Prasyarat untuk menyebarkan App Service di Azure Stack Hub
Penting
Perbarui Azure Stack Hub ke versi yang didukung (atau sebarkan Azure Stack Development Kit terbaru) apabila diperlukan, sebelum menyebarkan atau memperbarui penyedia sumber (RP) App Service. Pastikan untuk membaca catatan rilis RP untuk mempelajari masalah yang diketahui, perbaikan, dan fungsionalitas baru yang dapat memengaruhi penyebaran Anda.
Versi Azure Stack Hub Minimum yang didukung Layanan RP App Service 2301 dan yang lebih baru Penginstal 2302 (catatan rilis)
Sebelum Anda menyebarkan Azure App Service di Azure Stack Hub, Anda harus menyelesaikan langkah-langkah prasyarat dalam artikel ini.
Sebelum Anda memulai
Bagian ini mencantumkan prasyarat untuk sistem terintegrasi dan penyebaran Azure Stack Development Kit (ASDK).
Prasyarat penyedia sumber
Jika Anda sudah menginstal penyedia sumber, Anda mungkin telah menyelesaikan prasyarat berikut, dan dapat melewati bagian ini. Jika tidak, selesaikan langkah-langkah ini sebelum melanjutkan:
Daftarkan instans Azure Stack Hub Anda dengan Azure, jika Anda belum melakukannya. Langkah ini diperlukan karena Anda akan terhubung dan mengunduh item ke marketplace dari Azure.
Jika Anda tidak terbiasa dengan fitur Manajemen Marketplace Azure dari portal administrator Azure Stack Hub, tinjau Unduh item marketplace dari Azure dan terbitkan ke Azure Stack Hub. Artikel ini memandu Anda melalui proses pengunduhan item dari Azure ke marketplace Azure Stack Hub. Artikel ini mencakup skenario yang terhubung dan terputus. Jika instans Azure Stack Hub Anda terputus atau tersambung sebagian, ada prasyarat tambahan yang harus diselesaikan dalam persiapan untuk penginstalan.
Perbarui direktori beranda Microsoft Entra Anda. Memulai dengan build 1910, aplikasi baru harus terdaftar di penyewa direktori beranda Anda. Aplikasi ini akan memungkinkan Azure Stack Hub untuk berhasil membuat dan mendaftarkan penyedia sumber daya yang lebih baru (seperti Azure Event Hubs dan lainnya) dengan penyewa Microsoft Entra Anda. Ini adalah tindakan satu kali yang perlu dilakukan setelah peningkatan build 1910 atau yang lebih baru. Jika langkah ini tidak selesai, penginstalan penyedia sumber marketplace akan gagal.
- Setelah Anda berhasil memperbarui instans Azure Stack Hub ke 1910 atau lebih baru, ikuti instruksi untuk mengkloning/mengunduh repositori Alat Azure Stack Hub.
- Kemudian, ikuti instruksi untuk Memperbarui Azure Stack Hub Microsoft Entra Home Directory (setelah menginstal pembaruan atau Penyedia Sumber Daya baru).
Skrip alat penginstal dan pembantu
Unduh skrip pembantu penyebaran App Service di Azure Stack Hub.
Catatan
Skrip pembantu penyebaran memerlukan modul AzureRM PowerShell. Lihat Memasang modul PowerShell AzureRM untuk Azure Stack Hub untuk detail penginstalan.
Ekstrak file dari skrip pembantu file .zip. File dan folder berikut diekstraksi:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- BCDR
- ReACL.cmd
- Folder modul
- GraphAPI.psm1
Sertifikat dan konfigurasi server (Sistem Terpadu)
Bagian ini mencantumkan prasyarat untuk penyebaran sistem terintegrasi.
Persyaratan sertifikat
Untuk menjalankan penyedia sumber dalam produksi, Anda harus menyediakan sertifikat berikut:
- Sertifikat domain default
- Sertifikat API
- Sertifikat penerbitan
- Sertifikat identitas
Selain persyaratan khusus yang tercantum di bagian berikut, Anda juga akan menggunakan alat nanti untuk menguji persyaratan umum. Lihat Memvalidasi sertifikat Azure Stack Hub PKI untuk daftar lengkap validasi, termasuk:
- Format file dari .PFX
- Penggunaan kunci diatur ke autentikasi server dan klien
- dan beberapa lainnya
Sertifikat domain default
Sertifikat domain default ditempatkan pada peran front-end. Aplikasi pengguna untuk permintaan domain wildcard atau default ke Azure App Service menggunakan sertifikat ini. Sertifikat ini juga digunakan untuk operasi kontrol sumber (Kudu).
