Vereisten voor het implementeren van App Service op Azure Stack Hub
Belangrijk
Werk Azure Stack Hub bij naar een ondersteunde versie (of implementeer zo nodig de nieuwste Azure Stack Development Kit) voordat u de App Service-resourceprovider (RP) implementeert of bijwerkt. Lees de opmerkingen bij de release van RP voor meer informatie over nieuwe functionaliteit, oplossingen en bekende problemen die van invloed kunnen zijn op uw implementatie.
Ondersteunde Versie van Azure Stack Hub App Service RP-versie 2108 2021.Q3 Installer (releaseopmerkingen) 2102 2021.Q1 Installer (opmerkingen bij de release) 2008 2020.Q3 Installer (releaseopmerkingen)
Voordat u Azure App Service in Azure Stack Hub implementeert, moet u de vereiste stappen in dit artikel voltooien.
Voordat u aan de slag gaat
Deze sectie bevat de vereisten voor zowel geïntegreerde systeem- als ASDK-implementaties (Azure Stack Development Kit).
Vereisten voor resourceprovider
Als u al een resourceprovider hebt geïnstalleerd, hebt u waarschijnlijk de volgende vereisten voltooid en kunt u deze sectie overslaan. Anders voert u deze stappen uit voordat u doorgaat:
Registreer uw Azure Stack Hub-exemplaar bij Azure als u dit nog niet hebt gedaan. Deze stap is vereist omdat u verbinding maakt met en items downloadt naar Marketplace vanuit Azure.
Als u niet bekend bent met de marketplace-beheerfunctie van de Azure Stack Hub-beheerdersportal, raadpleegt u Marketplace-items downloaden van Azure en publiceert u naar Azure Stack Hub. Het artikel begeleidt u bij het downloaden van items van Azure naar de Azure Stack Hub Marketplace. Het behandelt zowel verbonden als niet-verbonden scenario's. Als uw Azure Stack Hub-exemplaar is losgekoppeld of gedeeltelijk is verbonden, zijn er aanvullende vereisten om te voltooien ter voorbereiding op de installatie.
Werk de basismap van Azure Active Directory (Azure AD) bij. Vanaf build 1910 moet een nieuwe toepassing worden geregistreerd in uw basismaptenant. Met deze app kan Azure Stack Hub nieuwere resourceproviders (zoals Event Hubs en anderen) maken en registreren met uw Azure AD-tenant. Dit is een eenmalige actie die moet worden uitgevoerd na een upgrade naar build 1910 of hoger. Als deze stap niet is voltooid, mislukken de installaties van marketplace-resourceproviders.
- Nadat u uw Azure Stack Hub-exemplaar hebt bijgewerkt naar 1910 of hoger, volgt u de instructies voor het klonen/downloaden van de opslagplaats Azure Stack Hub Tools.
- Volg vervolgens de instructies voor het bijwerken van de Azure Stack Hub Azure AD-basismap (na de installatie van updates of nieuwe resourceproviders).
Scripts voor installatieprogramma's en helper
Download de App Service in Azure Stack Hub-helperscripts voor implementaties.
Notitie
Voor de helperscripts voor implementaties is de AzureRM PowerShell-module vereist. Zie PowerShell AzureRM-module installeren voor Azure Stack Hub voor installatiedetails.
Download het App Service-installatieprogramma in Azure Stack Hub.
Pak de bestanden uit de helperscripts .zip bestand. De volgende bestanden en mappen worden geëxtraheerd:
- Common.ps1
- Create-AADIdentityApp.ps1
- Create-ADFSIdentityApp.ps1
- Create-AppServiceCerts.ps1
- Get-AzureStackRootCert.ps1
- Map Modules
- GraphAPI.psm1
Certificaten en serverconfiguratie (geïntegreerde systemen)
Deze sectie bevat de vereisten voor geïntegreerde systeemimplementaties.
Certificaatvereisten
Als u de resourceprovider in productie wilt uitvoeren, moet u de volgende certificaten opgeven:
- Standaarddomeincertificaat
- API-certificaat
- Certificaat publiceren
- Identiteitscertificaat
Naast specifieke vereisten die in de volgende secties worden vermeld, gebruikt u later ook een hulpprogramma om te testen op algemene vereisten. Zie Azure Stack Hub PKI-certificaten valideren voor de volledige lijst met validaties, waaronder:
- Bestandsindeling van . PFX
- Sleutelgebruik ingesteld op server- en clientverificatie
- en verschillende andere
Standaarddomeincertificaat
Het standaarddomeincertificaat wordt op de front-endrol geplaatst. Gebruikers-apps voor jokertekens of standaarddomeinaanvragen voor Azure App Service gebruiken dit certificaat. Het certificaat wordt ook gebruikt voor broncodebeheerbewerkingen (Kudu).
