Dela via

Konfigurera hanterad instans i Azure App Service (förhandsversion)

Managed Instance på Azure App Service (förhandsversion) är ett värdalternativ med planomfattning för Windows-webbappar som behöver anpassning av operativsystem (OS), valfritt privat nätverk och säker integrering med Azure-resurser. Den här artikeln beskriver hur du konfigurerar hanterad instans inom viktiga områden:

  • Hanterad identitet
  • Konfigurationsskript (installera)
  • Lagringsmonteringar
  • Registernycklar
  • Rdp-åtkomst (Remote Desktop Protocol)

Viktigt!

Hanterad instans är i förhandsversion, tillgänglig för Windows-webbappar i utvalda regioner och begränsad till Pv4- och Pmv4-prisplaner. Fler regioner att följa. Linux och containrar stöds inte.

Lägga till en hanterad identitet (i App Service-planen)

Hanterade identiteter på plannivå möjliggör autentisering för infrastrukturåtgärder som sker på plattformsnivå, till exempel konfigurationsskript (installation) som kommer åt Azure Storage under start, registerkort som hämtar hemligheter från Key Vault och lagringsmonteringar som autentiserar till Azure Files. Dessa komponenter är delade resurser som flera appar i planen använder. En identitet på plannivå gör till exempel att Hanterad instans kan autentisera en gång för infrastrukturkomponenter medan enskilda appar behåller sina egna identiteter för appspecifika resurser som databaser och programhemligheter.

Hanterade identiteter för App Service-planen krävs i följande scenarier:

  • För att få säker åtkomst till och hämta konfigurationsskriptet från Azure Storage.
  • Få åtkomst till Key Vaults för att ange autentiseringsuppgifter och värden för lagringsmonteringar och registernyckelkort.

Se Hantera användartilldelade hanterade identiteter för att skapa en hanterad identitet.

Så här lägger du till en hanterad identitet i en hanterad instansplan:

  1. Gå till din hanterade instans i Azure-portalen.
  2. Välj Identitet>Användartilldelad.
  3. Välj + Lägg till.
  4. Välj prenumerationen och den hanterade identiteten.
  5. Välj Lägg till för att lägga till identiteten i planen.

Lägga till konfigurationsskript (installera)

Konfigurationsskript (installera) körs vid instansstart för att tillämpa beständig anpassning. Exempel är com-registrering (Component Object Model), Installationer av Microsoft/Windows Installers (MSI), Konfiguration av Internet Information Services (IIS Server), ACL-ändringar, aktivering av Windows-funktioner, inställning av miljövariabler.

Du behöver följande för att använda konfigurationsskript (installera):

  • En hanterad identitet som tilldelats App Service-planen
  • Ett lagringskonto med en Blob-container som innehåller konfigurationsskriptpaketet (installera) (zip).
  • En zip-fil vars rot innehåller Install.ps1 (startpunkt)
  • Storage Blob Data Reader roll för lagringskontot, containern eller resursgruppen

Så här lägger du till ett konfigurationsskript:

  1. Gå till din App Service-plan för hanterad instans i Azure-portalen.

  2. Välj Allmänna inställningar för konfiguration>.

  3. I avsnittet Konfigurationsskript börjar du med att konfigurera skriptet.

    Inställning Värde
    Lagringskonto Välj ditt lagringskonto
    Container Ange namnet på containern
    Zip-fil Ange namnet på zip-filen
    Värde Kontrollera att det här värdet är korrekt

  4. Spara ändringarna genom att välja Använd.

Metodtips för konfigurationsskript

  • Gör skript till idempotent (kontrollera innan du installerar).
  • Skydda destruktiva åtgärder (undvik att ändra skyddade Windows-systemkataloger).
  • Använd stora installationer för att minska svarstiden för start.

Exempel på minimal zip-struktur:

Install.ps1
myInstallerfileNameGoesHere.msi
config.xml

Exempel på konfigurationsskript:

# Install Components, for example Crystal Reports, Control Library, Database Driver
$ComponentInstaller = "myInstallerFileNameGoesHere.msi"
try {
    $Component = Join-Path $PSScriptRoot $ComponentInstaller
    Start-Process $Component -ArgumentList "/q" -Wait -ErrorAction Stop
} catch {
    Write-Error "Failed to install ${ComponentInstaller}: $_"
    exit 1
}

Konfigurera lagringsmonteringar

Lagringsmonteringar tillhandahåller beständig extern lagring (till exempel Azure Files) som är tillgänglig för din app. Används för äldre kod som behöver delad filsystemåtkomst, inte för hemligheter (använd Key Vault). Lokal (tillfällig) lagring är också tillgänglig, men beständiga ändringar kräver lagringsmonteringar.