Sertifikat harus dalam format .pfx dan harus menjadi sertifikat kartubebas tiga subjek. Persyaratan ini memungkinkan satu sertifikat untuk mencakup domain default dan titik akhir SCM untuk operasi kontrol sumber.
| Format | Contoh |
|---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
Sertifikat API
Sertifikat API ditempatkan pada peran Manajemen. Penyedia sumber menggunakannya untuk membantu mengamankan panggilan API. Sertifikat untuk penerbitan harus berisi subjek yang cocok dengan entri DNS API.
| Format | Contoh |
|---|---|
| api.appservice.<region>.<DomainName>.<extension> | api.appservice.redmond.azurestack.external |
Sertifikat penerbitan
Sertifikat untuk peran Penerbit mengamankan lalu lintas FTPS bagi pemilik aplikasi saat mereka mengunggah konten. Sertifikat untuk penerbitan harus berisi subjek yang cocok dengan entri DNS FTPS.
| Format | Contoh |
|---|---|
| ftp.appservice.<region>.<DomainName>.<extension> | ftp.appservice.redmond.azurestack.external |
Sertifikat identitas
Sertifikat untuk aplikasi identitas memungkinkan:
- Integrasi antara direktori Microsoft Entra ID atau Active Directory Federation Services (AD FS), Azure Stack Hub, dan App Service untuk mendukung integrasi dengan penyedia sumber daya komputasi.
- Skenario akses menyeluruh untuk alat pengembang tingkat lanjut dalam Azure App Service di Azure Stack Hub.
Sertifikat untuk identitas harus berisi subjek yang sesuai dengan format berikut.
| Format | Contoh |
|---|---|
| sso.appservice.<region>.<DomainName>.<extension> | sso.appservice.redmond.azurestack.external |
Memvalidasi sertifikat
Sebelum menyebarkan penyedia sumber App Service, Anda harus memvalidasi sertifikat yang akan digunakan dengan menggunakan Azure Stack Hub Readiness Checker Tool yang tersedia dari Galeri PowerShell. Azure Stack Hub Readiness Checker Tool memvalidasi bahwa sertifikat PKI yang dihasilkan cocok untuk penyebaran App Service.
Sebagai praktik terbaik, ketika bekerja dengan salah satu sertifikat PKI Azure Stack Hub yang diperlukan, Anda harus merencanakan cukup waktu untuk menguji dan menerbitkan kembali sertifikat jika perlu.
Menyiapkan server file
Azure App Service memerlukan penggunaan server file. Untuk penyebaran produksi, server file harus dikonfigurasi agar sangat tersedia dan mampu menangani kegagalan.
Templat mulai cepat untuk server file yang Sangat Tersedia dan SQL Server
Templat mulai cepat arsitektur referensi sekarang tersedia yang akan menyebarkan server file dan SQL Server. Templat ini mendukung infrastruktur Active Directory Domain Services dalam jaringan virtual yang dikonfigurasi untuk mendukung penyebaran Azure App Service yang sangat tersedia di Azure Stack Hub.
Penting
Templat ini ditawarkan sebagai referensi atau contoh bagaimana Anda dapat menyebarkan prasyarat. Karena Operator Azure Stack Hub mengelola server ini, terutama di lingkungan produksi, Anda harus mengonfigurasi templat sesuai kebutuhan atau diperlukan oleh organisasi Anda.
Catatan
Instans sistem terintegrasi harus dapat mengunduh sumber daya dari GitHub untuk menyelesaikan penyebaran.
Langkah-langkah untuk menyebarkan server file kustom
Penting
Jika Anda memilih untuk menyebarkan App Service di jaringan virtual yang ada, server file harus disebarkan ke Subnet terpisah dari App Service.
