Požadavky na nasazení služby App Service ve službě Azure Stack Hub

Důležité

Pokud je to nutné, aktualizujte centrum Azure Stack na podporovanou verzi (nebo v případě potřeby nasaďte nejnovější Azure Stack Development Kit) před nasazením nebo aktualizací App Serviceho poskytovatele prostředků (RP). Nezapomeňte si přečíst poznámky k verzi RP, kde se dozvíte o nových funkcích, opravách a známých problémech, které by mohly mít vliv na nasazení.

Podporovaná verze centra Azure Stack Verze App Service RP
2108 instalační program 2021. Q3 (poznámky k verzi)
2102 2021. Q1 – instalační program (poznámky k verzi)
2008 2020. Q3 – instalační program (poznámky k verzi)

Před nasazením Azure App Service v centru Azure Stack je nutné provést požadované kroky v tomto článku.

Než začnete

V této části jsou uvedeny předpoklady pro nasazení integrovaných systémů a Azure Stack Development Kit (ASDK).

Požadavky poskytovatele prostředků

Pokud jste už nainstalovali poskytovatele prostředků, pravděpodobně jste dokončili následující požadavky a tuto část můžete přeskočit. V opačném případě tyto kroky proveďte, než budete pokračovat:

  1. Pokud jste to ještě neudělali, Zaregistrujte svou instanci centra Azure Stack v Azure. Tento krok je nutný, protože se budete připojovat k webu Marketplace a stahovat z něj položky z Azure.

  2. Pokud nejste obeznámeni s funkcí správy Marketplace portálu pro správu centra Azure Stack, přečtěte si téma stažení položek z webu Marketplace z Azure a publikování do centra Azure Stack. Tento článek vás provede procesem stahování položek z Azure do tržiště centra Azure Stack. Zahrnuje jak připojené, tak odpojené scénáře. Pokud je vaše instance centra Azure Stack odpojená nebo je připojená částečně, existují další předpoklady, které je potřeba provést v přípravě na instalaci.

  3. aktualizujte si domovský adresář Azure Active Directory (Azure AD). Počínaje sestavou Build 1910 musí být v tenantovi domovského adresáře zaregistrovaná nová aplikace. Tato aplikace umožní centru Azure Stack úspěšně vytvořit a zaregistrovat novější poskytovatele prostředků (jako Event Hubs a další) s vaším klientem služby Azure AD. Jedná se o jednorázovou akci, kterou je třeba provést po upgradu na Build 1910 nebo novější. Pokud tento krok není dokončený, instalace poskytovatele prostředků Marketplace se nezdaří.

Instalační a pomocné skripty

  1. Stáhněte si App Service v Azure Stackch pomocných skriptech nasazení centra.

    Poznámka

    Pomocné skripty pro nasazení vyžadují modul AzureRM PowerShellu. Podrobnosti o instalaci najdete v tématu Instalace modulu PowerShell AzureRM pro centrum Azure Stack .

  2. Stáhněte App Service v instalačním programu centra Azure Stack.

  3. Extrahujte soubory z pomocných skriptů .zip souboru. Extrahovány jsou následující soubory a složky:

    • Common.ps1
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • Složka modulů
      • GraphAPI. psm1

Certifikáty a konfigurace serveru (integrované systémy)

V této části jsou uvedené požadavky na nasazení integrovaných systémů.

Požadavky na certifikáty

Pokud chcete spustit poskytovatele prostředků v produkčním prostředí, musíte zadat tyto certifikáty:

  • Výchozí certifikát domény
  • Certifikát rozhraní API
  • Publikování certifikátu
  • Certifikát identity

Kromě specifických požadavků uvedených v následujících oddílech také použijte nástroj později k otestování obecných požadavků. Úplný seznam ověření najdete v tématu ověření certifikátů infrastruktury veřejných klíčů Azure Stack hub , včetně:

  • Formát souboru . PFX
  • Použití klíče nastaveného na ověřování serveru a klienta
  • a několik dalších

Výchozí certifikát domény

Výchozí certifikát domény je umístěn na front-end roli. Uživatelské aplikace pro zástupný znak nebo výchozí doména, které Azure App Service použít tento certifikát. Certifikát se používá také pro operace správy zdrojových kódů (Kudu).

