App Service az Azure Stack Hub 2302 kibocsátási megjegyzései

Ezek a kibocsátási megjegyzések ismertetik az Azure Stack Hub 2302 Azure App Service fejlesztéseit és javításait, valamint az ismert problémákat. Az ismert problémák az üzembe helyezéssel, a frissítési folyamattal és a buildel kapcsolatos problémákra (telepítés utáni) közvetlenül kapcsolódó problémákra oszlanak.

Fontos

Frissítse az Azure Stack Hubot egy támogatott verzióra (vagy ha szükséges, telepítse a legújabb Azure Stack Development Kitet) a App Service erőforrás-szolgáltató (RP) üzembe helyezése vagy frissítése előtt. Mindenképpen olvassa el az RP kibocsátási megjegyzéseit, hogy megismerje az új funkciókat, a javításokat és az üzembe helyezést esetlegesen befolyásoló ismert problémákat.

Támogatott minimális Azure Stack Hub-verzió	App Service RP-verzió
2301 és újabb	2302 Installer (kibocsátási megjegyzések)

Összeállítási referencia

Az Azure Stack Hub 2302-es buildszámának App Service 98.0.1.703

Újdonságok

Azure App Service Az Azure Stack Hub 2302-es kiadása felváltja a 2022-es H1 kiadást, és az alábbi problémák javításait tartalmazza:

• CVE-2023-21703 Azure App Service az Azure Stack Hub jogosultságszint-emelési biztonsági résén.

• Nem nyitható meg Virtual Machine Scale Sets felhasználói élmény az Azure Stack Hub felügyeleti portáljának App Service szerepkörök rendszergazdai felhasználói felületén.

• Az összes többi frissítés az Azure Stack Hub 2022 H1 frissítési kibocsátási megjegyzéseinek Azure App Service található.

• Az Azure Stack Hub 2022 H1 frissítésének Azure App Service a K betű mostantól fenntartott termékváltozatú levél. Ha van egy egyéni termékváltozata, amely a K betűt használja, a frissítés előtt vegye fel a kapcsolatot az ügyfélszolgálattal a probléma megoldásához.

Előfeltételek

Az üzembe helyezés megkezdése előtt tekintse meg az Első lépések dokumentációt .

Az Azure Stack Hub Azure App Service 2302-re való frissítésének megkezdése előtt:

• Győződjön meg arról, hogy az Azure Stack Hub1.2108.2.127-ös vagy 1.2206.2.52-ös verzióra frissült.

• Győződjön meg arról, hogy minden szerepkör készen áll a Azure App Service felügyeletére az Azure Stack Hub felügyeleti portálján.

• Biztonsági másolatot App Service titkos kódokról az Azure Stack Hub felügyeleti portáljának App Service felügyeletével.

• A App Service és SQL Server főadatbázisok biztonsági mentése:

  • AppService_Hosting;
  • AppService_Metering;
  • Mester

• A bérlői alkalmazás tartalomfájlmegosztásának biztonsági mentése.

  Fontos

  A felhőszolgáltatók felelősek a fájlkiszolgáló és a SQL Server karbantartásáért és működéséért. Az erőforrás-szolgáltató nem kezeli ezeket az erőforrásokat. A felhőszolgáltató feladata a App Service adatbázisok és a bérlői tartalomfájl-megosztás biztonsági mentése.

• Az egyéni szkriptbővítmény1.9.3-es verziójának szindikálása a Marketplace-ről.

Frissítés előtti lépések

Megjegyzés

Ha korábban már telepített Azure App Service az Azure Stack Hub 2022 H1-en az Azure Stack Hub-bélyegre, ez a kiadás egy kisebb frissítés a 2022 H1-re, amely két problémát old meg.

Azure App Service az Azure Stack Hub 2302 jelentős frissítés, amely több órát is igénybe vehet. A teljes üzemelő példány frissül, és minden szerepkör újra létrejön a Windows Server 2022 Datacenter operációs rendszerrel. Ezért javasoljuk, hogy a frissítés alkalmazása előtt tájékoztassa a végfelhasználót a tervezett frissítésről.

