다음을 통해 공유


Azure Stack Hub에 App Service를 배포하기 위한 필수 조건

Important

필요한 경우 App Service RP(리소스 공급자)를 배포하거나 업데이트하기 전에 Azure Stack Hub를 지원되는 버전으로 업데이트하거나 최신 Azure Stack 개발 키트를 배포합니다. 배포에 영향을 줄 수 있는 새로운 기능, 수정 사항 및 알려진 문제에 대해 알아보려면 RP 릴리스 정보를 읽어야 합니다.

지원되는 최소 Azure Stack Hub 버전 App Service RP 버전
2311 이상 24R1 Installer(릴리스 정보)

Azure Stack Hub에 Azure 앱 서비스를 배포하기 전에 이 문서의 필수 구성 요소 단계를 완료해야 합니다.

시작하기 전에

이 섹션에서는 통합 시스템 및 ASDK(Azure Stack Development Kit) 배포에 대한 필수 구성 요소를 나열합니다.

리소스 공급자 필수 구성 요소

리소스 공급자를 이미 설치한 경우 다음 필수 구성 요소를 완료했으며 이 섹션을 건너뛸 수 있습니다. 그렇지 않은 경우 계속하기 전에 다음 단계를 완료합니다.

  1. Azure Stack Hub 인스턴스를 Azure에 등록합니다(아직 등록하지 않은 경우). Azure에서 마켓플레이스에 연결하고 마켓플레이스에 항목을 다운로드하려면 이 단계가 필요합니다.

  2. Azure Stack Hub 관리자 포털의 Marketplace 관리 기능에 익숙하지 않은 경우 Azure에서 마켓플레이스 항목 다운로드를 검토하고 Azure Stack Hub에 게시합니다. 이 문서에서는 Azure에서 Azure Stack Hub 마켓플레이스로 항목을 다운로드하는 프로세스를 안내합니다. 연결된 시나리오와 연결이 끊긴 시나리오를 모두 다룹니다. Azure Stack Hub 인스턴스의 연결이 끊어지거나 부분적으로 연결된 경우 설치 준비에 완료해야 하는 추가 필수 구성 요소가 있습니다.

  3. Microsoft Entra 홈 디렉터리를 업데이트합니다. 빌드 1910부터 홈 디렉터리 테넌트에 새 애플리케이션을 등록해야 합니다. 이 앱을 사용하면 Azure Stack Hub가 Microsoft Entra 테넌트에 최신 리소스 공급자(예: Event Hubs 등)를 성공적으로 만들고 등록할 수 있습니다. 이는 빌드 1910 이상으로 업그레이드한 후 수행해야 하는 일회성 작업입니다. 이 단계가 완료되지 않으면 Marketplace 리소스 공급자 설치가 실패합니다.

설치 관리자 및 도우미 스크립트

  1. Azure Stack Hub 배포 도우미 스크립트에서 App Service를 다운로드합니다.

    참고 항목

    배포 도우미 스크립트에는 AzureRM PowerShell 모듈이 필요합니다. 설치 세부 정보는 Azure Stack Hub용 PowerShell AzureRM 모듈 설치를 참조하세요.

  2. Azure Stack Hub 설치 관리자에서 App Service를 다운로드합니다.

  3. 도우미 스크립트 .zip 파일에서 파일을 추출합니다. 다음 파일 및 폴더가 추출됩니다.

    • Common.ps1
    • Create-AADIdentityApp.ps1
    • Create-ADFSIdentityApp.ps1
    • Create-AppServiceCerts.ps1
    • Get-AzureStackRootCert.ps1
    • BCDR
      • ReACL.cmd
    • 모듈 폴더
      • GraphAPI.psm1

인증서 및 서버 구성(통합 시스템)

이 섹션에서는 통합 시스템 배포를 위한 필수 구성 요소를 나열합니다.

인증서 요구 사항

프로덕션 환경에서 리소스 공급자를 실행하려면 다음 인증서를 제공해야 합니다.