Certifikát musí být ve formátu. pfx a měl by se jednat o certifikát zástupných znaků se třemi tématy. Tento požadavek umožňuje jednomu certifikátu pokrýt jak výchozí doménu, tak koncový bod SCM pro operace správy zdrojových kódů.

Formát Příklad
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

Certifikát rozhraní API

Certifikát rozhraní API se umístí do role správy. Poskytovatel prostředků ho používá k zajištění zabezpečení volání rozhraní API. Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS rozhraní API.

Formát Příklad
API. AppService. < oblast > . < Název_domény > . < klapk> API. AppService. Redmond. azurestack. external

Publikování certifikátu

certifikát pro Publisher role zabezpečuje provoz FTPS pro vlastníky aplikací při nahrávání obsahu. Certifikát pro publikování musí obsahovat předmět, který odpovídá položce DNS FTPS.

Formát Příklad
FTP. AppService. < oblast > . < Název_domény > . < klapk> FTP. AppService. Redmond. azurestack. external

Certifikát identity

Certifikát pro aplikaci identity umožňuje:

  • integrace mezi adresářem Azure Active Directory (Azure AD) nebo Active Directory Federation Services (AD FS) (AD FS), Azure Stackm centrem a App Service pro podporu integrace se zprostředkovatelem výpočetních prostředků.
  • Scénáře jednotného přihlašování pro pokročilé vývojářské nástroje v Azure App Service v centru Azure Stack

Certifikát pro identitu musí obsahovat předmět, který odpovídá následujícímu formátu.

Formát Příklad
SSO. AppService. < oblast > . < Název_domény > . < klapk> SSO. AppService. Redmond. azurestack. external

Ověřit certifikáty

Než nasadíte poskytovatele prostředků App Service, měli byste ověřit certifikáty, které se mají použít , pomocí nástroje pro kontrolu připravenosti centra Azure Stack dostupného z Galerie prostředí PowerShell. Nástroj pro kontrolu připravenosti centra Azure Stack ověří, že vygenerované certifikáty PKI jsou vhodné pro App Service nasazení.

V rámci osvědčeného postupu se při práci s některým z nezbytných certifikátů PKI centra Azure Stackv případě potřeby měli naplánovat dostatek času na testování a vystavování certifikátů.

Příprava souborového serveru

Azure App Service vyžaduje použití souborového serveru. U produkčních nasazení je třeba souborový server nakonfigurovat tak, aby byl vysoce dostupný a schopný zpracovávat chyby.

Šablona rychlého startu pro vysoce dostupný souborový server a SQL Server

K dispozici je teď šablona rychlého startu referenční architektury, která nasadí souborový server a SQL Server. Tato šablona podporuje infrastrukturu služby Active Directory ve virtuální síti nakonfigurované tak, aby podporovala vysoce dostupné nasazení Azure App Service na Azure Stack Hub.

Důležité

Tato šablona je nabízena jako reference nebo jako příklad toho, jak můžete požadavky nasadit. Protože Azure Stack Hub spravuje tyto servery, zejména v produkčních prostředích, měli byste šablonu nakonfigurovat podle potřeby nebo podle potřeby ve vaší organizaci.

Poznámka

Aby bylo možné dokončit nasazení, musí mít integrovaná instance systému možnost GitHub z webu.

Postup nasazení vlastního souborového serveru

Důležité

Pokud se rozhodnete nasadit App Service existující virtuální síti, souborový server by se měl nasadit do samostatné podsítě, než je App Service.

Poznámka

Pokud jste se rozhodli nasadit souborový server pomocí jedné ze šablon pro rychlý start uvedených výše, můžete tuto část přeskočit, protože souborové servery jsou nakonfigurovány jako součást nasazení šablony.

