note sulla versione di servizio app nell'hub di Azure Stack 2302

Articolo
03/29/2024

Queste note sulla versione descrivono i miglioramenti e le correzioni in Servizio app di Azure nell'hub di Azure Stack 2302 ed eventuali problemi noti. I problemi noti sono suddivisi in problemi direttamente correlati alla distribuzione, al processo di aggiornamento e ai problemi relativi alla compilazione (post-installazione).

Importante

Aggiornare l'hub di Azure Stack a una versione supportata (o distribuire la versione più recente di Azure Stack Development Kit), se necessario, prima di distribuire o aggiornare il provider di risorse servizio app . Assicurarsi di leggere le note sulla versione rp per informazioni su nuove funzionalità, correzioni e eventuali problemi noti che potrebbero influire sulla distribuzione.

Versione minima dell'hub di Azure Stack supportata versione rp di servizio app

2301 e versioni successive Programma di installazione 2302 (note sulla versione)

Versione minima dell'hub di Azure Stack supportata	versione rp di servizio app
2301 e versioni successive	Programma di installazione 2302 (note sulla versione)

Riferimento alla compilazione

Il numero di build servizio app nell'hub di Azure Stack 2302 è 98.0.1.703

Novità

Servizio app di Azure nella versione 2302 dell'hub di Azure Stack sostituisce la versione 2022 H1 e include correzioni per i problemi seguenti:

CVE-2023-21703 Servizio app di Azure sulla vulnerabilità di elevazione dei privilegi dell'hub di Azure Stack.
Impossibile aprire set di scalabilità di macchine virtuali Esperienza utente dall'esperienza utente amministratore servizio app ruoli nel portale di amministrazione dell'hub di Azure Stack.
Tutti gli altri aggiornamenti sono documentati nella Servizio app di Azure nelle note sulla versione dell'hub di Azure Stack 2022 H1.
A partire dal Servizio app di Azure nell'aggiornamento dell'hub di Azure Stack 2022 H1, la lettera K è ora una lettera SKU riservata. Se è stato definito uno SKU personalizzato che usa la lettera K, contattare il supporto tecnico per facilitare la risoluzione di questa situazione prima dell'aggiornamento.

Prerequisiti

Fare riferimento alla documentazione prima di iniziare la distribuzione.

Prima di iniziare l'aggiornamento di Servizio app di Azure nell'hub di Azure Stack a 2302:

Verificare che l'hub di Azure Stack sia aggiornato alla versione 1.2108.2.127 o 1.2206.2.52.
Assicurarsi che tutti i ruoli siano pronti nell'amministrazione Servizio app di Azure nel portale di amministrazione dell'hub di Azure Stack.
Eseguire il backup di segreti servizio app usando l'amministrazione servizio app nel portale di amministrazione dell'hub di Azure Stack.
Eseguire il backup dei database master di servizio app e di SQL Server:
- AppService_Hosting;
- AppService_Metering;
- Master
Eseguire il backup della condivisione file di contenuto dell'app tenant.

Importante

Gli operatori cloud sono responsabili della manutenzione e del funzionamento del file server e delle SQL Server. Il provider di risorse non gestisce queste risorse. L'operatore cloud è responsabile del backup dei database servizio app e della condivisione file di contenuto del tenant.
Syndicate the Custom Script Extension version 1.9.3 from the Marketplace ( Estensione script personalizzata versione 1.9.3 dal Marketplace).

Passaggi di pre-aggiornamento

Nota

Se in precedenza è stato distribuito Servizio app di Azure nell'hub di Azure Stack 2022 H1 nel timbro dell'hub di Azure Stack, questa versione è un aggiornamento secondario alla versione 2022 H1 che risolve due problemi.

Servizio app di Azure nell'hub di Azure Stack 2302 è un aggiornamento significativo che richiederà più ore per il completamento. L'intera distribuzione verrà aggiornata e tutti i ruoli ricreati con il sistema operativo Windows Server 2022 Datacenter. È pertanto consigliabile informare i clienti finali di un aggiornamento pianificato prima di applicare l'aggiornamento.

A partire dal Servizio app di Azure nell'aggiornamento dell'hub di Azure Stack 2022 H1, la lettera K è ora una lettera SKU riservata. Se è stato definito uno SKU personalizzato che usa la lettera K, contattare il supporto tecnico per facilitare la risoluzione di questa situazione prima dell'aggiornamento.

Esaminare i problemi noti per l'aggiornamento ed eseguire le azioni previste.

Passaggi post-distribuzione

Importante

Se il provider di risorse servizio app è stato fornito a un'istanza di SQL Always On, è necessario aggiungere i database appservice_hosting e appservice_metering a un gruppo di disponibilità e sincronizzare i database per evitare perdite di servizio in caso di failover del database.

Problemi noti (aggiornamento)

In situazioni in cui i database appservice_hosting e appservice_metering sono stati convertiti in database indipendenti, l'aggiornamento potrebbe non riuscire se gli account di accesso non sono stati migrati correttamente agli utenti indipendenti.