  • 기본 도메인 인증서
  • API 인증서
  • 인증서 게시
  • ID 인증서

다음 섹션에 나열된 특정 요구 사항 외에도 나중에 도구를 사용하여 일반적인 요구 사항을 테스트합니다. 다음을 비롯한 전체 유효성 검사 목록은 Azure Stack Hub PKI 인증서 유효성 검사를 참조하세요.

  • 의 파일 형식 입니다. PFX
  • 서버 및 클라이언트 인증으로 설정된 키 사용량
  • 및 기타 여러 가지

기본 도메인 인증서

기본 도메인 인증서는 프런트 엔드 역할에 배치됩니다. Azure 앱 서비스에 대한 와일드카드 또는 기본 도메인 요청에 대한 사용자 앱은 이 인증서를 사용합니다. 인증서는 소스 제어 작업(Kudu)에도 사용됩니다.

인증서는 .pfx 형식이어야 하며 3개의 주체 와일드카드 인증서여야 합니다. 이 요구 사항을 통해 하나의 인증서가 소스 제어 작업에 대한 기본 도메인과 SCM 엔드포인트를 모두 포함할 수 있습니다.

형식 예시
*.appservice.<region>.<DomainName>.<extension> *.appservice.redmond.azurestack.external
*.scm.appservice.<region>.<DomainName>.<extension> *.scm.appservice.redmond.azurestack.external
*.sso.appservice.<region>.<DomainName>.<extension> *.sso.appservice.redmond.azurestack.external

API 인증서

API 인증서는 관리 역할에 배치됩니다. 리소스 공급자는 이를 사용하여 API 호출을 보호합니다. 게시용 인증서에는 API DNS 항목과 일치하는 주체가 포함되어야 합니다.

형식 예시
api.appservice.<지역.><DomainName>.<확장> api.appservice.redmond.azurestack.external

인증서 게시

게시자 역할에 대한 인증서는 콘텐츠를 업로드할 때 앱 소유자의 FTPS 트래픽을 보호합니다. 게시용 인증서에는 FTPS DNS 항목과 일치하는 주체가 포함되어야 합니다.

형식 예시
ftp.appservice.<지역.><DomainName>.<확장> ftp.appservice.redmond.azurestack.external

ID 인증서

ID 앱에 대한 인증서는 다음을 사용하도록 설정합니다.

  • Microsoft Entra ID 또는 AD FS(Active Directory Federation Services) 디렉터리, Azure Stack Hub 및 App Service 간의 통합을 통해 컴퓨팅 리소스 공급자와의 통합을 지원합니다.
  • Azure Stack Hub의 Azure 앱 Service 내의 고급 개발자 도구에 대한 Single Sign-On 시나리오입니다.

ID 인증서에는 다음 형식과 일치하는 주체가 포함되어야 합니다.

형식 예시
sso.appservice.<지역.><DomainName>.<확장> sso.appservice.redmond.azurestack.external

인증서 유효성 검사

App Service 리소스 공급자를 배포하기 전에 PowerShell 갤러리 사용할 수 있는 Azure Stack Hub 준비 검사 도구를 사용하여 사용할 인증서의 유효성을 검사해야 합니다. Azure Stack Hub 준비 검사 도구는 생성된 PKI 인증서가 App Service 배포에 적합한지 확인합니다.

필요한 Azure Stack Hub PKI 인증서를 사용하는 경우 필요한 경우 인증서를 테스트하고 다시 실행할 충분한 시간을 계획하는 것이 가장 좋습니다.

파일 서버 준비

Azure 앱 서비스에는 파일 서버를 사용해야 합니다. 프로덕션 배포의 경우 파일 서버를 고가용성으로 구성하고 오류를 처리할 수 있어야 합니다.