Zřizování skupin a účtů ve službě Active Directory
  1. Vytvořte následující globální skupiny zabezpečení služby Active Directory:

    • FileShareOwners
    • FileShareUsers
  2. Vytvořte následující účty služby Active Directory jako účty služeb:

    • FileShareOwner
    • FileShareUser

    Osvědčeným postupem zabezpečení je, že uživatelé těchto účtů (a pro všechny webové role) by měli být jedineční a mít silná uživatelská jména a hesla. Nastavte hesla s následujícími podmínkami:

    • Povolení hesla nikdy nevyprší.
    • Povolit uživatele nemůže změnit heslo.
    • Při dalším přihlášení musí uživatel zakázat změnu hesla.
  3. Účty přidejte do členství ve skupinách následujícím způsobem:

    • Přidejte FileShareOwner do skupiny FileShareOwners.
    • Přidejte FileShareUser do skupiny FileShareUsers.
Zřizování skupin a účtů v pracovní skupině

Poznámka

Při konfiguraci souborového serveru spusťte z příkazového řádku správce všechny následující příkazy.
Nepoužívejte PowerShell.

Pokud použijete šablonu Azure Resource Manager, uživatelé jsou už vytvořeni.

  1. Spuštěním následujících příkazů vytvořte účty FileShareOwner a FileShareUser. Nahraďte <password> vlastními hodnotami.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. Spuštěním následujících příkazů WMIC nastavte hesla účtů tak, aby nikdy nevyprší:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. Vytvořte místní skupiny FileShareUsers a FileShareOwners a přidejte k nim účty v prvním kroku:

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

Zřízení sdílené složky obsahu

Sdílená sdílená stránka obsahu obsahuje obsah webu tenanta. Postup zřízení sdílené složky obsahu na jednom souborových serverech je stejný pro prostředí služby Active Directory i pracovní skupiny. U clusteru s podporou převzetí služeb při selhání ve službě Active Directory se to ale liší.

Zřízení sdílené složky obsahu na jednom souborových serverech (Active Directory nebo pracovní skupině)

Na jednom souborových serverech spusťte na příkazovém řádku se zvýšenými oprávněními následující příkazy. Nahraďte hodnotu C:\WebSites odpovídajícími cestami ve vašem prostředí.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Konfigurace řízení přístupu ke sdíleným složkám

Na příkazovém řádku se zvýšenými oprávněními na souborových serverech nebo na uzlu clusteru s podporou převzetí služeb při selhání, který je aktuálním vlastníkem prostředku clusteru, spusťte následující příkazy. Hodnoty nahraďte kurzívou hodnotami, které jsou specifické pro vaše prostředí.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Pracovní skupina

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Příprava instance SQL Serveru

Poznámka

Pokud jste se rozhodli nasadit šablonu pro rychlý start pro vysoce dostupný souborový server a SQL Server, můžete tuto část přeskočit při nasazení a konfiguraci šablony SQL Server v konfiguraci vysoké kategorie.

Aby bylo Azure App Service v Azure Stack Hub hostování a měření databází, musíte připravit instanci SQL Server pro App Service databáze.

Pro účely produkčního prostředí a vysoké dostupnosti byste měli použít plnou verzi SQL Server 2014 SP2 nebo novější, povolit ověřování ve smíšeném režimu a nasadit v konfiguraci s vysokou dostupností.

Instance SQL Server pro Azure App Service v Azure Stack Hub musí být přístupná ze všech App Service rolí. Můžete nasadit SQL Server rámci výchozího předplatného poskytovatele v Azure Stack Hub. Nebo můžete využít stávající infrastrukturu v rámci vaší organizace (pokud je k dispozici připojení k Azure Stack Hub). Pokud používáte image Azure Marketplace, nezapomeňte bránu firewall odpovídajícím způsobem nakonfigurovat.

