Windows Azure 包:网站安装前步骤

  • 项目

 

适用于:Windows Azure Pack

本章中的步骤对于成功安装 Microsoft Azure 包:网站很重要。网站: 请务必仔细阅读每节并执行所需的操作。 各节如下所示:

域与非域注意事项

为网站角色创建服务器

对于准备 VHD 或服务器的建议

准备 SQL Server 以容纳 Windows Azure Pack 网站运行时数据库

配置 SQL Server 和 MySQL 应用程序数据库供租户使用

网站角色防火墙配置

配置前端、发布服务器、Web 辅助进程、管理服务器和非预配置的文件服务器(可选)角色为以从 Internet 进行入站访问

配置 Microsoft Azure 包:网站以使用代理服务器

为远程访问修改用户帐户控制

为网站云配置 DNS 映射

域与非域注意事项

Windows Azure 包:网站可安装在已加入域或未加入域(工作组)的环境中。 虽然工作组环境可能适合开发或测试场景,但我们建议您使用已加入域的环境,原因如下:

  • 用户可利用 Kerberos 进行身份验证握手,这比 NTLM 或 NTLM v2 都安全得多。

  • 可简化用户和凭据管理。

  • 可通过组策略改善管理

为网站角色创建服务器

在安装网站云之前,为每个网站角色准备一个 Windows Server 2012 R2 服务器(这些服务器可以是物理服务器或虚拟机)。 此后,为实现高可用性,应为每个角色添加多个服务器。 为了便于维护,使用如下这些描述性的计算机名称。 此处建议采用的命名约定是将每个名称中的“x”替换为“1”(根据需要填充零),然后随着向角色添加服务器实例,递增该数字。

  • SitesCNx – 网站云控制器

  • SitesMNx - 网站云管理服务器

  • SitesFEx – 网站云前端

  • SitesPBx – 网站云发布服务器

  • SitesWWSx – 网站云共享的 Web 辅助进程

  • SitesWWRx – 网站云保留的 Web 辅助进程

  • SitesFSx – 网站云文件服务器

对于准备 VHD 或服务器的建议

  • 使用 Windows Server 2012 的干净安装(建议使用 Windows Server 2012 R2)。

  • 请勿并置网站角色,每个网站角色都应有自己的 VM 或服务器。

  • 请勿将网站角色与管理或租户门户或 API 服务器并置。 例如,网站云控制器和管理 API 角色必须分别在单独的计算机上。

  • 建议使用已加入域的服务器,如前所述。

  • 如果要使用 VM,则最好在以下时刻为每个角色拍摄快照:

    • 安装前

    • 安装后

    • 配置后

注意

为了避免 NetBIOS 错误和名称自动截断,请确保所选的计算机名称不长于 15 个字符。

准备 SQL Server 以容纳 Windows Azure Pack 网站运行时数据库

为网站运行时数据库准备一个 SQL Server 数据库。 作为最佳实践,所有 SQL Server 角色(包括网站运行时数据库、其所含的服务管理 API 数据库)都应分别在单独的计算机上。

  • 对于测试、开发或“概念验证”用途,可使用 SQL Express 2012 SP1 或更高版本。 有关下载信息,请参阅 下载 SQL Server 2012 Express SP1

  • 对于生产用途,应使用 SQL 2012 SP1 或更高版本的完整版。 有关安装 SQL Server 的信息,请参阅 SQL Server 2012 安装

  • 应启用混合模式身份验证。

  • 应从所有网站角色中访问网站运行时 SQL Server。

  • 对于任何 SQL Server 角色,可以使用默认实例或命名实例。 但是,如果使用命名实例,则务必手动启动 SQL Browser 服务,然后打开端口 1434。

有关详细信息,请参阅 Using SQL Server or MySQL with Windows Azure Pack

配置 SQL Server 和 MySQL 应用程序数据库供租户使用

您的环境可能要求您支持租户 SQL Server 和/或 MySQL 数据库应用程序。 如果是这样,则应安装并配置单独的 SQL Server 和 MySQL 实例,专供租户应用程序数据库使用。

SQL Server 租户应用程序数据库服务器要求:

  • 应启用混合模式身份验证。

  • 应可从 Web 工作进程和发布服务器角色访问该 SQL Server

  • 应从管理和租户 API 角色访问该 SQL Server

MySQL 租户应用程序数据库服务器要求:

  • 使用 MySQL 命令行界面,应启用 root 用户以通过密码进行远程访问。 示例语法:

    GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'password' WITH GRANT OPTION;
FLUSH PRIVILEGES;

    有关 MySQL 命令行界面的详细信息,请参阅 MySQL 文档

  • 应可从 Web 工作进程和发布服务器角色访问该 MySQL 服务器

  • 应可从管理和租户 API 角色访问该 MySQL 服务器

  • 要支持 IPv6,请使用 MySQL 5.5.30 版或更高版本

有关详细信息,请参阅 Configure SQL Server and MySQL Application databases for tenant use。 有关向上扩展 SQL Server 以供生产使用的信息,请参阅 Configuring SQL Server for High Availability

