

O Serviço de Aplicativo do Azure na versão 2302 do Azure Stack Hub substitui a versão 2022 H1 e inclui correções para os seguintes problemas:

  • CVE-2023-21703 Vulnerabilidade de elevação de privilégio do Serviço de Aplicativo do Azure no Azure Stack Hub.

  • Não é possível abrir a Experiência do Usuário dos Conjuntos de Escala de Máquina Virtual a partir da experiência do usuário administrador de Funções do Serviço de Aplicativo no portal de administração do Hub de Pilha do Azure.

  • Todas as outras atualizações estão documentadas nas Notas de Versão de Atualização H1 do Serviço de Aplicativo do Azure no Azure Stack Hub 2022.

  • A partir da atualização H1 do Serviço de Aplicativo do Azure no Azure Stack Hub 2022, a letra K agora é uma letra SKU reservada. Se você tiver uma SKU personalizada definida que usa a letra K, entre em contato com o suporte para ajudar a resolver essa situação antes da atualização.

Pré-requisitos

Consulte a documentação Antes de começar antes de iniciar a implantação.

Antes de começar a atualização do Serviço de Aplicativo do Azure no Azure Stack Hub para 2302:

  • Verifique se o Azure Stack Hub está atualizado para 1.2108.2.127 ou 1.2206.2.52.

  • Verifique se todas as funções estão prontas na administração do Serviço de Aplicativo do Azure no portal de administração do Azure Stack Hub.

  • Faça backup dos segredos do Serviço de Aplicativo usando a administração do Serviço de Aplicativo no portal de administração do Hub de Pilha do Azure.

  • Faça backup dos bancos de dados mestre do Serviço de Aplicativo e do SQL Server:

    • AppService_Hosting;
    • AppService_Metering;
    • Principal
  • Faça backup do compartilhamento de arquivos de conteúdo do aplicativo locatário.

    Importante

    Os operadores de nuvem são responsáveis pela manutenção e operação do servidor de arquivos e do SQL Server. O provedor de recursos não gerencia esses recursos. O operador de nuvem é responsável por fazer backup dos bancos de dados do Serviço de Aplicativo e do compartilhamento de arquivos de conteúdo do locatário.

  • Distribua a Extensão de Script Personalizada versão 1.9.3 do Marketplace.

Etapas de pré-atualização

Nota

Se você implantou anteriormente o Serviço de Aplicativo do Azure no Azure Stack Hub 2022 H1 para seu selo do Azure Stack Hub, esta versão é uma pequena atualização para o 2022 H1 que resolve dois problemas.

O Serviço de Aplicativo do Azure no Azure Stack Hub 2302 é uma atualização significativa que levará várias horas para ser concluída. Toda a implantação será atualizada e todas as funções serão recriadas com o sistema operacional Windows Server 2022 Datacenter. Portanto, recomendamos informar os clientes finais sobre uma atualização planejada antes de aplicá-la.

  • A partir da atualização H1 do Serviço de Aplicativo do Azure no Azure Stack Hub 2022, a letra K agora é uma letra SKU reservada. Se você tiver uma SKU personalizada definida que usa a letra K, entre em contato com o suporte para ajudar a resolver essa situação antes da atualização.

Revise os problemas conhecidos para atualização e tome as ações prescritas.

Passos pós-implementação

Importante

Se você tiver fornecido ao provedor de recursos do Serviço de Aplicativo uma instância SQL Always On, deverá adicionar os bancos de dados appservice_hosting e appservice_metering a um grupo de disponibilidade e sincronizar os bancos de dados para evitar qualquer perda de serviço no caso de um failover de banco de dados.

Problemas conhecidos (atualização)

  • Em situações em que você converteu os bancos de dados appservice_hosting e appservice_metering em bancos de dados contidos, a atualização pode falhar se os logins não tiverem sido migrados com êxito para usuários contidos.

    Se você converteu os bancos de dados appservice_hosting e appservice_metering em pós-implantação de banco de dados contido e não migrou com êxito os logons de banco de dados para usuários contidos, poderá enfrentar falhas de atualização.

    Você deve executar o seguinte script no appservice_hosting de hospedagem e appservice_metering do SQL Server antes de atualizar seu Serviço de Aplicativo do Azure na instalação do Hub de Stack do Azure para o 3º trimestre de 2020. Este script não é destrutivo e não causará tempo de inatividade.

