Förbereda för tilläggsvärd i Azure Stack Hub
Tilläggsvärden skyddar Azure Stack Hub genom att minska antalet TCP/IP-portar som krävs. Den här artikeln beskriver hur du förbereder Azure Stack Hub för den tilläggsvärd som aktiveras automatiskt via ett Azure Stack Hub-uppdateringspaket efter 1808-uppdateringen. Den här artikeln gäller för Azure Stack Hub-uppdateringarna 1808, 1809 och 1811.
Certifikatkrav
Tilläggsvärden implementerar två nya domännamnområden för att garantera unika värdposter för varje portaltillägg. De nya domännamnsrymderna kräver ytterligare två jokerteckencertifikat för att säkerställa säker kommunikation.
Tabellen visar de nya namnrymderna och de associerade certifikaten:
| Distributionsmapp | Obligatoriskt certifikatämne och alternativa namn på certifikatmottagare (SAN) | Omfång (per region) | Namnområde för underdomän |
|---|---|---|---|
| Admin tilläggsvärd | *.adminhosting.<region>.<fqdn> (SSL-jokerteckencertifikat) | Admin tilläggsvärd | adminhosting.<region>.<Fqdn> |
| Värd för offentligt tillägg | *.Hosting.<region>.<fqdn> (SSL-jokerteckencertifikat) | Värd för offentligt tillägg | Hosting.<region>.<Fqdn> |
Detaljerade certifikatkrav finns i Certifikatkrav för offentlig nyckel i Azure Stack Hub.
Skapa begäran om certifikatsignering
Med verktyget Beredskapskontroll för Azure Stack Hub kan du skapa en begäran om certifikatsignering för de två nya och nödvändiga SSL-certifikaten. Följ stegen i artikeln generering av signeringsbegäran för Azure Stack Hub-certifikat.
Anteckning
Du kan hoppa över det här steget beroende på hur du begärde dina SSL-certifikat.
Verifiera nya certifikat
Öppna PowerShell med förhöjd behörighet på maskinvarulivscykelvärden eller Azure Stack Hub-hanteringsarbetsstationen.
Kör följande cmdlet för att installera verktyget Beredskapskontroll för Azure Stack Hub:
Install-Module -Name Microsoft.AzureStack.ReadinessCheckerKör följande skript för att skapa den mappstruktur som krävs:
New-Item C:\Certificates -ItemType Directory $directories = 'ACSBlob','ACSQueue','ACSTable','Admin Portal','ARM Admin','ARM Public','KeyVault','KeyVaultInternal','Public Portal', 'Admin extension host', 'Public extension host' $destination = 'c:\certificates' $directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}Anteckning
Om du distribuerar med Microsoft Entra ID Federated Services (AD FS) måste följande kataloger läggas till i $directories i skriptet:
ADFS,Graph.Placera de befintliga certifikaten, som du för närvarande använder i Azure Stack Hub, i lämpliga kataloger. Placera till exempel Admin ARM-certifikatet
Arm Admini mappen . Och placera sedan de nyligen skapade värdcertifikatenAdmin extension hosti katalogerna ochPublic extension host.Kör följande cmdlet för att starta certifikatkontrollen:
$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString Start-AzsReadinessChecker -CertificatePath c:\certificates -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AADKontrollera utdata och om alla certifikat klarar alla tester.
Importera värdcertifikat för tillägg
Använd en dator som kan ansluta till azure Stack Hub-privilegierad slutpunkt för nästa steg. Kontrollera att du har åtkomst till de nya certifikatfilerna från den datorn.
Använd en dator som kan ansluta till azure Stack Hub-privilegierad slutpunkt för nästa steg. Kontrollera att du har åtkomst till de nya certifikatfilerna från datorn.
Öppna PowerShell ISE för att köra nästa skriptblock.
Importera certifikatet för administratören som är värd för slutpunkten.
$CertPassword = read-host -AsSecureString -prompt "Certificate Password" $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint." [Byte[]]$AdminHostingCertContent = [Byte[]](Get-Content c:\certificate\myadminhostingcertificate.pfx -Encoding Byte) Invoke-Command -ComputerName <PrivilegedEndpoint computer name> ` -Credential $CloudAdminCred ` -ConfigurationName "PrivilegedEndpoint" ` -ArgumentList @($AdminHostingCertContent, $CertPassword) ` -ScriptBlock { param($AdminHostingCertContent, $CertPassword) Import-AdminHostingServiceCert $AdminHostingCertContent $certPassword }Importera certifikatet för värdslutpunkten.
