Udostępnij przez

Konfigurowanie wystąpienia zarządzanego w usłudze Azure App Service (wersja zapoznawcza)

Wystąpienie zarządzane w usłudze Azure App Service (wersja zapoznawcza) to opcja hostingu w zakresie planu dla aplikacji internetowych systemu Windows, które wymagają dostosowania systemu operacyjnego, opcjonalnej sieci prywatnej i bezpiecznej integracji z zasobami platformy Azure. W tym artykule wyjaśniono, jak skonfigurować wystąpienie zarządzane w kluczowych obszarach:

  • Tożsamość zarządzana
  • Skrypty konfiguracji (instalacji)
  • Punkty montowania pamięci
  • Klucze rejestru
  • Dostęp do protokołu RDP (Remote Desktop Protocol)

Ważne

Wystąpienie zarządzane jest dostępne w wersji zapoznawczej dla aplikacji internetowych systemu Windows w wybranych regionach i jest ograniczone do planów cenowych Pv4 i Pmv4. Więcej regionów do naśladowania. Systemy Linux i kontenery nie są obsługiwane.

Dodawanie tożsamości zarządzanej (do planu usługi App Service)

Tożsamości zarządzane na poziomie planu umożliwiają uwierzytelnianie operacji infrastruktury, które występują w warstwie platformy, takich jak skrypty konfiguracji (instalacji) uzyskiwania dostępu do usługi Azure Storage podczas uruchamiania, karty rejestru ściągające wpisy tajne z usługi Key Vault, a magazyn instaluje uwierzytelnianie w usłudze Azure Files. Te składniki są zasobami udostępnionymi, z których korzysta wiele aplikacji w planie. Na przykład tożsamość na poziomie planu umożliwia usłudze Managed Instance uwierzytelnianie raz dla składników infrastruktury, podczas gdy poszczególne aplikacje utrzymują własne tożsamości dla zasobów specyficznych dla aplikacji, takich jak bazy danych i wpisy tajne aplikacji.

Tożsamości zarządzane dla planu usługi App Service są wymagane w następujących scenariuszach:

  • Aby bezpiecznie uzyskać dostęp do skryptu konfiguracji i pobrać go z usługi Azure Storage.
  • Uzyskaj dostęp do magazynów kluczy, aby podać poświadczenia i wartości instalacji magazynu i kart kluczy rejestru.

Zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika , aby utworzyć tożsamość zarządzaną.

Aby dodać tożsamość zarządzaną do planu wystąpienia zarządzanego:

  1. Przejdź do wystąpienia zarządzanego w witrynie Azure Portal.
  2. Wybierz pozycję Tożsamość>Przypisano użytkownika.
  3. Wybierz + Dodaj.
  4. Wybierz subskrypcję i tożsamość zarządzaną.
  5. Wybierz pozycję Dodaj , aby dodać tożsamość do planu.

Dodawanie skryptów konfiguracji (instalacji)

Skrypty konfiguracji (instalacji) są uruchamiane podczas uruchamiania wystąpienia w celu zastosowania trwałego dostosowania. Przykłady obejmują rejestrację modelu obiektów składników (COM), instalacje Instalatora Microsoft/Windows (MSI), konfigurację usług Internet Information Services (IIS Server), zmiany listy ACL, włączanie funkcji systemu Windows, ustawianie zmiennych środowiskowych.

Do używania skryptów konfiguracji (instalacji) potrzebne są następujące elementy:

  • Tożsamość zarządzana przypisana do planu usługi App Service
  • Konto magazynu z kontenerem obiektów blob zawierającym pakiet skryptu konfiguracji (zainstaluj) (zip).
  • Pojedynczy plik zip, którego katalog główny zawiera Install.ps1 (punkt wejścia)
  • Storage Blob Data Reader rola na koncie magazynu, kontenerze lub grupie zasobów

Aby dodać skrypt konfiguracji:

  1. Przejdź do planu usługi App Service wystąpienia zarządzanego w witrynie Azure Portal.

  2. Wybierz pozycję Ustawieniaogólne>.

  3. W sekcji Skrypt konfiguracji rozpocznij od skonfigurowania skryptu.

    Setting Wartość
    Konto magazynu Wybieranie konta magazynu
    Pojemnik Wprowadź nazwę kontenera
    Plik zip Wprowadź nazwę pliku zip
    Wartość Sprawdź, czy ta wartość jest poprawna

  4. Wybierz pozycję Zastosuj, aby zapisać zmiany.

Najlepsze rozwiązania dotyczące skryptu konfiguracji

  • Wprowadź idempotentne skrypty (sprawdź przed zainstalowaniem).
  • Chronić operacje destrukcyjne (unikaj modyfikowania chronionych katalogów systemu Windows).
  • Zatrzaskuje duże instalacje, aby zmniejszyć opóźnienie uruchamiania.