Catatan
Jika Anda telah memilih untuk menyebarkan server file menggunakan salah satu templat Mulai Cepat yang disebutkan di atas, Anda dapat melewati bagian ini karena server file dikonfigurasi sebagai bagian dari penyebaran templat.
Masukkan grup dan akun dalam Direktori Aktif
Buat grup keamanan global Active Directory Domain Services berikut:
- FileShareOwners
- FileShareUsers
Buat akun Active Directory berikut sebagai akun layanan:
- FileShareOwner
- FileShareUser
Sebagai praktik terbaik keamanan, pengguna untuk akun ini (dan untuk semua peran web) harus unik dan memiliki nama pengguna dan kata sandi yang kuat. Atur kata sandi dengan kondisi berikut:
- Aktifkan Kata Sandi tidak pernah kedaluwarsa.
- Aktifkan Pengguna tidak dapat mengubah kata sandi.
- Nonaktifkan Pengguna harus mengubah kata sandi saat masuk berikutnya.
Menambahkan akun ke keanggotaan grup sebagai berikut:
- Tambahkan FileShareOwner ke grup FileShareOwners.
- Tambahkan FileShareUser ke grup FileShareUsers.
Grup dan akun ketentuan dalam grup kerja
Catatan
Saat Anda mengonfigurasi server file, jalankan semua perintah berikut dari Perintah Administrator.
Jangan gunakan PowerShell.
Saat Anda menggunakan templat Azure Resource Manager, pengguna sudah dibuat.
Jalankan perintah berikut untuk membuat akun FileShareOwner dan FileShareUser. Ganti
<password>dengan nilai Anda sendiri.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noAtur kata sandi agar akun tidak pernah kedaluwarsa dengan menjalankan perintah WMIC berikut:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSEBuat grup lokal FileShareUsers dan FileShareOwners, dan tambahkan akun pada langkah pertama kepada mereka:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
Menyediakan berbagi konten
Berbagi konten berisi konten situs web penyewa. Prosedur untuk memprovisikan berbagi konten pada satu server file adalah sama untuk Active Directory Domain Services dan lingkungan kelompok kerja. Namun hal ini berbeda untuk kluster failover di Active Directory Domain Services.
Provisikan berbagi konten pada satu server file (Active Directory Domain Services atau kelompok kerja)
Pada satu server file, jalankan perintah berikut pada perintah yang ditinggikan. Ganti nilai C:\WebSites dengan jalur yang sesuai di lingkungan Anda.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Lakukan konfigurasi kontrol akses ke berbagi
Jalankan perintah berikut pada perintah yang ditinggikan pada server file atau pada node kluster failover, yang merupakan pemilik sumber daya kluster saat ini. Ganti nilai dalam huruf miring dengan nilai yang spesifik untuk lingkungan Anda.
Direktori Aktif
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Grup kerja
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Siapkan instans SQL Server
Catatan
Jika Anda telah memilih untuk menyebarkan templat Mulai Cepat untuk Server File dan SQL Server yang Sangat Tersedia, Anda dapat melewati bagian ini saat templat menyebarkan dan mengonfigurasikan SQL Server dalam konfigurasi HA.
Untuk Azure App Service di hosting Azure Stack Hub dan pengukuran database, Anda harus menyiapkan instans SQL Server untuk menyimpan database App Service.
Untuk tujuan produksi dan ketersediaan tinggi, Anda harus menggunakan versi lengkap SQL Server 2014 SP2 atau yang lebih baru, mengaktifkan autentikasi mode campuran, dan menyebarkan dalam konfigurasi yang sangat tersedia.
Instans SQL Server untuk Azure App Service di Azure Stack Hub harus dapat diakses dari semua peran App Service. Anda dapat menyebarkan SQL Server dalam Langganan Penyedia Default di Azure Stack Hub. Atau Anda dapat menggunakan infrastruktur yang ada di dalam organisasi Anda (selama ada konektivitas ke Azure Stack Hub). Jika Anda menggunakan gambar Marketplace Azure, ingatlah untuk mengonfigurasi firewall yang sesuai.