고가용성 파일 서버 및 SQL Server에 대한 빠른 시작 템플릿

이제 파일 서버 및 SQL Server를 배포할 참조 아키텍처 빠른 시작 템플릿을 사용할 수 있습니다. 이 템플릿은 Azure Stack Hub에서 Azure 앱 Service의 고가용성 배포를 지원하도록 구성된 가상 네트워크의 Active Directory 인프라를 지원합니다.

Important

이 템플릿은 필수 구성 요소를 배포하는 방법의 참조 또는 예제로 제공됩니다. Azure Stack Hub 운영자는 특히 프로덕션 환경에서 이러한 서버를 관리하므로 필요에 따라 또는 조직에서 요구하는 대로 템플릿을 구성해야 합니다.

참고 항목

통합 시스템 인스턴스는 배포를 완료하기 위해 GitHub에서 리소스를 다운로드할 수 있어야 합니다.

사용자 지정 파일 서버를 배포하는 단계

Important

기존 가상 네트워크에 App Service를 배포하도록 선택하는 경우 파일 서버를 App Service에서 별도의 서브넷에 배포해야 합니다.

참고 항목

위에서 언급한 빠른 시작 템플릿 중 하나를 사용하여 파일 서버를 배포하도록 선택한 경우 파일 서버가 템플릿 배포의 일부로 구성되므로 이 섹션을 건너뛸 수 있습니다.

Active Directory에서 그룹 및 계정 프로비저닝
  1. 다음과 같은 Active Directory 글로벌 보안 그룹을 만듭니다.

    • FileShareOwners
    • FileShareUsers
  2. 다음 Active Directory 계정을 서비스 계정으로 만듭니다.

    • FileShareOwner
    • FileShareUser

    보안 모범 사례로, 이러한 계정(및 모든 웹 역할의 경우)에 대한 사용자는 고유해야 하며 강력한 사용자 이름과 암호를 가져야 합니다. 다음 조건으로 암호를 설정합니다.

    • 암호 사용 은 만료되지 않습니다.
    • 사용자를 사용하도록 설정 하면 암호를 변경할 수 없습니다.
    • 사용하지 않도록 설정 하려면 다음 로그온 시 암호를 변경해야 합니다.
  3. 다음과 같이 그룹 멤버 자격에 계정을 추가합니다.

    • FileShareOwners 그룹에 FileShareOwner추가합니다.
    • FileShareUsers 그룹에 FileShareUser추가합니다.
작업 그룹에서 그룹 및 계정 프로비전

참고 항목

파일 서버를 구성하는 경우 관리자 명령 프롬프트에서 다음 명령을 모두 실행합니다.
PowerShell을 사용하지 마세요.

Azure Resource Manager 템플릿을 사용하는 경우 사용자가 이미 만들어집니다.

  1. 다음 명령을 실행하여 FileShareOwner 및 FileShareUser 계정을 만듭니다. <password>을 고유한 값으로 바꿉니다.

    net user FileShareOwner <password> /add /expires:never /passwordchg:no
    net user FileShareUser <password> /add /expires:never /passwordchg:no
    
  2. 다음 WMIC 명령을 실행하여 계정의 암호가 만료되지 않도록 설정합니다.

    WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE
    WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
    
  3. 로컬 그룹 FileShareUsers 및 FileShareOwners를 만들고 첫 번째 단계에서 계정을 추가합니다.

    net localgroup FileShareUsers /add
    net localgroup FileShareUsers FileShareUser /add
    net localgroup FileShareOwners /add
    net localgroup FileShareOwners FileShareOwner /add
    

콘텐츠 공유 프로비전

콘텐츠 공유에는 테넌트 웹 사이트 콘텐츠가 포함됩니다. 단일 파일 서버에서 콘텐츠 공유를 프로비전하는 절차는 Active Directory 및 작업 그룹 환경 모두에서 동일합니다. 그러나 Active Directory의 장애 조치(failover) 클러스터는 다릅니다.