Przykładowa minimalna struktura zip:

Install.ps1
myInstallerfileNameGoesHere.msi
config.xml

Przykładowy skrypt konfiguracji:

# Install Components, for example Crystal Reports, Control Library, Database Driver
$ComponentInstaller = "myInstallerFileNameGoesHere.msi"
try {
    $Component = Join-Path $PSScriptRoot $ComponentInstaller
    Start-Process $Component -ArgumentList "/q" -Wait -ErrorAction Stop
} catch {
    Write-Error "Failed to install ${ComponentInstaller}: $_"
    exit 1
}

Konfigurowanie instalacji magazynu

Instalacja magazynu zapewnia trwały magazyn zewnętrzny (na przykład Azure Files) dostępny dla aplikacji. Użyj dla starszego kodu wymagającego dostępu do udostępnionego systemu plików, a nie dla wpisów tajnych (użyj usługi Key Vault). Chociaż magazyn lokalny (tymczasowy) jest również dostępny, trwałe zmiany wymagają instalacji magazynu.

Do skonfigurowania instalacji magazynu potrzebne są następujące elementy:

  • Tożsamość zarządzana (na potrzeby dostępu do usługi Key Vault)
  • Wpis tajny usługi Key Vault (źródło poświadczeń)

Aby skonfigurować instalację magazynu:

  1. Przejdź do wystąpienia zarządzanego w witrynie Azure Portal.
  2. Wybierz pozycję Konfiguracje>Instalacji.
  3. Wybierz pozycję + Nowa instalacja magazynu.

Podaj następujące szczegóły, aby skonfigurować instalację magazynu:

Setting Wartość
Name Wprowadź nazwę instalacji
Typ magazynu Pliki platformy Azure, niestandardowe lub lokalne (magazyn tymczasowy)
Konto magazynu Wybierz lub wprowadź konto magazynu
Udział plików Wybieranie udziału plików
Wartość Wybieranie magazynu kluczy
Secret Wybieranie wpisu tajnego magazynu kluczy
Litera dysku instalacji Wybierz ścieżkę litery dysku

Możesz zainstalować magazyn zewnętrzny w wystąpieniu zarządzanym. Zainstalowany magazyn jest trwały w przypadku ponownych uruchomień i jest dostępny z systemu plików aplikacji.

Konfigurowanie instalacji magazynu za pomocą usługi Azure Files

Aby skonfigurować instalację usługi Azure Files Storage:

  1. Utwórz konto usługi Azure Storage i udział usługi Azure Files.
  2. Przechowywanie poświadczeń połączenia w usłudze Key Vault jako wpisu tajnego. Obsługiwana zawartość wpisu tajnego: (np. DefaultEndpointsProtocol=...;AccountName=...;AccountKey=...;EndpointSuffix=core.windows.net)
  3. Dodaj instalację w wystąpieniu zarządzanym (witryna Azure Portal lub arm/Bicep/Terraform).

Wskazówka

Wymuszanie uprawnień na poziomie udziału za pośrednictwem kontroli dostępu opartej na rolach platformy Azure i udziałów list ACL w celu zapewnienia zwiększonych zabezpieczeń.

Konfigurowanie instalacji magazynu za pomocą niestandardowej funkcji UNC

Użyj instalacji dla udziałów SMB hostowanych gdzie indziej (lokalnych, maszyn wirtualnych lub innych niż Microsoft). Upewnij się, że łączność sieciowa (integracja sieci wirtualnej/prywatne punkty końcowe/zapory).

  1. Jeśli potrzebne są poświadczenia, zapisz je w kluczu tajnym usługi Key Vault w formacie: username=<user>,password=<password>
    • Unikaj kont administratorów domeny; użyj tożsamości usługi z najniższymi uprawnieniami.
  2. Dodaj instalację w wystąpieniu zarządzanym.

Konfigurowanie kluczy rejestru

Niektóre aplikacje zależą od wartości odczytywanych z rejestru systemu Windows. Za pomocą karty Klucz rejestru można tworzyć klucze rejestru i używać wpisów tajnych z usługi Azure Key Vault jako wartości.