Se i database appservice_hosting e appservice_metering sono stati convertiti in database indipendenti dopo la distribuzione e non sono stati migrati correttamente gli account di accesso al database agli utenti indipendenti, si potrebbero verificare errori di aggiornamento.

È necessario eseguire lo script seguente sul SQL Server di hosting appservice_hosting e appservice_metering prima di aggiornare l'Servizio app di Azure nell'installazione dell'hub di Azure Stack alla versione 2020 Q3. Questo script non è distruttivo e non causerà tempi di inattività.

Questo script deve essere eseguito nelle condizioni seguenti:

Da parte di un utente con privilegi di amministratore di sistema, ad esempio l'account SA SQL.
Se si usa SQL Always On, assicurarsi che lo script venga eseguito dall'istanza di SQL che contiene tutti gli account di accesso servizio app nel formato:
- appservice_hosting_FileServer
- appservice_hosting_HostingAdmin
- appservice_hosting_LoadBalancer
- appservice_hosting_Operations
- appservice_hosting_Publisher
- appservice_hosting_SecurePublisher
- appservice_hosting_WebWorkerManager
- appservice_metering_Common
- appservice_metering_Operations
- Tutti gli account di accesso di WebWorker, nel formato WebWorker_<inistanza indirizzo IP>

      USE appservice_hosting
      IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
      BEGIN
      DECLARE @username sysname ;  
      DECLARE user_cursor CURSOR  
      FOR
          SELECT dp.name
          FROM sys.database_principals AS dp  
          JOIN sys.server_principals AS sp
              ON dp.sid = sp.sid  
              WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
          OPEN user_cursor  
          FETCH NEXT FROM user_cursor INTO @username  
              WHILE @@FETCH_STATUS = 0  
              BEGIN  
                  EXECUTE sp_migrate_user_to_contained
                  @username = @username,  
                  @rename = N'copy_login_name',  
                  @disablelogin = N'do_not_disable_login';  
              FETCH NEXT FROM user_cursor INTO @username  
          END  
          CLOSE user_cursor ;  
          DEALLOCATE user_cursor ;
          END
      GO

      USE appservice_metering
      IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
      BEGIN
      DECLARE @username sysname ;  
      DECLARE user_cursor CURSOR  
      FOR
          SELECT dp.name
          FROM sys.database_principals AS dp  
          JOIN sys.server_principals AS sp
              ON dp.sid = sp.sid  
              WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
          OPEN user_cursor  
          FETCH NEXT FROM user_cursor INTO @username  
              WHILE @@FETCH_STATUS = 0  
              BEGIN  
                  EXECUTE sp_migrate_user_to_contained
                  @username = @username,  
                  @rename = N'copy_login_name',  
                  @disablelogin = N'do_not_disable_login';  
              FETCH NEXT FROM user_cursor INTO @username  
          END  
          CLOSE user_cursor ;  
          DEALLOCATE user_cursor ;
          END
      GO

Le applicazioni tenant non sono in grado di associare certificati alle applicazioni dopo l'aggiornamento.

La causa di questo problema è dovuta a una funzionalità mancante nei front-end dopo l'aggiornamento a Windows Server 2022. Gli operatori devono seguire questa procedura per risolvere il problema.
1. Nel portale di amministrazione dell'hub di Azure Stack passare a Gruppi di sicurezza di rete e visualizzare il gruppo di sicurezza di rete ControllersNSG .
2. Per impostazione predefinita, desktop remoto è disabilitato per tutti i ruoli dell'infrastruttura servizio app. Modificare l'azione della regola Inbound_Rdp_3389 in Consenti l'accesso.
3. Passare al gruppo di risorse contenente la distribuzione servizio app provider di risorse, per impostazione predefinita il nome è AppService.<area> e connettersi a CN0-VM.
4. Tornare alla sessione desktop remoto CN0-VM .
5. In una sessione di PowerShell amministratore eseguire:
  
  Importante
  
  Durante l'esecuzione di questo script verrà eseguita una pausa per ogni istanza del set di scalabilità front-end. Se è presente un messaggio che indica che è in corso l'installazione della funzionalità, tale istanza verrà riavviata. Usare la sospensione nello script per mantenere la disponibilità front-end. Gli operatori devono assicurarsi che almeno un'istanza front-end sia "pronta" in qualsiasi momento per garantire che le applicazioni tenant possano ricevere traffico e non riscontrare tempi di inattività.
```
$c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
$spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
$cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)

Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
    $lb = $_
    $session = New-PSSession -ComputerName $lb.Name -Credential $cred

    Invoke-Command -Session $session {
      $f = Get-WindowsFeature -Name Web-CertProvider
      if (-not $f.Installed) {
          Write-Host Install feature on $env:COMPUTERNAME
          Install-WindowsFeature -Name Web-CertProvider

          Shutdown /t 5 /r /f 
      }
   }
}

Remove-PSSession -Session $session

Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
```
6. Nel portale di amministrazione di Azure Stack tornare al gruppo di sicurezza di rete ControllersNSG .
7. Modificare la regola Inbound_Rdp_3389 per negare l'accesso.