Poznámka

Několik z nich SQL imagí virtuálních počítačů IaaS je k dispozici prostřednictvím funkce správy Marketplace. Před nasazením virtuálního počítače pomocí položky Marketplace nezapomeňte vždy stáhnout nejnovější verzi rozšíření SQL IaaS. Image SQL jsou stejné jako image virtuálních SQL, které jsou k dispozici v Azure. Pro SQL počítače vytvořené z těchto imagí poskytuje rozšíření IaaS a odpovídající vylepšení portálu funkce, jako jsou automatické opravy a možnosti zálohování.

Pro libovolnou z SQL Server můžete použít výchozí instanci nebo pojmenovanou instanci. Pokud používáte pojmenovanou instanci, nezapomeňte ručně spustit službu SQL Server Browser a otevřít port 1434.

Instalační App Service zkontroluje, že je v SQL Server povolená balíčky databáze. Pokud chcete povolit zachytlení databáze na SQL Server, která bude hostitelem App Service databází, spusťte tyto SQL příkazy:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Certifikáty a konfigurace serveru (ASDK)

Tato část uvádí požadavky pro nasazení ASDK.

Certifikáty vyžadované pro nasazení asdk Azure App Service

Skript Create-AppServiceCerts.ps1 funguje s certifikační autoritou Azure Stack Hub a vytvoří čtyři certifikáty, které App Service potřebují.

Název souboru Použití
_.appservice.local.azurestack.external.pfx App Service výchozí certifikát SSL
api.appservice.local.azurestack.external.pfx App Service certifikátu SSL rozhraní API
ftp.appservice.local.azurestack.external.pfx App Service SSL vydavatele
sso.appservice.local.azurestack.external.pfx App Service certifikátu aplikace identity

Pokud chcete vytvořit certifikáty, postupujte takto:

  1. Přihlaste se k hostiteli ASDK pomocí účtu AzureStack\AzureStackAdmin.
  2. Otevřete relaci PowerShellu se zvýšenými oprávněními.
  3. Spusťte Create-AppServiceCerts.ps1 skriptu ze složky, do které jste extraholi pomocné skripty. Tento skript vytvoří čtyři certifikáty ve stejné složce jako skript, který App Service pro vytváření certifikátů.
  4. Zadejte heslo pro zabezpečení souborů .pfx a poznamenejte si ho. Musíte ho zadat později v instalačním App Service Azure Stack Hub instalačním programu.

Create-AppServiceCerts.ps1 parametrů skriptu

Parametr Požadované nebo volitelné Výchozí hodnota Popis
pfxPassword Vyžadováno Null Heslo, které pomáhá chránit privátní klíč certifikátu
DomainName Vyžadováno local.azurestack.external Azure Stack Hub oblasti a přípony domény

Šablona rychlého startu pro souborový server pro nasazení Azure App Service na ASDK.

Pouze pro nasazení ASDK můžete použít příklad šablony Azure Resource Manager nasazení k nasazení nakonfigurovaného souborového serveru s jedním uzlem. Souborový server s jedním uzlem bude v pracovní skupině.

Poznámka

Instance ASDK musí být schopná stáhnout prostředky z GitHub, aby mohla dokončit nasazení.

SQL Server instance

Aby bylo Azure App Service v Azure Stack Hub hostování a měření databází, musíte připravit instanci SQL Server pro App Service databáze.

Pro nasazení ASDK můžete použít SQL Server Express 2014 SP2 nebo novější. SQL Server musí být nakonfigurované tak, aby podporovalo ověřování ve smíšeném režimu App Service protože Azure Stack Hub nepodporuje Windows režim.

Instance SQL Server pro Azure App Service v Azure Stack Hub musí být přístupná ze všech App Service rolí. Můžete nasadit SQL Server v rámci výchozího předplatného poskytovatele v Azure Stack Hub. Nebo můžete využít stávající infrastrukturu v rámci vaší organizace (pokud je k dispozici připojení k Azure Stack Hub). Pokud používáte image brány Azure Marketplace, nezapomeňte bránu firewall odpovídajícím způsobem nakonfigurovat.