Aby skonfigurować klucze rejestru, potrzebne są następujące elementy:

  • Tożsamość zarządzana (na potrzeby dostępu do usługi Key Vault)
  • Wpis tajny usługi Key Vault (źródło poświadczeń)

Aby skonfigurować klucze rejestru:

  1. Przejdź do pozycjiKlucze rejestru>.

  2. Wybierz + Dodaj.

    Setting Wartość
    Ścieżka Wprowadź ścieżkę rejestru
    skarbiec Wprowadź nazwę istniejącego magazynu
    Secret Wybierz lub wprowadź wpis tajny magazynu kluczy
    Typ Ciąg lub DWORD

  3. Wybierz pozycję Dodaj , aby dodać klucz rejestru.

Ostrzeżenie

Należy zachować ostrożność podczas modyfikowania ścieżek rejestru o znaczeniu krytycznym dla systemu. Nieprawidłowe zmiany mogą mieć wpływ na stabilność wystąpienia.

Konfigurowanie dostępu RDP (Bastion)

Szybki start: automatyczne wdrożenie usługi Azure Bastion umożliwia bezpieczne łączenie się z wystąpieniami maszyn wirtualnych za pośrednictwem protokołu RDP (Remote Desktop Protocol). Protokół RDP za pośrednictwem usługi Azure Bastion służy do diagnostyki przejściowej (inspekcja dzienników, szybka walidacja). Jeśli zamierzasz używać usługi Bastion za pośrednictwem portalu, uaktualnij zasób usługi Bastion do standardowej warstwy cenowej i wybierz pozycję Natywna obsługa klienta i połączenie IP-Based.

Potrzebujesz następujących zasobów na potrzeby dostępu do usługi Bastion/RDP:

  • Wystąpienie zarządzane musi być zintegrowane z siecią wirtualną
  • Host usługi Azure Bastion w docelowej sieci wirtualnej
  • Port 3389 musi być dozwolony z sieciowej grupy zabezpieczeń podsieci bastionu do sieciowej grupy zabezpieczeń planu usługi App Service

Aby skonfigurować usługę Bastion:

  1. Przejdź do pozycji Konfiguracja>Bastion/RDP.
  2. Sprawdź, czy sieć wirtualna jest połączona.
  3. Wybierz pozycję Zezwalaj na pulpit zdalny (za pośrednictwem usługi Bastion).

Ostrzeżenie

Nie należy stosować ręcznych instalatorów ani zmian konfiguracji wyłącznie za pośrednictwem protokołu RDP. Zmiany są tracone podczas recyklingu lub tworzenia dryfu konfiguracji.

Często zadawane pytania

Jaki system operacyjny jest uruchomiony w wystąpieniu zarządzanym w usłudze Azure App Service?

Windows Server 2022.

Czy mogę włączyć więcej ról i funkcji systemu Windows?

Tak, za pomocą skryptu konfiguracji. Jednak funkcje usunięte z przyszłej wersji systemu Windows Server nie będą niedostępne w wystąpieniu zarządzanym.

Czy wystąpienie zarządzane w usłudze Azure App Service otrzymuje regularne aktualizacje stosu platformy i aplikacji?

Tak, wystąpienia otrzymują rutynowe aktualizacje i konserwację platformy. Wstępnie zainstalowane stosy aplikacji są również regularnie aktualizowane. Wymagane jest zachowanie wszystkich składników zainstalowanych za pomocą skryptów konfiguracji (instalacji).

Które języki programowania są instalowane w wystąpieniu zarządzanym w usłudze Azure App Service?

Microsoft .NET Framework 3.5, 4.8 i Microsoft .NET 8.0. Jeśli potrzebujesz innych środowisk uruchomieniowych, możesz je zainstalować przy użyciu skryptu konfiguracji. Nie będą one obsługiwane przez platformę i muszą zostać zaktualizowane ręcznie.

Jakie są ograniczenia dotyczące skryptów konfiguracji (instalacji)?

Skrypty konfiguracji (instalacji) mogą instalować zależności, włączać role i funkcje oraz dostosowywać system operacyjny. Jednak operacje destruktywne (na przykład usuwanie Windows\System32) nie są obsługiwane i mogą powodować niestabilność wystąpienia.

Na jakim poziomie uprawnień jest wykonywany skrypt konfiguracji (instalacji)?

Skrypty konfiguracji (instalacji) są wykonywane z uprawnieniami administratora , aby umożliwić instalację i konfigurację składników na poziomie systemu.

Jakie uprawnienia roli ma operator podczas nawiązywania połączenia z wystąpieniem przy użyciu usługi Bastion?

Operatorzy łączący się za pośrednictwem usługi Bastion mają uprawnienia administratora podczas sesji.