Du behöver följande för att konfigurera lagringsmonteringar:

  • Hanterad identitet (för Åtkomst till Key Vault)
  • Key Vault-hemlighet (källa för autentiseringsuppgifter)

Så här konfigurerar du lagringsmonteringar:

  1. Gå till din hanterade instans i Azure-portalen.
  2. VäljKonfigurationsmonteringar>.
  3. Välj + Ny lagringsmontering.

Ange följande information för att konfigurera lagringsmonteringen:

Inställning Värde
Namn Ange ett monteringsnamn
Lagringstyp Azure-filer, anpassade eller lokala (tillfällig lagring)
Lagringskonto Välj eller ange ett lagringskonto
Fildelning Välj en filresurs
Värde Välj ett nyckelvalv
Secret Välj nyckelvalvshemligheten
Montera enhetsbeteckning Välj sökväg för enhetsbeteckning

Du kan montera extern lagring till din hanterade instans. Monterad lagring är beständig mellan omstarter och är tillgänglig från appens filsystem.

Konfigurera lagringsmonteringar med Azure Files

Så här konfigurerar du en Azure Files-lagringsmontering:

  1. Skapa ett Azure Storage-konto och en Azure Files-resurs.
  2. Lagra en anslutningsautentiseringsuppgift i Key Vault som en hemlighet. Hemligt innehåll som stöds: (till exempel DefaultEndpointsProtocol=...;AccountName=...;AccountKey=...;EndpointSuffix=core.windows.net)
  3. Lägg till monteringen i Managed Instance (Azure-portalen eller ARM/Bicep/Terraform).

Tips/Råd

Framtvinga behörigheter på resursnivå via Azure RBAC + resurs-ACL:er för förbättrad säkerhet.

Konfigurera lagringsmonteringar med anpassad UNC

Använd monteringar för SMB-resurser som finns någon annanstans (lokalt, virtuell dator eller icke-Microsoft). Se till att nätverksanslutningen (integrering av virtuella nätverk/privata slutpunkter/brandväggar).

  1. Om autentiseringsuppgifter behövs lagrar du dem i en Key Vault-hemlighet i formatet: username=<user>,password=<password>
    • Undvik domänadministratörskonton; använd en tjänstidentitet med minst privilegier.
  2. Lägg till monteringen i Hanterad instans.

Konfigurera registernycklar

Vissa program är beroende av värden som läse från Windows-registret. Med ett registernyckelkort kan du skapa registernycklar och använda hemligheter från Azure Key Vault som värde.

Du behöver följande för att konfigurera registernycklar:

  • Hanterad identitet (för Åtkomst till Key Vault)
  • Key Vault-hemlighet (källa för autentiseringsuppgifter)

Så här konfigurerar du registernycklar:

  1. Gå tillKonfigurationsregisternycklar>.

  2. Välj + Lägg till.

    Inställning Värde
    Väg Ange registersökvägen
    Valv Ange ett befintligt valvnamn
    Secret Välj eller ange nyckelvalvshemligheten
    Typ Sträng eller DWORD

  3. Välj Lägg till för att lägga till registernyckeln.

Försiktighet

Var försiktig när du ändrar systemkritiska registersökvägar. Felaktiga ändringar kan påverka instansstabiliteten.

Konfigurera RDP-åtkomst (Bastion)

Snabbstart: När du distribuerar Azure Bastion kan du automatiskt ansluta till dina vm-instanser på ett säkert sätt via Remote Desktop Protocol (RDP). RDP via Azure Bastion är avsedd för tillfällig diagnostik (logginspektion, snabb validering). Om du tänker använda Bastion via portalen uppgraderar du din Bastion-resurs till standardprisnivån och väljer Intern klientsupport och IP-Based anslutning.

Du behöver följande resurser för Bastion/RDP-åtkomst:

  • Hanterad instans måste vara integrerat i virtuellt nätverk
  • Azure Bastion-värd i det virtuella målnätverket
  • Port 3389 måste tillåtas från Bastion-undernätets NSG till App Service Plan-undernätets NSG

Så här konfigurerar du Bastion:

  1. Gå till Configuration>Bastion/RDP.
  2. Kontrollera att det virtuella nätverket är anslutet.
  3. Välj Tillåt fjärrskrivbord (via Bastion).

Försiktighet

Använd inte manuella installationsprogram eller konfigurationsändringar enbart via RDP. Ändringar går förlorade när du återanvänder eller skapar konfigurationsavvikelser.

Vanliga frågor och svar (FAQ)

Vilket operativsystem körs på Managed Instance i Azure App Service?

Windows Server 2022.

Kan jag aktivera fler Windows-roller och funktioner?

Ja, via ett konfigurationsskript. Funktioner som tas bort från en framtida version av Windows Server är dock inte otillgängliga i Hanterad instans.

