Voor bereiding voor de extensie host in Azure Stack hubPrepare for extension host in Azure Stack Hub

De extensie host beveiligt Azure Stack hub door het aantal vereiste TCP/IP-poorten te verminderen.The extension host secures Azure Stack Hub by reducing the number of required TCP/IP ports. In dit artikel wordt het voorbereiden van Azure Stack hub voor de extensie host die automatisch wordt ingeschakeld via een Azure Stack hub-update pakket na de 1808-update.This article looks at preparing Azure Stack Hub for the extension host that is automatically enabled through an Azure Stack Hub update package after the 1808 update. Dit artikel is van toepassing op Azure Stack hub-updates 1808, 1809 en 1811.This article applies to Azure Stack Hub updates 1808, 1809, and 1811.

CertificaatvereistenCertificate requirements

De host voor de extensie implementeert twee nieuwe domein naam ruimten om unieke host-vermeldingen voor elke portal extensie te garanderen.The extension host implements two new domain namespaces to guarantee unique host entries for each portal extension. Voor de nieuwe domeinnaam ruimten zijn twee extra joker tekens vereist om beveiligde communicatie te garanderen.The new domain namespaces require two additional wildcard certificates to ensure secure communication.

In de tabel ziet u de nieuwe naam ruimten en de bijbehorende certificaten:The table shows the new namespaces and the associated certificates:

ImplementatiemapDeployment Folder Vereist onderwerp en alternatieve namen voor het onderwerp (SAN)Required certificate subject and subject alternative names (SAN) Bereik (per regio)Scope (per region) Subdomein naam ruimteSubdomain namespace
Host voor de beheer uitbreidingAdmin extension host *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> (SSL-certificaten voor joker tekens)(Wildcard SSL Certificates) Host voor de beheer uitbreidingAdmin extension host adminhosting. <region> .<fqdn>adminhosting.<region>.<fqdn>
Open bare extensie hostPublic extension host *. hosten. <region> ..<fqdn>*.hosting.<region>.<fqdn> (SSL-certificaten voor joker tekens)(Wildcard SSL Certificates) Open bare extensie hostPublic extension host hosten. <region> .<fqdn>hosting.<region>.<fqdn>

Zie voor gedetailleerde certificaat vereisten Azure stack hub PKI-certificaat vereisten.For detailed certificate requirements, see Azure Stack Hub public key infrastructure certificate requirements.

Aanvraag voor certificaat ondertekening makenCreate certificate signing request

Met de Azure Stack hub-gereedheids controleprogramma kunt u een aanvraag voor certificaat ondertekening maken voor de twee nieuwe en vereiste SSL-certificaten.The Azure Stack Hub Readiness Checker tool lets you create a certificate signing request for the two new and required SSL certificates. Volg de stappen in het artikel Azure stack hub-certificaten genereren aanvragenvoor het ondertekenen.Follow the steps in the article Azure Stack Hub certificates signing request generation.

Notitie

U kunt deze stap overs Laan, afhankelijk van hoe u uw SSL-certificaten hebt aangevraagd.You may skip this step depending on how you requested your SSL certificates.

Nieuwe certificaten validerenValidate new certificates

  1. Open Power shell met verhoogde machtigingen voor de hardware Lifecycle-host of het Azure Stack hub-beheer werkstation.Open PowerShell with elevated permission on the hardware lifecycle host or the Azure Stack Hub management workstation.

  2. Voer de volgende cmdlet uit om het hulp programma voor de Azure Stack hub-gereedheids controle te installeren:Run the following cmdlet to install the Azure Stack Hub Readiness Checker tool:

    Install-Module -Name Microsoft.AzureStack.ReadinessChecker
    
  3. Voer het volgende script uit om de vereiste mappen structuur te maken:Run the following script to create the required folder structure:

    New-Item C:\Certificates -ItemType Directory
    
    $directories = 'ACSBlob','ACSQueue','ACSTable','Admin Portal','ARM Admin','ARM Public','KeyVault','KeyVaultInternal','Public Portal', 'Admin extension host', 'Public extension host'
    
    $destination = 'c:\certificates'
    
    $directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}
    

    Notitie

    Als u implementeert met Azure Active Directory Federated Services (AD FS), moeten de volgende mappen worden toegevoegd aan $directories in het script: ADFS , Graph .If you deploy with Azure Active Directory Federated Services (AD FS) the following directories must be added to $directories in the script: ADFS, Graph.