• Az Azure Stack Hub 2022 H1 frissítésének Azure App Service a K betű mostantól fenntartott termékváltozatú levél. Ha van egy egyéni termékváltozata, amely a K betűt használja, a frissítés előtt vegye fel a kapcsolatot az ügyfélszolgálattal a probléma megoldásához.

Tekintse át az ismert problémákat a frissítéshez , és végezze el az előírt műveleteket.

Üzembe helyezés után lépések

Fontos

Ha az App Service erőforrás-szolgáltatónak sql Always On-példányt adott meg, hozzá kell adnia a appservice_hosting és appservice_metering adatbázisokat egy rendelkezésre állási csoporthoz, és szinkronizálnia kell az adatbázisokat, hogy az adatbázis feladatátvétele esetén ne csökkenjen a szolgáltatás.

Ismert problémák (frissítés)

• Olyan esetekben, amikor a appservice_hosting és appservice_metering adatbázisokat tartalmazott adatbázisokká alakította át, a frissítés meghiúsulhat, ha a bejelentkezések nem lettek sikeresen áttelepítve a tartalmazott felhasználókra.

  Ha az üzembe helyezés után a appservice_hosting és appservice_metering adatbázisokat tartalmazott adatbázissá alakította át, és nem migrálta sikeresen az adatbázis-bejelentkezéseket a tartalmazott felhasználókra, frissítési hibákat tapasztalhat.

  A következő szkriptet a SQL Server üzemeltetési appservice_hosting és appservice_metering kell végrehajtania, mielőtt frissítené a Azure App Service az Azure Stack Hub 2020 3. negyedévi telepítésére. Ez a szkript nem romboló, és nem okoz állásidőt.

  Ezt a szkriptet a következő feltételek mellett kell futtatni:

  • Egy rendszergazdai jogosultsággal rendelkező felhasználó, például az SQL SA-fiók alapján.
  • Ha az SQL Always on parancsot használja, győződjön meg arról, hogy a szkript az űrlap összes App Service bejelentkezését tartalmazó SQL-példányról fut:
    • appservice_hosting_FileServer
    • appservice_hosting_HostingAdmin
    • appservice_hosting_LoadBalancer
    • appservice_hosting_Operations
    • appservice_hosting_Publisher
    • appservice_hosting_SecurePublisher
    • appservice_hosting_WebWorkerManager
    • appservice_metering_Common
    • appservice_metering_Operations
    • Minden WebWorker-bejelentkezés – amely WebWorker_instance IP-cím formájában< van megadva>

        USE appservice_hosting
        IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
        BEGIN
        DECLARE @username sysname ;  
        DECLARE user_cursor CURSOR  
        FOR
            SELECT dp.name
            FROM sys.database_principals AS dp  
            JOIN sys.server_principals AS sp
                ON dp.sid = sp.sid  
                WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
            OPEN user_cursor  
            FETCH NEXT FROM user_cursor INTO @username  
                WHILE @@FETCH_STATUS = 0  
                BEGIN  
                    EXECUTE sp_migrate_user_to_contained
                    @username = @username,  
                    @rename = N'copy_login_name',  
                    @disablelogin = N'do_not_disable_login';  
                FETCH NEXT FROM user_cursor INTO @username  
            END  
            CLOSE user_cursor ;  
            DEALLOCATE user_cursor ;
            END
        GO
  
        USE appservice_metering
        IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
        BEGIN
        DECLARE @username sysname ;  
        DECLARE user_cursor CURSOR  
        FOR
            SELECT dp.name
            FROM sys.database_principals AS dp  
            JOIN sys.server_principals AS sp
                ON dp.sid = sp.sid  
                WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
            OPEN user_cursor  
            FETCH NEXT FROM user_cursor INTO @username  
                WHILE @@FETCH_STATUS = 0  
                BEGIN  
                    EXECUTE sp_migrate_user_to_contained
                    @username = @username,  
                    @rename = N'copy_login_name',  
                    @disablelogin = N'do_not_disable_login';  
                FETCH NEXT FROM user_cursor INTO @username  
            END  
            CLOSE user_cursor ;  
            DEALLOCATE user_cursor ;
            END
        GO
  

• A bérlői alkalmazások nem tudnak tanúsítványokat kötni az alkalmazásokhoz a frissítés után.