Catatan
Sejumlah gambar mesin virtual infrastruktur sebagai layanan SQL tersedia melalui fitur Marketplace Azure Management. Pastikan Anda selalu mengunduh versi terbaru Ekstensi infrastruktur sebagai layanan SQL sebelum Anda menyebarkan mesin virtual menggunakan item Marketplace Azure. Gambar SQL sama dengan mesin virtual SQL yang tersedia di Azure. Untuk mesin virtual SQL yang dibuat dari gambar-gambar ini, ekstensi infrastruktur sebagai layanan dan peningkatan portal yang sesuai menyediakan fitur seperti patching otomatis dan kemampuan cadangan.
Untuk salah satu peran SQL Server, Anda dapat menggunakan instans default atau instans yang dinamai. Jika Anda menggunakan instans yang dinamai, pastikan untuk memulai layanan SQL Server Browser secara manual dan membuka port 1434.
Alat penginstal App Service akan memeriksa untuk memastikan SQL Server memiliki penahanan database yang diaktifkan. Untuk mengaktifkan penahanan database pada SQL Server yang akan meng-host database App Service, jalankan perintah SQL ini:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Sertifikat dan konfigurasi server (ASDK)
Bagian ini mencantumkan prasyarat untuk penyebaran ASDK.
Sertifikat yang diperlukan untuk penyebaran ASDK dari Azure App Service
Skrip Create-AppServiceCerts.ps1 berfungsi dengan otoritas sertifikat Azure Stack Hub untuk membuat empat sertifikat yang dibutuhkan App Service.
| Nama file | Penggunaan |
|---|---|
| _.appservice.local.azurestack.external.pfx | Sertifikat SSL default App Service |
| api.appservice.local.azurestack.external.pfx | Sertifikat SSL API App Service |
| ftp.appservice.local.azurestack.external.pfx | Sertifikat SSL penerbit App Service |
| sso.appservice.local.azurestack.external.pfx | Sertifikat aplikasi identitas App Service |
Untuk membuat sertifikat, ikuti langkah-langkah berikut:
- Masuk ke host ASDK menggunakan akun AzureStack\AzureStackAdmin.
- Buka sesi PowerShell yang ditinggikan.
- Jalankan skrip Create-AppServiceCerts.ps1 dari folder tempat Anda mengekstrak skrip pembantu. Skrip ini membuat empat sertifikat di folder yang sama dengan skrip yang dibutuhkan App Service untuk membuat sertifikat.
- Masukkan kata sandi untuk mengamankan file .pfx, dan catat. Anda harus memasukkannya nanti, di App Service pada alat penginstal Azure Stack Hub.
Parameter skrip Create-AppServiceCerts.ps1
| Parameter | Diperlukan atau opsional | Nilai default | Deskripsi |
|---|---|---|---|
| pfxPassword | Diperlukan | Null | Kata sandi yang membantu melindungi kunci privat sertifikat |
| DomainName | Diperlukan | local.azurestack.external | Wilayah Azure Stack Hub dan akhiran domain |
Templat mulai cepat untuk server file untuk penyebaran Azure App Service di ASDK.
Hanya untuk penyebaran ASDK, Anda dapat menggunakan contoh templat penyebaran Azure Resource Manager untuk menyebarkan server file satu node yang dikonfigurasi. Server file node tunggal akan berada dalam kelompok kerja.
Catatan
Instans ASDK harus dapat mengunduh sumber daya dari GitHub untuk menyelesaikan penyebaran.
instans SQL Server
Untuk Azure App Service di hosting Azure Stack Hub dan pengukuran database, Anda harus menyiapkan instans SQL Server untuk menyimpan database App Service.
Untuk penyebaran ASDK, Anda dapat menggunakan SQL Server Express SP2 2014 atau yang lebih baru. SQL Server harus dikonfigurasi untuk mendukung autentikasi Mode Campuran karena App Service di Azure Stack Hub TIDAK mendukung Autentikasi Windows.
Instans SQL Server untuk Azure App Service di Azure Stack Hub harus dapat diakses dari semua peran App Service. Anda dapat menyebarkan SQL Server dalam Langganan Penyedia Default di Azure Stack Hub. Atau Anda dapat menggunakan infrastruktur yang ada di dalam organisasi Anda (selama ada konektivitas ke Azure Stack Hub). Jika Anda menggunakan gambar Marketplace Azure, ingatlah untuk mengonfigurasi firewall yang sesuai.