Het certificaat moet de PFX-indeling hebben en moet een jokertekencertificaat met drie onderwerpen zijn. Met deze vereiste kan één certificaat zowel het standaarddomein als het SCM-eindpunt dekken voor broncodebeheerbewerkingen.
| Indeling | Voorbeeld |
|---|---|
*.appservice.<region>.<DomainName>.<extension> |
*.appservice.redmond.azurestack.external |
*.scm.appservice.<region>.<DomainName>.<extension> |
*.scm.appservice.redmond.azurestack.external |
*.sso.appservice.<region>.<DomainName>.<extension> |
*.sso.appservice.redmond.azurestack.external |
API-certificaat
Het API-certificaat wordt op de beheerrol geplaatst. De resourceprovider gebruikt deze om API-aanroepen te beveiligen. Het certificaat voor publicatie moet een onderwerp bevatten dat overeenkomt met de API DNS-vermelding.
| Indeling | Voorbeeld |
|---|---|
| api.appservice.< regio>.<>Domeinnaam.< Extensie> | api.appservice.redmond.azurestack.external |
Certificaat publiceren
Het certificaat voor de rol Uitgever beveiligt het FTPS-verkeer voor app-eigenaren wanneer ze inhoud uploaden. Het certificaat voor publicatie moet een onderwerp bevatten dat overeenkomt met de FTPS DNS-vermelding.
| Indeling | Voorbeeld |
|---|---|
| ftp.appservice.< regio>.<>Domeinnaam.< Extensie> | ftp.appservice.redmond.azurestack.external |
Identiteitscertificaat
Het certificaat voor de identiteits-app maakt het volgende mogelijk:
- Integratie tussen de directory Azure Active Directory (Azure AD) of Active Directory Federation Services (AD FS), Azure Stack Hub en App Service ter ondersteuning van integratie met de rekenresourceprovider.
- Scenario's voor eenmalige aanmelding voor geavanceerde ontwikkelhulpprogramma's in Azure App Service in Azure Stack Hub.
Het certificaat voor identiteit moet een onderwerp bevatten dat overeenkomt met de volgende indeling.
| Indeling | Voorbeeld |
|---|---|
| sso.appservice.< regio>.<>Domeinnaam.< Extensie> | sso.appservice.redmond.azurestack.external |
Certificaten valideren
Voordat u de App Service-resourceprovider implementeert, moet u de certificaten valideren die moeten worden gebruikt met behulp van het hulpprogramma Azure Stack Hub Readiness Checker dat beschikbaar is in de PowerShell Gallery. Het hulpprogramma Gereedheidscontrole van Azure Stack Hub valideert dat de gegenereerde PKI-certificaten geschikt zijn voor de Implementatie van App Service.
Als best practice moet u, wanneer u met een van de benodigde Azure Stack Hub PKI-certificaten werkt, voldoende tijd plannen om certificaten te testen en opnieuw uit te voeren, indien nodig.
De bestandsserver voorbereiden
Azure App Service vereist het gebruik van een bestandsserver. Voor productie-implementaties moet de bestandsserver zo zijn geconfigureerd dat deze maximaal beschikbaar is en fouten kan verwerken.
Quickstart-sjabloon voor maximaal beschikbare bestandsserver en SQL Server
Er is nu een quickstartsjabloon voor referentiearchitectuur beschikbaar waarmee een bestandsserver en SQL Server worden geïmplementeerd. Deze sjabloon ondersteunt Active Directory-infrastructuur in een virtueel netwerk dat is geconfigureerd ter ondersteuning van een maximaal beschikbare implementatie van Azure App Service in Azure Stack Hub.
Belangrijk
Deze sjabloon wordt aangeboden als referentie of voorbeeld van hoe u de vereisten kunt implementeren. Omdat de Azure Stack Hub Operator deze servers beheert, met name in productieomgevingen, moet u de sjabloon zo nodig configureren of vereist zijn voor uw organisatie.
