Problemas de conectividad y redes en Azure Cloud Services (Clásico): Preguntas más frecuentes (P+F)

Importante

Cloud Services (clásico) ahora está en desuso para los nuevos clientes y se retirará el 31 de agosto de 2024 para todos los clientes. Las nuevas implementaciones deben utilizar el nuevo modelo de implementación basado en Azure Resource Manager Azure Cloud Services (soporte extendido) .

Este artículo incluye preguntas frecuentes sobre conectividad y redes para Azure Cloud Services. Para obtener información del tamaño, consulte la página Tamaños de Cloud Services.

Si su problema con Azure no se trata en este artículo, visite los foros de Azure en Q&A de Microsoft y Stack Overflow. Puede publicar su problema en ellos o en @AzureSupport en Twitter. También puede enviar una solicitud de soporte técnico de Azure. Para enviar una solicitud de soporte técnico, en la página de soporte técnico de Azure, seleccione Obtener soporte técnico.

No se puede reservar una dirección IP en un servicio en la nube con varias direcciones IP virtuales.

En primer lugar, asegúrese de que la instancia de máquina virtual para la que está intentando reservar la dirección IP está activada. En segundo lugar, asegúrese de que utiliza direcciones IP reservadas para las implementaciones de ensayo y de producción. No cambie la configuración mientras se está actualizando la implementación.

¿Cómo se usa el escritorio remoto con un grupo de seguridad de red?

Agregue reglas al NSG que permitan el tráfico en los puertos 3389 y 20000. Escritorio remoto usa el puerto 3389. Las instancias de Cloud Services tienen la carga equilibrada, por lo que no se puede controlar directamente a qué instancia conectarse. Los agentes RemoteForwarder y RemoteAccess administran el tráfico del Protocolo de escritorio remoto (RDP) y permiten al cliente enviar una cookie de RDP y especificar una instancia concreta a la que conectarse. Los agentes RemoteForwarder y RemoteAccess requieren que se abra el puerto 20000, que podría estar bloqueado si tiene un grupo de seguridad de red.

¿Se puede hacer ping a un servicio de nube?

No, no usando un "ping" normal / protocolo ICMP. No se permite el protocolo ICMP a través de Azure Load Balancer.

Para probar la conectividad, se recomienda que realice un ping de puerto. Aunque Ping.exe utiliza ICMP, puede usar otras herramientas, como PSPing, Nmap y telnet, que permiten probar la conectividad con un puerto TCP específico.

Para más información, consulte Use port pings instead of ICMP to test Azure VM connectivity (uso de pings de puerto en lugar de ICMP para probar la conectividad de la máquina virtual de Azure).

¿Cómo se puede evitar la recepción de miles de aciertos de direcciones IP desconocidas que indican un ataque malintencionado al servicio en la nube?

Azure implementa una seguridad de red multicapa para proteger sus servicios de plataforma contra los ataques de denegación de servicio distribuido (DDoS). El sistema de defensa DDoS de Azure forma parte del proceso de supervisión continuo de Azure, que mejora continuamente a través de pruebas de penetración. Este sistema de defensa DDoS está diseñado para resistir ataques no solo desde el exterior, sino también de otros inquilinos de Azure. Para más información, consulte Azure Network Security (Seguridad de red de Azure).

También puede crear una tarea de inicio para bloquear de manera selectiva algunas direcciones IP específicas. Para más información, consulte Bloqueo de una dirección IP específica.

Cuando intento ejecutar el Protocolo de escritorio remoto (RDP) para la instancia de servicio en la nube, obtengo el mensaje "La cuenta de usuario ha expirado".

Puede obtener el mensaje de error "Esta cuenta de usuario expiró" cuando ignora la fecha de expiración que está configurada en las opciones de RDP. Puede cambiar la fecha de expiración desde el portal siguiendo estos pasos:

  1. Inicie sesión en Azure Portal, vaya a su servicio en la nube y seleccione la pestaña Escritorio remoto.

  2. Seleccione la ranura de implementación Producción o Ensayo.

  3. Cambie la fecha de Expira en y, a continuación, guarde la configuración.

Ahora podrá ejecutar el RDP en el equipo.

¿Por qué Azure Load Balancer no equilibra el tráfico de forma equitativa?

Para información acerca de cómo funciona el equilibrador de carga interno, consulte Azure Load Balancer new distribution mode (Nuevo modo de distribución de Azure Load Balancer).

El algoritmo de distribución usado para asignar el tráfico a los servidores disponibles es una tupla de cinco componentes (IP de origen, puerto de origen, IP de destino, puerto de destino y tipo de protocolo). Dicho algoritmo solo proporciona adherencia dentro de una sesión de transporte. Los paquetes de la misma sesión TCP o UDP se dirigen a la misma instancia de IP del centro de datos (DIP) tras el punto de conexión con equilibrio de carga. Cuando el cliente cierra la conexión y vuelve a abrirla, o inicia una nueva sesión desde la misma IP de origen, el puerto de origen cambia y provoca que el tráfico vaya hacia otro punto de conexión DIP.

