Pré-requisitos para a implementação do Serviço de Aplicações no Azure Stack Hub

Importante

Atualize o Azure Stack Hub para uma versão suportada, se necessário, antes de implementar ou atualizar o fornecedor de recursos do Serviço de Aplicações do Azure. Certifique-se de ler as notas de lançamento do fornecedor de recursos para saber sobre novas funcionalidades, correções e quaisquer problemas conhecidos que possam afetar a sua implementação.

Versão mínima suportada do Azure Stack Hub Versão do fornecedor de recursos de Serviços de Aplicações
2311 e seguintes Instalador 25R1, pacote offline 25R1 (notas de lançamento)

Antes de implementar o Serviço de Aplicações do Azure no Azure Stack Hub, complete os passos pré-requisitos neste artigo.

Azure Stack Hub implementações integradas de sistemas

Pré-requisitos do provedor de recursos

Se já instalou um fornecedor de recursos, provavelmente cumpriu os seguintes pré-requisitos e pode saltar esta secção. Caso contrário, complete estes passos antes de continuar.

  1. Registe a sua instância do Azure Stack Hub com o Azure, se ainda não o tiver feito. Precisas de registar a tua instância do Azure Stack Hub no Azure porque vais ligar-te ao Azure e descarregar itens do marketplace.

  2. Se não estiver familiarizado com a funcionalidade Gestão do Marketplace do portal de administração do Azure Stack Hub, consulte Transferir itens do Marketplace a partir do Azure e publicá-los no Azure Stack Hub. O artigo orienta você pelo processo de download de itens do Azure para o mercado do Azure Stack Hub. Ele abrange cenários conectados e desconectados. Se a sua instância do Azure Stack Hub estiver desligada ou parcialmente ligada, precisa de cumprir pré-requisitos adicionais em preparação para a instalação.

  3. Atualize o diretório inicial do Microsoft Entra. A partir da versão 1910, tem de registar uma nova aplicação no locatário do seu diretório principal. Esta aplicação permite que o Azure Stack Hub crie e registe com sucesso novos fornecedores de recursos (como o Hubs de Eventos do Azure e outros) junto do seu inquilino Microsoft Entra.

    Esta ação é necessária depois de atualizar para a compilação 1910 ou posterior. Se não concluir esta etapa, a instalação dos fornecedores de recursos a partir do Marketplace falhará.

  4. Depois de atualizar com sucesso a sua instância Azure Stack Hub para 1910 ou posterior, siga as instruções para clonar/descarregar o repositório Azure Stack Hub Tools.

  5. Siga as instruções para atualizar o diretório Azure Stack Hub Microsoft Entra home (após instalar atualizações ou novos fornecedores de recursos).

Scripts de instalação e scripts auxiliares

  1. Descarregue os scripts helper para a implementação do App Service em Azure Stack Hub.

    Os scripts auxiliares de implantação exigem o módulo AzureRM PowerShell. Para obter detalhes sobre a instalação, consulte Instalar os módulos do PowerShell Az e do Azure Stack para o Azure Stack Hub.

  2. Descarregue o instalador para o Serviço de Aplicações em Azure Stack Hub.

  3. Extrai o conteúdo do ficheiro .zip para os scripts auxiliares. Os seguintes arquivos e pastas são extraídos:

    • Comum.ps1
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • BCDR
      • ReACL.cmd
    • Pasta Módulos
      • GraphAPI.psm1

Requisitos dos certificados

Para executar o provedor de recursos em produção, você deve fornecer os seguintes certificados:

  • Certificado de domínio padrão
  • certificado da API
  • Certificado de publicação
  • Certidão de identidade

Para além dos requisitos específicos listados nas secções seguintes, utiliza uma ferramenta mais tarde para testar os requisitos gerais. Para a lista completa de validações, veja Validar Azure Stack Hub certificados PKI. As validações incluem:

  • Formato de ficheiro .pfx.
  • Uso de chaves definido para autenticação de servidor e cliente.
  • Vários outros.

Certificado de domínio padrão

O fornecedor de recursos instala o certificado de domínio predefinido na função de front-end. As aplicações de utilizador para pedidos de domínio coringa ou predefinidos para o Serviço de Aplicações do Azure utilizam este certificado. O certificado também assegura as operações de controlo de fontes (Kudu).