Catatan
Sejumlah gambar mesin virtual infrastruktur sebagai layanan SQL tersedia melalui fitur Marketplace Azure Management. Pastikan Anda selalu mengunduh versi terbaru Ekstensi infrastruktur sebagai layanan SQL sebelum Anda menyebarkan mesin virtual menggunakan item Marketplace Azure. Gambar SQL sama dengan mesin virtual SQL yang tersedia di Azure. Untuk mesin virtual SQL yang dibuat dari gambar-gambar ini, ekstensi infrastruktur sebagai layanan dan peningkatan portal yang sesuai menyediakan fitur seperti patching otomatis dan kemampuan cadangan.
Untuk salah satu peran SQL Server, Anda dapat menggunakan instans default atau instans yang dinamai. Jika Anda menggunakan instans yang dinamai, pastikan untuk memulai layanan SQL Server Browser secara manual dan membuka port 1434.
Alat penginstal App Service akan memeriksa untuk memastikan SQL Server memiliki penahanan database yang diaktifkan. Untuk mengaktifkan penahanan database pada SQL Server yang akan meng-host database App Service, jalankan perintah SQL ini:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Masalah lisensi untuk server file dan SQL Server yang diperlukan
Azure App Service di Azure Stack Hub memerlukan server file dan SQL Server untuk beroperasi. Anda bebas menggunakan sumber daya yang sudah ada sebelumnya yang terletak di luar penyebaran Azure Stack Hub Anda atau menyebarkan sumber daya dalam Langganan Penyedia Default Azure Stack Hub mereka.
Jika Anda memilih untuk menyebarkan sumber daya dalam Langganan Penyedia Default Azure Stack Hub Anda, lisensi untuk sumber daya tersebut (Lisensi Windows Server dan Lisensi SQL Server) termasuk dalam biaya Azure App Service di Azure Stack Hub tunduk pada batasan berikut:
- infrastruktur digunakan ke dalam Langganan Penyedia Default;
- infrastruktur ini secara eksklusif digunakan oleh Azure App Service pada penyedia sumber Azure Stack Hub. Tidak ada beban kerja lain, administratif (penyedia sumber lainnya, misalnya: SQL-RP) atau penyewa (misalnya: aplikasi penyewa, yang memerlukan database), diizinkan untuk menggunakan infrastruktur ini.
Tanggung jawab operasional file dan sql server
Operator cloud bertanggung jawab atas pemeliharaan dan pengoperasian Server File dan SQL Server. Penyedia sumber daya tidak mengelola sumber daya ini. Operator cloud bertanggung jawab untuk mencadangkan database App Service dan berbagi konten penyewa.
Ambil sertifikat akar Azure Resource Manager untuk Azure Stack Hub
Buka sesi PowerShell yang ditinggikan di komputer yang dapat mencapai titik akhir istimewa pada Sistem Terintegrasi Azure Stack Hub atau Host ASDK.
Jalankan skrip Get-AzureStackRootCert.ps1 dari folder tempat Anda mengekstrak skrip pembantu. Skrip membuat sertifikat akar di folder yang sama dengan skrip yang dibutuhkan App Service untuk membuat sertifikat.
Saat Anda menjalankan perintah PowerShell berikut, Anda harus menyediakan titik akhir istimewa dan info masuk untuk AzureStack\CloudAdmin.
Get-AzureStackRootCert.ps1
Parameter skrip Get-AzureStackRootCert.ps1
| Parameter | Diperlukan atau opsional | Nilai default | Deskripsi |
|---|---|---|---|
| PrivilegedEndpoint | Diperlukan | AzS-ERCS01 | Titik akhir istimewa |
| CloudAdminCredential | Diperlukan | AzureStack\CloudAdmin | Info masuk akun domain untuk admin cloud Azure Stack Hub |
Konfigurasi jaringan dan identitas
Jaringan virtual
Catatan
Precreation jaringan virtual kustom merupakan opsional sebagai Azure App Service di Azure Stack Hub dapat membuat jaringan virtual yang diperlukan tetapi kemudian perlu berkomunikasi dengan SQL dan Server File melalui alamat IP publik. Jika Anda menggunakan Server File App Service HA dan templat Mulai Cepat SQL Server untuk menyebarkan sumber daya SQL dan Server File yang telah ditentukan sebelumnya, templat juga akan menyebarkan jaringan virtual.