Får Managed Instance på Azure App Service regelbundna uppdateringar av plattforms- och programstackar?

Ja, instanser får rutinmässiga plattformsuppdateringar och underhåll. Förinstallerade programstackar uppdateras också regelbundet. Du måste underhålla alla komponenter som installeras via konfigurationsskript (installera).

Vilka programmeringsspråk installeras på Managed Instance i Azure App Service?

Microsoft .NET Framework 3.5, 4.8 och Microsoft .NET 8.0. Om du behöver andra körningar kan du installera dem med hjälp av ett konfigurationsskript. Dessa underhålls inte av plattformen och måste uppdateras manuellt.

Vilka är begränsningar för konfigurationsskripten (installera) ?

Konfigurationsskript (installera) kan installera beroenden, aktivera roller och funktioner och anpassa operativsystemet. Destruktiva åtgärder (till exempel borttagning Windows\System32) stöds dock inte och kan leda till instansinstabilitet.

På vilken behörighetsnivå körs ett konfigurationsskript (installera) ?

Konfigurationsskript (installation) körs med administratörsbehörighet för att tillåta installation och konfiguration av komponenter på systemnivå.

Vilka rollbehörigheter har en operatör vid anslutning till en instans med Bastion?

Operatörer som ansluter via Bastion har administratörsbehörighet under sessionen.

Hur felsöker jag fel med mitt konfigurationsskript (installationsskript) eller register-/lagringskort?

Om du vill felsöka granskar du loggarna för konfigurationsskript (installation). De finns i C:\InstallScripts\Script\Install.log på instansen (inte webbappen). Du kan också skicka App Service-konsolloggar till Azure Monitor och Log Analytics.

Kortloggar finns i datorns rot, alternativt loggas de in i App Service Platform-loggar.

Vad är det adresserbara minnet för en hanterad instans i Azure App Service-arbetsinstansen?

Det adresserbara minnet för en hanterad instans i Azure App Service-arbetsinstansen varierar beroende på vilken prisplan som valts. I följande tabell visas det adresserbara minnet för den hanterade instansen på Azure App Service Worker-instansen. Det är viktigt att tänka på om du har ett konfigurationsskript som installerar fler komponenter, tjänster osv. Dessa resurser påverkar mängden minne som är tillgängligt för användning av dina webbappar.

Prisplan Cores Minne (MB)
P0v4 1 2048
P1v4 2 5952
P2v4 4 13440
P3v4 8 28672
P1Mv4 2 13440
P2Mv4 4 28672
P3Mv4 8 60160
P4Mv4 16 121088
P5Mv4 32 246016

Vilken Azure Storage-tjänst ska jag använda för att ladda upp ett konfigurationsskript (installera) ?

Använd Azure Storage-blobtjänsten för att ladda upp skriptet och nödvändiga beroenden.

Finns det en begränsning för namngivning och format för konfigurationsskriptet (installera) ?

Ja, skriptet måste ha namnet Install.ps1. Endast PowerShell stöds. Se till att ladda upp konfigurationsskript och beroenden som en enda .zip fil.

Finns det en storleksgräns för de beroenden som jag kan ladda upp som en del av zip-filen?

Ingen storleksgräns tillämpas. Kom ihåg att den totala storleken på beroenden påverkar instansetableringstiden.

Startar tillägg eller redigering av hanterad instans på App Service-plankort planens instanser?

Ja, om du lägger till eller redigerar plankort för hanterad instans (konfigurationsskript/lagring/register) startar du om de underliggande instanserna och påverkar alla webbappar som distribueras till planen. Kom ihåg att omstarter av instanser tar bort alla ändringar som görs via RDP-sessionen. Använd alltid konfigurationsskriptet (installera) för att bevara installation av beroenden eller andra konfigurationsändringar som krävs.

Min plan för hanterad instans har flera instanser kan jag starta om en enda instans?

Ja, bläddra till den hanterade instansen och välj Instanser på den vänstra menyn. Välj sedan starta om bredvid instansnamnet.

Min hanterade instans på App Service-planen har flera webbprogram kan jag starta om ett enda webbprogram?

Ja, bläddra till appens översiktssida och välj Starta om.

Kan jag tilldela hanterad identitet till mitt webbprogram i den hanterade instansen i App Service-planen?

Ja, du kan tilldela en annan hanterad identitet till ett webbprogram i den hanterade instansen. Följ vägledningen för hanterad identitet

Finns det en begränsning för antalet kort som jag kan skapa för Hanterad instans i App Service-planen?

Nej, det finns ingen gräns för antalet lagrings- eller registerkort. Du kan bara skapa ett skriptkort för enskild konfiguration (installera) för Managed Instance i App Service-planen. Att öka antalet kort kan påverka etableringstiden för Managed Instance.

Relaterat innehåll

  • Last updated on