Azure Stack Hub'da uzantı konağına hazırlanma
Uzantı konağı, gerekli TCP/IP bağlantı noktalarının sayısını azaltarak Azure Stack Hub'ın güvenliğini sağlar. Bu makalede, 1808 güncelleştirmesinin ardından bir Azure Stack Hub güncelleştirme paketi aracılığıyla otomatik olarak etkinleştirilen uzantı konağı için Azure Stack Hub'ın hazırlanmasına bakılır. Bu makale Azure Stack Hub güncelleştirmeleri 1808, 1809 ve 1811 için geçerlidir.
Sertifika gereksinimleri
Uzantı konağı, her portal uzantısı için benzersiz konak girdilerini garanti etmek için iki yeni etki alanı ad alanı uygular. Yeni etki alanı ad alanları, güvenli iletişim sağlamak için iki ek joker sertifika gerektirir.
Tabloda yeni ad alanları ve ilişkili sertifikalar gösterilir:
| Dağıtım Klasörü | Gerekli sertifika konusu ve konu alternatif adları (SAN) | Kapsam (bölge başına) | Alt etki alanı ad alanı |
|---|---|---|---|
| uzantı kona Yönetici | *.adminhosting.<bölge.><fqdn> (Joker Karakter SSL Sertifikaları) | uzantı kona Yönetici | adminhosting.<bölge.><Fqdn> |
| Genel uzantı konağı | *.Barındırma.<bölge.><fqdn> (Joker Karakter SSL Sertifikaları) | Genel uzantı konağı | Barındırma.<bölge.><Fqdn> |
Ayrıntılı sertifika gereksinimleri için bkz. Azure Stack Hub ortak anahtar altyapısı sertifika gereksinimleri.
Sertifika imzalama isteği oluşturma
Azure Stack Hub Hazır Olma Denetleyicisi aracı, iki yeni ve gerekli SSL sertifikası için bir sertifika imzalama isteği oluşturmanıza olanak tanır. Azure Stack Hub sertifikaları imzalama isteği oluşturma makalesindeki adımları izleyin.
Not
SSL sertifikalarınızı nasıl istediğinize bağlı olarak bu adımı atlayabilirsiniz.
Yeni sertifikaları doğrulama
Donanım yaşam döngüsü konağı veya Azure Stack Hub yönetim iş istasyonu üzerinde yükseltilmiş izinle PowerShell'i açın.
Azure Stack Hub Hazırlık Denetleyicisi aracını yüklemek için aşağıdaki cmdlet'i çalıştırın:
Install-Module -Name Microsoft.AzureStack.ReadinessCheckerGerekli klasör yapısını oluşturmak için aşağıdaki betiği çalıştırın:
New-Item C:\Certificates -ItemType Directory $directories = 'ACSBlob','ACSQueue','ACSTable','Admin Portal','ARM Admin','ARM Public','KeyVault','KeyVaultInternal','Public Portal', 'Admin extension host', 'Public extension host' $destination = 'c:\certificates' $directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}Not
Microsoft Entra Kimliği Federasyon Hizmetleri (AD FS) ile dağıtım yaparsanız, betikteki $directories aşağıdaki dizinlerin eklenmesi gerekir:
ADFS,Graph.Şu anda Azure Stack Hub'da kullanmakta olduğunuz mevcut sertifikaları uygun dizinlere yerleştirin. Örneğin, Yönetici ARM sertifikasını klasörüne
Arm Adminyerleştirin. Ardından yeni oluşturulan barındırma sertifikalarını vePublic extension hostdizinlerineAdmin extension hostyerleştirin.Sertifika denetimini başlatmak için aşağıdaki cmdlet'i çalıştırın:
$pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString Start-AzsReadinessChecker -CertificatePath c:\certificates -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AADÇıktıyı denetleyin ve tüm sertifikaların tüm testleri geçip geçmediğini denetleyin.
Uzantı konak sertifikalarını içeri aktarma
Sonraki adımlar için Azure Stack Hub ayrıcalıklı uç noktasına bağlanabilen bir bilgisayar kullanın. Bu bilgisayardan yeni sertifika dosyalarına erişiminiz olduğundan emin olun.
Sonraki adımlar için Azure Stack Hub ayrıcalıklı uç noktasına bağlanabilen bir bilgisayar kullanın. Yeni sertifika dosyalarına bu bilgisayardan erişdiğinizden emin olun.
Sonraki betik bloklarını yürütmek için PowerShell ISE'yi açın.
Yönetici barındırma uç noktası için sertifikayı içeri aktarın.
$CertPassword = read-host -AsSecureString -prompt "Certificate Password" $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint." [Byte[]]$AdminHostingCertContent = [Byte[]](Get-Content c:\certificate\myadminhostingcertificate.pfx -Encoding Byte) Invoke-Command -ComputerName <PrivilegedEndpoint computer name> ` -Credential $CloudAdminCred ` -ConfigurationName "PrivilegedEndpoint" ` -ArgumentList @($AdminHostingCertContent, $CertPassword) ` -ScriptBlock { param($AdminHostingCertContent, $CertPassword) Import-AdminHostingServiceCert $AdminHostingCertContent $certPassword }Barındırma uç noktası için sertifikayı içeri aktarın.