Poznámka

Řada imagí SQL virtuálních počítačů IaaS je k dispozici prostřednictvím funkce správy Marketplace. Před nasazením virtuálního počítače pomocí položky Marketplace nezapomeňte vždy stáhnout nejnovější verzi rozšíření SQL IaaS. Image SQL jsou stejné jako image virtuálních SQL, které jsou k dispozici v Azure. Pro SQL počítače vytvořené z těchto imagí poskytuje rozšíření IaaS a odpovídající vylepšení portálu funkce, jako jsou automatické opravy a možnosti zálohování.

Pro libovolnou z SQL Server můžete použít výchozí instanci nebo pojmenovanou instanci. Pokud používáte pojmenovanou instanci, nezapomeňte ručně spustit službu SQL Server Browser a otevřít port 1434.

Instalační App Service zkontroluje, že je v SQL Server povolená balíčky databáze. Pokud chcete povolit zachytlení databáze na SQL Server, která bude hostitelem App Service databází, spusťte tyto SQL příkazy:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Aspekty licencování požadovaného souborového serveru a SQL Serveru

Azure App Service v Azure Stack Hub vyžaduje, aby souborový server a SQL Server fungovat. Můžete použít již existující prostředky umístěné mimo vaše nasazení Azure Stack Hub nebo nasadit prostředky v rámci jejich předplatného Azure Stack Hub výchozího poskytovatele.

Pokud se rozhodnete nasadit prostředky v rámci předplatného výchozího poskytovatele Azure Stack Hub, budou se licence na tyto prostředky (licence Windows Server a licence SQL Server) zahrnout do nákladů na Azure App Service na Azure Stack Hub s těmito omezeními:

  • infrastruktura se nasadí do výchozího předplatného poskytovatele.
  • Infrastrukturu používá výhradně Azure App Service poskytovatel Azure Stack Hub prostředků. Tuto infrastrukturu nemají povolené žádné jiné úlohy, administrativní úlohy (další poskytovatelé prostředků, například SQL-RP) ani tenant (například aplikace tenantů, které vyžadují databázi).

Provozní odpovědnost souborových a SQL serverů

Operátoři cloudu zodpovídají za údržbu a provoz souborového serveru a SQL Server. Poskytovatel prostředků tyto prostředky nespravuje. Operátor cloudu zodpovídá za zálohování databází App Service sdílené složky obsahu tenanta.

Načtení Azure Resource Manager certifikátu pro Azure Stack Hub

Otevřete relaci PowerShellu se zvýšenými oprávněními na počítači, který se může dostat do privilegovaného koncového bodu Azure Stack Hub integrovaném systému nebo hostiteli ASDK.

Spusťte Get-AzureStackRootCert.ps1 ze složky, do které jste extraholi pomocné skripty. Skript vytvoří kořenový certifikát ve stejné složce jako skript, který App Service pro vytváření certifikátů.

Když spustíte následující příkaz PowerShellu, musíte zadat privilegovaný koncový bod a přihlašovací údaje pro AzureStack\CloudAdmin.

    Get-AzureStackRootCert.ps1

Get-AzureStackRootCert.ps1 parametrů skriptu

Parametr Požadované nebo volitelné Výchozí hodnota Popis
PrivilegedEndpoint Vyžadováno AzS-ERCS01 Privilegovaný koncový bod
Přihlašovací údaje správce cloudu Vyžadováno AzureStack\CloudAdmin Přihlašovací údaje účtu domény Azure Stack Hub cloudových správců

Konfigurace sítě a identity

Virtuální síť

Poznámka

Vytvoření vlastní virtuální sítě je volitelné, protože Azure App Service v Azure Stack Hub může vytvořit požadovanou virtuální síť, ale pak bude muset komunikovat s SQL a souborový server přes veřejné IP adresy. Pokud byste k nasazení App Service prostředků SQL a souborového serveru se službou SQL Server Ha SQL Server měli použít šablonu pro rychlý start, šablona také nasadí virtuální síť.

