Azure Stack Hub に App Service をデプロイする

この記事では、次のような Azure Stack Hub 環境に Azure App Service リソース プロバイダーをデプロイする方法を説明しました。

• インターネットに接続されているか、インターネットから切断されている
• Entra IDまたはActive Directory フェデレーション サービス (AD FS) (AD FS) によって保護されます。

Azure Stack Hub デプロイに Azure App Service リソース プロバイダーを追加するには、次の最上位タスクを完了する必要があります。

1. 前提となる手順をすべて実行します (証明書の購入など。受け取るまでに数日かかる場合があります)。
2. インストール ファイルとヘルパー ファイルをダウンロードして展開します。
3. オフライン インストール パッケージをダウンロードします。
4. appservice.exe インストーラー ファイルを実行します。

Azure Stack HubにAzure App Serviceのインストールを完了する

1. Azure Stack Hub 管理の Azure Resource Management エンドポイントに到達できるコンピューターから、appservice.exe を管理者として実行します。

2. [詳細設定]>[オフライン インストールを完了する] の順に選択します。

   

3. 以前にダウンロードしたオフライン インストール パッケージの場所を参照し、[ 次へ] を選択します。

   

4. マイクロソフト ソフトウェア ライセンス条項を確認して同意し、[次へ] を選択します。

5. サード パーティのライセンス条項を確認して同意し、[次へ] を選択します。

6. Azure App Service クラウド構成情報が正しいことを確認します。 Azure Stack Development Kit のデプロイ時に既定の設定を使用した場合は、ここで既定値をそのまま使用できます。 ただし、Azure Stack Hub のデプロイ時にオプションをカスタマイズした場合、または統合システムにデプロイしている場合は、それらの変更を反映するように、このウィンドウで値を編集する必要があります。 たとえば、ドメイン サフィックス mycloud.com を使用する場合は、Azure Stack Hub テナントの Azure Resource Manager エンドポイントを management.<region>.mycloud.com に変更する必要があります。 自分の情報を確認したら、[次へ] を選択します。

   

7. 次の App Service インストーラー ページで、Azure Stack Hubに接続します。

   1. 使用する接続方法 ([資格情報] または [サービス プリンシパル]) を選択します。

      • 資格情報
        • Microsoft Entra ID を使用している場合は、Azure Stack Hub のデプロイ時に指定した Microsoft Entra 管理者アカウントとパスワードを入力します。 [接続] を選択します。
        • Active Directory フェデレーション サービス (AD FS) を使用している場合は、ご自分の管理者アカウントを指定します。 たとえば、「 cloudadmin@azurestack.local 」のように入力します。 パスワードを入力し、[接続] を選択します。
      • サービス プリンシパル
        • 使用するサービス プリンシパルには、既定のプロバイダー サブスクリプションに対する所有者権限が必要です
        • サービス プリンシパル ID、証明書ファイル、およびパスワードを指定し、[接続] を選択します。

   2. [Azure Stack Hub Subscriptions]\(Azure Stack Hub サブスクリプション\) で、[Default Provider Subscription]\(既定のプロバイダー サブスクリプション\) を選択します。 Azure App Service on Azure Stack Hub は、[Default Provider Subscription]\(既定のプロバイダー サブスクリプション\) にデプロイする必要があります。

   3. [Azure Stack Hub Locations]\(Azure Stack Hub の場所\) で、デプロイしているリージョンに対応する場所を選択します。 たとえば、ASDK にデプロイしている場合は、[ローカル] を選びます。

   4. 管理者は、デプロイされる各仮想マシン スケール セット内の個々のインスタンスに対して、3 文字のデプロイ プレフィックスを指定できます。 デプロイ プレフィックスは、複数のAzure Stack Hub インスタンスを管理する場合に便利です。

8. Azure App Service インストーラーでは、仮想ネットワークおよび関連付けられているサブネットを作成できます。 または、こちらの手順で構成された既存の仮想ネットワークにデプロイすることもできます。

   • Azure App Service インストーラーによる方法を使用する場合は、[既定の設定で VNet を作成する] をオンにし、既定値を受け入れて、[次へ] を選択します。

   • 既存のネットワークにデプロイする場合は、[Use existing VNet and Subnets]\(既存の VNet とサブネットを使用する\) をオンにし、次の手順に従います。