$CertPassword = read-host -AsSecureString -prompt "Certificate Password" $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint." [Byte[]]$HostingCertContent = [Byte[]](Get-Content c:\certificate\myhostingcertificate.pfx -Encoding Byte) Invoke-Command -ComputerName <PrivilegedEndpoint computer name> ` -Credential $CloudAdminCred ` -ConfigurationName "PrivilegedEndpoint" ` -ArgumentList @($HostingCertContent, $CertPassword) ` -ScriptBlock { param($HostingCertContent, $CertPassword) Import-UserHostingServiceCert $HostingCertContent $certPassword }
Uppdatera DNS-konfiguration
Anteckning
Det här steget krävs inte om du använde DNS-zondelegering för DNS-integrering. Om enskilda värd-A-poster har konfigurerats för att publicera Azure Stack Hub-slutpunkter måste du skapa ytterligare två värd-A-poster:
| IP-adress | Värdnamn | Typ |
|---|---|---|
| <IP> | *. Adminhosting.<Region>.<FQDN> | A |
| <IP> | *. Hosting.<Region>.<FQDN> | A |
Allokerade IP-adresser kan hämtas med hjälp av den privilegierade slutpunkten genom att köra cmdleten Get-AzureStackStampInformation.
Portar och protokoll
Artikeln Azure Stack Hub-datacenterintegrering – Publicera slutpunkter omfattar portar och protokoll som kräver inkommande kommunikation för att publicera Azure Stack Hub innan tilläggets värddistribution.
Publicera nya slutpunkter
Det finns två nya slutpunkter som måste publiceras via brandväggen. Allokerade IP-adresser från den offentliga VIP-poolen kan hämtas med hjälp av följande kod som måste köras från Azure Stack Hub-miljöns privilegierade slutpunkt.
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IpOfERCSMachine>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IpOfERCSMachine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Obtain DNS Servers and extension host information from Azure Stack Hub Stamp Information and find the IPs for the Host Extension Endpoints
$StampInformation = Invoke-Command $PEPSession {Get-AzureStackStampInformation} | Select-Object -Property ExternalDNSIPAddress01, ExternalDNSIPAddress02, @{n="TenantHosting";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://*.","testdnsentry"-replace "/"}}, @{n="AdminHosting";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://*.","testdnsentry"-replace "/"}},@{n="TenantHostingDNS";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://",""-replace "/"}}, @{n="AdminHostingDNS";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://",""-replace "/"}}
If (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting -ErrorAction SilentlyContinue) {
Write-Host "Can access AZS DNS" -ForegroundColor Green
$AdminIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress02 -Name $StampInformation.AdminHosting).IPAddress
Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
$TenantIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting).IPAddress
Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Else {
Write-Host "Cannot access AZS DNS" -ForegroundColor Yellow
$AdminIP = (Resolve-DnsName -Name $StampInformation.AdminHosting).IPAddress
Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
$TenantIP = (Resolve-DnsName -Name $StampInformation.TenantHosting).IPAddress
Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Remove-PSSession -Session $PEPSession
Exempel på utdata
Can access AZS DNS
The IP for the Admin Extension Host is: *.adminhosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.adminhosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
The IP address for the Tenant Extension Host is *.hosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.hosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
Anteckning
Gör den här ändringen innan du aktiverar tilläggsvärden. På så sätt kan Azure Stack Hub-portalerna vara kontinuerligt tillgängliga.
| Slutpunkt (VIP) | Protokoll | Portar |
|---|---|---|
| Admin Hosting | HTTPS | 443 |
| Värd | HTTPS | 443 |
Uppdatera befintliga publiceringsregler (efter aktivering av tilläggsvärd)
Anteckning
Uppdateringspaketet för Azure Stack Hub 1808 aktiverar inte tilläggsvärden ännu. Med den kan du förbereda för tilläggsvärden genom att importera de certifikat som krävs. Stäng inga portar innan tilläggsvärden aktiveras automatiskt via ett Azure Stack Hub-uppdateringspaket efter 1808-uppdateringen.
Följande befintliga slutpunktsportar måste stängas i dina befintliga brandväggsregler.
Anteckning
Vi rekommenderar att du stänger dessa portar efter valideringen.
| Slutpunkt (VIP) | Protokoll | Portar |
|---|---|---|
| Portal (administratör) | HTTPS | 12495 12499 12646 12647 12648 12649 12650 13001 13003 13010 13011 13012 13020 13021 13026 30015 |
| Portal (användare) | HTTPS | 12495 12649 13001 13010 13011 13012 13020 13021 30015 13003 |
| Azure Resource Manager (administratör) | HTTPS | 30024 |
| Azure Resource Manager (användare) | HTTPS | 30024 |
Nästa steg
- Läs mer om brandväggsintegrering.
- Läs mer om generering av signeringsbegäran för Azure Stack Hub-certifikat.