Notitie
Het geïntegreerde systeemexemplaren moeten resources kunnen downloaden van GitHub om de implementatie te kunnen voltooien.
Stappen voor het implementeren van een aangepaste bestandsserver
Belangrijk
Als u Ervoor kiest om App Service in een bestaand virtueel netwerk te implementeren, moet de bestandsserver worden geïmplementeerd in een afzonderlijk subnet van App Service.
Notitie
Als u ervoor hebt gekozen om een bestandsserver te implementeren met behulp van een van de bovenstaande quickstart-sjablonen, kunt u deze sectie overslaan omdat de bestandsservers zijn geconfigureerd als onderdeel van de sjabloonimplementatie.
Groepen en accounts inrichten in Active Directory
Maak de volgende globale Active Directory-beveiligingsgroepen:
- FileShareOwners
- FileShareUsers
Maak de volgende Active Directory-accounts als serviceaccounts:
- FileShareOwner
- FileShareUser
Als best practice voor beveiliging moeten de gebruikers voor deze accounts (en voor alle webrollen) uniek zijn en sterke gebruikersnamen en wachtwoorden hebben. Stel de wachtwoorden in met de volgende voorwaarden:
- Wachtwoord inschakelen verloopt nooit.
- Gebruiker kan het wachtwoord niet wijzigen.
- Schakel Gebruiker moet wachtwoord wijzigen bij volgende aanmelding.
Voeg de accounts als volgt toe aan de groepslidmaatschappen:
- Voeg FileShareOwner toe aan de groep FileShareOwners .
- Voeg FileShareUser toe aan de groep FileShareUsers .
Groepen en accounts inrichten in een werkgroep
Notitie
Wanneer u een bestandsserver configureert, voert u alle volgende opdrachten uit vanaf een administratoropdrachtprompt.
Gebruik PowerShell niet.
Wanneer u de Azure Resource Manager-sjabloon gebruikt, worden de gebruikers al gemaakt.
Voer de volgende opdrachten uit om de FileShareOwner- en FileShareUser-accounts te maken. Vervang
<password>door uw eigen waarden.net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:noStel de wachtwoorden in voor de accounts om nooit te verlopen door de volgende WMIC-opdrachten uit te voeren:
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSEMaak de lokale groepen FileShareUsers en FileShareOwners en voeg de accounts in de eerste stap eraan toe:
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
De inhoudsshare inrichten
De inhoudsshare bevat inhoud van de tenantwebsite. De procedure voor het inrichten van de inhoudsshare op één bestandsserver is hetzelfde voor zowel Active Directory- als werkgroepomgevingen. Maar het is anders voor een failovercluster in Active Directory.
De inhoudsshare inrichten op één bestandsserver (Active Directory of werkgroep)
Voer op één bestandsserver de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid. Vervang de waarde door C:\WebSites de bijbehorende paden in uw omgeving.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
Toegangsbeheer configureren voor de shares
Voer de volgende opdrachten uit bij een opdrachtprompt met verhoogde bevoegdheid op de bestandsserver of op het failoverclusterknooppunt. Dit is de eigenaar van de huidige clusterresource. Vervang waarden cursief door waarden die specifiek zijn voor uw omgeving.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
Werkgroep
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
De SQL Server-instantie voorbereiden
Notitie
Als u ervoor hebt gekozen om de quickstart-sjabloon voor maximaal beschikbare bestandsserver en SQL Server te implementeren, kunt u deze sectie overslaan wanneer de sjabloon SQL Server implementeert en configureert in een ha-configuratie.
Voor de Azure App Service op Azure Stack Hub-hosting- en meterdatabases moet u een SQL Server-exemplaar voorbereiden om de App Service-databases te bewaren.
Voor productie- en hoge beschikbaarheidsdoeleinden moet u een volledige versie van SQL Server 2014 SP2 of hoger gebruiken, verificatie in gemengde modus inschakelen en implementeren in een maximaal beschikbare configuratie.
Het SQL Server-exemplaar voor Azure App Service in Azure Stack Hub moet toegankelijk zijn vanuit alle App Service-rollen. U kunt SQL Server implementeren binnen het standaardproviderabonnement in Azure Stack Hub. U kunt ook gebruikmaken van de bestaande infrastructuur binnen uw organisatie (zolang er verbinding is met Azure Stack Hub). Als u een Azure Marketplace-installatiekopieën gebruikt, moet u de firewall dienovereenkomstig configureren.