Azure App Service v Azure Stack Hub umožňuje nasadit poskytovatele prostředků do existující virtuální sítě nebo vám v rámci nasazení umožňuje vytvořit virtuální síť. Použití existující virtuální sítě umožňuje použití interních IP adres pro připojení k souborového serveru a SQL Server, které Azure App Service na Azure Stack Hub. Před instalací virtuální sítě do virtuální sítě musí být nakonfigurované následující rozsah Azure App Service Azure Stack Hub podsítě:

Virtuální síť – /16

Podsítě

  • ControllersSubnet – /24
  • SprávaServeryPodsítě /24
  • FrontEndsSubnet – /24
  • PublishersSubnet /24
  • Pracovní /21

Důležité

Pokud se rozhodnete nasadit App Service ve stávající virtuální síti, SQL Server by se měl nasadit do samostatné podsítě od App Service a souborového serveru.

Vytvoření aplikace identity pro povolení scénářů jednotného přihlašování

Azure App Service používá aplikaci identity (objekt služby) k podpoře následujících operací:

  • Integrace škálovací sady virtuálních počítačů na úrovních pracovních procesů.
  • Jednotné přihlašování pro Azure Functions a pokročilé vývojářské nástroje (Kudu).

V závislosti na tom, kterého zprostředkovatele identity používá Azure Stack Hub, Azure Active Directory (Azure AD) nebo Active Directory Federation Services (AD FS) (ADFS), musíte postupovat podle následujících odpovídajících kroků a vytvořit objekt služby, který bude používat Azure App Service u poskytovatele Azure Stack Hub prostředků.

Vytvoření Aplikace Azure AD

Instanční objekt ve vašem tenantovi Azure AD vytvoříte podle těchto kroků:

  1. Otevřete instanci PowerShellu jako azurestack\AzureStackAdmin.
  2. Přejděte do umístění skriptů, které jste stáhli a extraholi v požadovaném kroku.
  3. Nainstalujte PowerShell pro Azure Stack Hub.
  4. Spusťte Create-AADIdentityApp.ps1 skript. Po zobrazení výzvy zadejte ID tenanta Azure AD, které používáte pro vaše Azure Stack Hub nasazení. Zadejte například myazurestack.onmicrosoft.com.
  5. V okně Přihlašovací údaje zadejte účet a heslo správce služby Azure AD. Vyberte OK.
  6. Zadejte cestu k souboru certifikátu a heslo certifikátu vytvořeného dříve. Certifikát vytvořený pro tento krok je ve výchozím nastavení sso.appservice.local.azurestack.external.pfx.
  7. Poznamenejte si ID aplikace vrácené ve výstupu PowerShellu. Toto ID použijete v následujících krocích k udělení souhlasu s oprávněními aplikace a během instalace.
  8. Otevřete nové okno prohlížeče a přihlaste se k Azure Portal jako Azure Active Directory služby.
  9. Otevřete službu Azure Active Directory.
  10. V levém podokně vyberte Registrace aplikací.
  11. Vyhledejte ID aplikace, které jste si prohlédli v kroku 7.
  12. V seznamu App Service registrace aplikace.
  13. V levém podokně vyberte Oprávnění rozhraní API.
  14. Vyberte Udělit souhlas správce pro > tenanta,kde tenant je název vašeho <> tenanta Azure AD. Potvrďte udělení souhlasu výběrem možnosti Ano.
    Create-AADIdentityApp.ps1
Parametr Požadované nebo volitelné Výchozí hodnota Popis
DirectoryTenantName Vyžadováno Null ID tenanta Azure AD. Zadejte GUID nebo řetězec. Příkladem je myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Vyžadováno Null Správce Azure Resource Manager koncový bod. Příkladem je adminmanagement. Local. azurestack. external.
TenantARMEndpoint Vyžadováno Null Koncový bod klienta Azure Resource Manager. Příkladem může být Management. Local. azurestack. external.
AzureStackAdminCredential Vyžadováno Null Přihlašovací údaje správce služby Azure AD.
CertificateFilePath Vyžadováno Null Úplná cesta k souboru certifikátu aplikace identity vygenerovaného dříve.
CertificatePassword Vyžadováno Null Heslo, které pomáhá chránit privátní klíč certifikátu.
Prostředí Volitelné AzureCloud název podporovaného cloudového prostředí, ve kterém je dostupná cílová služba Azure Active Directory Graph. Povolené hodnoty: "AzureCloud", "AzureChinaCloud", "AzureUSGovernment", "AzureGermanCloud".