网站角色防火墙配置

如果完全在 Intranet 环境下实现 Microsoft Azure 包:网站,则不需要访问公共 Internet。 (即使需要访问 Internet,规划完善的网络拓扑也可阻止网站角色直接暴露在 Internet 下。)

应先配置服务器的防火墙设置,然后再将网站角色添加到服务器。 下表总结了每个网站角色对访问 Internet 的要求:

  • 管理服务器 - 不需要访问公共 Internet。

  • 文件服务器 - 不需要访问 Internet,并且不应可从 Internet 访问它。

  • 网站控制器 - 需要出站 HTTP 访问,但不需要入站访问。 控制器需要出站访问,以使其可下载用于安装网站角色的依赖软件。

  • Web 工作进程 - 从不需要入站 Internet 访问,但如果(例如)Web 应用程序使用外部 Web 服务,则可能需要出站访问。

  • 前端服务器可能需要也可能不需要直接入站网络访问以接受网站的客户端请求,具体取决于网络拓扑。

  • 发布服务器可能需要也可能不需要直接入站访问以接受 FTP 和 Web 部署发布请求,具体取决于网络拓扑。

对于前端和发布服务器角色,如果有上游负载平衡器或上游 NAT 设备在公共与专用地址之间处理网络地址转换,则可避免直接访问 Internet。

配置前端、发布服务器、Web 辅助进程、管理服务器和非预配置的文件服务器(可选)角色为以从 Internet 进行入站访问

在将成为前端、发布服务器、Web 辅助进程和管理服务器角色的服务器上,允许入站访问以下服务。 如果使用非预配置的文件服务器选项,还应将这些设置应用于文件服务器角色。

  • 文件和打印机共享 (SMB-In)

  • Windows Management Instrumentation (WMI-In)

若要配置入站访问,可使用以下 netsh 命令:

netsh advfirewall firewall set rule group="File and Printer Sharing" new enable=Yes
netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes

注意

应在 Windows 防火墙中配置前端和发布服务器角色的网络适配器以使用公共配置文件。

配置 Microsoft Azure 包:网站以使用代理服务器

如果出站访问 Internet 要使用代理地址,则必须先使网站可使用代理地址,然后才能安装和运行 Microsoft Azure 包:网站:

注意

当前不支持通过代理服务器进行 Web 场身份验证。 本节介绍在代理服务器后安装并运行 Microsoft Azure 包:网站而必须执行的步骤。 其中不介绍如何配置代理服务器。

若要使场不经身份验证即可通过代理进行通信,请在控制器上以管理权限运行以下 PowerShell 命令。 将 ProxyAddress> 替换为<代理的地址

Import-Module WebSites

Set-WebSitesConfig Global -ProxyEnabled True -ProxyAddress <ProxyAddress>

注意

安装 Windows Azure Pack 的网站服务时,使用可向代理进行身份验证的帐户运行 Web 平台安装程序。

允许 Microsoft 更新访问代理后的 Microsoft Azure 包:网站

作为在 Microsoft Azure 包:网站位于代理后时的一个可选步骤,建议启用 Microsoft 更新,以便可正常使用 Microsoft Azure 包:网站: 为此,请在控制器上运行具有管理权限的以下 PowerShell 命令,其中具有密码 <ProxyUserPassword> 的用户 <ProxyUser> 可以对代理进行身份验证:

Import-Module WebSites

New-WebSitesConfig Credential -CredentialName ProxyUserCredential -UserName <ProxyUser> -Password <ProxyUserPassword> -CredentialType SystemCredential

为远程访问修改用户帐户控制

在每个要用于 Microsoft Azure 包:网站角色的服务器上,按下面所述的方式为远程连接禁用用户帐户控制 (UAC)。 此操作将允许执行远程管理。

注意

本地 UAC 配置将保持不变。

  1. 在提升的命令提示符下运行以下命令:

    reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

  2. 重新启动服务器。

为网站云配置 DNS 映射

在设置网站云期间配置网站控制器时,系统将提示您输入要用于最终用户网站的默认域名。

默认情况下,会在默认域下创建网站。 创建网站后,用户可以将自定义域名添加到每个网站。 尽管可将租户网站配置为支持自定义域,Microsoft Azure 包:网站并不更新自定义 DNS 记录。 若要确保为所有面向 Internet 的网站配置了适当的 IP 地址分配,请按下方的指导进行操作。

为给定的域(如 Contoso.com)创建以下 DNS A 记录:

主机名

此项的 IP 地址

*

前端服务器

*.scm

前端服务器

ftp

发布服务器

发布

发布服务器

此映射方案允许用户登录 https://www.contoso.comhttps://contoso.com 管理其站点。 供管理员使用的管理门户和供租户使用的管理门户在 部署 Windows Azure Pack for Windows Server中有述。

在上方的示例配置中,使用子域(如 site1.contoso.comsite2.contoso.com)创建用户创建的网站。

用户在通过 Web 部署或 FTP 将内容发布到其网站时,将分别使用 publish.contoso.comftp.contoso.com。 通过 Git 发布内容时使用 *.scm.contoso.com

注意

对于此部署,不要求使用特定域。 您可以使用现有域下的子域,例如 my.yourdomain.com。

另请参阅

部署 Windows Azure 包:网站