Notitie
Er zijn een aantal INSTALLATIEkopieën van SQL IaaS-VM's beschikbaar via de marketplace-beheerfunctie. Zorg ervoor dat u altijd de nieuwste versie van de SQL IaaS-extensie downloadt voordat u een VIRTUELE machine implementeert met behulp van een Marketplace-item. De SQL-installatiekopieën zijn hetzelfde als de SQL-VM's die beschikbaar zijn in Azure. Voor SQL-VM's die zijn gemaakt op basis van deze installatiekopieën, bieden de IaaS-extensie en de bijbehorende portalverbeteringen functies zoals automatische patches en back-upmogelijkheden.
Voor een van de SQL Server-rollen kunt u een standaardexemplaren of een benoemd exemplaar gebruiken. Als u een benoemd exemplaar gebruikt, moet u de SQL Server Browser-service handmatig starten en poort 1434 openen.
Het App Service-installatieprogramma controleert of de SQL Server database-insluiting heeft ingeschakeld. Als u database-insluiting wilt inschakelen op de SQL Server waarop de App Service-databases worden gehost, voert u deze SQL-opdrachten uit:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Certificaten en serverconfiguratie (ASDK)
Deze sectie bevat de vereisten voor ASDK-implementaties.
Certificaten die vereist zijn voor de ASDK-implementatie van Azure App Service
Het Create-AppServiceCerts.ps1 script werkt samen met de Azure Stack Hub-certificeringsinstantie om de vier certificaten te maken die App Service nodig heeft.
| Bestandsnaam | Gebruik |
|---|---|
| _.appservice.local.azurestack.external.pfx | Standaard-SSL-certificaat van App Service |
| api.appservice.local.azurestack.external.pfx | SSL-certificaat voor App Service-API |
| ftp.appservice.local.azurestack.external.pfx | SSL-certificaat voor App Service-uitgever |
| sso.appservice.local.azurestack.external.pfx | App Service-toepassingscertificaat voor identiteit |
Voer de volgende stappen uit om de certificaten te maken:
- Meld u aan bij de ASDK-host met het AzureStack\AzureStackAdmin-account.
- Open een PowerShell-sessie met verhoogde bevoegdheid.
- Voer het Create-AppServiceCerts.ps1 script uit vanuit de map waarin u de helperscripts hebt geëxtraheerd. Met dit script worden vier certificaten gemaakt in dezelfde map als het script dat App Service nodig heeft voor het maken van certificaten.
- Voer een wachtwoord in om de PFX-bestanden te beveiligen en noteer het. U moet deze later invoeren in de App Service in het installatieprogramma van Azure Stack Hub.
Create-AppServiceCerts.ps1 scriptparameters
| Parameter | Vereist of optioneel | Standaardwaarde | Beschrijving |
|---|---|---|---|
| pfxPassword | Vereist | Null | Wachtwoord waarmee de persoonlijke sleutel van het certificaat wordt beveiligd |
| DomainName | Vereist | local.azurestack.external | Azure Stack Hub-regio en -domeinachtervoegsel |
Quickstartsjabloon voor bestandsserver voor implementaties van Azure App Service op ASDK.
Voor ALLEEN ASDK-implementaties kunt u het azure Resource Manager-implementatiesjabloon gebruiken om een geconfigureerde bestandsserver met één knooppunt te implementeren. De bestandsserver met één knooppunt bevindt zich in een werkgroep.
Notitie
Het ASDK-exemplaar moet resources kunnen downloaden van GitHub om de implementatie te voltooien.
SQL Server-exemplaar
Voor de Azure App Service in Azure Stack Hub-hosting- en meterdatabases moet u een SQL Server-exemplaar voorbereiden om de App Service-databases te bewaren.
Voor ASDK-implementaties kunt u SQL Server Express 2014 SP2 of hoger gebruiken. SQL Server moet worden geconfigureerd ter ondersteuning van verificatie in de gemengde modus , omdat App Service in Azure Stack Hub geen ondersteuning biedt voor Windows-verificatie.