  4. Plaats de bestaande certificaten die u momenteel gebruikt in Azure Stack hub in de juiste directory's.Place the existing certificates, which you're currently using in Azure Stack Hub, in appropriate directories. Plaats bijvoorbeeld het beheerders arm -certificaat in de Arm Admin map.For example, put the Admin ARM certificate in the Arm Admin folder. En plaats vervolgens de zojuist gemaakte hosting certificaten in de Admin extension host Public extension host mappen en.And then put the newly created hosting certificates in the Admin extension host and Public extension host directories.

  5. Voer de volgende cmdlet uit om de certificaat controle te starten:Run the following cmdlet to start the certificate check:

    $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString 
    
    Start-AzsReadinessChecker -CertificatePath c:\certificates -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AAD
    
  6. Controleer de uitvoer en als alle certificaten alle tests door geven.Check the output and if all certificates pass all tests.

Extensie-host certificaten importerenImport extension host certificates

Gebruik een computer die verbinding kan maken met het Azure Stack hub privileged endpoint voor de volgende stappen.Use a computer that can connect to the Azure Stack Hub privileged endpoint for the next steps. Zorg ervoor dat u toegang hebt tot de nieuwe certificaat bestanden van die computer.Make sure you have access to the new certificate files from that computer.

  1. Gebruik een computer die verbinding kan maken met het Azure Stack hub privileged endpoint voor de volgende stappen.Use a computer that can connect to the Azure Stack Hub privileged endpoint for the next steps. Zorg ervoor dat u toegang hebt tot de nieuwe certificaat bestanden vanaf die computer.Make sure you access to the new certificate files from that computer.

  2. Open Power shell ISE om de volgende script blokken uit te voeren.Open PowerShell ISE to execute the next script blocks.

  3. Importeer het certificaat voor het hosting-eind punt voor de beheerder.Import the certificate for the admin hosting endpoint.

    
    $CertPassword = read-host -AsSecureString -prompt "Certificate Password"
    
    $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint."
    
    [Byte[]]$AdminHostingCertContent = [Byte[]](Get-Content c:\certificate\myadminhostingcertificate.pfx -Encoding Byte)
    
    Invoke-Command -ComputerName <PrivilegedEndpoint computer name> `
    -Credential $CloudAdminCred `
    -ConfigurationName "PrivilegedEndpoint" `
    -ArgumentList @($AdminHostingCertContent, $CertPassword) `
    -ScriptBlock {
            param($AdminHostingCertContent, $CertPassword)
            Import-AdminHostingServiceCert $AdminHostingCertContent $certPassword
    }
    
  4. Importeer het certificaat voor het hosting-eind punt.Import the certificate for the hosting endpoint.

    $CertPassword = read-host -AsSecureString -prompt "Certificate Password"
    
    $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint."
    
    [Byte[]]$HostingCertContent = [Byte[]](Get-Content c:\certificate\myhostingcertificate.pfx  -Encoding Byte)
    
    Invoke-Command -ComputerName <PrivilegedEndpoint computer name> `
    -Credential $CloudAdminCred `
    -ConfigurationName "PrivilegedEndpoint" `
    -ArgumentList @($HostingCertContent, $CertPassword) `
    -ScriptBlock {
            param($HostingCertContent, $CertPassword)
            Import-UserHostingServiceCert $HostingCertContent $certPassword
    }
    

DNS-configuratie bijwerkenUpdate DNS configuration

Notitie

Deze stap is niet vereist als u DNS-zone overdracht hebt gebruikt voor DNS-integratie.This step isn't required if you used DNS Zone delegation for DNS Integration. Als afzonderlijke host A records zijn geconfigureerd voor het publiceren van Azure Stack hub-eind punten, moet u twee extra host A-records maken:If individual host A records have been configured to publish Azure Stack Hub endpoints, you need to create two additional host A records:

IPIP HostnaamHostname TypeType
<IP> *. Adminhosting. <Region> .<FQDN>*.Adminhosting.<Region>.<FQDN> AA
<IP> *. Hosten. <Region> .<FQDN>*.Hosting.<Region>.<FQDN> AA

Toegewezen IP-adressen kunnen worden opgehaald met behulp van het bevoegde eind punt door de cmdlet Get-AzureStackStampInformation uit te voeren.Allocated IPs can be retrieved using the privileged endpoint by running the cmdlet Get-AzureStackStampInformation.

Poorten en protocollenPorts and protocols

In het artikel Azure stack hub Data Center-integratie-eind punten worden de poorten en protocollen beschreven waarvoor inkomende communicatie is vereist om Azure stack hub te publiceren voordat de implementatie van de host wordt geïmplementeerd.The article Azure Stack Hub datacenter integration - Publish endpoints covers the ports and protocols that require inbound communication to publish Azure Stack Hub before the extension host rollout.