단일 파일 서버(Active Directory 또는 작업 그룹)에서 콘텐츠 공유 프로비전

단일 파일 서버에서 관리자 권한 명령 프롬프트를 통해 다음 명령을 실행합니다. 값을 C:\WebSites 사용자 환경의 해당 경로로 바꿉니다.

set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=C:\WebSites
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full

공유에 대한 액세스 제어 구성

파일 서버의 관리자 권한 명령 프롬프트 또는 현재 클러스터 리소스 소유자인 장애 조치(failover) 클러스터 노드에서 다음 명령을 실행합니다. 기울임을 나타내는 값을 사용자 환경과 관련된 값으로 대체합니다.

Active Directory

set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

작업 그룹

set WEBSITES_FOLDER=C:\WebSites
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)

SQL Server 인스턴스 준비

참고 항목

고가용성 파일 서버 및 SQL Server에 대한 빠른 시작 템플릿을 배포하도록 선택한 경우 템플릿이 HA 구성에서 SQL Server를 배포하고 구성함에 따라 이 섹션을 건너뛸 수 있습니다.

Azure Stack Hub의 Azure 앱 Service 호스팅 및 계량 데이터베이스의 경우 App Service 데이터베이스를 저장할 SQL Server 인스턴스를 준비해야 합니다.

프로덕션 및 고가용성을 위해 SQL Server 2014 SP2 이상의 전체 버전을 사용하고, 혼합 모드 인증을 사용하도록 설정하고, 고가용성 구성으로 배포해야 합니다.

Azure Stack Hub의 Azure 앱 Service에 대한 SQL Server 인스턴스는 모든 App Service 역할에서 액세스할 수 있어야 합니다. Azure Stack Hub의 기본 공급자 구독 내에 SQL Server를 배포할 수 있습니다. 또는 조직 내에서 기존 인프라를 사용할 수 있습니다(Azure Stack Hub에 대한 연결이 있는 한). Azure Marketplace 이미지를 사용하는 경우 그에 따라 방화벽을 구성해야 합니다.

참고 항목

Marketplace 관리 기능을 통해 다양한 SQL IaaS VM 이미지를 사용할 수 있습니다. Marketplace 항목을 사용하여 VM을 배포하기 전에 항상 최신 버전의 SQL IaaS 확장을 다운로드해야 합니다. SQL 이미지는 Azure에서 사용할 수 있는 SQL VM과 동일합니다. 이러한 이미지에서 만든 SQL VM의 경우 IaaS 확장 및 해당 포털의 향상된 기능은 자동 패치 및 백업 기능과 같은 기능을 제공합니다.

모든 SQL Server 역할에 대해 기본 인스턴스나 명명된 인스턴스를 사용할 수 있습니다. 명명된 인스턴스를 사용하는 경우 SQL Server Browser 서비스를 수동으로 시작하고 포트 1434를 열어야 합니다.

App Service 설치 관리자는 SQL Server에 데이터베이스 포함이 사용하도록 설정되어 있는지 확인합니다. App Service 데이터베이스를 호스트할 SQL Server에서 데이터베이스 포함을 사용하도록 설정하려면 다음 SQL 명령을 실행합니다.

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

인증서 및 서버 구성(ASDK)

이 섹션에서는 ASDK 배포에 대한 필수 구성 요소를 나열합니다.

Azure 앱 Service의 ASDK 배포에 필요한 인증서

Create-AppServiceCerts.ps1 스크립트는 Azure Stack Hub 인증 기관과 함께 작동하여 App Service에 필요한 4개의 인증서를 만듭니다.

파일 이름 사용할 용어
_.appservice.local.azurestack.external.pfx App Service 기본 SSL 인증서
api.appservice.local.azurestack.external.pfx App Service API SSL 인증서
ftp.appservice.local.azurestack.external.pfx App Service 게시자 SSL 인증서
sso.appservice.local.azurestack.external.pfx App Service ID 애플리케이션 인증서

인증서를 만들려면 다음 단계를 수행합니다.