$CertPassword = read-host -AsSecureString -prompt "Certificate Password" $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint." [Byte[]]$HostingCertContent = [Byte[]](Get-Content c:\certificate\myhostingcertificate.pfx -Encoding Byte) Invoke-Command -ComputerName <PrivilegedEndpoint computer name> ` -Credential $CloudAdminCred ` -ConfigurationName "PrivilegedEndpoint" ` -ArgumentList @($HostingCertContent, $CertPassword) ` -ScriptBlock { param($HostingCertContent, $CertPassword) Import-UserHostingServiceCert $HostingCertContent $certPassword }
DNS yapılandırmasını güncelleştirme
Not
DNS Tümleştirmesi için DNS Bölgesi temsilcisi kullandıysanız bu adım gerekli değildir. Tek tek konak A kayıtları Azure Stack Hub uç noktalarını yayımlayacak şekilde yapılandırılmışsa iki konak A kaydı daha oluşturmanız gerekir:
| IP | Konak adı | Tür |
|---|---|---|
| <IP> | *. Yönetici barındırma.<Bölge..>.<FQDN> | A |
| <IP> | *. Barındırma.<Bölge..>.<FQDN> | A |
Ayrılmış IP'ler Get-AzureStackStampInformation cmdlet'i çalıştırılarak ayrıcalıklı uç nokta kullanılarak alınabilir.
Bağlantı noktaları ve protokoller
Azure Stack Hub veri merkezi tümleştirmesi - Yayımlama uç noktaları makalesi, uzantı ana bilgisayar dağıtımından önce Azure Stack Hub'ı yayımlamak için gelen iletişim gerektiren bağlantı noktalarını ve protokolleri kapsar.
Yeni uç noktaları yayımlama
Güvenlik duvarınız aracılığıyla yayımlanması gereken iki yeni uç nokta vardır. Genel VIP havuzundan ayrılan IP'ler, Azure Stack Hub ortamınızın ayrıcalıklı uç noktasından çalıştırılması gereken aşağıdaki kod kullanılarak alınabilir.
# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IpOfERCSMachine>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IpOfERCSMachine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint" -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
# Obtain DNS Servers and extension host information from Azure Stack Hub Stamp Information and find the IPs for the Host Extension Endpoints
$StampInformation = Invoke-Command $PEPSession {Get-AzureStackStampInformation} | Select-Object -Property ExternalDNSIPAddress01, ExternalDNSIPAddress02, @{n="TenantHosting";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://*.","testdnsentry"-replace "/"}}, @{n="AdminHosting";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://*.","testdnsentry"-replace "/"}},@{n="TenantHostingDNS";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://",""-replace "/"}}, @{n="AdminHostingDNS";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://",""-replace "/"}}
If (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting -ErrorAction SilentlyContinue) {
Write-Host "Can access AZS DNS" -ForegroundColor Green
$AdminIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress02 -Name $StampInformation.AdminHosting).IPAddress
Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
$TenantIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting).IPAddress
Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Else {
Write-Host "Cannot access AZS DNS" -ForegroundColor Yellow
$AdminIP = (Resolve-DnsName -Name $StampInformation.AdminHosting).IPAddress
Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
$TenantIP = (Resolve-DnsName -Name $StampInformation.TenantHosting).IPAddress
Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Remove-PSSession -Session $PEPSession
Örnek Çıkış
Can access AZS DNS
The IP for the Admin Extension Host is: *.adminhosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.adminhosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
The IP address for the Tenant Extension Host is *.hosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.hosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
Not
Uzantı ana bilgisayarını etkinleştirmeden önce bu değişikliği yapın. Bu, Azure Stack Hub portallarının sürekli erişilebilir olmasını sağlar.
| Uç nokta (VIP) | Protokol | Bağlantı noktaları |
|---|---|---|
| Yönetici Barındırma | HTTPS | 443 |
| Barındırma | HTTPS | 443 |
Mevcut yayımlama Kurallarını güncelleştirme (Uzantı konağı etkinleştirme sonrası)
Not
1808 Azure Stack Hub Güncelleştirme Paketi henüz uzantı ana bilgisayarını etkinleştirmemektedir . Gerekli sertifikaları içeri aktararak uzantı konağına hazırlanmanızı sağlar. Uzantı konağı 1808 güncelleştirmesinin ardından bir Azure Stack Hub güncelleştirme paketi aracılığıyla otomatik olarak etkinleştirilmeden önce hiçbir bağlantı noktasını kapatmayın.
Mevcut güvenlik duvarı kurallarınızda aşağıdaki mevcut uç nokta bağlantı noktalarının kapatılması gerekir.
Not
Doğrulama başarılı olduktan sonra bu bağlantı noktalarının kapatılması önerilir.
| Uç nokta (VIP) | Protokol | Bağlantı noktaları |
|---|---|---|
| Portal (yönetici) | HTTPS | 12495 12499 12646 12647 12648 12649 12650 13001 13003 13010 13011 13012 13020 13021 13026 30015 |
| Portal (kullanıcı) | HTTPS | 12495 12649 13001 13010 13011 13012 13020 13021 30015 13003 |
| Azure Resource Manager (yönetici) | HTTPS | 30024 |
| Azure Resource Manager (kullanıcı) | HTTPS | 30024 |
Sonraki adımlar
- Güvenlik duvarı tümleştirmesi hakkında bilgi edinin.
- Azure Stack Hub sertifikaları imzalama isteği oluşturma hakkında bilgi edinin.