O certificado deve estar no formato .pfx e deve ser um certificado curinga de três assuntos. Este requisito permite que um certificado cubra tanto o domínio padrão como o scm endpoint para operações de controlo de versão.

Formato Exemplo
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

certificado da API

Coloque o certificado da API na função de gestão. O provedor de recursos o usa para ajudar a proteger chamadas de API. O certificado para publicação deve conter um assunto que corresponda à entrada DNS da API.

Formato Exemplo
api.appservice.<region>.<DomainName>.<extension> api.appservice.redmond.azurestack.external

Certificado de publicação

O certificado para o papel de editor ajuda a garantir o tráfego FTPS para os proprietários da aplicação quando estes carregam conteúdo. O certificado para publicação deve conter um assunto que corresponda à entrada DNS FTPS.

Formato Exemplo
ftp.appservice.<region>.<DomainName>.<extension> ftp.appservice.redmond.azurestack.external

Certidão de identidade

O certificado para o aplicativo de identidade permite:

  • Integração entre o diretório Microsoft Entra ou Serviços de Federação do Active Directory (AD FS) (AD FS), Azure Stack Hub e App Service para suportar a integração com o fornecedor de recursos de computação.
  • Cenários de single log-on (SSO) para ferramentas avançadas de programador dentro do Serviço de Aplicações do Azure no Azure Stack Hub.

O certificado de identidade deve conter um assunto que corresponda ao seguinte formato.

Formato Exemplo
sso.appservice.<region>.<DomainName>.<extension> sso.appservice.redmond.azurestack.external

Validação do certificado

Antes de implementar o fornecedor de recursos de Serviços de Aplicações, valide os certificados utilizando a ferramenta Azure Stack Hub Readiness Checker disponível no Galeria do PowerShell. A ferramenta Verificador de Preparação do Azure Stack Hub valida se os certificados PKI gerados são adequados para a implementação do App Service.

Quando estiver a trabalhar com qualquer um dos certificados PKI Azure Stack Hub necessários, planeie tempo suficiente para testar e reemitir os certificados, se necessário.

Preparação do servidor de ficheiros

O Serviço de Aplicações do Azure requer um servidor de ficheiros. Para implementações em produção, deve configurar o servidor de ficheiros para estar altamente disponível e capaz de lidar com falhas.

Use um modelo de início rápido para um servidor de ficheiros e SQL Server

Está disponível um modelo de início rápido para uma arquitetura de referência para implementar um servidor de ficheiros e um SQL Server de alta disponibilidade. Este modelo suporta infraestrutura do Active Directory numa rede virtual configurada para suportar uma implementação altamente disponível do Serviço de Aplicações do Azure no Azure Stack Hub.

O operador do Azure Stack Hub gere estes servidores, especialmente em ambientes de produção. Configure o modelo conforme necessário ou exigido pela sua organização.

Nota

A instância integrada do sistema deve ser capaz de descarregar recursos do GitHub para completar a implementação.

Implementar um servidor de ficheiros personalizado

Se optar por implementar o App Service numa rede virtual existente, implemente o servidor de ficheiros numa sub-rede separada da App Service.

Se optar por implementar um servidor de ficheiros usando qualquer um dos modelos de início rápido mencionados anteriormente, pode saltar esta secção. Os servidores de ficheiros são configurados como parte da implementação do modelo.

Aprovisionar grupos e contas no Active Directory

  1. Crie os seguintes grupos de segurança global do Ative Directory:

    • FileShareOwners
    • FileShareUsers.

  2. Crie as seguintes contas do Ative Directory como contas de serviço:

    • FileShareOwner
    • FileShareUser

    Como boa prática de segurança, utilize utilizadores únicos para estas contas (e para todas as funções web). Também use nomes de utilizador e palavras-passe fortes. Defina as senhas com as seguintes condições:

    • Ativar A palavra-passe nunca expira.
    • Ativar O usuário não pode alterar a senha.
    • Desativar O usuário deve alterar a senha no próximo logon.

  3. Adicione as contas às associações de grupo da seguinte maneira:

    • Adicione FileShareOwner ao grupo FileShareOwners .
    • Adicione FileShareUser ao grupo FileShareUsers .
Aprovisionar grupos e contas num grupo de trabalho

Quando configura um servidor de ficheiros, execute todos os comandos seguintes a partir de um prompt de comandos de administrador. Não uses o PowerShell.