  1. AzureStack\AzureStackAdmin 계정을 사용하여 ASDK 호스트에 로그인합니다.
  2. 승격된 PowerShell 세션을 엽니다.
  3. 도우미 스크립트를 추출한 폴더에서 Create-AppServiceCerts.ps1 스크립트를 실행합니다. 이 스크립트는 App Service에서 인증서를 만드는 데 필요한 스크립트와 동일한 폴더에 4개의 인증서를 만듭니다.
  4. 암호를 입력하여 .pfx 파일을 보호하고 기록해 둡다. 나중에 Azure Stack Hub 설치 관리자의 App Service에 입력해야 합니다.

Create-AppServiceCerts.ps1 스크립트 매개 변수

매개 변수 필수 또는 선택 사항 기본값 설명
pfxPassword Required Null 인증서 프라이빗 키를 보호하는 데 도움이 되는 암호
DomainName Required local.azurestack.external Azure Stack Hub 지역 및 도메인 접미사

ASDK에서 Azure 앱 Service를 배포하기 위한 파일 서버에 대한 빠른 시작 템플릿입니다.

ASDK 배포의 경우에만 Azure Resource Manager 배포 템플릿 예제를 사용하여 구성된 단일 노드 파일 서버를 배포할 수 있습니다. 단일 노드 파일 서버는 작업 그룹에 있습니다.

참고 항목

배포를 완료하려면 ASDK 인스턴스가 GitHub에서 리소스를 다운로드할 수 있어야 합니다.

SQL Server 인스턴스

Azure Stack Hub의 Azure 앱 Service 호스팅 및 계량 데이터베이스의 경우 App Service 데이터베이스를 저장할 SQL Server 인스턴스를 준비해야 합니다.

ASDK 배포의 경우 SQL Server Express 2014 SP2 이상을 사용할 수 있습니다. Azure Stack Hub의 App Service는 Windows 인증을 지원하지 않으므로 혼합 모드 인증을 지원하도록 SQL Server를 구성해야 합니다.

Azure Stack Hub의 Azure 앱 Service에 대한 SQL Server 인스턴스는 모든 App Service 역할에서 액세스할 수 있어야 합니다. Azure Stack Hub의 기본 공급자 구독 내에 SQL Server를 배포할 수 있습니다. 또는 조직 내에서 기존 인프라를 사용할 수 있습니다(Azure Stack Hub에 대한 연결이 있는 한). Azure Marketplace 이미지를 사용하는 경우 그에 따라 방화벽을 구성해야 합니다.

참고 항목

Marketplace 관리 기능을 통해 다양한 SQL IaaS VM 이미지를 사용할 수 있습니다. Marketplace 항목을 사용하여 VM을 배포하기 전에 항상 최신 버전의 SQL IaaS 확장을 다운로드해야 합니다. SQL 이미지는 Azure에서 사용할 수 있는 SQL VM과 동일합니다. 이러한 이미지에서 만든 SQL VM의 경우 IaaS 확장 및 해당 포털의 향상된 기능은 자동 패치 및 백업 기능과 같은 기능을 제공합니다.

모든 SQL Server 역할에 대해 기본 인스턴스나 명명된 인스턴스를 사용할 수 있습니다. 명명된 인스턴스를 사용하는 경우 SQL Server Browser 서비스를 수동으로 시작하고 포트 1434를 열어야 합니다.

App Service 설치 관리자는 SQL Server에 데이터베이스 포함이 사용하도록 설정되어 있는지 확인합니다. App Service 데이터베이스를 호스트할 SQL Server에서 데이터베이스 포함을 사용하도록 설정하려면 다음 SQL 명령을 실행합니다.

sp_configure 'contained database authentication', 1;
GO
RECONFIGURE;
GO

필수 파일 서버 및 SQL Server에 대한 라이선스 문제

Azure Stack Hub의 Azure 앱 서비스에는 파일 서버와 SQL Server가 작동해야 합니다. Azure Stack Hub 배포 외부에 있는 기존 리소스를 자유롭게 사용하거나 Azure Stack Hub 기본 공급자 구독 내에 리소스를 배포할 수 있습니다.