Het SQL Server-exemplaar voor Azure App Service in Azure Stack Hub moet toegankelijk zijn vanuit alle App Service-rollen. U kunt SQL Server implementeren binnen het standaardproviderabonnement in Azure Stack Hub. U kunt ook gebruikmaken van de bestaande infrastructuur binnen uw organisatie (zolang er verbinding is met Azure Stack Hub). Als u een Azure Marketplace-installatiekopieën gebruikt, moet u de firewall dienovereenkomstig configureren.
Notitie
Er zijn een aantal VM-installatiekopieën van SQL IaaS beschikbaar via de marketplace-beheerfunctie. Zorg ervoor dat u altijd de nieuwste versie van de SQL IaaS-extensie downloadt voordat u een VIRTUELE machine implementeert met behulp van een Marketplace-item. De SQL-installatiekopieën zijn hetzelfde als de SQL-VM's die beschikbaar zijn in Azure. Voor SQL-VM's die zijn gemaakt op basis van deze installatiekopieën, bieden de IaaS-extensie en bijbehorende portalverbeteringen functies zoals automatische patches en back-upmogelijkheden.
Voor een van de SQL Server-functies kunt u een standaardexemplaren of een benoemd exemplaar gebruiken. Als u een benoemd exemplaar gebruikt, moet u de SQL Server Browser-service handmatig starten en poort 1434 openen.
Het App Service-installatieprogramma controleert of de SQL Server database-insluiting heeft ingeschakeld. Voer de volgende SQL-opdrachten uit om database-insluiting in te schakelen op de SQL Server die als host fungeert voor de App Service-databases:
sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO
Licentieproblemen voor vereiste bestandsserver en SQL-server
Azure App Service in Azure Stack Hub vereist dat een bestandsserver en SQL Server worden uitgevoerd. U kunt geen bestaande resources gebruiken die zich buiten uw Azure Stack Hub-implementatie bevinden of resources implementeren binnen hun Azure Stack Hub-standaardproviderabonnement.
Als u ervoor kiest om de resources binnen uw Azure Stack Hub Default Provider-abonnement te implementeren, worden de licenties voor deze resources (Windows Server-licenties en SQL Server-licenties) opgenomen in de kosten van Azure App Service in Azure Stack Hub, afhankelijk van de volgende beperkingen:
- de infrastructuur wordt geïmplementeerd in het standaardproviderabonnement;
- de infrastructuur wordt uitsluitend gebruikt door de Azure App Service op Azure Stack Hub-resourceprovider. Geen andere workloads, beheer (andere resourceproviders, bijvoorbeeld: SQL-RP) of tenant (bijvoorbeeld: tenant-apps waarvoor een database is vereist), mogen gebruikmaken van deze infrastructuur.
Operationele verantwoordelijkheid van bestands- en SQL-servers
Cloudoperators zijn verantwoordelijk voor het onderhoud en de werking van de bestandsserver en SQL Server. De resourceprovider beheert deze resources niet. De cloudoperator is verantwoordelijk voor het maken van een back-up van de App Service-databases en de tenantinhoudsbestandsshare.
Het Azure Resource Manager-basiscertificaat voor Azure Stack Hub ophalen
Open een PowerShell-sessie met verhoogde bevoegdheid op een computer die het bevoegde eindpunt op het geïntegreerde Azure Stack Hub-systeem of ASDK-host kan bereiken.
Voer het Get-AzureStackRootCert.ps1-script uit vanuit de map waarin u de helperscripts hebt uitgepakt. Het script maakt een basiscertificaat in dezelfde map als het script dat App Service nodig heeft voor het maken van certificaten.
Wanneer u de volgende PowerShell-opdracht uitvoert, moet u het bevoegde eindpunt en de referenties voor AzureStack\CloudAdmin opgeven.
Get-AzureStackRootCert.ps1
scriptparameters Get-AzureStackRootCert.ps1
| Parameter | Vereist of optioneel | Standaardwaarde | Beschrijving |
|---|---|---|---|
| PrivilegedEndpoint | Vereist | AzS-ERCS01 | Privileged-eindpunt |
| CloudAdminCredential | Vereist | AzureStack\CloudAdmin | Domeinaccountreferenties voor Azure Stack Hub-cloudbeheerders |
Netwerk- en identiteitsconfiguratie
Virtueel netwerk
Notitie
De precreëring van een aangepast virtueel netwerk is optioneel omdat Azure App Service in Azure Stack Hub het vereiste virtuele netwerk kan maken, maar vervolgens moet communiceren met SQL en Bestandsserver via openbare IP-adressen. Als u de quickstartsjabloon App Service HA File Server en SQL Server gebruikt om de vereiste SQL- en File Server-resources te implementeren, implementeert de sjabloon ook een virtueel netwerk.