Quando você usa o modelo do Azure Resource Manager, os usuários já estão criados.

  1. Execute os seguintes comandos para criar as contas FileShareOwner e FileShareUser . Substitua <password> pelos seus próprios valores.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
net user FileShareUser <password> /add /expires:never /passwordchg:no

  2. Defina as palavras-passe das contas para nunca expirarem executando os seguintes WMIC comandos:

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE

  3. Crie os grupos locais FileShareUsers e FileShareOwners, e adicione as contas do primeiro passo a eles:

    net localgroup FileShareUsers /add
net localgroup FileShareUsers FileShareUser /add
net localgroup FileShareOwners /add
net localgroup FileShareOwners FileShareOwner /add

Configurar a partilha de conteúdo

A partilha de conteúdos contém conteúdos do site do inquilino. O procedimento para provisionar o compartilhamento de conteúdo em um único servidor de arquivos é o mesmo para ambientes do Ative Directory e de grupo de trabalho. É diferente no caso de um cluster de failover no Active Directory.

Num único servidor de ficheiros para o Active Directory ou um grupo de trabalho, execute os seguintes comandos num prompt de comandos elevado. Substitua o valor de C:\WebSites pelos caminhos correspondentes no seu ambiente.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

Configuração do controlo de acesso às ações

Execute os comandos seguintes numa linha de comandos com privilégios elevados no servidor de ficheiros ou no nó do cluster de ativação pós-falha que seja o proprietário atual do recurso de cluster. Substitua variáveis pelos valores específicos do seu ambiente.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Grupo de Trabalho

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

Preparação da instância SQL Server

Nota

Se optaste por implementar o modelo de quickstart para um servidor de ficheiros altamente disponível e para o SQL Server, podes saltar esta secção. O modelo implementa e configura o SQL Server numa configuração altamente disponível.

Para as bases de dados de alojamento e medição do Serviço de Aplicações do Azure no Azure Stack Hub, deve preparar uma instância do SQL Server para armazenar as bases de dados do App Service.

Para fins de produção e alta disponibilidade, utilize uma versão completa de SQL Server SP3 de 2016 ou posterior, ative a autenticação em modo misto e implemente numa configuração altamente disponível.

Todas as funções do App Service devem aceder à instância do SQL Server do Serviço de Aplicações do Azure no Azure Stack Hub. Pode implementar o SQL Server dentro da subscrição padrão do fornecedor no Azure Stack Hub. Ou pode usar a infraestrutura existente na sua organização, desde que haja ligação ao Azure Stack Hub. Se estiver a usar uma imagem do Microsoft Marketplace, lembre-se de configurar o firewall em conformidade.

Nota

As imagens de infraestrutura SQL como serviço (IaaS) para máquinas virtuais (VMs) estão disponíveis na funcionalidade de Gestão do Marketplace. Certifique-se de descarregar sempre a versão mais recente da extensão SQL IaaS antes de implementar uma VM usando um item do Marketplace. As imagens SQL são as mesmas que as VMs SQL disponíveis no Azure. Para VMs SQL criadas a partir dessas imagens, a extensão IaaS e os aprimoramentos correspondentes do portal fornecem recursos como patches automáticos e recursos de backup.

Para qualquer uma das funções do SQL Server, você pode usar uma instância padrão ou uma instância nomeada. Se usar uma instância nomeada, certifique-se de iniciar manualmente o serviço de navegador SQL Server e abrir a porta 1434.

O instalador do App Service verifica se o SQL Server tem a contenção de base de dados ativada. Para permitir a contenção da base de dados na instância do SQL Server que aloja as bases de dados do App Service, execute estes comandos SQL:

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

Questões de licenciamento para o servidor de ficheiros e SQL Server necessários

O Serviço de Aplicativo do Azure no Azure Stack Hub requer um servidor de arquivos e o SQL Server para operar. Pode usar recursos pré-existentes localizados fora da sua implementação no Azure Stack Hub ou implementar recursos dentro da subscrição padrão do seu fornecedor do Azure Stack Hub.