Azure Stack Hub 기본 공급자 구독 내에서 리소스를 배포하도록 선택하는 경우 해당 리소스에 대한 라이선스(Windows Server 라이선스 및 SQL Server 라이선스)는 다음 제약 조건에 따라 Azure Stack Hub의 Azure 앱 서비스 비용에 포함됩니다.

  • 인프라는 기본 공급자 구독에 배포됩니다.
  • 인프라는 Azure Stack Hub 리소스 공급자의 Azure 앱 서비스에서만 사용됩니다. 다른 워크로드, 관리(예: SQL-RP) 또는 테넌트(예: 데이터베이스가 필요한 테넌트 앱)는 이 인프라를 사용할 수 없습니다.

파일 및 SQL 서버의 운영 책임

클라우드 운영자는 파일 서버 및 SQL Server의 유지 관리 및 작업을 담당합니다. 리소스 공급자는 이러한 리소스를 관리하지 않습니다. 클라우드 운영자는 App Service 데이터베이스 및 테넌트 콘텐츠 파일 공유를 백업해야 합니다.

Azure Stack Hub에 대한 Azure Resource Manager 루트 인증서 검색

Azure Stack Hub 통합 시스템 또는 ASDK 호스트의 권한 있는 엔드포인트에 도달할 수 있는 컴퓨터에서 관리자 권한 PowerShell 세션을 엽니다.

도우미 스크립트를 추출한 폴더에서 Get-AzureStackRootCert.ps1 스크립트를 실행합니다. 스크립트는 App Service에서 인증서를 만드는 데 필요한 스크립트와 동일한 폴더에 루트 인증서를 만듭니다.

다음 PowerShell 명령을 실행할 때 AzureStack\CloudAdmin에 대한 권한 있는 엔드포인트 및 자격 증명을 제공해야 합니다.

    Get-AzureStackRootCert.ps1

Get-AzureStackRootCert.ps1 스크립트 매개 변수

매개 변수 필수 또는 선택 사항 기본값 설명
PrivilegedEndpoint Required AzS-ERCS01 권한 있는 엔드포인트
CloudAdminCredential Required AzureStack\CloudAdmin Azure Stack Hub 클라우드 관리자를 위한 도메인 계정 자격 증명

네트워크 및 ID 구성

가상 네트워크

참고 항목

Azure Stack Hub의 Azure 앱 서비스가 필요한 가상 네트워크를 만들 수 있지만 공용 IP 주소를 통해 SQL 및 파일 서버와 통신해야 하므로 사용자 지정 가상 네트워크의 사전 생성은 선택 사항입니다. App Service HA 파일 서버 및 SQL Server 빠른 시작 템플릿을 사용하여 필수 SQL 및 파일 서버 리소스를 배포하는 경우 템플릿도 가상 네트워크를 배포합니다.

Azure Stack Hub의 Azure 앱 서비스를 사용하면 리소스 공급자를 기존 가상 네트워크에 배포하거나 배포의 일부로 가상 네트워크를 만들 수 있습니다. 기존 가상 네트워크를 사용하면 내부 IP를 사용하여 Azure Stack Hub의 Azure 앱 Service에 필요한 파일 서버 및 SQL Server에 연결할 수 있습니다. Azure Stack Hub에 Azure 앱 Service를 설치하기 전에 다음 주소 범위 및 서브넷으로 가상 네트워크를 구성해야 합니다.

가상 네트워크 - /16

서브넷

  • ControllersSubnet /24
  • ManagementServersSubnet /24
  • FrontEndsSubnet /24
  • PublishersSubnet /24
  • WorkersSubnet /21

Important

기존 가상 네트워크에 App Service를 배포하도록 선택하는 경우 SQL Server를 App Service 및 파일 서버의 별도 서브넷에 배포해야 합니다.