Met Azure App Service in Azure Stack Hub kunt u de resourceprovider implementeren in een bestaand virtueel netwerk of kunt u een virtueel netwerk maken als onderdeel van de implementatie. Als u een bestaand virtueel netwerk gebruikt, kunnen interne IP-adressen verbinding maken met de bestandsserver en SQL Server die vereist zijn voor Azure App Service in Azure Stack Hub. Het virtuele netwerk moet worden geconfigureerd met het volgende adresbereik en subnetten voordat u Azure App Service installeert in Azure Stack Hub:
Virtueel netwerk - /16
Subnetten
- ControllersSubnet-/24
- ManagementServersSubnet-/24
- FrontEndsSubnet-/24
- PublishersSubnet-/24
- WorkersSubnet-/21
Belangrijk
Als u Ervoor kiest Om App Service te implementeren in een bestaand virtueel netwerk, moet de SQL Server worden geïmplementeerd in een afzonderlijk subnet van App Service en de bestandsserver.
Een identiteitstoepassing maken om SSO-scenario's in te schakelen
Azure App Service maakt gebruik van een identiteitstoepassing (service-principal) ter ondersteuning van de volgende bewerkingen:
- Integratie van virtuele-machineschaalsets op werklagen.
- Eenmalige aanmelding voor de Azure Functions-portal en geavanceerde hulpprogramma's voor ontwikkelaars (Kudu).
Afhankelijk van welke id-provider de Azure Stack Hub gebruikt, moet u Azure Active Directory (Azure AD) of Active Directory Federation Services (ADFS) volgen de juiste stappen hieronder om de service-principal te maken voor gebruik door de Azure App Service op Azure Stack Hub-resourceprovider.
Een Azure AD-app maken
Volg deze stappen om de service-principal te maken in uw Azure AD-tenant:
- Open een PowerShell-exemplaar als azurestack\AzureStackAdmin.
- Ga naar de locatie van de scripts die u hebt gedownload en geëxtraheerd in de vereiste stap.
- Installeer PowerShell voor Azure Stack Hub.
- Voer het Create-AADIdentityApp.ps1-script uit. Wanneer u hierom wordt gevraagd, voert u de Azure AD-tenant-id in die u gebruikt voor uw Azure Stack Hub-implementatie. Voer bijvoorbeeld myazurestack.onmicrosoft.com in.
- Voer in het venster Referentie uw Azure AD-servicebeheerdersaccount en wachtwoord in. Selecteer OK.
- Voer het certificaatbestandspad en het certificaatwachtwoord in voor het certificaat dat u eerder hebt gemaakt. Het certificaat dat voor deze stap is gemaakt, is standaard sso.appservice.local.azurestack.external.pfx.
- Noteer de toepassings-id die wordt geretourneerd in de PowerShell-uitvoer. U gebruikt de id in de volgende stappen om toestemming te geven voor de machtigingen van de toepassing en tijdens de installatie.
- Open een nieuw browservenster en meld u als beheerder van de Azure Active Directory-service aan bij Azure Portal .
- Open de Azure Active Directory-service.
- Selecteer App-registraties in het linkerdeelvenster.
- Zoek de toepassings-id die u in stap 7 hebt genoteerd.
- Selecteer de App Service-toepassingsregistratie in de lijst.
- Selecteer API-machtigingen in het linkerdeelvenster.
- Selecteer Beheerderstoestemming verlenen voor <tenant>, waarbij <de tenant> de naam is van uw Azure AD-tenant. Bevestig de toestemmingstoestemming door Ja te selecteren.