Se optar por implementar os recursos dentro da subscrição padrão do seu fornecedor do Azure Stack Hub, o custo do Serviço de Aplicações do Azure no Azure Stack Hub inclui as licenças desses recursos (licenças do Windows Server e licenças do SQL Server). As licenças estão sujeitas às seguintes restrições:

  • Implementas a infraestrutura na subscrição padrão do fornecedor.
  • O fornecedor de recursos para Serviço de Aplicações do Azure no Azure Stack Hub utiliza exclusivamente a infraestrutura. Não é permitido que nenhuma outra carga de trabalho administrativa (outros fornecedores de recursos, como SQL-RP) nem cargas de trabalho do cliente (por exemplo, aplicações de cliente que requerem uma base de dados) utilizem esta infraestrutura.

Responsabilidade operacional do servidor de ficheiros e do SQL Server

Os operadores de cloud são responsáveis pela manutenção e operação do servidor de ficheiros e do SQL Server. O provedor de recursos não gerencia esses recursos. O operador da cloud é responsável por fazer backup das bases de dados do App Service e da partilha de ficheiros de conteúdo do inquilino.

Script para recuperar o certificado raiz do Azure Resource Manager para Azure Stack Hub

Abra uma sessão elevada no PowerShell num computador que consiga alcançar o ponto de extremidade privilegiado no sistema integrado do Azure Stack Hub.

Executa o Get-AzureStackRootCert.ps1 script a partir da pasta onde extraíste os scripts auxiliares. O script cria um certificado raiz na mesma pasta que o script que o Serviço de Aplicativo precisa para criar certificados.

Ao executar o seguinte comando PowerShell, forneça o endpoint privilegiado e as credenciais para AzureStack\CloudAdmin:

Get-AzureStackRootCert.ps1

Parâmetros de script Get-AzureStackRootCert.ps1

Parâmetro Obrigatório ou opcional Valor predefinido Descrição
PrivilegedEndpoint Necessário AzS-ERCS01 Terminal privilegiado
CloudAdminCredential Necessário AzureStack\CloudAdmin Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub

Configuração de rede e identidade

A configuração de rede e identidade do Serviço de Aplicações do Azure no Azure Stack Hub envolve a configuração da infraestrutura de rede necessária e a gestão de identidade para suportar o fornecedor de recursos.

Configurar uma rede virtual

Com o Serviço de Aplicações do Azure no Azure Stack Hub, pode implementar o fornecedor de recursos numa rede virtual existente ou criar uma rede virtual como parte da implementação. Se usar uma rede virtual existente, pode usar IPs internos para se ligar ao servidor de ficheiros e à instância do SQL Server que o App Service no Azure Stack Hub exige.

Antes de instalar o App Service no Azure Stack Hub, configure a rede virtual com o seguinte intervalo de endereços e sub-redes:

  • Rede virtual, /16

  • Sub-redes:

    • ControllersSubnet, /24
    • ManagementServersSubnet, /24
    • FrontEndsSubnet, /24
    • Subnet de editores, /24
    • WorkersSubnet, /21

Criar uma rede virtual personalizada antecipadamente é opcional. O Serviço de Aplicações do Azure no Azure Stack Hub pode criar a rede virtual necessária, mas depois deve comunicar com o SQL Server e o servidor de ficheiros através de endereços IP públicos. Se usar o modelo de início rápido para o servidor de ficheiros altamente disponível do App Service e o SQL Server para implementar os recursos pré-requisitos, o modelo também implementa uma rede virtual.

Importante

Se optar por implementar o App Service numa rede virtual existente, implemente o SQL Server numa sub-rede separada do App Service e do servidor de ficheiros.

Crie uma aplicação de identidade para permitir cenários SSO

O Serviço de Aplicações do Azure utiliza uma aplicação de identidade (principal de serviço) para suportar as seguintes operações:

  • Integração de conjuntos de dimensionamento de máquinas virtuais em escalões de trabalho
  • SSO para o portal Funções do Azure e ferramentas avançadas para programadores (Kudu)

Dependendo do fornecedor de identidade utilizado pelo Azure Stack Hub (Microsoft Entra ID ou AD FS), siga os passos apropriados para criar o principal de serviço que o Serviço de Aplicações do Azure irá usar no fornecedor de recursos do Azure Stack Hub.

Criar uma aplicação do Microsoft Entra

Siga estas etapas para criar a entidade de serviço em seu locatário do Microsoft Entra:

  1. Abrir uma instância PowerShell como azurestack\AzureStackAdmin.

  2. Vá à localização dos scripts que descarregou e extraiu anteriormente neste artigo.

  3. Instale o PowerShell para Azure Stack Hub.

  4. Execute o script Create-AADIdentityApp.ps1. Quando lhe for pedido, introduza o ID de inquilino do Microsoft Entra que está a utilizar para a implementação do Azure Stack Hub. Por exemplo, digite myazurestack.onmicrosoft.com.

