Azure Stack 1803 更新

适用于:Azure Stack 集成系统

本文介绍 1803 更新包中的改进与修复、此版本的已知问题,以及更新的下载位置。 已知问题分为与更新过程直接相关的问题,以及内部版本(安装后)的问题。

Important

此更新包仅适用于 Azure Stack 集成系统。 请勿将此更新包应用于 Azure Stack 开发工具包。

内部版本参考

Azure Stack 1803 更新内部版本号为 20180329.1

准备阶段

Important

在安装此更新的过程中,请勿尝试创建虚拟机。 有关如何管理更新的详细信息,请参阅在 Azure Stack 中管理更新的概述

先决条件

  • 在应用 Azure Stack 1803 更新之前安装 Azure Stack 1802 更新

更新后步骤

安装 1803 之后,请安装任何适用的修补程序。 有关详细信息,请查看以下知识库文章,以及我们的服务策略

新增功能

此更新包含以下适用于 Azure Stack 的改进和修复。

  • 更新 Azure Stack 机密 -(帐户和证书)。 有关如何管理机密的详细信息,请参阅在 Azure Stack 中轮换机密

  • Automatic redirect to HTTPS when you use HTTP to access the administrator and user portals. This improvement was made based on UserVoice feedback for Azure Stack.

  • Access the Marketplace - You can now open the Azure Stack Marketplace by using the +New option from within the admin and user portals the same way you do in the Azure portals.

  • Azure Monitor - Azure Stack adds Azure Monitor to the admin and user portals. This includes new explorers for metrics and activity logs. To access this Azure Monitor from external networks, port 13012 must be open in firewall configurations. For more information about ports required by Azure Stack, see Azure Stack datacenter integration - Publish endpoints.

    另外,“更多服务”下的“审核日志”现在显示为“活动日志”,这也是此次更改的内容。 此功能现在与 Azure 门户一致。

  • Sparse files - When you add a New image to Azure Stack, or add an image through marketplace syndication, the image is converted to a sparse file. Images that were added prior to using Azure Stack version 1803 cannot be converted. Instead, you must use marketplace syndication to resubmit those images to take advantage of this feature.

    稀疏文件是一种文件格式,在减少存储空间占用并提高 I/O 方面很有效。  有关详细信息,请参阅 Fsutil sparse(适用于 Windows Server)。

修复的问题

  • Internal Load Balancing (ILB) now properly handles MAC addresses for back-end VMs, which causes ILB to drop packets to the back-end network when using Linux instances on the back-end network. ILB works fine with Windows instances on the back-end network.

  • An issue where VPN Connections between Azure Stack would become disconnected due to Azure Stack using different settings for the IKE policy than Azure. The values now match the values in Azure.

  • The IP issue where VPN Connections was previously visible in the portal; however enabling or toggling IP Forwarding has no effect. The feature is turned on by default and the ability to change this not yet supported. The control has been removed from the portal.

  • Azure Stack does not support Policy Based VPN Gateways, even though the option appears in the Portal. The option has been removed from the Portal.

  • Azure Stack now prevents resizing of a virtual machine that is created with dynamic disks.

  • Usage data for virtual machines is now separated at hourly intervals. This is consistent with Azure.

  • The issue where in the admin and user portals, the Settings blade for vNet Subnets fails to load. As a workaround, use PowerShell and the Get-AzureRmVirtualNetworkSubnetConfig cmdlet to view and manage this information.

  • 在创建虚拟机时,“无法显示定价”消息不再在选择某个大小作为 VM 大小时显示。

  • 针对性能、稳定性、安全性以及 Azure Stack 所用操作系统的各种修复。

更改

  • 将新创建的产品/服务的状态从“专用”更改为“公用”或“停止使用”的方式已变。 有关详细信息,请参阅创建产品/服务

更新过程的已知问题

During installation of the 1803 update, there can be downtime of the blob service and internal services that use blob service. This includes some virtual machine operations. This down time can cause failures of tenant operations or alerts from services that can’t access data. This issue resolves itself when the update completes installation.

已知问题(安装后)

下面是内部版本 20180323.2 的安装后已知问题。

门户

  • 在管理员门户中从下拉列表提交新的支持请求的功能不可用。 请改用以下链接:

  • In the admin portal, it is not possible to edit storage metrics for Blob service, Table service, or Queue service. When you go to Storage, and then select the blob, table, or queue service tile, a new blade opens that displays a metrics chart for that service. If you then select Edit from the top of the metrics chart tile, the Edit Chart blade opens but does not display options to edit metrics.