Problemi noti (post-installazione)

I ruoli di lavoro non riescono a raggiungere il file server quando servizio app viene distribuito in una rete virtuale esistente e il file server è disponibile solo nella rete privata, come indicato nella documentazione relativa alla distribuzione di Servizio app di Azure in Azure Stack.

Se si sceglie di eseguire la distribuzione in una rete virtuale esistente e in un indirizzo IP interno per connettersi al file server, è necessario aggiungere una regola di sicurezza in uscita, abilitando il traffico SMB tra la subnet di lavoro e il file server. Passare a WorkerNsg nel portale di amministrazione e aggiungere una regola di sicurezza in uscita con le proprietà seguenti:
- Origine: Qualsiasi
- Intervallo di porte di origine: *
- Destinazione: indirizzi IP
- Intervallo di indirizzi IP di destinazione: intervallo di indirizzi IP per il file server
- Intervallo di porte di destinazione: 445
- Protocollo: TCP
- Azione: Consenti
- Priorità: 700
- Nome: Outbound_Allow_SMB445
Per rimuovere la latenza quando i ruoli di lavoro comunicano con il file server, è consigliabile aggiungere anche la regola seguente al gruppo di sicurezza di rete del ruolo di lavoro per consentire il traffico LDAP in uscita e Kerberos ai controller di Active Directory se si protegge il file server tramite Active Directory; Ad esempio, se è stato usato il modello di avvio rapido per distribuire un file server a disponibilità elevata e SQL Server.

Passare a WorkerNsg nel portale di amministrazione e aggiungere una regola di sicurezza in uscita con le proprietà seguenti:
- Origine: Qualsiasi
- Intervallo di porte di origine: *
- Destinazione: indirizzi IP
- Intervallo di indirizzi IP di destinazione: intervallo di indirizzi IP per i server ACTIVE Directory, ad esempio con il modello di avvio rapido 10.0.0.100, 10.0.101
- Intervallo di porte di destinazione: 389.88
- Protocollo: tutti
- Azione: Consenti
- Priorità: 710
- Nome: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers
Le applicazioni tenant non sono in grado di associare certificati alle applicazioni dopo l'aggiornamento.

La causa di questo problema è dovuta a una funzionalità mancante nei front-end dopo l'aggiornamento a Windows Server 2022. Gli operatori devono seguire questa procedura per risolvere il problema:
1. Nel portale di amministrazione dell'hub di Azure Stack passare a Gruppi di sicurezza di rete e visualizzare il gruppo di sicurezza di rete ControllersNSG .
2. Per impostazione predefinita, desktop remoto è disabilitato per tutti i ruoli dell'infrastruttura servizio app. Modificare l'azione della regola Inbound_Rdp_3389 in Consenti l'accesso.
3. Passare al gruppo di risorse contenente la distribuzione servizio app provider di risorse, per impostazione predefinita il nome è AppService.<area> e connettersi a CN0-VM.
4. Tornare alla sessione desktop remoto CN0-VM .
5. In una sessione di PowerShell amministratore eseguire:
  
  Importante
  
  Durante l'esecuzione di questo script verrà eseguita una pausa per ogni istanza del set di scalabilità front-end. Se è presente un messaggio che indica che è in corso l'installazione della funzionalità, tale istanza verrà riavviata. Usare la sospensione nello script per mantenere la disponibilità front-end. Gli operatori devono assicurarsi che almeno un'istanza front-end sia "pronta" in qualsiasi momento per garantire che le applicazioni tenant possano ricevere traffico e non riscontrare tempi di inattività.
```
$c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
$spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
$cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)

Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
    $lb = $_
    $session = New-PSSession -ComputerName $lb.Name -Credential $cred

    Invoke-Command -Session $session {
      $f = Get-WindowsFeature -Name Web-CertProvider
      if (-not $f.Installed) {
          Write-Host Install feature on $env:COMPUTERNAME
          Install-WindowsFeature -Name Web-CertProvider

          Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
          Shutdown /t 5 /r /f 
      }
   }
}

Remove-PSSession -Session $session      
```
6. Nel portale di amministrazione di Azure Stack tornare al gruppo di sicurezza di rete ControllersNSG .
7. Modificare la regola Inbound_Rdp_3389 per negare l'accesso.

Problemi noti per gli amministratori cloud che operano Servizio app di Azure in Azure Stack

I domini personalizzati non sono supportati in ambienti disconnessi.

servizio app esegue la verifica della proprietà del dominio sugli endpoint DNS pubblici. Di conseguenza, i domini personalizzati non sono supportati in scenari disconnessi.
Rete virtuale l'integrazione per le app Web e per le funzioni non è supportata.

La possibilità di aggiungere l'integrazione di rete virtuale alle app Web e per le funzioni viene visualizzata nel portale dell'hub di Azure Stack e, se un tenant tenta di configurare, riceve un errore interno del server. Questa funzionalità non è supportata in Servizio app di Azure nell'hub di Azure Stack.

Passaggi successivi

Per una panoramica delle Servizio app di Azure, vedere panoramica di Servizio app di Azure in Azure Stack.
Per altre informazioni su come preparare la distribuzione di servizio app in Azure Stack, vedere Prima di iniziare a usare servizio app in Azure Stack.