  5. Na janela Credencial, insira sua conta e senha de administrador do serviço Microsoft Entra. Selecione OK.

  6. Introduza o caminho do ficheiro de certificado e a palavra-passe do certificado que criou anteriormente. O certificado para este passo é sso.appservice.local.azurestack.external.pfx por defeito.

  7. Anote o ID da aplicação na saída do PowerShell. Você usa a ID nas etapas a seguir para fornecer consentimento para as permissões do aplicativo e durante a instalação.

  8. Abra uma nova janela do navegador e entre no portal do Azure como administrador do serviço Microsoft Entra.

  9. Abra o serviço Microsoft Entra.

  10. No painel esquerdo, selecione Registos de Aplicações.

  11. Procure o ID da candidatura que indicou no passo 7.

  12. Selecione o registo da aplicação do App Service na lista.

  13. No painel esquerdo, selecione permissões da API.

  14. Selecione Conceder consentimento do administrador paralocatário, em que locatário é o nome do seu locatário do Microsoft Entra. Selecione Sim para confirmar a concessão do consentimento.

  15. Para cenários com vários inquilinos, execute o seguinte script do PowerShell para conceder as permissões Directory.Read.All e user_impersonation ao registo da aplicação do App Service, utilizando o endpoint de administração do Azure Resource Manager.

    # Build the admin endpoint by replacing the region and the FQDN with the values specific to your system
$adminarmendpoint = https://adminmanagement.<region>.<FQDN>/
Add-AzEnvironment -Name "AzureStackAdmin" -ArmEndpoint $userarmendpoint
# Home directory
$AADTenantName = "xxx"
$authEndpoint = (Get-AzEnvironment -Name "AzureStackAdmin").ActiveDirectoryAuthority.TrimEnd('/')
$TenantId = (invoke-restmethod "$($AuthEndpoint)/$($AADTenantName)/.well-known/openid-configuration").issuer.TrimEnd('/').Split('/')[-1]
Login-AzAccount -EnvironmentName "AzureStackAdmin" -TenantId $TenantID

# Enter the region name of your Azure Stack Hub system
$Location = '<region>'
$AppServicesAppId = '' # The identity app's application ID; use the Azure portal to get it - Entra ID - App Registration - App Services - Application ID
$AppServicesObjectId = '' # The identity app's object ID; use the Azure portal to get it - Entra ID - App Registration - App Services - Object ID

# The applicationId property in the JSON returned from https://<AdminArmEndpoint>/metadata/identity?api-version=2015-01-01
$TenantArmAppId = (Invoke-WebRequest "$adminarmendpoint/metadata/identity?api-version=2015-01-01" -UseBasicParsing | select -ExpandProperty Content | ConvertFrom-Json | select applicationId).applicationId

$params = @{
    ResourceGroupName = "system.$Location"
    ResourceType = 'Microsoft.Subscriptions.Providers/applicationRegistrations'
    ResourceName = 'AppService'
    ApiVersion = '2018-05-01'
    Location = $Location
    Properties = @{
        appId = $AppServicesAppId
        objectId = $AppServicesObjectId
        appRoleAssignments = @(@{
            client = $AppServicesAppId
            roleId = ([guid]('00000002-0000-0000-c000-000000000000')).ToString() # Well-known value for the Directory.Read.All permission
            resource = ([guid]('00000002-0000-0000-c000-000000000000')).ToString() # Well-known value for Microsoft.Azure.ActiveDirectory
        })
        oAuth2PermissionGrants = @(@{
            client = $AppServicesAppId
            resource = ([guid]('00000002-0000-0000-c000-000000000000')).ToString() # Well-known value for Microsoft.Azure.ActiveDirectory
            scope = 'User.Read Directory.Read.All'
        }, @{
            client = $AppServicesAppId
            resource = $tenantArmAppId
            scope = 'user_impersonation'
        })
    }
}
New-AzResource @params -Verbose -Force

    Depois de executares este script, cada inquilino que precisa de usar o App Service tem de reexecutar o script de registo. Consulte Configurar vários inquilinos no Azure Stack Hub.