  A probléma oka az, hogy a Windows Server 2022-re való frissítés után hiányzik egy funkció az előtérrendszeren. Az operátoroknak ezt az eljárást kell követnie a probléma megoldásához.

  1. Az Azure Stack Hub felügyeleti portálján lépjen a Hálózati biztonsági csoportok lapra, és tekintse meg a ControllersNSG hálózati biztonsági csoportot.

  2. Alapértelmezés szerint a távoli asztal minden App Service infrastruktúra-szerepkörre le van tiltva. Módosítsa a Inbound_Rdp_3389 szabályműveletet a Hozzáférés engedélyezése beállításra.

  3. Lépjen a App Service erőforrás-szolgáltató üzemelő példányt tartalmazó erőforráscsoportra, a név alapértelmezés szerint AppService.<régióban>, és csatlakozzon a CN0-VM-hez.

  4. Térjen vissza a CN0-VM távoli asztali munkamenethez.

  5. Rendszergazdai PowerShell-munkamenetben futtassa a következőt:

     Fontos

     A szkript végrehajtása során az előtér-méretezési csoport minden példánya szünetel. Ha egy üzenet arról tájékoztatja, hogy a szolgáltatás telepítve van, a példány újraindul. Használja a szünetet a szkriptben az előtér rendelkezésre állásának fenntartásához. Az operátoroknak mindig gondoskodniuk kell arról, hogy legalább egy előtérpéldány "Kész" legyen, hogy a bérlői alkalmazások fogadhassák a forgalmat, és ne tapasztaljanak állásidőt.

     $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
     $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
     $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
     
     Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
         $lb = $_
         $session = New-PSSession -ComputerName $lb.Name -Credential $cred
     
         Invoke-Command -Session $session {
           $f = Get-WindowsFeature -Name Web-CertProvider
           if (-not $f.Installed) {
               Write-Host Install feature on $env:COMPUTERNAME
               Install-WindowsFeature -Name Web-CertProvider
     
               Shutdown /t 5 /r /f 
           }
        }
     }
     
     Remove-PSSession -Session $session
     
     Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
     

  6. Az Azure Stack felügyeleti portálon lépjen vissza a ControllersNSG hálózati biztonsági csoporthoz.

  7. Módosítsa a Inbound_Rdp_3389 szabályt a hozzáférés megtagadásához.

Ismert problémák (telepítés után)

• A feldolgozók nem tudják elérni a fájlkiszolgálót, ha App Service egy meglévő virtuális hálózaton vannak üzembe helyezve, és a fájlkiszolgáló csak a magánhálózaton érhető el, ahogy azt az Azure Stack üzembe helyezési dokumentációjának Azure App Service is ismerteti.

  Ha egy meglévő virtuális hálózaton és egy belső IP-címen szeretne csatlakozni a fájlkiszolgálóhoz, hozzá kell adnia egy kimenő biztonsági szabályt, amely engedélyezi az SMB-forgalmat a feldolgozó alhálózat és a fájlkiszolgáló között. Lépjen a WorkersNsg elemre a felügyeleti portálon, és adjon hozzá egy kimenő biztonsági szabályt a következő tulajdonságokkal:

  • Forrás: Bármely
  • Forrásporttartomány: *
  • Cél: IP-címek
  • Cél IP-címtartománya: A fájlkiszolgáló IP-címtartománya
  • Célporttartomány: 445
  • Protokoll: TCP
  • Művelet: Engedélyezés
  • Prioritás: 700
  • Név: Outbound_Allow_SMB445

• A fájlkiszolgálóval kommunikáló feldolgozók késésének megszüntetése érdekében javasoljuk, hogy adja hozzá a következő szabályt a feldolgozó NSG-hez, hogy engedélyezze a kimenő LDAP- és Kerberos-forgalmat az Active Directory-vezérlőknek, ha a fájlkiszolgálót az Active Directory használatával biztosítja; Ha például a Gyorsindítás sablont használta egy HA-fájlkiszolgáló üzembe helyezéséhez, és SQL Server.

