Serviço de Aplicações nas notas de versão do Azure Stack Hub 2302

Artigo
03/29/2024

Estas notas de versão descrevem as melhorias e correções no Serviço de Aplicações do Azure no Azure Stack Hub 2302 e quaisquer problemas conhecidos. Os problemas conhecidos estão divididos em problemas diretamente relacionados com a implementação, o processo de atualização e os problemas com a compilação (pós-instalação).

Importante

Atualize o Azure Stack Hub para uma versão suportada (ou implemente o Azure Stack Development Kit mais recente), se necessário, antes de implementar ou atualizar o fornecedor de recursos (RP) Serviço de Aplicações. Certifique-se de que lê as notas de versão do RP para saber mais sobre novas funcionalidades, correções e quaisquer problemas conhecidos que possam afetar a sua implementação.

Versão mínima suportada do Azure Stack Hub Serviço de Aplicações versão do RP

2301 e mais recente Instalador 2302 (notas de versão)

Versão mínima suportada do Azure Stack Hub	Serviço de Aplicações versão do RP
2301 e mais recente	Instalador 2302 (notas de versão)

Referência de compilação

O Serviço de Aplicações no número de compilação do Azure Stack Hub 2302 é 98.0.1.703

Novidades?

Serviço de Aplicações do Azure na versão do Azure Stack Hub 2302 substitui a versão de 2022 H1 e inclui correções para os seguintes problemas:

CVE-2023-21703 Serviço de Aplicações do Azure na Elevação de Vulnerabilidade de Privilégios do Azure Stack Hub.
Não é possível abrir Conjuntos de Dimensionamento de Máquinas Virtuais Experiência de Utilizador a partir da experiência de utilizador administrador de Funções do Serviço de Aplicações no portal de administração do Azure Stack Hub.
Todas as outras atualizações estão documentadas no Serviço de Aplicações do Azure nas Notas de Versão de Atualização do Azure Stack Hub 2022 H1.
A partir do Serviço de Aplicações do Azure na atualização do Azure Stack Hub 2022 H1, a letra K é agora uma letra SKU reservada. Se tiver um SKU personalizado definido que utilize a letra K, contacte o suporte para ajudar a resolver esta situação antes da atualização.

Pré-requisitos

Veja a documentação Antes de Começar antes de iniciar a implementação.

Antes de começar a atualização do Serviço de Aplicações do Azure no Azure Stack Hub para 2302:

Certifique-se de que o Azure Stack Hub está atualizado para 1.2108.2.127 ou 1.2206.2.52.
Certifique-se de que todas as funções estão prontas na administração do Serviço de Aplicações do Azure no portal de administração do Azure Stack Hub.
Crie uma cópia de segurança Serviço de Aplicações segredos com a administração do Serviço de Aplicações no portal de administração do Azure Stack Hub.
Crie uma cópia de segurança das bases de dados mestras Serviço de Aplicações e SQL Server:
- AppService_Hosting;
- AppService_Metering;
- Principal
Faça uma cópia de segurança da partilha de ficheiros de conteúdo da aplicação de inquilino.

Importante

Os operadores da cloud são responsáveis pela manutenção e operação do servidor de ficheiros e SQL Server. O fornecedor de recursos não gere estes recursos. O operador da cloud é responsável por fazer uma cópia de segurança das bases de dados Serviço de Aplicações e da partilha de ficheiros de conteúdo do inquilino.
Sindicalize a versão 1.9.3 da Extensão de Script Personalizado a partir do Marketplace.

Passos de pré-atualização

Nota

Se já implementou anteriormente Serviço de Aplicações do Azure no Azure Stack Hub 2022 H1 no carimbo do Azure Stack Hub, esta versão é uma atualização secundária para 2022 H1 que resolve dois problemas.

Serviço de Aplicações do Azure no Azure Stack Hub 2302 é uma atualização significativa que levará várias horas a concluir. Toda a implementação será atualizada e todas as funções recriadas com o SO do Datacenter do Windows Server 2022. Por conseguinte, recomendamos que informem os clientes finais de uma atualização planeada antes de aplicarem a atualização.

A partir do Serviço de Aplicações do Azure na atualização do Azure Stack Hub 2022 H1, a letra K é agora uma letra SKU reservada. Se tiver um SKU personalizado definido que utilize a letra K, contacte o suporte para ajudar a resolver esta situação antes da atualização.

Reveja os problemas conhecidos para atualizar e efetue quaisquer ações prescritas.

Passos pós-implementação

Importante

Se tiver fornecido ao fornecedor de recursos Serviço de Aplicações uma instância do SQL AlwaysOn, tem de adicionar as bases de dados appservice_hosting e appservice_metering a um grupo de disponibilidade e sincronizar as bases de dados para evitar qualquer perda de serviço em caso de ativação pós-falha da base de dados.

Problemas conhecidos (atualização)

Em situações em que converteu as bases de dados appservice_hosting e appservice_metering em bases de dados contidas, a atualização poderá falhar se os inícios de sessão não tiverem sido migrados com êxito para os utilizadores contidos.

Se tiver convertido as bases de dados appservice_hosting e appservice_metering em bases de dados contidas após a implementação e não tiver migrado com êxito os inícios de sessão da base de dados para utilizadores contidos, poderá ter falhas de atualização.

Tem de executar o seguinte script no SQL Server que aloja appservice_hosting e appservice_metering antes de atualizar o seu Serviço de Aplicações do Azure na instalação do Azure Stack Hub para o 3.º trimestre de 2020. Este script não é destrutivo e não causará tempo de inatividade.

Este script tem de ser executado nas seguintes condições:

Por um utilizador que tenha o privilégio de administrador de sistema, por exemplo, a Conta SA do SQL.
Se utilizar o SQL Alwayson, certifique-se de que o script é executado a partir da instância do SQL que contém todos os inícios de sessão Serviço de Aplicações no formulário:
- appservice_hosting_FileServer
- appservice_hosting_HostingAdmin
- appservice_hosting_LoadBalancer
- appservice_hosting_Operations
- appservice_hosting_Publisher
- appservice_hosting_SecurePublisher
- appservice_hosting_WebWorkerManager
- appservice_metering_Common
- appservice_metering_Operations
- Todos os inícios de sessão do WebWorker - que estão no formulário WebWorker_< endereço IP de inserção>

      USE appservice_hosting
      IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
      BEGIN
      DECLARE @username sysname ;  
      DECLARE user_cursor CURSOR  
      FOR
          SELECT dp.name
          FROM sys.database_principals AS dp  
          JOIN sys.server_principals AS sp
              ON dp.sid = sp.sid  
              WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
          OPEN user_cursor  
          FETCH NEXT FROM user_cursor INTO @username  
              WHILE @@FETCH_STATUS = 0  
              BEGIN  
                  EXECUTE sp_migrate_user_to_contained
                  @username = @username,  
                  @rename = N'copy_login_name',  
                  @disablelogin = N'do_not_disable_login';  
              FETCH NEXT FROM user_cursor INTO @username  
          END  
          CLOSE user_cursor ;  
          DEALLOCATE user_cursor ;
          END
      GO

      USE appservice_metering
      IF EXISTS(SELECT * FROM sys.databases WHERE Name=DB_NAME() AND containment = 1)
      BEGIN
      DECLARE @username sysname ;  
      DECLARE user_cursor CURSOR  
      FOR
          SELECT dp.name
          FROM sys.database_principals AS dp  
          JOIN sys.server_principals AS sp
              ON dp.sid = sp.sid  
              WHERE dp.authentication_type = 1 AND dp.name NOT IN ('dbo','sys','guest','INFORMATION_SCHEMA');
          OPEN user_cursor  
          FETCH NEXT FROM user_cursor INTO @username  
              WHILE @@FETCH_STATUS = 0  
              BEGIN  
                  EXECUTE sp_migrate_user_to_contained
                  @username = @username,  
                  @rename = N'copy_login_name',  
                  @disablelogin = N'do_not_disable_login';  
              FETCH NEXT FROM user_cursor INTO @username  
          END  
          CLOSE user_cursor ;  
          DEALLOCATE user_cursor ;
          END
      GO

As Aplicações de Inquilino não conseguem vincular certificados a aplicações após a atualização.

A causa deste problema deve-se a uma funcionalidade em falta nos front-ends após a atualização para o Windows Server 2022. Os operadores têm de seguir este procedimento para resolver o problema.
1. No portal de administração do Azure Stack Hub, navegue para Grupos de Segurança de Rede e veja o Grupo de Segurança de Rede ControllersNSG .
2. Por predefinição, o ambiente de trabalho remoto está desativado para todas as funções de infraestrutura Serviço de Aplicações. Modifique a ação de regra Inbound_Rdp_3389 para Permitir acesso.
3. Navegue para o grupo de recursos que contém a implementação Serviço de Aplicações Fornecedor de Recursos, por predefinição, o nome é AppService.<e> ligue-se a CN0-VM.
4. Regresse à sessão de ambiente de trabalho remoto CN0-VM .
5. Numa sessão do PowerShell de administrador, execute:
  
  Importante
  
  Durante a execução deste script, haverá uma pausa para cada instância no conjunto de dimensionamento de front-end. Se existir uma mensagem a indicar que a funcionalidade está a ser instalada, essa instância será reiniciada. Utilize a pausa no script para manter a disponibilidade de front-end. Os operadores têm de garantir que, pelo menos, uma instância de front-end está sempre "Pronta" para garantir que as aplicações inquilinos podem receber tráfego e não sofrer períodos de indisponibilidade.
```
$c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
$spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
$cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)

Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
    $lb = $_
    $session = New-PSSession -ComputerName $lb.Name -Credential $cred

    Invoke-Command -Session $session {
      $f = Get-WindowsFeature -Name Web-CertProvider
      if (-not $f.Installed) {
          Write-Host Install feature on $env:COMPUTERNAME
          Install-WindowsFeature -Name Web-CertProvider

          Shutdown /t 5 /r /f 
      }
   }
}

Remove-PSSession -Session $session

Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
```
6. No portal de administração do Azure Stack, navegue de volta para o Grupo de Segurança de Rede ControllersNSG .
7. Modifique a regra de Inbound_Rdp_3389 para negar o acesso.

Problemas conhecidos (pós-instalação)

Os trabalhadores não conseguem aceder ao servidor de ficheiros quando Serviço de Aplicações é implementado numa rede virtual existente e o servidor de ficheiros só está disponível na rede privada, conforme indicado na Serviço de Aplicações do Azure na documentação de implementação do Azure Stack.

Se optar por implementar numa rede virtual existente e num endereço IP interno para ligar ao servidor de ficheiros, tem de adicionar uma regra de segurança de saída, ativando o tráfego SMB entre a sub-rede de trabalho e o servidor de ficheiros. Aceda ao WorkersNsg no portal de administração e adicione uma regra de segurança de saída com as seguintes propriedades:
- Origem: Qualquer
- Intervalo de portas de origem: *
- Destino: Endereços IP
- Intervalo de endereços IP de destino: Intervalo de IPs para o servidor de ficheiros
- Intervalo de portas de destino: 445
- Protocolo: TCP
- Ação: Permitir
- Prioridade: 700
- Nome: Outbound_Allow_SMB445
Para remover a latência quando os trabalhadores comunicam com o servidor de ficheiros, recomendamos também que adicione a seguinte regra ao NSG de Trabalho para permitir o tráfego LDAP e Kerberos de saída para os controladores do Active Directory se proteger o servidor de ficheiros com o Active Directory; por exemplo, se tiver utilizado o modelo início rápido para implementar um servidor de ficheiros HA e SQL Server.

Aceda ao WorkersNsg no portal de administração e adicione uma regra de segurança de saída com as seguintes propriedades:
- Origem: Qualquer
- Intervalo de portas de origem: *
- Destino: Endereços IP
- Intervalo de endereços IP de destino: Intervalo de IPs para os servidores do AD, por exemplo, com o modelo de Início Rápido 10.0.0.100, 10.0.0.101
- Intervalo de portas de destino: 389,88
- Protocolo: qualquer
- Ação: Permitir
- Prioridade: 710
- Nome: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers
As aplicações de inquilino não conseguem vincular certificados a aplicações após a atualização.

A causa deste problema deve-se a uma funcionalidade em falta no front-ends após a atualização para o Windows Server 2022. Os operadores têm de seguir este procedimento para resolver o problema:
1. No portal de administração do Azure Stack Hub, navegue para Grupos de Segurança de Rede e veja o Grupo de Segurança de Rede ControllersNSG .
2. Por predefinição, o ambiente de trabalho remoto está desativado para todas as funções de infraestrutura Serviço de Aplicações. Modifique a ação de regra Inbound_Rdp_3389 para Permitir acesso.
3. Navegue para o grupo de recursos que contém a implementação Serviço de Aplicações Fornecedor de Recursos, por predefinição, o nome é AppService.<e> ligue-se a CN0-VM.
4. Regresse à sessão de ambiente de trabalho remoto CN0-VM .
5. Numa sessão do PowerShell de administrador, execute:
  
  Importante
  
  Durante a execução deste script, haverá uma pausa para cada instância no conjunto de dimensionamento de front-end. Se existir uma mensagem a indicar que a funcionalidade está a ser instalada, essa instância será reiniciada. Utilize a pausa no script para manter a disponibilidade de front-end. Os operadores têm de garantir que, pelo menos, uma instância de front-end está sempre "Pronta" para garantir que as aplicações inquilinos podem receber tráfego e não sofrer períodos de indisponibilidade.
```
$c = Get-AppServiceConfig -Type Credential -CredentialName FrontEndCredential
$spwd = ConvertTo-SecureString -String $c.Password -AsPlainText -Force
$cred = New-Object System.Management.Automation.PsCredential ($c.UserName, $spwd)

Get-AppServiceServer -ServerType LoadBalancer | ForEach-Object {
    $lb = $_
    $session = New-PSSession -ComputerName $lb.Name -Credential $cred

    Invoke-Command -Session $session {
      $f = Get-WindowsFeature -Name Web-CertProvider
      if (-not $f.Installed) {
          Write-Host Install feature on $env:COMPUTERNAME
          Install-WindowsFeature -Name Web-CertProvider

          Read-Host -Prompt "If installing the feature, the machine will reboot. Wait until there's enough frontend availability, then press ENTER to continue"
          Shutdown /t 5 /r /f 
      }
   }
}

Remove-PSSession -Session $session      
```
6. No portal de administração do Azure Stack, navegue de volta para o Grupo de Segurança de Rede ControllersNSG .
7. Modifique a regra de Inbound_Rdp_3389 para negar o acesso.

Problemas conhecidos dos Administradores da Cloud que operam Serviço de Aplicações do Azure no Azure Stack

Os domínios personalizados não são suportados em ambientes desligados.

Serviço de Aplicações efetua a verificação de propriedade de domínio em pontos finais DNS públicos. Como resultado, os domínios personalizados não são suportados em cenários desligados.
Rede Virtual integração para aplicações Web e funções não é suportada.

A capacidade de adicionar a integração de rede virtual às aplicações Web e de Funções é apresentada no portal do Azure Stack Hub e, se um inquilino tentar configurar, recebe um erro interno do servidor. Esta funcionalidade não é suportada no Serviço de Aplicações do Azure no Azure Stack Hub.

Passos seguintes

Para obter uma descrição geral do Serviço de Aplicações do Azure, veja Serviço de Aplicações do Azure na descrição geral do Azure Stack.
Para obter mais informações sobre como se preparar para implementar Serviço de Aplicações no Azure Stack, consulte Antes de começar a utilizar Serviço de Aplicações no Azure Stack.

Partilhar via