Create-AADIdentityApp.ps1
| Parameter | Vereist of optioneel | Standaardwaarde | Beschrijving |
|---|---|---|---|
| DirectoryTenantName | Vereist | Null | Azure AD-tenant-id. Geef de GUID of tekenreeks op. Een voorbeeld is myazureaaddirectory.onmicrosoft.com. |
| AdminArmEndpoint | Vereist | Null | Azure Resource Manager-eindpunt beheren. Een voorbeeld is adminmanagement.local.azurestack.external. |
| TenantARMEndpoint | Vereist | Null | Tenant Azure Resource Manager-eindpunt. Een voorbeeld is management.local.azurestack.external. |
| AzureStackAdminCredential | Vereist | Null | Azure AD-servicebeheerdersreferenties. |
| CertificateFilePath | Vereist | Null | Volledig pad naar het certificaatbestand van de identiteitstoepassing dat eerder is gegenereerd. |
| CertificatePassword | Vereist | Null | Wachtwoord waarmee de persoonlijke sleutel van het certificaat wordt beveiligd. |
| Omgeving | Optioneel | AzureCloud | De naam van de ondersteunde cloudomgeving waarin de Azure Active Directory Graph-doelservice beschikbaar is. Toegestane waarden: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'. |
Een ADFS-app maken
- Open een PowerShell-exemplaar als azurestack\AzureStackAdmin.
- Ga naar de locatie van de scripts die u hebt gedownload en geëxtraheerd in de vereiste stap.
- Installeer PowerShell voor Azure Stack Hub.
- Voer het Create-ADFSIdentityApp.ps1-script uit.
- Voer in het venster Referentie uw AD FS-cloudbeheerdersaccount en wachtwoord in. Selecteer OK.
- Geef het certificaatbestandspad en het certificaatwachtwoord op voor het certificaat dat u eerder hebt gemaakt. Het certificaat dat voor deze stap is gemaakt, is standaard sso.appservice.local.azurestack.external.pfx.
Create-ADFSIdentityApp.ps1
| Parameter | Vereist of optioneel | Standaardwaarde | Beschrijving |
|---|---|---|---|
| AdminArmEndpoint | Vereist | Null | Azure Resource Manager-eindpunt beheren. Een voorbeeld is adminmanagement.local.azurestack.external. |
| PrivilegedEndpoint | Vereist | Null | Privileged-eindpunt. Een voorbeeld is AzS-ERCS01. |
| CloudAdminCredential | Vereist | Null | Domeinaccountreferenties voor Azure Stack Hub-cloudbeheerders. Een voorbeeld is Azurestack\CloudAdmin. |
| CertificateFilePath | Vereist | Null | Volledig pad naar het PFX-certificaatbestand van de identiteitstoepassing. |
| CertificatePassword | Vereist | Null | Wachtwoord waarmee de persoonlijke sleutel van het certificaat wordt beveiligd. |
Items downloaden uit Azure Marketplace
Azure App Service in Azure Stack Hub vereist dat items worden gedownload van Azure Marketplace, zodat ze beschikbaar zijn in Azure Stack Hub Marketplace. Deze items moeten worden gedownload voordat u de implementatie of upgrade van Azure App Service in Azure Stack Hub start:
Belangrijk
Windows Server Core is geen ondersteunde platforminstallatiekopieën voor gebruik met Azure App Service in Azure Stack Hub.
Gebruik geen evaluatie-installatiekopieën voor productie-implementaties.
- De nieuwste versie van de VM-installatiekopieën van Windows Server 2016 Datacenter.
Windows Server 2016 Datacenter Volledige VM-installatiekopie met Microsoft.Net 3.5.1 SP1 geactiveerd. Azure App Service in Azure Stack Hub vereist dat Microsoft .NET 3.5.1 SP1 wordt geactiveerd op de installatiekopie die wordt gebruikt voor implementatie. Windows Server 2016-installatiekopieën met Marketplace hebben deze functie niet ingeschakeld en in niet-verbonden omgevingen kan Microsoft Update niet bereiken om de pakketten te downloaden die moeten worden geïnstalleerd via DISM. Daarom moet u een Windows Server 2016-installatiekopieën maken en gebruiken met deze functie vooraf ingeschakeld met niet-verbonden implementaties.
Zie Een aangepaste VM-installatiekopieën toevoegen aan Azure Stack Hub voor meer informatie over het maken van een aangepaste installatiekopieën en toevoegen aan Marketplace. Zorg ervoor dat u de volgende eigenschappen opgeeft wanneer u de installatiekopieën toevoegt aan Marketplace:
- Publisher = MicrosoftWindowsServer
- Aanbieding = WindowsServer
- SKU = 2016-Datacenter
- Versie = Geef de nieuwste versie op
- Aangepaste scriptextensie v1.9.1 of hoger. Dit item is een VM-extensie.