SSO 시나리오를 사용하도록 설정하는 ID 애플리케이션 만들기

Azure 앱 Service는 ID 애플리케이션(서비스 주체)을 사용하여 다음 작업을 지원합니다.

  • 작업자 계층에서 가상 머신 확장 집합 통합
  • Azure Functions 포털 및 고급 개발자 도구(Kudu)용 SSO입니다.

Azure Stack Hub에서 사용하는 ID 공급자에 따라 Microsoft Entra ID 또는 ADFS(Active Directory Federation Services)는 아래의 적절한 단계에 따라 Azure Stack Hub 리소스 공급자의 Azure 앱 서비스에서 사용할 서비스 주체를 만들어야 합니다.

Microsoft Entra 앱 만들기

다음 단계에 따라 Microsoft Entra 테넌트에서 서비스 주체를 만듭니다.

  1. PowerShell 인스턴스를 azurestack\AzureStackAdmin으로 엽니다.
  2. 필수 구성 요소 단계에서 다운로드하고 추출한 스크립트의 위치로 이동합니다.
  3. Azure Stack Hub용 PowerShell을 설치합니다.
  4. Create-AADIdentityApp.ps1 스크립트를 실행합니다. 메시지가 표시되면 Azure Stack Hub 배포에 사용하는 Microsoft Entra 테넌트 ID를 입력합니다. 예를 들어 myazurestack.onmicrosoft.com 입력합니다.
  5. 자격 증명 창에서 Microsoft Entra 서비스 관리자 계정 및 암호를 입력합니다. 확인을 선택합니다.
  6. 이전에 만든 인증서의 인증서 파일 경로 및 인증서 암호를 입력합니다. 기본적으로 이 단계에 대해 생성된 인증서는 sso.appservice.local.azurestack.external.pfx입니다.
  7. PowerShell 출력에 반환되는 애플리케이션 ID를 기록해 둡니다. 다음 단계의 ID를 사용하여 설치 중에 애플리케이션의 권한에 대한 동의를 제공합니다.
  8. 새 브라우저 창을 열고 Azure PortalMicrosoft Entra 서비스 관리자로 로그인합니다.
  9. Microsoft Entra 서비스를 엽니다.
  10. 왼쪽 창에서 앱 등록을 선택합니다.
  11. 7단계에서 적어 두는 애플리케이션 ID를 검색합니다.
  12. 목록에서 App Service 애플리케이션 등록을 선택합니다.
  13. 왼쪽 창에서 API 권한을 선택합니다.
  14. 테넌트에< 대한 관리자 동의 부여를 >선택합니다. 여기서 <테넌>트는 Microsoft Entra 테넌트 이름입니다. 예를 선택하여 동의 부여를 확인합니다.
    Create-AADIdentityApp.ps1
매개 변수 필수 또는 선택 사항 기본값 설명
DirectoryTenantName Required Null Microsoft Entra 테넌트 ID. GUID 또는 문자열을 제공합니다. 예를 들어 myazureaaddirectory.onmicrosoft.com.
AdminArmEndpoint Required Null 관리자 Azure Resource Manager 엔드포인트. 예를 들어 adminmanagement.local.azurestack.external이 있습니다.
TenantARMEndpoint Required Null 테넌트 Azure Resource Manager 엔드포인트. 예를 들어 management.local.azurestack.external이 있습니다.
AzureStackAdminCredential Required Null Microsoft Entra 서비스 관리자 자격 증명.
CertificateFilePath Required Null 이전에 생성된 ID 애플리케이션 인증서 파일의 전체 경로 입니다.
CertificatePassword Required Null 인증서 프라이빗 키를 보호하는 데 도움이 되는 암호입니다.
Environment 선택 사항 AzureCloud 대상 Azure Active Directory Graph 서비스를 사용할 수 있는 지원되는 클라우드 환경의 이름입니다. 허용되는 값: 'AzureCloud', 'AzureChinaCloud', 'AzureUSGovernment', 'AzureGermanCloud'.