  Lépjen a WorkersNsg elemre a felügyeleti portálon, és adjon hozzá egy kimenő biztonsági szabályt a következő tulajdonságokkal:

  • Forrás: Bármely
  • Forrásporttartomány: *
  • Cél: IP-címek
  • Cél IP-címtartománya: Ip-címek tartománya az AD-kiszolgálókhoz, például a 10.0.0.100-as, 10.0.0.101-as gyorsindítási sablonnal
  • Célporttartomány: 389,88
  • Protokoll: bármely
  • Művelet: Engedélyezés
  • Prioritás: 710
  • Név: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers

• A bérlőalkalmazások nem tudnak tanúsítványokat kötni az alkalmazásokhoz a frissítés után.

  A probléma oka az, hogy a Windows Server 2022-re való frissítés után hiányzik egy funkció az előtérben. Az operátoroknak ezt az eljárást kell követnie a probléma megoldásához:

  1. Az Azure Stack Hub felügyeleti portálján lépjen a Hálózati biztonsági csoportok elemre, és tekintse meg a ControllersNSG hálózati biztonsági csoportot.

  2. Alapértelmezés szerint a távoli asztal minden App Service infrastruktúra-szerepkörre le van tiltva. Módosítsa a Inbound_Rdp_3389 szabályműveletet a Hozzáférés engedélyezése beállításra .

  3. Lépjen a App Service erőforrás-szolgáltató üzemelő példányát tartalmazó erőforráscsoportra, alapértelmezés szerint a név AppService.<régióban>, és csatlakozzon a CN0-VM-hez.

  4. Térjen vissza a CN0-VM távoli asztali munkamenethez.

  5. Rendszergazdai PowerShell-munkamenetben futtassa a következőt:

     Fontos

     A szkript végrehajtása során az előtér-méretezési csoport minden példánya szünetel. Ha egy üzenet jelzi, hogy a szolgáltatás telepítve van, a példány újraindul. Használja a szünetet a szkriptben az előtér rendelkezésre állásának fenntartásához. Az operátoroknak minden alkalommal gondoskodniuk kell arról, hogy legalább egy előtérpéldány "Kész" legyen, hogy a bérlői alkalmazások fogadhassák a forgalmat, és ne tapasztaljanak állásidőt.

     $c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
     $spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
     $cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)
     
     Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
         $lb = $_
         $session = New-PSSession -ComputerName $lb.Name -Credential $cred
     
         Invoke-Command -Session $session {
           $f = Get-WindowsFeature -Name Web-CertProvider
           if (-not $f.Installed) {
               Write-Host Install feature on $env:COMPUTERNAME
               Install-WindowsFeature -Name Web-CertProvider
     
               Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
               Shutdown /t 5 /r /f 
           }
        }
     }
     
     Remove-PSSession -Session $session      
     

  6. Az Azure Stack felügyeleti portálon lépjen vissza a ControllersNSG hálózati biztonsági csoporthoz.

  7. Módosítsa a Inbound_Rdp_3389 szabályt a hozzáférés megtagadásához.

Az Azure Stacken Azure App Service üzemeltető felhőadminisztrátorokkal kapcsolatos ismert problémák

• Az egyéni tartományok nem támogatottak leválasztott környezetekben.

  App Service elvégzi a tartomány tulajdonjogának ellenőrzését a nyilvános DNS-végpontokon. Ennek eredményeképpen az egyéni tartományok nem támogatottak a leválasztott forgatókönyvekben.

• Virtual Network webes és függvényalkalmazások integrációja nem támogatott.

  A virtuális hálózati integráció web- és függvényalkalmazásokhoz való hozzáadásának képessége megjelenik az Azure Stack Hub portálon, és ha egy bérlő konfigurálni próbál, belső kiszolgálóhiba jelenik meg. Ez a funkció nem támogatott az Azure Stack Hub Azure App Service.

Következő lépések

• A Azure App Service áttekintését lásd: Azure App Service az Azure Stackben – áttekintés.
• A App Service Azure Stacken való üzembe helyezésének előkészítésével kapcsolatos további információkért lásd: Az Azure Stack App Service használatának első lépései.