     1. 仮想ネットワークが含まれているリソース グループのオプションを選択します。
     2. デプロイする仮想ネットワークの名前を選択します。
     3. 必要なロール サブネットそれぞれに適切なサブネット値を選択します。
     4. [次へ] を選択します。

     

9. ファイル共有の情報を入力してから、 [次へ] を選択します。 ファイル共有のアドレスには、ファイル サーバーの完全修飾ドメイン名 (FQDN)、または IP アドレスを使用する必要があります。 たとえば、\\appservicefileserver.local.cloudapp.azurestack.external\websites、または \\10.0.0.1\websites です。 ドメインに参加しているファイル サーバーを使用している場合は、ドメインを含む完全なユーザー名を指定する必要があります。 (例: <myfileserverdomain>\<FileShareOwner>)。

   注

   インストーラーは、続行する前にファイル共有への接続性をテストしようとします。 ただし、既存の仮想ネットワークにデプロイすることを選んだ場合、インストーラーはファイル共有に接続できない可能性があり、続行するかどうかを確認する警告が表示されます。 ファイル共有情報を確認し、正しい場合は続行します。

   

10. 次のページで、次の操作を行います。

    1. [ ID アプリケーション ID ] ボックスに、前提条件の一部として作成した ID アプリケーションの GUID を入力 します。
    2. [Identity Application certificate file]\(ID アプリケーションの証明書ファイル\) ボックスで、証明書ファイルの場所を入力 (または参照) します。
    3. [Identity Application certificate password]\(ID アプリケーションの証明書パスワード\) ボックスで、証明書のパスワードを入力します。 このパスワードは、証明書作成のスクリプトを使ったときに書き留めたものです。
    4. [Azure Resource Manager root certificate file]\(Azure Resource Manager のルート証明書ファイル\) ボックスで、証明書ファイルの場所を入力 (または参照) します。
    5. [次へ] を選択します。

    

11. 3 つの証明書ファイルの各ボックスで、 [参照] を選択し、適切な証明書ファイルに移動します。 各証明書のパスワードを入力する必要があります。 これらの証明書は、「App Service on Azure Stack Hub のデプロイの前提条件」で作成したものです。 すべての情報を入力したら、 [次へ] を選択します。

    ボックス	証明書ファイル名の例
    App Service の既定の SSL 証明書ファイル	_.appservice.local.AzureStack.external.pfx
    App Service API の SSL 証明書ファイル	api.appservice.local.AzureStack.external.pfx
    App Service 公開元の SSL 証明書ファイル	ftp.appservice.local.AzureStack.external.pfx

    証明書の作成時に別のドメイン サフィックスを使った場合は、証明書ファイル名で local.AzureStack.external を使わないでください。 代わりに、ご自分のカスタム ドメイン情報を使用します。

    

12. Azure App Service リソース プロバイダー データベースをホストするために使用するサーバー インスタンスについて、SQL Server の詳細を入力し、[次へ] を選択します。 インストーラーにより、SQL 接続のプロパティが検証されます。 内部 IP または SQL Server 名の FQDN を入力する必要があります。

    注

    インストーラーでは、続行する前に SQL Server を実行しているコンピューターへの接続のテストが試行されます。 ただし、既存の仮想ネットワークにデプロイすることを選んだ場合、インストーラーは SQL Server を実行しているコンピューターに接続できない可能性があり、続行するかどうかを確認する警告が表示されます。 SQL Server 情報を確認し、正しい場合は続行します。

    Azure App Service on Azure Stack Hub 1.3 以降では、インストーラーは、SQL Server を実行しているコンピューターがデータベースのコンテイメントを SQL Server レベルで有効にしているかどうかを確認します。 そうでない場合は、次の例外が表示されます。

       Enable contained database authentication for SQL server by running below command on SQL server (Ctrl+C to copy)
       ***********************************************************
       sp_configure 'contained database authentication', 1;
       GO
       RECONFIGURE;
       GO
       ***********************************************************
    

    

13. ロール インスタンスと SKU のオプションを確認します。 運用環境デプロイの各ロールの既定値として、インスタンスの最小数および SKU の最小値が入力されています。 ASDK デプロイでは、インスタンスをスケールダウンして SKU を減らしてコアとメモリのコミットを減らすことができますが、パフォーマンスが低下します。 デプロイの計画に役立つ vCPU 要件とメモリ要件の概要が表示されています。 必要な項目を選択したら、[次へ] を選択します。