Azure App Service di Azure Stack Hub memungkinkan Anda menyebarkan penyedia sumber ke jaringan virtual yang ada atau memungkinkan Anda membuat jaringan virtual sebagai bagian dari penyebaran. Menggunakan jaringan virtual yang ada memungkinkan penggunaan IP internal untuk terhubung ke server file dan SQL Server yang diperlukan oleh Azure App Service di Azure Stack Hub. Jaringan virtual harus dikonfigurasi dengan rentang alamat dan subnet berikut sebelum menginstal Azure App Service di Azure Stack Hub:
Jaringan virtual - /16
Subnet
- ControllersSubnet /24
- ManagementServersSubnet /24
- FrontEndsSubnet /24
- PublishersSubnet /24
- WorkersSubnet /21
Penting
Jika Anda memilih untuk menyebarkan App Service di jaringan virtual yang ada, SQL Server harus digunakan ke Subnet terpisah dari App Service dan Server File.
Membuat Aplikasi Identitas untuk Mengaktifkan Skenario Akses Menyeluruh
Azure App Service menggunakan Aplikasi Identitas (Perwakilan layanan) untuk mendukung operasi berikut:
- Skala mesin virtual mengatur integrasi pada tingkatan pekerja.
- akses menyeluruh untuk portal Azure Functions dan alat pengembang tingkat lanjut (Kudu).
Bergantung pada penyedia identitas mana yang digunakan Azure Stack Hub, Microsoft Entra ID atau Active Directory Federation Services (ADFS), Anda harus mengikuti langkah-langkah yang sesuai di bawah ini untuk membuat perwakilan layanan untuk digunakan oleh Azure App Service di penyedia sumber daya Azure Stack Hub.
Membuat Aplikasi Microsoft Entra
Ikuti langkah-langkah ini untuk membuat perwakilan layanan di penyewa Microsoft Entra Anda:
- Buka instans PowerShell sebagai azurestack\AzureStackAdmin.
- Buka lokasi skrip yang Anda unduh dan ekstrak dalam langkah prasyarat.
- Instal PowerShell untuk Azure Stack Hub.
- Jalankan skrip Create-AADIdentityApp.ps1. Saat diminta, masukkan ID penyewa Microsoft Entra yang Anda gunakan untuk penyebaran Azure Stack Hub Anda. Misalnya, masukkan myazurestack.onmicrosoft.com.
- Di jendela Kredensial, masukkan akun admin layanan dan kata sandi Microsoft Entra Anda. PilihOK.
- Masukkan jalur file sertifikat dan kata sandi sertifikat untuk sertifikat yang dibuat sebelumnya. Sertifikat yang dibuat untuk langkah ini secara default adalah sso.appservice.local.azurestack.external.pfx.
- Catat ID aplikasi yang dikembalikan dalam output PowerShell. Anda menggunakan ID dalam langkah-langkah berikut untuk memberikan persetujuan untuk izin aplikasi, dan selama penginstalan.
- Buka jendela browser baru, dan masuk ke portal Azure sebagai admin layanan Microsoft Entra.
- Buka layanan Microsoft Entra.
- Pilih Pendaftaran Aplikasi di panel kiri.
- Cari ID aplikasi yang Anda catat pada langkah 7.
- Pilih pendaftaran aplikasi App Service dari daftar.
- Pilih izin API di panel kiri.
- Pilih Berikan persetujuan admin untuk <penyewa>, di mana <penyewa> adalah nama penyewa Microsoft Entra Anda. Konfirmasikan pemberian persetujuan dengan memilih Ya.