ADFS 앱 만들기

  1. PowerShell 인스턴스를 azurestack\AzureStackAdmin으로 엽니다.
  2. 필수 구성 요소 단계에서 다운로드하고 추출한 스크립트의 위치로 이동합니다.
  3. Azure Stack Hub용 PowerShell을 설치합니다.
  4. Create-ADFSIdentityApp.ps1 스크립트를 실행합니다.
  5. 자격 증명 창에서 AD FS 클라우드 관리자 계정 및 암호를 입력합니다. 확인을 선택합니다.
  6. 이전에 만든 인증서의 인증서 파일 경로 및 인증서 암호를 제공합니다. 기본적으로 이 단계에 대해 생성된 인증서는 sso.appservice.local.azurestack.external.pfx입니다.
    Create-ADFSIdentityApp.ps1
매개 변수 필수 또는 선택 사항 기본값 설명
AdminArmEndpoint Required Null 관리자 Azure Resource Manager 엔드포인트. 예를 들어 adminmanagement.local.azurestack.external이 있습니다.
PrivilegedEndpoint Required Null 권한 있는 엔드포인트입니다. 예를 들어 AzS-ERCS01이 있습니다.
CloudAdminCredential Required Null Azure Stack Hub 클라우드 관리자를 위한 도메인 계정 자격 증명입니다. 예를 들어 Azurestack\CloudAdmin이 있습니다.
CertificateFilePath Required Null ID 애플리케이션의 인증서 PFX 파일에 대한 전체 경로 입니다.
CertificatePassword Required Null 인증서 프라이빗 키를 보호하는 데 도움이 되는 암호입니다.

Azure Marketplace에서 항목 다운로드

Azure Stack Hub의 Azure 앱 서비스에는 Azure Marketplace에서 항목을 다운로드하여 Azure Stack Hub Marketplace에서 사용할 수 있도록 해야 합니다. Azure Stack Hub에서 Azure 앱 Service의 배포 또는 업그레이드를 시작하기 전에 이러한 항목을 다운로드해야 합니다.

Important

Windows Server Core는 Azure Stack Hub의 Azure 앱 Service에서 사용할 수 있는 지원되는 플랫폼 이미지가 아닙니다.

프로덕션 배포에는 평가 이미지를 사용하지 마세요.

  1. 최신 버전의 Windows Server 2022 Datacenter VM 이미지입니다.
  1. Microsoft.Net 3.5.1 SP1이 활성화된 Windows Server 2022 Datacenter 전체 VM 이미지 Azure Stack Hub의 Azure 앱 서비스를 사용하려면 배포에 사용되는 이미지에서 Microsoft .NET 3.5.1 SP1이 활성화되어야 합니다. Marketplace에서 신디케이트된 Windows Server 2022 이미지에는 이 기능이 사용되지 않으며 연결이 끊긴 환경에서는 Microsoft 업데이트에 도달하여 DISM을 통해 설치할 패키지를 다운로드할 수 없습니다. 따라서 연결이 끊긴 배포에서 이 기능을 미리 사용하도록 설정한 Windows Server 2022 이미지를 만들고 사용해야 합니다.

    사용자 지정 이미지를 만들고 Marketplace에 추가하는 방법에 대한 자세한 내용은 Azure Stack Hub에 사용자 지정 VM 이미지 추가를 참조하세요. Marketplace에 이미지를 추가할 때 다음 속성을 지정해야 합니다.

    • Publisher = MicrosoftWindowsServer
    • 제품 = WindowsServer
    • SKU = AppService
    • 버전 = "최신" 버전 지정
  1. 사용자 지정 스크립트 확장 v1.9.1 이상. 이 항목은 VM 확장입니다.

다음 단계

App Service 리소스 공급자 설치