Create-AADIdentityApp Script PowerShell

Create-AADIdentityApp.ps1
Parâmetro Obrigatório ou opcional Valor predefinido Descrição
DirectoryTenantName Necessário Null ID do inquilino do Microsoft Entra. Forneça o GUID ou a cadeia de caracteres. Um exemplo é myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Necessário Null Ponto final de administração do Azure Resource Manager. Um exemplo é adminmanagement.local.azurestack.external.
TenantARMEndpoint Necessário Null Ponto final do Azure Resource Manager do locatário. Um exemplo é management.local.azurestack.external.
AzureStackAdminCredential Necessário Null Credencial de administrador do serviço Microsoft Entra.
CertificateFilePath Necessário Null Caminho completo para o ficheiro de certificado da aplicação de identidade gerado anteriormente.
CertificatePassword Necessário Null Senha que ajuda a proteger a chave privada do certificado.
Environment Opcional AzureCloud Nome do ambiente cloud suportado onde o serviço Microsoft Graph de destino está disponível. Valores permitidos: AzureCloud, AzureChinaCloud, AzureUSGovernment, AzureGermanCloud.

Criar uma aplicação AD FS

  1. Abrir uma instância PowerShell como azurestack\AzureStackAdmin.

  2. Vá à localização dos scripts que descarregou e extraiu anteriormente neste artigo.

  3. Instale o PowerShell para Azure Stack Hub.

  4. Execute o script Create-ADFSIdentityApp.ps1.

  5. Na janela Credential, introduza a sua conta de administrador da nuvem do AD FS e a palavra-passe. Selecione OK.

  6. Forneça o caminho do ficheiro do certificado e a palavra-passe do certificado que criou anteriormente. O certificado para este passo é sso.appservice.local.azurestack.external.pfx por defeito.

Create-ADFSIdentityApp.ps1
Parâmetro Obrigatório ou opcional Valor predefinido Descrição
AdminArmEndpoint Necessário Null Ponto final de administração do Azure Resource Manager. Um exemplo é adminmanagement.local.azurestack.external.
PrivilegedEndpoint Necessário Null Terminal privilegiado. Um exemplo é AzS-ERCS01.
CloudAdminCredential Necessário Null Credencial de conta de domínio para administradores de nuvem do Azure Stack Hub. Um exemplo é Azurestack\CloudAdmin.
CertificateFilePath Necessário Null Caminho completo para o ficheiro PFX do certificado da aplicação de identidade.
CertificatePassword Necessário Null Senha que ajuda a proteger a chave privada do certificado.

Descarregar itens do Microsoft Marketplace

Serviço de Aplicações do Azure no Azure Stack Hub exige que descarregue itens do Microsoft Marketplace para os disponibilizar no Azure Stack Hub marketplace. Antes de iniciar a implementação ou atualização do Serviço de Aplicações do Azure no Azure Stack Hub, descarregue os seguintes itens.

Importante

O Windows Server Core não é uma imagem de plataforma suportada para uso com o Serviço de Aplicações do Azure no Azure Stack Hub.

Não use imagens de avaliação para implantações de produção.

  • Última versão da imagem da VM do Windows Server 2022 Datacenter.

  • Imagem completa de VM do Windows Server 2022 Datacenter com o Microsoft .NET 3.5.1 SP1 ativado. Serviço de Aplicações do Azure no Azure Stack Hub exige que Microsoft .NET SP1 3.5.1 esteja ativado na imagem que usas para a implementação. As imagens do Windows Server 2022 distribuídas pelo marketplace não têm esse recurso habilitado. Em ambientes desconectados, a imagem não consegue chegar ao Microsoft Update para descarregar os pacotes e instalar usando o DISM. Deve criar e usar uma imagem do Windows Server 2022 com esta funcionalidade pré-ativada para implementações desconectadas.

    Para informações sobre como criar uma imagem personalizada e adicioná-la ao Marketplace, consulte Adicionar uma imagem de VM personalizada ao Azure Stack Hub. Certifique-se de especificar as seguintes propriedades ao adicionar a imagem ao Marketplace:

    • Publisher: Introduza MicrosoftWindowsServer.
    • Oferta: Introduza WindowsServer.
    • SKU: Introduza AppService.
    • Versão: Especifique a versão mais recente.
  • Extensão de Script Personalizada v1.9.1 ou posterior. Este item é uma extensão VM.

Conteúdo relacionado

  • Last updated on