  • 无法在管理员门户中查看计算或存储资源。 此问题的原因是更新安装过程中出错,导致系统错误地将更新报告为成功。 如果发生此问题,请联系 Microsoft 客户支持服务部门以寻求帮助。

  • 可能会在门户中看到空白的仪表板。 若要恢复仪表板,请选择门户右上角的齿轮图标,然后选择“还原默认设置”。

  • 查看资源或资源组的属性时,发现“移动”按钮已禁用。 这是预期的行为。 目前不支持在资源组或订阅之间移动资源或资源组。

  • 删除用户订阅生成孤立的资源。 解决方法是先删除用户资源或整个资源组,然后再删除用户订阅。

  • 无法使用 Azure Stack 门户查看订阅的权限。 解决方法是使用 PowerShell 验证权限。

  • 在管理门户的仪表板中,“更新”磁贴无法显示有关更新的信息。 若要解决此问题,请单击该磁贴对其进行刷新。

  • 在管理门户中,可能会看到针对 Microsoft.Update.Admin 组件的严重警报。 警报名称、说明和修正均显示为:

    • 错误 - FaultType 为 ResourceProviderTimeout 的模板缺失。

    可以放心地忽略此警报。

应用商店

  • 用户无需订阅就能浏览整个商城,并且能看到计划和产品/服务等管理项。 对用户而言,这些项是非功能性的。

计算

  • 无法在门户中使用虚拟机规模集的缩放设置。 解决方法是使用 Azure PowerShell。 由于 PowerShell 版本差异,必须使用 -Name 参数,而不是 -VMScaleSetName

  • 通过转到“新建” > “计算” > “可用性集”在门户中创建可用性集时,只能创建一个包含一个容错域和 1 个更新域的可用性集。 解决方法是在创建新的虚拟机时,通过 PowerShell、CLI 或门户来创建可用性集。

  • 在 Azure Stack 用户门户中创建虚拟机时,该门户显示的可以附加到 DS 系列 VM 的数据磁盘数不正确。 DS 系列 VM 可以容纳的数据磁盘数取决于 Azure 配置。

  • 无法创建 VM 映像时,可能会向 VM 映像计算边栏选项卡添加一个无法删除的故障项。

    解决方法是通过虚拟 VHD 创建新的 VM 映像,而该 VHD 则可以通过 Hyper-V (New-VHD -Path C:\dummy.vhd -Fixed -SizeBytes 1 GB) 来创建。 此过程应该解决妨碍删除故障项的问题。 然后,在创建虚拟映像 15 后,就可以成功删除该故障项。

    然后,可以尝试重新下载以前无法下载的 VM 映像。

  • 如果在 VM 部署上预配某个扩展时耗时过长,用户应让预配超时,而不应尝试通过停止该进程来解除 VM 的分配或将 VM 删除。

  • Linux VM diagnostics is not supported in Azure Stack. When you deploy a Linux VM with VM diagnostics enabled, the deployment fails. The deployment also fails if you enable the Linux VM basic metrics through diagnostic settings.

网络

  • 创建 VM 并将其与公共 IP 地址关联以后,就无法取消该 VM 与该 IP 地址的关联。 取消关联看似可以正常使用,但以前分配的公共 IP 地址仍与原始 VM 相关联。

    目前只能将新建的公共 IP 地址用于新建的 VM。

    即使将 IP 地址重新分配给新的 VM(通常名为“VIP 交换”),也还会发生这种行为。 以后尝试通过此 IP 地址建立连接都会导致连接到原先关联的 VM,而不是新的 VM。

  • Azure Stack 支持对一个 IP 地址使用一个本地网关。 这适用于所有租户订阅。 在创建第一个本地网关连接以后,系统会阻止使用同一 IP 地址创建本地网关资源的后续尝试。

  • 在使用 DNS 服务器设置“自动”创建的虚拟网络上,无法更改为自定义 DNS 服务器。 更新的设置不推送到该 Vnet 中的 VM。

  • Azure Stack 不支持在部署某个 VM 实例后向该 VM 添加其他的网络接口。 如果该 VM 需要多个网络接口,这些接口必须在部署时定义。

  • You cannot use the admin portal to update rules for a network security group.

    针对应用服务的解决方法:如需通过远程桌面连接到控制器实例,请使用 PowerShell 修改网络安全组中的安全规则。 以下示例说明了如何先将配置设置为 allow,然后再还原为 deny

    • Allow:

      Login-AzureRMAccount -EnvironmentName AzureStackAdmin
      
      $nsg = Get-AzureRmNetworkSecurityGroup -Name "ControllersNsg" -ResourceGroupName "AppService.local"
      
      $RuleConfig_Inbound_Rdp_3389 =  $nsg | Get-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389"
      
      ##This doesn’t work. Need to set properties again even in case of edit
      
      #Set-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" -NetworkSecurityGroup $nsg -Access Allow  
      