    注

    運用環境デプロイの場合は、「Azure Stack Hub での Azure App Service サーバー ロールの容量計画」のガイダンスに従ってください。

    ロール	最小インスタンス	最小 SKU	メモ
    コントローラー	2	Standard_A4_v2 - (4 コア、8192 MB)	App Service クラウドの正常性を管理および維持します。
    管理	1	Standard_D3_v2 - (4 コア、14336 MB)	App Service Azure Resource Manager および API のエンドポイント、ポータル拡張機能 (管理、テナント、Functions ポータル)、データ サービスを管理します。 フェールオーバーをサポートするには、推奨されるインスタンスを 2 つに増やします。
    発行者	1	Standard_A2_v2 - (2 コア、4096 MB)	FTP および Web デプロイによってコンテンツを公開します。
    FrontEnd	1	Standard_A4_v2 - (4 コア、8192 MB)	App Service アプリに要求をルーティングします。
    共有 Worker	1	Standard_A4_v2 - (4 コア、8192 MB)	Web または API アプリ、および Azure Functions アプリをホストします。 より多くのインスタンスの追加が必要になる場合があります。 オペレーターは、サービスを定義することや任意の SKU レベルを選ぶことができます。 レベルには、少なくとも 1 つの vCPU が必要です。

    

14. [プラットフォーム イメージの選択] ボックスで、Azure App Service クラウド用のコンピューティング リソース プロバイダーで選択可能なイメージの中から、準備した Windows Server 2022 Datacenter 仮想マシン (VM) イメージを選択します。 [次へ] を選択します。

    注

    Windows Server 2022 Core は、Azure App Service on Azure Stack Hub で使用するためにサポートされているプラットフォーム イメージではありません。 運用環境デプロイには評価版イメージを使用しないでください。 Azure Stack HubのAzure App Serviceでは、デプロイに使用するイメージで Microsoft .NET 3.5.1 SP1 がアクティブ化されている必要があります。 Marketplace にシンジケート化された Windows Server 2022 イメージでは、この機能は有効ではありません。 そのため、オフライン環境でデプロイする場合は、この機能を事前に有効にしたWindows Server 2022 イメージを作成して使用する必要があります。

    カスタム イメージの作成と Marketplace への追加の詳細については、「App Service on Azure Stack Hub のデプロイの前提条件」を参照してください。 Marketplace にイメージを追加するときは、必ず以下を指定してください。

    • 発行元 = MicrosoftWindowsServer
    • オファー = WindowsServer
    • SKU = AppService
    • バージョン = "最新" バージョンを指定

15. 次のページで、次の操作を行います。

    1. Worker ロールの VM 管理者のユーザー名とパスワードを入力します。
    2. その他のロールの VM 管理者のユーザー名とパスワードを入力します。
    3. [次へ] を選択します。

    

16. 概要ページで、次のことを行います。

    1. 選択した内容を確認します。 変更を加えるには、 [前へ] を使って前のページに戻ります。
    2. 構成が正しい場合は、チェック ボックスをオンにします。
    3. デプロイを開始するには、[次へ] を選択します。

    

17. 次のページで、次の操作を行います。

    1. インストールの進行状況を追跡します。 既定の選択内容と Windows 2016 Datacenter の基本イメージの有効期間に基づいて App Service on Azure Stack Hub をデプロイするには、最長 240 分かかる場合があります。

    2. インストーラーの実行が完了したら、[終了] を選択します。

    

デプロイ後の手順

既存の仮想ネットワークにデプロイし、内部 IP アドレスを使用してファイル サーバーに接続する場合は、送信セキュリティ規則を追加して、ワーカー サブネットとファイル サーバー間の SMB トラフィックを有効にする必要があります。 管理者ポータルでネットワーク セキュリティ グループである WorkersNsg に移動し、次のプロパティを持つ送信セキュリティ規則を追加します。

• ソース:Any
• 送信元ポート範囲: *
• 変換先:IP アドレス
• 宛先 IP アドレス範囲:ファイル サーバーの IP の範囲
• 送信先ポート範囲:445
• プロトコル:TCP
• アクション:Allow
• 優先順位:700
• 名前:Outbound_Allow_SMB445

