Problèmes de connectivité et de mise en réseau pour Azure Cloud Services (classique) : Forum Aux Questions (FAQ)

Commencez par vérifier que l’instance de machine virtuelle pour laquelle vous tentez de réserver l’adresse IP est activée. Veillez ensuite à utiliser des adresses IP réservées tant pour les déploiements intermédiaires que pour les déploiements de production. Ne modifiez pas les paramètres pendant la mise à niveau du déploiement.

Ajoutez des règles à un groupe de sécurité réseau qui autorisent le trafic sur les ports 3389 et 20000. Bureau à distance utilise le port 3389. Les instances de service cloud étant à charge équilibrée, vous ne pouvez pas contrôler directement l’instance à laquelle se connecter. Les agents RemoteForwarder et RemoteAccess gèrent le trafic opéré à l’aide du protocole RDP (Remote Desktop Protocol), et permettent au client d’envoyer un cookie RDP ainsi que de spécifier une instance individuelle à laquelle se connecter. Les agents RemoteForwarder et RemoteAccess exigent que ce port 20000 soit ouvert. Or, celui-ci pourrait être bloqué si vous avez un groupe de sécurité réseau.

Non, pas en utilisant le test « ping » normal/protocole ICMP. Le protocole ICMP n’est pas autorisé via l’équilibreur de charge Azure.

Pour tester la connectivité, nous vous recommandons d’effectuer un test ping au niveau du port. Si Ping.exe utilise le protocole ICMP (Internet Control Message Protocol), d’autres outils tels que PSPing, Nmap et telnet permettent de tester la connectivité à un port TCP spécifique.

Pour plus d’informations, consultez Use port pings instead of ICMP to test Azure VM connectivity (Tester la connectivité des machines virtuelles Azure à l’aide de tests ping au niveau du port à la place d’ICMP).

Azure met en œuvre une sécurité réseau multicouche pour protéger ses services de plateforme contre les attaques par déni de service distribué (DDoS). Le système de défense Azure DDoS fait partie intégrante du processus de surveillance continu d’Azure, qui est constamment amélioré à l’aide de tests de pénétration. Ce système de défense DDoS est conçu non seulement pour résister aux attaques extérieures, mais aussi à celles perpétrées par d’autres locataires Azure. Pour plus d’informations, voir Sécurité du réseau Azure.

Vous pouvez également créer une tâche de démarrage pour bloquer de manière sélective certaines adresses IP spécifiques. Pour plus d’informations, consultez Bloquer une adresse IP spécifique.

Vous pouvez obtenir le message d’erreur « Ce compte d’utilisateur est expiré » quand vous ignorez la date d’expiration configurée dans vos paramètres du protocole RDP. Vous pouvez modifier la date d’expiration à partir du portail en procédant comme suit :

1. Connectez-vous au portail Azure, accédez à votre service cloud, puis sélectionnez l’onglet Bureau à distance.

2. Sélectionnez l’emplacement de déploiement Production ou Intermédiaire.

3. Modifiez la date dans le champ Expire le, puis enregistrez la configuration.

Vous devriez maintenant pouvoir vous connecter à votre machine via RDP.

Pour plus d’informations sur le fonctionnement d’un l’équilibreur de charge interne, voir Azure Load Balancer new distribution mode (Nouveau mode de distribution d’Azure Load Balancer).

L’algorithme de distribution utilisé est un hachage 5-tuple (adresse IP source, port source, IP de destination, port de destination, type de protocole) servant à mapper le trafic aux serveurs disponibles. Il fournit l’adhérence uniquement dans une session de transport. Les paquets de la même session TCP ou UDP sont dirigés vers la même instance IP (DIP) de centre de données derrière le point de terminaison à charge équilibrée. Lorsque le client ferme puis rouvre la connexion, ou démarre une nouvelle session à partir de la même adresse IP source, le port source change et dirige le trafic vers un autre point de terminaison DIP.