Jak rozwiązywać problemy z błędami za pomocą skryptu konfiguracji (instalacji) lub karty rejestru/magazynu?

Aby rozwiązać problemy, przejrzyj dzienniki skryptów konfiguracji (instalacji). Można je znaleźć w katalogu C:\InstallScripts\Script\Install.log w wystąpieniu (a nie w aplikacji internetowej). Alternatywnie dzienniki konsoli usługi App Service można wysyłać do usług Azure Monitor i Log Analytics.

Dzienniki adapterów można znaleźć w katalogu głównym maszyny, alternatywnie są one rejestrowane w dziennikach platformy usługi App Service.

Jaka jest adresowalna pamięć wystąpienia zarządzanego w wystąpieniu procesu roboczego usługi Azure App Service?

Adresowa pamięć wystąpienia zarządzanego w wystąpieniu procesu roboczego usługi Azure App Service różni się w zależności od wybranego planu cenowego. W poniższej tabeli wymieniono adresową pamięć wystąpienia zarządzanego w wystąpieniu procesu roboczego usługi Azure App Service. Ważne jest, aby rozważyć, czy masz skrypt konfiguracji, który instaluje więcej składników, usług itp. Te zasoby mają wpływ na ilość pamięci dostępnej do użycia przez aplikacje internetowe.

Plan cenowy Cores Pamięć (MB)
P0v4 1 2048
P1v4 2 5952
P2v4 4 13440
P3v4 8 28672
P1Mv4 2 13440
P2Mv4 4 28672
P3Mv4 8 60160
P4Mv4 16 121088
P5Mv4 32 246016

Której usługi Azure Storage należy użyć do przekazania skryptu konfiguracji (instalacji)?

Użyj usługi Azure Storage Blob Service do przekazania skryptu i wymaganych zależności.

Czy istnieje ograniczenie dotyczące nazewnictwa i formatowania skryptu konfiguracji (instalacji)?

Tak, skrypt musi mieć nazwę Install.ps1. Obsługiwany jest tylko program PowerShell. Upewnij się, że skrypt konfiguracji (instalacja) i zależności są przekazywane jako pojedynczy plik .zip.

Czy istnieje limit rozmiaru zależności, które mogę przekazać w ramach pliku zip?

Nie jest wymuszany żaden limit rozmiaru. Należy pamiętać, że ogólny rozmiar zależności ma wpływ na czas aprowizacji wystąpienia.

Czy dodawanie lub edytowanie wystąpienia zarządzanego na kartach planu usługi App Service powoduje ponowne uruchomienie wystąpień planu?

Tak, dodawanie lub edytowanie kart planu wystąpienia zarządzanego (skrypt konfiguracji/magazyn/rejestr) powoduje ponowne uruchomienie bazowych wystąpień i wpływanie na wszystkie aplikacje internetowe wdrożone w planie. Pamiętaj, że ponowne uruchomienie wystąpienia usuwa wszystkie zmiany wprowadzone za pośrednictwem sesji protokołu RDP. Zawsze używaj skryptu konfiguracji (instalacji), aby utrwały instalację zależności lub inne wymagane zmiany konfiguracji.

Mój plan wystąpienia zarządzanego ma wiele wystąpień, czy mogę ponownie uruchomić jedno wystąpienie?

Tak, przejdź do wystąpienia zarządzanego i wybierz pozycję Wystąpienia w menu po lewej stronie. Następnie wybierz pozycję Uruchom ponownie obok nazwy wystąpienia.

Mój plan wystąpienia zarządzanego w usłudze App Service zawiera wiele aplikacji internetowych, które można ponownie uruchomić jedną aplikację internetową?

Tak, przejdź do strony Przegląd aplikacji i wybierz pozycję Uruchom ponownie.

Czy mogę przypisać tożsamość zarządzaną do mojej aplikacji internetowej w ramach planu usługi App Service w wystąpieniu zarządzanym?

Tak, możesz przypisać inną tożsamość zarządzaną do aplikacji internetowej w ramach wystąpienia zarządzanego. Postępuj zgodnie ze wskazówkami dotyczącymi tożsamości zarządzanej

Czy istnieje ograniczenie liczby kart, które można utworzyć dla wystąpienia zarządzanego w planie usługi App Service?

Nie, nie ma limitu liczby kart magazynu lub rejestru. Można utworzyć tylko jedną kartę skryptu konfiguracji (instalacji) dla wystąpienia zarządzanego w planie usługi App Service. Zwiększenie liczby kart może mieć wpływ na czas aprowizacji wystąpienia zarządzanego.

Treści powiązane

  • Last updated on