ワーカーがファイルサーバーと通信するときの待ち時間を削減するために、Worker ネットワーク セキュリティ グループに次の規則を追加して、LDAP および Kerberos トラフィックをアクティブ ディレクトリ コントローラーに送信できるようにしてください。これは、アクティブ ディレクトリを使用してファイルサーバーをセキュリティで保護する場合に役立ちます（例えば、クイックスタートテンプレートを使用して HA ファイルサーバーと SQL サーバーをデプロイした場合）。

管理者ポータルで WorkersNsg に移動し、次のプロパティを持つ送信セキュリティ規則を追加します。

• ソース:Any
• 送信元ポート範囲: *
• 送信先: IP アドレス
• 宛先 IP アドレス範囲: AD サーバーの IP の範囲 (クイック スタート テンプレートでの例: 10.0.0.100、10.0.0.101)
• 送信先ポート範囲:389,88
• プロトコル: Any
• アクション:Allow
• 優先順位:710
• 名前: Outbound_Allow_LDAP_and_Kerberos_to_Domain_Controllers

Windows update動作: お客様からのフィードバックに基づいて、App Service ロールに対するWindows Updateの構成方法が Update 7 から変更されました。

3 つのモード: 無効 - Windows Updateサービスが無効になっています。Windowsは、Azure Stack HubリリースでAzure App Serviceに付属している KB で更新されます。自動 - Windows Updateサービスが有効になっており、Windows Updateによって更新方法とタイミングが決まります。マネージド - Windows Update サービスが無効になっているAzure App Serviceは、個々のロールの OnStart 中にWindows Update サイクルを実行します。 (既定値)。

この設定は、App Service コントローラー インスタンスの Web 管理コンソール アプリケーションで変更できます。

Azure App Service on Azure Stack Hub のインストールを検証する

1. Azure Stack Hub 管理者ポータルで、 [管理 - App Service] に移動します。

2. 概要の状態で、 [状態] に [ロールはいずれも準備ができています] と表示されていることを確認します。

   

Azure App Service on Azure Stack Hub のテスト

Azure App Service リソース プロバイダーをデプロイして登録したら、テストを行ってユーザーが Web アプリと API アプリをデプロイできることを確認します。

1. Azure Stack Hub ユーザー ポータルで、[+ リソースの作成]>[Web + モバイル]>[Web アプリ] の順に選択します。

2. [Web アプリ] ブレードで、[Web アプリ] ボックスに名前を入力します。

3. [リソース グループ] で、[新規] を選択します。 [リソース グループ] ボックスに名前を入力します。

4. [App Service プラン/場所]>[新規作成] の順に選択します。

5. [App Service プラン] ブレードで、[App Service プラン] ボックスに名前を入力します。

6. [価格レベル]>[Free-Shared] または [Shared-Shared]>[選択]>[OK]>[作成] の順に選択します。

7. 1 分未満に、ダッシュボードに新規 Web アプリのタイルが表示されます。 タイルを選択します。

8. [Web アプリ] ブレードで、[参照] を選択して、このアプリの既定の Web サイトを表示します。

WordPress、DNN、Django の Web サイトを展開する (省略可能)

1. Azure Stack Hub ユーザー ポータルで、+ を選択して Azure Marketplace にアクセスし、Django Web サイトをデプロイして、正常に完了するまで待ちます。 Django Web プラットフォームでは、ファイル システム ベースのデータベースが使われます。 SQL や MySQL などの他のリソース プロバイダーは必要ありません。

2. MySQL リソースプロバイダーも展開した場合は、Azure Marketplace から WordPress Web サイトを展開できます。 データベース パラメーターを求められたら、お好きなユーザー名とサーバー名を使用して、ユーザー名を User1@Server1 のように入力します。

3. SQL Server リソースプロバイダーも展開した場合は、Azure Marketplace から DNN Web サイトを展開できます。 データベース パラメーターを求められたら、お使いのリソース プロバイダーに接続されている SQL Server を実行中のコンピューター内のデータベースを選びます。

次のステップ

Azure Stack Hubでの App Service の他の管理者操作に備えます。

• 容量計画
• デプロイ ソースを構成する