    Este script deve ser executado nas seguintes condições:

    • Por um usuário que tenha o privilégio de administrador do sistema, por exemplo, a Conta SA do SQL.
    • Se estiver usando o SQL Always on, verifique se o script é executado a partir da instância SQL que contém todos os logons do Serviço de Aplicativo no formato:
      • appservice_hosting_FileServer
      • appservice_hosting_HostingAdmin
      • appservice_hosting_LoadBalancer
      • appservice_hosting_Operations
      • appservice_hosting_Publisher
      • appservice_hosting_SecurePublisher
      • appservice_hosting_WebWorkerManager
      • appservice_metering_Common
      • appservice_metering_Operations
      • Todos os logins do WebWorker - que estão na forma de endereço IP de WebWorker_<instância>
          USE appservice_hosting
          IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
          BEGIN
          DECLARE @username sysname ;  
          DECLARE user_cursor CURSOR  
          FOR
              SELECT dp.name
              FROM sys.database_principals AS dp  
              JOIN sys.server_principals AS sp
                  ON dp.sid = sp.sid  
                  WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
              OPEN user_cursor  
              FETCH NEXT FROM user_cursor INTO @username  
                  WHILE @@FETCH_STATUS = 0  
                  BEGIN  
                      EXECUTE sp_migrate_user_to_contained
                      @username = @username,  
                      @rename = N'copy_login_name',  
                      @disablelogin = N'do_not_disable_login';  
                  FETCH NEXT FROM user_cursor INTO @username  
              END  
              CLOSE user_cursor ;  
              DEALLOCATE user_cursor ;
              END
          GO
    
          USE appservice_metering
          IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
          BEGIN
          DECLARE @username sysname ;  
          DECLARE user_cursor CURSOR  
          FOR
              SELECT dp.name
              FROM sys.database_principals AS dp  
              JOIN sys.server_principals AS sp
                  ON dp.sid = sp.sid  
                  WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
              OPEN user_cursor  
              FETCH NEXT FROM user_cursor INTO @username  
                  WHILE @@FETCH_STATUS = 0  
                  BEGIN  
                      EXECUTE sp_migrate_user_to_contained
                      @username = @username,  
                      @rename = N'copy_login_name',  
                      @disablelogin = N'do_not_disable_login';  
                  FETCH NEXT FROM user_cursor INTO @username  
              END  
              CLOSE user_cursor ;  
              DEALLOCATE user_cursor ;
              END
          GO
    
  • Os aplicativos de locatário não conseguem vincular certificados a aplicativos após a atualização.

    A causa desse problema é devido a um recurso ausente em front-ends após a atualização para o Windows Server 2022. Os operadores devem seguir este procedimento para resolver o problema.

    1. No portal de administração do Azure Stack Hub, navegue até Grupos de Segurança de Rede e exiba o Grupo de Segurança de Rede ControllersNSG .

    2. Por padrão, a área de trabalho remota está desabilitada para todas as funções de infraestrutura do Serviço de Aplicativo. Modifique a ação Inbound_Rdp_3389 regra para Permitir acesso.

    3. Navegue até o grupo de recursos que contém a implantação do Provedor de Recursos do Serviço de Aplicativo, por padrão, o nome é AppService.<e> conecte-se ao CN0-VM.

    4. Retorne à sessão da área de trabalho remota CN0-VM .

    5. Em uma sessão do PowerShell do administrador, execute:

      Importante

      Durante a execução desse script, haverá uma pausa para cada instância no conjunto de escalas de front-end. Se houver uma mensagem indicando que o recurso está sendo instalado, essa instância será reinicializada. Use a pausa no script para manter a disponibilidade do front-end. Os operadores devem garantir que pelo menos uma instância de front-end esteja sempre "Pronta" para garantir que os aplicativos locatários possam receber tráfego e não passar por tempo de inatividade.

      $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
      $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
      $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
      
      Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
          $lb = $_
          $session = New-PSSession -ComputerName $lb.Name -Credential $cred
      
          Invoke-Command -Session $session {
            $f = Get-WindowsFeature -Name Web-CertProvider
            if (-not $f.Installed) {
                Write-Host Install feature on $env:COMPUTERNAME
                Install-WindowsFeature -Name Web-CertProvider
      
                Shutdown /t 5 /r /f 
            }
         }
      }
      
      Remove-PSSession -Session $session
      
      Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
      
    6. No portal de administração do Azure Stack, navegue de volta para o Grupo de Segurança de Rede ControllersNSG .

    7. Modifique a regra Inbound_Rdp_3389 para negar acesso.

Problemas conhecidos (pós-instalação)

  • Os trabalhadores não conseguem acessar o servidor de arquivos quando o Serviço de Aplicativo é implantado em uma rede virtual existente e o servidor de arquivos só está disponível na rede privada, conforme destacado na documentação de implantação do Serviço de Aplicativo do Azure no Azure Stack.