Nieuwe eind punten publicerenPublish new endpoints

Er zijn twee nieuwe eind punten vereist om te worden gepubliceerd via uw firewall.There are two new endpoints required to be published through your firewall. De toegewezen IP-adressen uit de open bare VIP-groep kunnen worden opgehaald met de volgende code die moet worden uitgevoerd vanuit het bevoegde eind punt vanuw Azure stack hub-omgeving.The allocated IPs from the public VIP pool can be retrieved using the following code that must be run from your Azure Stack Hub environment's privileged endpoint.

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IpOfERCSMachine>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IpOfERCSMachine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"

# Obtain DNS Servers and extension host information from Azure Stack Hub Stamp Information and find the IPs for the Host Extension Endpoints
$StampInformation = Invoke-Command $PEPSession {Get-AzureStackStampInformation} | Select-Object -Property ExternalDNSIPAddress01, ExternalDNSIPAddress02, @{n="TenantHosting";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://*.","testdnsentry"-replace "/"}},  @{n="AdminHosting";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://*.","testdnsentry"-replace "/"}},@{n="TenantHostingDNS";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://",""-replace "/"}},  @{n="AdminHostingDNS";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://",""-replace "/"}}
If (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting -ErrorAction SilentlyContinue) {
    Write-Host "Can access AZS DNS" -ForegroundColor Green
    $AdminIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress02 -Name $StampInformation.AdminHosting).IPAddress
    Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
    $TenantIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting).IPAddress
    Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Else {
    Write-Host "Cannot access AZS DNS" -ForegroundColor Yellow
    $AdminIP = (Resolve-DnsName -Name $StampInformation.AdminHosting).IPAddress
    Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
    $TenantIP = (Resolve-DnsName -Name $StampInformation.TenantHosting).IPAddress
    Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Remove-PSSession -Session $PEPSession

VoorbeelduitvoerSample Output

Can access AZS DNS
The IP for the Admin Extension Host is: *.adminhosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.adminhosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
The IP address for the Tenant Extension Host is *.hosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.hosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx

Notitie

Breng deze wijziging aan voordat u de extensie host inschakelt.Make this change before enabling the extension host. Hierdoor kunnen de portals van de Azure Stack-hub voortdurend toegankelijk zijn.This allows the Azure Stack Hub portals to be continuously accessible.

Eind punt (VIP)Endpoint (VIP) ProtocolProtocol PoortenPorts
Beheer hostenAdmin Hosting HTTPSHTTPS 443443
HostingHosting HTTPSHTTPS 443443

Bestaande publicatie regels bijwerken (na activering van extensie-host)Update existing publishing Rules (Post enablement of extension host)

Notitie

Met het update pakket 1808 Azure Stack hub wordt de extensie host nog niet ingeschakeld.The 1808 Azure Stack Hub Update Package does not enable extension host yet. Hiermee kunt u de extensie host voorbereiden door de vereiste certificaten te importeren.It lets you prepare for extension host by importing the required certificates. Sluit geen poorten voordat de extensie host automatisch wordt ingeschakeld via een Azure Stack hub-update pakket na de 1808-update.Don't close any ports before extension host is automatically enabled through an Azure Stack Hub update package after the 1808 update.

De volgende bestaande eindpunt poorten moeten worden gesloten in uw bestaande firewall regels.The following existing endpoint ports must be closed in your existing firewall rules.

Notitie

U kunt deze poorten het beste sluiten nadat de validatie is geslaagd.It's recommended to close those ports after successful validation.

Eind punt (VIP)Endpoint (VIP) ProtocolProtocol PoortenPorts
Portal (beheerder)Portal (administrator) HTTPSHTTPS 1249512495
1249912499
1264612646
1264712647
1264812648
1264912649
1265012650
1300113001
1300313003
1301013010
1301113011
1301213012
1302013020
1302113021
1302613026
3001530015
Portal (gebruiker)Portal (user) HTTPSHTTPS 1249512495
1264912649
1300113001
1301013010
1301113011
1301213012
1302013020
1302113021
3001530015
1300313003
Azure Resource Manager (beheerder)Azure Resource Manager (administrator) HTTPSHTTPS 3002430024
Azure Resource Manager (gebruiker)Azure Resource Manager (user) HTTPSHTTPS 3002430024

Volgende stappenNext steps