Le module de réécriture d’URL d’IIS permet de rediriger le trafic arrivant sur l’URL par défaut du service cloud (par exemple, *.cloudapp.net) vers un nom ou une URL personnalisés. Étant donné que le module de réécriture d’URL est activé par défaut sur les rôles web et que ses règles sont configurées dans le fichier web.config de l’application, il est toujours disponible sur la machine virtuelle, quel que soit le nombre de redémarrages ou de réinitialisations. Pour plus d’informations, voir :

• Créer des règles de réécriture pour le module de réécriture d’URL
• Supprimer un lien par défaut

Vous pouvez bloquer le trafic entrant via l’URL/le nom par défaut de votre service cloud (par exemple, *.cloudapp.net). Définissez l’en-tête de l’hôte pour un nom DNS personnalisé (par exemple, www.MyCloudService.com) sous la configuration de liaison de site dans le fichier de définition (*.csdef) du service cloud, comme indiqué :

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="AzureCloudServicesDemo" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
    <WebRole name="MyWebRole" vmsize="Small">
        <Sites>
            <Site name="Web">
            <Bindings>
                <Binding name="Endpoint1" endpointName="Endpoint1" hostHeader="www.MyCloudService.com" />
            </Bindings>
            </Site>
        </Sites>
        <Endpoints>
            <InputEndpoint name="Endpoint1" protocol="http" port="80" />
        </Endpoints>
        <ConfigurationSettings>
            <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
        </ConfigurationSettings>
    </WebRole>
</ServiceDefinition>

Comme cette liaison d’en-tête d’hôte est appliquée par le fichier csdef, le service est uniquement accessible via le nom personnalisé « www.MyCloudService.com ». Toutes les demandes entrantes parvenant au domaine « *.cloudapp.net » échouent. Si vous utilisez une sonde SLB personnalisée ou un équilibreur de charge interne dans le service, le blocage de l’URL/du nom par défaut du service risque d’interférer avec le comportement de sondage.

Pour vous assurer que l’adresse IP publique de votre service cloud (également appelée adresse IP virtuelle) ne change jamais afin qu’elle puisse être approuvée de façon ordinaire par quelques clients spécifiques, nous vous recommandons d’y associer une adresse IP réservée. Autrement, l’adresse IP virtuelle fournie par Azure est désallouée de votre abonnement si vous supprimez le déploiement. Pour que l’opération d’échange d’adresses IP virtuelles réussisse, vous devez disposer d’adresses IP réservées pour les emplacement de production et préproduction. À défaut, l’opération d’échange échoue. Pour réserver une adresse IP et l’associer à votre service cloud, suivez les instructions des articles suivants  :

• Réserver l’adresse IP d’un service cloud existant
• Associer une adresse IP réservée à un service cloud à l’aide d’un fichier de configuration de service

Tant que vous avez plus d’une instance pour vos rôles, l’association d’une adresse IP réservée à votre service cloud ne devrait pas occasionner de temps d’arrêt. Vous pouvez aussi ajouter la plage d’adresses IP de votre centre de données Azure à une liste verte. Vous pouvez trouver toutes les plages d’adresses IP Azure dans le Centre de téléchargement Microsoft.

Ce fichier contient les plages d’adresses IP (dont les plages de calcul, SQL et de stockage) utilisées dans les centres de données Azure. Un fichier mis à jour est publié chaque semaine, qui reflète les plages actuellement déployées et toutes les modifications à venir des plages d’adresses IP. Les nouvelles plages figurant dans le fichier ne sont pas utilisées dans les centres de données avant une semaine minimum. Téléchargez le nouveau fichier xml chaque semaine, et apportez les modifications nécessaires sur votre site pour identifier correctement les services qui s’exécutent dans Azure. Les utilisateurs d’ExpressRoute remarqueront peut-être que ce fichier est utilisé pour mettre à jour la publication de protocole de passerelle frontière de l’espace Azure la première semaine de chaque mois.

Des services cloud ne peuvent pas être placés dans des réseaux virtuels Azure Resource Manager. Des réseaux virtuels Resource Manager et réseaux virtuels de déploiement classiques peuvent être connectés par le biais d’un peering. Pour en savoir plus, consultez Peering de réseaux virtuels.

Vous pouvez utiliser le script PS suivant pour obtenir la liste des adresses IP publiques pour les services cloud dans votre abonnement

$services = Get-AzureService  | Group-Object -Property ServiceName

foreach ($service in $services)
{
    "Cloud Service '$($service.Name)'"

    $deployment = Get-AzureDeployment -ServiceName $service.Name
    "VIP - " +  $deployment.VirtualIPs[0].Address
    "================================="
}