      Set-AzureRmNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg `
        -Name $RuleConfig_Inbound_Rdp_3389.Name `
        -Description "Inbound_Rdp_3389" `
        -Access Allow `
        -Protocol $RuleConfig_Inbound_Rdp_3389.Protocol `
        -Direction $RuleConfig_Inbound_Rdp_3389.Direction `
        -Priority $RuleConfig_Inbound_Rdp_3389.Priority `
        -SourceAddressPrefix $RuleConfig_Inbound_Rdp_3389.SourceAddressPrefix `
        -SourcePortRange $RuleConfig_Inbound_Rdp_3389.SourcePortRange `
        -DestinationAddressPrefix $RuleConfig_Inbound_Rdp_3389.DestinationAddressPrefix `
        -DestinationPortRange $RuleConfig_Inbound_Rdp_3389.DestinationPortRange
      
      # Commit the changes back to NSG
      Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg
      
    • Deny:

      
      Login-AzureRMAccount -EnvironmentName AzureStackAdmin
      
      $nsg = Get-AzureRmNetworkSecurityGroup -Name "ControllersNsg" -ResourceGroupName "AppService.local"
      
      $RuleConfig_Inbound_Rdp_3389 =  $nsg | Get-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389"
      
      ##This doesn’t work. Need to set properties again even in case of edit
      
      #Set-AzureRmNetworkSecurityRuleConfig -Name "Inbound_Rdp_3389" -NetworkSecurityGroup $nsg -Access Allow  
      
      Set-AzureRmNetworkSecurityRuleConfig -NetworkSecurityGroup $nsg `
        -Name $RuleConfig_Inbound_Rdp_3389.Name `
        -Description "Inbound_Rdp_3389" `
        -Access Deny `
        -Protocol $RuleConfig_Inbound_Rdp_3389.Protocol `
        -Direction $RuleConfig_Inbound_Rdp_3389.Direction `
        -Priority $RuleConfig_Inbound_Rdp_3389.Priority `
        -SourceAddressPrefix $RuleConfig_Inbound_Rdp_3389.SourceAddressPrefix `
        -SourcePortRange $RuleConfig_Inbound_Rdp_3389.SourcePortRange `
        -DestinationAddressPrefix $RuleConfig_Inbound_Rdp_3389.DestinationAddressPrefix `
        -DestinationPortRange $RuleConfig_Inbound_Rdp_3389.DestinationPortRange
      
      # Commit the changes back to NSG
      Set-AzureRmNetworkSecurityGroup -NetworkSecurityGroup $nsg 
      

SQL 和 MySQL

  • 在继续操作之前,请查看这些发行说明开头附近的开始之前中的重要说明。

  • 可能需要在长达一小时的时间过后,用户才能在新的 SQL 或 MySQL 部署中创建数据库。

  • 只有资源提供程序才能在托管 SQL 或 MySQL 的服务器上创建项目。 如果在不是由资源提供程序创建的主机服务器上创建项目,则此类项目可能导致状态不匹配。

Note

更新到 Azure Stack 1803 以后,可以继续使用以前部署的 SQL 和 MySQL 资源提供程序。 建议在新版本发布后更新 SQL 和 MySQL。 与 Azure Stack 一样,请将更新按顺序应用到 SQL 和 MySQL 资源提供程序。 例如,如果使用版本 1711,请先应用版本 1712,然后应用 1802,,再应用 1803 的更新。

安装更新 1803 不会影响用户现在使用 SQL 或 MySQL 资源提供程序。 不管所用资源提供程序的版本如何,在其数据库中的用户数据不会受到影响,仍然可用。

应用服务

  • 在订阅中创建第一个 Azure 函数之前,用户必须先注册存储资源提供程序。

  • 若要横向扩展基础结构(辅助角色、管理、前端角色),必须按照针对计算的发行说明中的说明来使用 PowerShell。

使用情况

  • 公共 IP 地址使用计量数据针对每条记录显示相同的 EventDateTime 值,而不是创建记录时显示的 TimeDate 时间戳。 目前,无法使用此数据来执行公共 IP 地址用量的准确计帐。

从 GitHub 下载 Azure Stack 工具

  • 使用 invoke-webrequest PowerShell cmdlet 从 Github 下载 Azure Stack 工具时,收到一个错误:

    • invoke-webrequest: 请求已终止: 未能创建 SSL/TLS 安全通道。

    之所以发生此错误,是因为最近的 GitHub 支持弃用了 Tlsv1 和 Tlsv1.1 加密标准(PowerShell 的默认设置)。 有关详细信息,请参阅 Weak cryptographic standards removal notice(弱加密标准删除通知)。

    若要解决此问题,请将 [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 添加到脚本顶部,强制 PowerShell 控制台在从 GitHub 存储库下载项目时使用 TLSv1.2。

下载更新

可从此处下载 Azure Stack 1803 更新包。

另请参阅