    Se você optar por implantar em uma rede virtual existente e um endereço IP interno para se conectar ao seu servidor de arquivos, deverá adicionar uma regra de segurança de saída, habilitando o tráfego SMB entre a sub-rede de trabalho e o servidor de arquivos. Vá para o WorkersNsg no portal de administração e adicione uma regra de segurança de saída com as seguintes propriedades:

    • Fonte: Qualquer
    • Intervalo de portas de origem: *
    • Destino: Endereços IP
    • Intervalo de endereços IP de destino: Intervalo de IPs para seu servidor de arquivos
    • Intervalo de portas de destino: 445
    • Protocolo: TCP
    • Ação: Permitir
    • Prioridade: 700
    • Designação: Outbound_Allow_SMB445
  • Para remover a latência quando os trabalhadores estão se comunicando com o servidor de arquivos, também recomendamos adicionar a seguinte regra ao NSG do trabalhador para permitir o tráfego LDAP e Kerberos de saída para seus controladores do Ative Directory se proteger o servidor de arquivos usando o Ative Directory; por exemplo, se você usou o modelo de início rápido para implantar um servidor de arquivos HA e o SQL Server.

    Vá para o WorkersNsg no portal de administração e adicione uma regra de segurança de saída com as seguintes propriedades:

    • Fonte: Qualquer
    • Intervalo de portas de origem: *
    • Destino: Endereços IP
    • Intervalo de endereços IP de destino: intervalo de IPs para seus servidores AD, por exemplo, com o modelo de início rápido 10.0.0.100, 10.0.0.101
    • Intervalo de portas de destino: 389,88
    • Protocolo: qualquer
    • Ação: Permitir
    • Prioridade: 710
    • Designação: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers
  • Os aplicativos locatários não conseguem vincular certificados a aplicativos após a atualização.

    A causa desse problema é devido a um recurso ausente nos front-ends após a atualização para o Windows Server 2022. Os operadores devem seguir este procedimento para resolver o problema:

    1. No portal de administração do Azure Stack Hub, navegue até Grupos de Segurança de Rede e exiba o Grupo de Segurança de Rede ControllersNSG .

    2. Por padrão, a área de trabalho remota está desabilitada para todas as funções de infraestrutura do Serviço de Aplicativo. Modifique a ação Inbound_Rdp_3389 regra para Permitir acesso.

    3. Navegue até o grupo de recursos que contém a implantação do Provedor de Recursos do Serviço de Aplicativo, por padrão, o nome é AppService.<e> conecte-se ao CN0-VM.

    4. Retorne à sessão da área de trabalho remota CN0-VM .

    5. Em uma sessão do PowerShell do administrador, execute:

      Importante

      Durante a execução desse script, haverá uma pausa para cada instância no conjunto de escalas de front-end. Se houver uma mensagem indicando que o recurso está sendo instalado, essa instância será reinicializada. Use a pausa no script para manter a disponibilidade do front-end. Os operadores devem garantir que pelo menos uma instância de front-end esteja sempre "Pronta" para garantir que os aplicativos locatários possam receber tráfego e não passar por tempo de inatividade.

      $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
      $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
      $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
      
      Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
          $lb = $_
          $session = New-PSSession -ComputerName $lb.Name -Credential $cred
      
          Invoke-Command -Session $session {
            $f = Get-WindowsFeature -Name Web-CertProvider
            if (-not $f.Installed) {
                Write-Host Install feature on $env:COMPUTERNAME
                Install-WindowsFeature -Name Web-CertProvider
      
                Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
                Shutdown /t 5 /r /f 
            }
         }
      }
      
      Remove-PSSession -Session $session      
      
    6. No portal de administração do Azure Stack, navegue de volta para o Grupo de Segurança de Rede ControllersNSG .

    7. Modifique a regra Inbound_Rdp_3389 para negar acesso.

Problemas conhecidos para administradores de nuvem que operam o Serviço de Aplicativo do Azure no Azure Stack

  • Domínios personalizados não são suportados em ambientes desconectados.

    O Serviço de Aplicativo executa a verificação de propriedade de domínio em pontos de extremidade DNS públicos. Como resultado, domínios personalizados não são suportados em cenários desconectados.

  • Não há suporte para a integração de Rede Virtual para aplicativos Web e Function.

    A capacidade de adicionar integração de rede virtual a aplicativos Web e Function é exibida no portal do Azure Stack Hub e, se um locatário tentar configurar, ele receberá um erro interno do servidor. Este recurso não é suportado no Serviço de Aplicativo do Azure no Azure Stack Hub.

Próximos passos