¿Cómo puedo redirigir el tráfico que entra en la dirección URL predeterminada de un servicio en la nube a una dirección URL personalizada?

El módulo URL Rewrite de IIS podría usarse para redirigir el tráfico que entra en la dirección URL predeterminada del servicio en la nube (por ejemplo, *.cloudapp.net) a alguna dirección URL o nombre personalizados. Dado que el módulo URL Rewrite está habilitado de forma predeterminada en los roles web y sus reglas se configuran en el archivo web.config de la aplicación, siempre está disponible en la VM con independencia de los reinicios o los restablecimientos de la imagen inicial. Para obtener más información, consulte:

¿Cómo puedo bloquear o deshabilitar el tráfico entrante a la dirección URL predeterminada de un servicio en la nube?

Puede evitar el tráfico entrante para la dirección URL predeterminada o el nombre del servicio en la nube (por ejemplo, *. cloudapp.net). Establezca el encabezado de host en un nombre DNS personalizado (por ejemplo, www.MiServicioEnLaNube.com) en la configuración de enlace de sitio del archivo de definición del servicio en la nube (*.csdef), como se indica a continuación:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="AzureCloudServicesDemo" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
    <WebRole name="MyWebRole" vmsize="Small">
        <Sites>
            <Site name="Web">
            <Bindings>
                <Binding name="Endpoint1" endpointName="Endpoint1" hostHeader="www.MyCloudService.com" />
            </Bindings>
            </Site>
        </Sites>
        <Endpoints>
            <InputEndpoint name="Endpoint1" protocol="http" port="80" />
        </Endpoints>
        <ConfigurationSettings>
            <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
        </ConfigurationSettings>
    </WebRole>
</ServiceDefinition>

Dado que este enlace de encabezado host se aplica mediante un archivo csdef, el servicio solo es accesible mediante el nombre personalizado "www.MyCloudService.com". Todas las solicitudes entrantes al dominio "*.cloudapp.net" producen error en todo momento. Si usa un sondeo de SLB personalizado o un equilibrador de carga interno en el servicio, el bloqueo de la dirección URL o del nombre predeterminados del servicio puede interferir con el comportamiento del sondeo.

¿Cómo puedo asegurarme de que la dirección IP pública de un servicio en la nube nunca cambie?

Para asegurarse de que la dirección IP pública de un servicio en la nube (también conocida como VIP) nunca cambie de modo que algunos clientes específicos puedan aprobarla normalmente, se recomienda asociarle una dirección IP reservada. En caso contrario, la dirección IP virtual proporcionada por Azure se desasigna de su suscripción, si elimina la implementación. Para que la operación de intercambio de VIP sea correcta, necesita direcciones IP reservadas individuales tanto para las ranuras de almacenamiento provisional como para producción. Sin ellas, se produce un error en la operación de intercambio. Para reservar una dirección IP y asociarla a un servicio en la nube, consulte estos artículos:

Si tiene más de una instancia para los roles, la asociación de RIP al servicio en la nube no debería provocar ningún tiempo de inactividad. Como alternativa, puede agregar el intervalo de direcciones IP de su centro de datos de Azure a una lista de permitidas. Puede encontrar todos los intervalos de direcciones IP de Azure en el Centro de descarga de Microsoft.

Este archivo contiene los intervalos de direcciones IP (incluidos los intervalos de Compute, SQL y Storage) utilizados en los centros de datos de Azure. Semanalmente, se publica un archivo actualizado que refleja los intervalos implementados actualmente y los próximos cambios en los intervalos de direcciones IP. Los nuevos intervalos que aparecen en el archivo no se utilizan en los centros de datos durante al menos una semana. Descargue el nuevo archivo .xml cada semana y realice los cambios necesarios en su sitio para identificar correctamente los servicios que se ejecutan en Azure. Los usuarios de Azure ExpressRoute podrían apreciar que este archivo se usa para actualizar la publicidad de BGP del espacio de Azure en la primera semana de cada mes.

¿Cómo puedo usar redes virtuales de Azure Resource Manager con servicios en la nube?

Los servicios en la nube no se pueden colocar en las redes virtuales de Azure Resource Manager. Las redes virtuales de Resource Manager y las redes virtuales de implementación clásica pueden conectarse a través de emparejamiento. Para más información, consulte Emparejamiento de redes virtuales.

¿Cómo puedo obtener la lista de direcciones IP públicas que usa Cloud Services?

Puede usar el siguiente script de PS para obtener la lista de direcciones IP públicas de Cloud Services de la suscripción

$services = Get-AzureService  | Group-Object -Property ServiceName

foreach ($service in $services)
{
    "Cloud Service '$($service.Name)'"

    $deployment = Get-AzureDeployment -ServiceName $service.Name
    "VIP - " +  $deployment.VirtualIPs[0].Address
    "================================="
}