Create-AADIdentityApp.ps1
| Parameter | Diperlukan atau opsional | Nilai default | Deskripsi |
|---|---|---|---|
| DirectoryTenantName | Diperlukan | Null | Microsoft Entra ID penyewa. Berikan GUID atau string. Contohnya adalah myazureaaddirectory.onmicrosoft.com. |
| AdminArmEndpoint | Diperlukan | Null | Titik akhir Admin Azure Resource Manager. Contohnya adalah adminmanagement.local.azurestack.external. |
| TenantARMEndpoint | Diperlukan | Null | Titik akhir Penyewa Azure Resource Manager. Contohnya adalah management.local.azurestack.external. |
| AzureStackAdminCredential | Diperlukan | Null | Microsoft Entra kredensial admin layanan. |
| CertificateFilePath | Diperlukan | Null | Jalur lengkap ke file sertifikat aplikasi identitas yang dihasilkan sebelumnya. |
| CertificatePassword | Diperlukan | Null | Kata sandi yang membantu melindungi kunci privat sertifikat. |
| Lingkungan | Opsional | AzureCloud | Nama Lingkungan Cloud yang didukung di mana target Azure Active Directory Graph Service tersedia. Nilai yang diizinkan: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'. |
Membuat aplikasi Azure Data Factory
- Buka instans PowerShell sebagai azurestack\AzureStackAdmin.
- Buka lokasi skrip yang Anda unduh dan ekstrak dalam langkah prasyarat.
- Instal PowerShell untuk Azure Stack Hub.
- Jalankan skrip Create-AADIdentityApp.ps1.
- Di jendela Info masuk, masukkan akun admin dan kata sandi layanan Active Directory Federation Services Anda. PilihOK.
- Berikan jalur file sertifikat dan kata sandi sertifikat untuk sertifikat yang dibuat sebelumnya. Sertifikat yang dibuat untuk langkah ini secara default adalah sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
| Parameter | Diperlukan atau opsional | Nilai default | Deskripsi |
|---|---|---|---|
| AdminArmEndpoint | Diperlukan | Null | Titik akhir Admin Azure Resource Manager. Contohnya adalah adminmanagement.local.azurestack.external. |
| PrivilegedEndpoint | Diperlukan | Null | Titik akhir istimewa. Contohnya adalah AzS-ERCS01. |
| CloudAdminCredential | Diperlukan | Null | Info masuk akun domain untuk admin cloud Azure Stack Hub. Contohnya adalah Azurestack\CloudAdmin. |
| CertificateFilePath | Diperlukan | Null | Jalur lengkap ke file PFX sertifikat aplikasi identitas. |
| CertificatePassword | Diperlukan | Null | Kata sandi yang membantu melindungi kunci privat sertifikat. |
Mengunduh item dari Azure Marketplace
Azure App Service di Azure Stack Hub memerlukan item untuk diunduh dari Azure Marketplace, membuatnya tersedia di Azure Stack Hub Marketplace. Item ini harus diunduh sebelum Anda memulai penyebaran atau peningkatan Azure App Service di Azure Stack Hub:
Penting
Windows Server Core bukanlah gambar platform yang didukung untuk digunakan dengan Azure App Service di Azure Stack Hub.
Jangan gunakan gambar evaluasi untuk penyebaran produksi.
- Versi terbaru gambar VM Pusat Data Windows Server 2022.
Gambar VM Penuh Pusat Data Windows Server 2022 dengan Microsoft.Net 3.5.1 SP1 diaktifkan. Azure App Service di Azure Stack Hub mengharuskan Microsoft .NET 3.5.1 SP1 diaktifkan pada gambar yang digunakan untuk penyebaran. Citra Windows Server 2022 yang disindikasi marketplace tidak mengaktifkan fitur ini dan di lingkungan yang terputus tidak dapat menjangkau Microsoft Update untuk mengunduh paket yang akan diinstal melalui DISM. Oleh karena itu, Anda harus membuat dan menggunakan gambar Windows Server 2022 dengan fitur ini yang telah diaktifkan sebelumnya dengan penyebaran yang terputus.
Lihat Menambahkan gambar mesin virtual kustom ke Azure Stack Hub untuk detail tentang membuat gambar kustom dan menambahkannya ke Marketplace Azure. Pastikan untuk menentukan properti berikut saat menambahkan gambar ke Marketplace Azure:
- Penerbit = MicrosoftWindowsServer
- Penawaran = WindowsServer
- SKU = AppService
- Versi = Tentukan versi "terbaru”
- Ekstensi Skrip Kustom v1.9.1 atau lebih baru. Item ini adalah ekstensi mesin virtual.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk