Förbered för tilläggs värden i Azure Stack hubbPrepare for extension host in Azure Stack Hub

Tilläggs värden säkrar Azure Stack hubb genom att minska antalet nödvändiga TCP/IP-portar.The extension host secures Azure Stack Hub by reducing the number of required TCP/IP ports. Den här artikeln beskriver hur du förbereder Azure Stack hubb för den tilläggs värd som aktive ras automatiskt via ett Azure Stack Hub-uppdaterings paket efter 1808-uppdateringen.This article looks at preparing Azure Stack Hub for the extension host that is automatically enabled through an Azure Stack Hub update package after the 1808 update. Den här artikeln gäller för Azure Stack Hub-uppdateringar 1808, 1809 och 1811.This article applies to Azure Stack Hub updates 1808, 1809, and 1811.

CertifikatkravCertificate requirements

Tilläggs värden implementerar två nya domän namn rymder för att garantera unika värd poster för varje Portal tillägg.The extension host implements two new domain namespaces to guarantee unique host entries for each portal extension. De nya domän namn rymderna kräver två ytterligare jokertecken för att säkerställa säker kommunikation.The new domain namespaces require two additional wildcard certificates to ensure secure communication.

Tabellen visar de nya namn områdena och de associerade certifikaten:The table shows the new namespaces and the associated certificates:

DistributionsmappDeployment Folder Nödvändigt certifikat ämne och alternativt namn för certifikat mottagare (SAN)Required certificate subject and subject alternative names (SAN) Omfattning (per region)Scope (per region) Namn område för under domänSubdomain namespace
Administratörs tilläggs värdAdmin extension host *. adminhosting. <region> .<fqdn>*.adminhosting.<region>.<fqdn> (Jokertecken för SSL-certifikat)(Wildcard SSL Certificates) Administratörs tilläggs värdAdmin extension host adminhosting. <region> .<fqdn>adminhosting.<region>.<fqdn>
Offentlig förlängnings värdPublic extension host * <region> . hosting.<fqdn>*.hosting.<region>.<fqdn> (Jokertecken för SSL-certifikat)(Wildcard SSL Certificates) Offentlig förlängnings värdPublic extension host värd. <region> ..<fqdn>hosting.<region>.<fqdn>

Mer information om certifikat krav finns i Azure Stack nav certifikat krav för offentlig nyckel infrastruktur.For detailed certificate requirements, see Azure Stack Hub public key infrastructure certificate requirements.

Skapa begäran om certifikat signeringCreate certificate signing request

Med verktyget Azure Stack Hub readiness Checker kan du skapa en begäran om certifikat signering för de två nya och nödvändiga SSL-certifikaten.The Azure Stack Hub Readiness Checker tool lets you create a certificate signing request for the two new and required SSL certificates. Följ stegen i artikeln Azure Stack hubb certifikat för signerings förfrågan.Follow the steps in the article Azure Stack Hub certificates signing request generation.

Anteckning

Du kan hoppa över det här steget beroende på hur du begärde SSL-certifikat.You may skip this step depending on how you requested your SSL certificates.

Validera nya certifikatValidate new certificates

  1. Öppna PowerShell med förhöjd behörighet för maskin varans livs cykel värd eller Azure Stack hubb för hantering av arbets Station.Open PowerShell with elevated permission on the hardware lifecycle host or the Azure Stack Hub management workstation.

  2. Kör följande cmdlet för att installera Azure Stack Hub readiness Tool:Run the following cmdlet to install the Azure Stack Hub Readiness Checker tool:

    Install-Module -Name Microsoft.AzureStack.ReadinessChecker
    
  3. Kör följande skript för att skapa den begärda mappstrukturen:Run the following script to create the required folder structure:

    New-Item C:\Certificates -ItemType Directory
    
    $directories = 'ACSBlob','ACSQueue','ACSTable','Admin Portal','ARM Admin','ARM Public','KeyVault','KeyVaultInternal','Public Portal', 'Admin extension host', 'Public extension host'
    
    $destination = 'c:\certificates'
    
    $directories | % { New-Item -Path (Join-Path $destination $PSITEM) -ItemType Directory -Force}
    

    Anteckning

    Om du distribuerar med Azure Active Directory federerade tjänster (AD FS) måste följande kataloger läggas till i $Directories i skriptet: ADFS , Graph .If you deploy with Azure Active Directory Federated Services (AD FS) the following directories must be added to $directories in the script: ADFS, Graph.

  4. Placera de befintliga certifikaten, som du för närvarande använder i Azure Stack hubb, i lämpliga kataloger.Place the existing certificates, which you're currently using in Azure Stack Hub, in appropriate directories. Lägg till exempel till admin arm -certifikatet i Arm Admin mappen.For example, put the Admin ARM certificate in the Arm Admin folder. Och Lägg sedan till de nyligen skapade värd certifikaten Admin extension host i Public extension host katalogerna och.And then put the newly created hosting certificates in the Admin extension host and Public extension host directories.

  5. Kör följande cmdlet för att starta certifikat kontrollen:Run the following cmdlet to start the certificate check:

    $pfxPassword = Read-Host -Prompt "Enter PFX Password" -AsSecureString 
    
    Start-AzsReadinessChecker -CertificatePath c:\certificates -pfxPassword $pfxPassword -RegionName east -FQDN azurestack.contoso.com -IdentitySystem AAD
    
  6. Kontrol lera utdata och om alla certifikat klarar alla tester.Check the output and if all certificates pass all tests.

Importera tillägg värd certifikatImport extension host certificates

Använd en dator som kan ansluta till den Azure Stack Hub Privileged-slutpunkten för nästa steg.Use a computer that can connect to the Azure Stack Hub privileged endpoint for the next steps. Se till att du har åtkomst till de nya certifikatmallarna från den datorn.Make sure you have access to the new certificate files from that computer.

  1. Använd en dator som kan ansluta till den Azure Stack Hub Privileged-slutpunkten för nästa steg.Use a computer that can connect to the Azure Stack Hub privileged endpoint for the next steps. Se till att du har åtkomst till de nya certifikatmallarna från den datorn.Make sure you access to the new certificate files from that computer.

  2. Öppna PowerShell ISE för att köra nästa skript block.Open PowerShell ISE to execute the next script blocks.

  3. Importera certifikatet för administratörs värd slut punkten.Import the certificate for the admin hosting endpoint.

    
    $CertPassword = read-host -AsSecureString -prompt "Certificate Password"
    
    $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint."
    
    [Byte[]]$AdminHostingCertContent = [Byte[]](Get-Content c:\certificate\myadminhostingcertificate.pfx -Encoding Byte)
    
    Invoke-Command -ComputerName <PrivilegedEndpoint computer name> `
    -Credential $CloudAdminCred `
    -ConfigurationName "PrivilegedEndpoint" `
    -ArgumentList @($AdminHostingCertContent, $CertPassword) `
    -ScriptBlock {
            param($AdminHostingCertContent, $CertPassword)
            Import-AdminHostingServiceCert $AdminHostingCertContent $certPassword
    }
    
  4. Importera certifikatet för värd slut punkten.Import the certificate for the hosting endpoint.

    $CertPassword = read-host -AsSecureString -prompt "Certificate Password"
    
    $CloudAdminCred = Get-Credential -UserName <Privileged endpoint credentials> -Message "Enter the cloud domain credentials to access the privileged endpoint."
    
    [Byte[]]$HostingCertContent = [Byte[]](Get-Content c:\certificate\myhostingcertificate.pfx  -Encoding Byte)
    
    Invoke-Command -ComputerName <PrivilegedEndpoint computer name> `
    -Credential $CloudAdminCred `
    -ConfigurationName "PrivilegedEndpoint" `
    -ArgumentList @($HostingCertContent, $CertPassword) `
    -ScriptBlock {
            param($HostingCertContent, $CertPassword)
            Import-UserHostingServiceCert $HostingCertContent $certPassword
    }
    

Uppdatera DNS-konfigurationUpdate DNS configuration

Anteckning

Det här steget är inte obligatoriskt om du använde delegering av DNS-zon för DNS-integrering.This step isn't required if you used DNS Zone delegation for DNS Integration. Om enskilda värdar A-poster har kon figurer ATS för att publicera Azure Stack nav-slutpunkter måste du skapa två ytterligare värdar A-poster:If individual host A records have been configured to publish Azure Stack Hub endpoints, you need to create two additional host A records:

IP-adressIP VärdnamnHostname TypType
<IP> *. Adminhosting. <Region> .<FQDN>*.Adminhosting.<Region>.<FQDN> AA
<IP> *. Värd. <Region> ..<FQDN>*.Hosting.<Region>.<FQDN> AA

Allokerade IP-adresser kan hämtas med hjälp av den privilegierade slut punkten genom att köra cmdleten Get-AzureStackStampInformation.Allocated IPs can be retrieved using the privileged endpoint by running the cmdlet Get-AzureStackStampInformation.

Portar och protokollPorts and protocols

Artikeln Azure Stack Hub Data Center integration – publicerings slut punkter omfattar de portar och protokoll som kräver inkommande kommunikation för att publicera Azure Stack Hub innan tilläggets värd distribution.The article Azure Stack Hub datacenter integration - Publish endpoints covers the ports and protocols that require inbound communication to publish Azure Stack Hub before the extension host rollout.

Publicera nya slut punkterPublish new endpoints

Det finns två nya slut punkter som krävs för publicering genom brand väggen.There are two new endpoints required to be published through your firewall. De allokerade IP-adresserna från den offentliga VIP-poolen kan hämtas med hjälp av följande kod som måste köras från din Azure Stack Hub- Miljös privilegie rad slut punkt.The allocated IPs from the public VIP pool can be retrieved using the following code that must be run from your Azure Stack Hub environment's privileged endpoint.

# Create a PEP Session
winrm s winrm/config/client '@{TrustedHosts= "<IpOfERCSMachine>"}'
$PEPCreds = Get-Credential
$PEPSession = New-PSSession -ComputerName <IpOfERCSMachine> -Credential $PEPCreds -ConfigurationName "PrivilegedEndpoint"

# Obtain DNS Servers and extension host information from Azure Stack Hub Stamp Information and find the IPs for the Host Extension Endpoints
$StampInformation = Invoke-Command $PEPSession {Get-AzureStackStampInformation} | Select-Object -Property ExternalDNSIPAddress01, ExternalDNSIPAddress02, @{n="TenantHosting";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://*.","testdnsentry"-replace "/"}},  @{n="AdminHosting";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://*.","testdnsentry"-replace "/"}},@{n="TenantHostingDNS";e={($_.TenantExternalEndpoints.TenantHosting) -replace "https://",""-replace "/"}},  @{n="AdminHostingDNS";e={($_.AdminExternalEndpoints.AdminHosting)-replace "https://",""-replace "/"}}
If (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting -ErrorAction SilentlyContinue) {
    Write-Host "Can access AZS DNS" -ForegroundColor Green
    $AdminIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress02 -Name $StampInformation.AdminHosting).IPAddress
    Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
    $TenantIP = (Resolve-DnsName -Server $StampInformation.ExternalDNSIPAddress01 -Name $StampInformation.TenantHosting).IPAddress
    Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Else {
    Write-Host "Cannot access AZS DNS" -ForegroundColor Yellow
    $AdminIP = (Resolve-DnsName -Name $StampInformation.AdminHosting).IPAddress
    Write-Host "The IP for the Admin Extension Host is: $($StampInformation.AdminHostingDNS) - is: $($AdminIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.AdminHostingDNS), Value: $($AdminIP)" -ForegroundColor Green
    $TenantIP = (Resolve-DnsName -Name $StampInformation.TenantHosting).IPAddress
    Write-Host "The IP address for the Tenant Extension Host is $($StampInformation.TenantHostingDNS) - is: $($TenantIP)" -ForegroundColor Yellow
    Write-Host "The Record to be added in the DNS zone: Type A, Name: $($StampInformation.TenantHostingDNS), Value: $($TenantIP)" -ForegroundColor Green
}
Remove-PSSession -Session $PEPSession

Exempel på utdataSample Output

Can access AZS DNS
The IP for the Admin Extension Host is: *.adminhosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.adminhosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx
The IP address for the Tenant Extension Host is *.hosting.\<region>.\<fqdn> - is: xxx.xxx.xxx.xxx
The Record to be added in the DNS zone: Type A, Name: *.hosting.\<region>.\<fqdn>, Value: xxx.xxx.xxx.xxx

Anteckning

Gör den här ändringen innan du aktiverar tilläggs värden.Make this change before enabling the extension host. Detta gör att Azure Stack Hub-portalerna alltid är tillgängliga.This allows the Azure Stack Hub portals to be continuously accessible.

Slut punkt (VIP)Endpoint (VIP) ProtokollProtocol PortarPorts
Administratörs värdAdmin Hosting HTTPSHTTPS 443443
HostingHosting HTTPSHTTPS 443443

Uppdatera befintliga publicerings regler (efter aktivering av tilläggs värd)Update existing publishing Rules (Post enablement of extension host)

Anteckning

Uppdaterings paketet 1808 Azure Stack Hub aktiverar inte tilläggs värden ännu.The 1808 Azure Stack Hub Update Package does not enable extension host yet. Du kan förbereda för tilläggs värden genom att importera de nödvändiga certifikaten.It lets you prepare for extension host by importing the required certificates. Stäng inga portar innan förlängnings värden aktive ras automatiskt via ett Azure Stack Hubbs uppdaterings paket efter 1808-uppdateringen.Don't close any ports before extension host is automatically enabled through an Azure Stack Hub update package after the 1808 update.

Följande befintliga slut punkts portar måste stängas i dina befintliga brand Väggs regler.The following existing endpoint ports must be closed in your existing firewall rules.

Anteckning

Vi rekommenderar att du stänger dessa portar efter en lyckad verifiering.It's recommended to close those ports after successful validation.

Slut punkt (VIP)Endpoint (VIP) ProtokollProtocol PortarPorts
Portal (administratör)Portal (administrator) HTTPSHTTPS 1249512495
1249912499
1264612646
1264712647
1264812648
1264912649
1265012650
1300113001
1300313003
1301013010
1301113011
1301213012
1302013020
1302113021
1302613026
3001530015
Portal (användare)Portal (user) HTTPSHTTPS 1249512495
1264912649
1300113001
1301013010
1301113011
1301213012
1302013020
1302113021
3001530015
1300313003
Azure Resource Manager (administratör)Azure Resource Manager (administrator) HTTPSHTTPS 3002430024
Azure Resource Manager (användare)Azure Resource Manager (user) HTTPSHTTPS 3002430024

Nästa stegNext steps