Vytvoření aplikace ADFS

  1. Otevření instance prostředí PowerShell jako azurestack\AzureStackAdmin.
  2. Přejít do umístění skriptů, které jste stáhli a extrahovali v kroku požadavků.
  3. Nainstalujte PowerShell pro centrum Azure Stack.
  4. Spusťte skript Create-ADFSIdentityApp.ps1 .
  5. V okně přihlašovací údaje zadejte AD FS účet správce cloudu a heslo. Vyberte OK.
  6. Zadejte cestu k souboru certifikátu a heslo certifikátu pro certifikát, který jste vytvořili dříve. Certifikát vytvořený pro tento krok ve výchozím nastavení je SSO. AppService. Local. azurestack. external. pfx.
    Create-ADFSIdentityApp.ps1
Parametr Požadované nebo volitelné Výchozí hodnota Popis
AdminArmEndpoint Vyžadováno Null Správce Azure Resource Manager koncový bod. Příkladem je adminmanagement. Local. azurestack. external.
PrivilegedEndpoint Vyžadováno Null Privilegovaný koncový bod. Příkladem je AzS-ERCS01.
CloudAdminCredential Vyžadováno Null Přihlašovací údaje účtu domény pro cloudové správce Azure Stack hub Příkladem je Azurestack\CloudAdmin.
CertificateFilePath Vyžadováno Null Úplná cesta k souboru PFX pro certifikát aplikace identity
CertificatePassword Vyžadováno Null Heslo, které pomáhá chránit privátní klíč certifikátu.

Stáhnout položky z Azure Marketplace

Azure App Service v centru Azure Stack vyžaduje stažení položek z Azure Marketplace, takže jsou k dispozici v Marketplace centra Azure Stack. Tyto položky je nutné stáhnout před zahájením nasazení nebo upgradu Azure App Service v centru Azure Stack:

Důležité

jádro serveru Windows není podporovaná image platformy pro použití s Azure App Service v Azure Stackm centru.

Nepoužívejte zkušební image pro produkční nasazení.

  1. nejnovější verze Windows Server 2016 image virtuálního počítače Datacenter
  1. Windows Server 2016 úplnou bitovou kopii virtuálního počítače Datacenter s aktivovanou Microsoft.Net 3.5.1 SP1. Azure App Service v centru Azure Stack vyžaduje, aby byla na imagi používané k nasazení aktivována součást Microsoft .NET 3.5.1 SP1. Marketplace – zaWindows Server 2016é image nemají povolenu tuto funkci a v odpojených prostředích není možné získat Microsoft Update ke stažení balíčků pro instalaci prostřednictvím DISM. proto je nutné vytvořit a použít bitovou kopii Windows Server 2016 s touto funkcí, která je předem povolena s odpojeným nasazením.

    Podrobnosti o vytvoření vlastní image a přidání do Marketplace najdete v tématu Přidání vlastní image virtuálního počítače do centra Azure Stack . Při přidávání image do Marketplace Nezapomeňte zadat následující vlastnosti:

    • Publisher = MicrosoftWindowsServer
    • Nabídka = WindowsServer
    • SKU = 2016 – Datacenter
    • Verze = zadejte nejnovější verzi
  1. Rozšíření vlastních skriptů v 1.9.1 nebo novějším. Tato položka je rozšířením virtuálního počítače.

Další kroky

Instalace poskytovatele prostředků App Service