Az Azure Cloud Services (klasszikus) konfigurációs és felügyeleti problémái: Gyakori kérdések (gyakori kérdések)

Fontos

Cloud Services (klasszikus) mostantól elavult az új ügyfelek számára, és 2024. augusztus 31-én minden ügyfél esetében megszűnik. Az új üzemelő példányoknak az új Azure Resource Manager-alapú Azure Cloud Services (kiterjesztett támogatás) üzemi modellt kell használniuk.

Ez a cikk az Microsoft Azure Cloud Services konfigurációs és felügyeleti problémáival kapcsolatos gyakori kérdéseket tartalmazza. A méretinformációkért tekintse meg a Cloud Services virtuális gép méretére vonatkozó oldalt is.

Ha ebben a cikkben nem foglalkozunk az Azure-beli problémával, látogasson el a Microsoft Q & A és a Stack Overflow Azure-fórumaira. A problémát közzéteheti ezeken a fórumokon, vagy közzéteheti @AzureSupport a Twitteren. Azure-támogatás kérést is küldhet. Támogatási kérelem elküldéséhez a Azure-támogatás lapon válassza a Támogatás kérése lehetőséget.

Tanúsítványok

Monitorozás és naplózás

Hálózati konfiguráció

Engedélyek

Méretezés

Általános

Tanúsítványok

Miért hiányos a Cloud Service TLS/SSL-tanúsítvány tanúsítványlánca?

Azt javasoljuk, hogy az ügyfelek a levéltanúsítvány helyett a teljes tanúsítványláncot (levéltanúsítványt, köztes tanúsítványt és főtanúsítványt) telepítsenek. Ha csak a levéltanúsítványt telepíti, a CTL használatával a Windowsra támaszkodva hozza létre a tanúsítványláncot. Ha időszakos hálózati vagy DNS-problémák lépnek fel az Azure-ban, vagy Windows Update, amikor a Windows megpróbálja ellenőrizni a tanúsítványt, a tanúsítvány érvénytelennek tekinthető. A teljes tanúsítványlánc telepítésével elkerülhető ez a probléma. A láncolt SSL-tanúsítvány telepítéséről szóló blog bemutatja, hogyan teheti ezt meg.

Mi a "Windows Azure Tools Encryption Certificate for Extensions" célja?

Ezek a tanúsítványok automatikusan létrejönnek, amikor bővítményt adnak hozzá a Felhőszolgáltatáshoz. Leggyakrabban ez a WAD- vagy RDP-bővítmény, de lehet más is, például a Kártevőirtó vagy a Naplógyűjtő bővítmény. Ezek a tanúsítványok csak a bővítmény privát konfigurációjának titkosítására és visszafejtésére használhatók. A rendszer soha nem ellenőrzi a lejárati dátumot, így nem számít, hogy a tanúsítvány lejárt-e. 

Ezeket a tanúsítványokat figyelmen kívül hagyhatja. Ha törölni szeretné a tanúsítványokat, megpróbálhatja törölni őket. Az Azure hibát jelez, ha egy használatban lévő tanúsítványt próbál törölni.

Hogyan hozhatok létre tanúsítvány-aláírási kérést (CSR) anélkül, hogy "RDP-ing" jön létre a példányon?

Tekintse meg az alábbi útmutatót:

Tanúsítvány beszerzése Windows Azure-webhelyekkel (WAWS) való használatra

A CSR csak egy szövegfájl. Nem kell létrehoznia abból a gépről, ahol a tanúsítványt végül használni fogják. Bár ez a dokumentum egy App Service íródott, a CSR létrehozása általános, és a Cloud Services is érvényes.

Lejár a Cloud Service Management-tanúsítványom. Hogyan lehet megújítani?

A felügyeleti tanúsítványok megújításához az alábbi PowerShell-parancsokat használhatja:

Add-AzureAccount
Select-AzureSubscription -Current -SubscriptionName <your subscription name>
Get-AzurePublishSettingsFile

A Get-AzurePublishSettingsFile új felügyeleti tanúsítványt hoz létre az előfizetés-kezelési>tanúsítványokban a Azure Portal. Az új tanúsítvány neve a következőképpen néz ki: "YourSubscriptionNam]-[CurrentDate]-credentials".

Hogyan automatizálhatja a fő TLS/SSL-tanúsítvány (.pfx) és a köztes tanúsítvány (.p7b) telepítését?

Ezt a feladatot automatizálhatja egy indítási szkripttel (batch/cmd/PowerShell), és regisztrálhatja az indítási szkriptet a szolgáltatásdefiníciós fájlban. Adja hozzá az indítási szkriptet és a tanúsítványt (.p7b fájl) az indítási szkript ugyanazon könyvtárának projektmappájába.

Mi a "Microsoft Azure Service Management for MachineKey" tanúsítvány célja?

Ez a tanúsítvány a gépkulcsok azure-beli webes szerepkörökben való titkosítására szolgál. További információért tekintse meg ezt a tanácsadást.

További információért tekintse át a következő cikkeket:

Monitorozás és naplózás

Melyek a Azure Portal a cloud service jövőbeli képességei, amelyek segíthetnek az alkalmazások kezelésében és monitorozásában?

Hamarosan létrejön egy új tanúsítvány a Remote Desktop Protocol (RDP) számára. Másik lehetőségként futtathatja a következő szkriptet:

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 20 48 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Hamarosan lehetőség van blob vagy helyi kiválasztására a csdef és a cscfg feltöltési helyéhez. A New-AzureDeployment használatával minden helyértéket beállíthat.

A metrikák példányszintű monitorozásának képessége. További monitorozási képességek érhetők el a Cloud Services monitorozása című témakörben.

Miért hagyja abba az IIS a naplókönyvtárba való írást?

Kimerítette a helyi tárolási kvótát a naplókönyvtárba való íráshoz. A hiba kijavításához a következő három lehetőség közül választhat:

  • Engedélyezze a diagnosztikát az IIS-hez, és rendszeres időközönként áthelyezhesse a diagnosztikát a Blob Storage-ba.
  • Manuálisan távolítsa el a naplófájlokat a naplózási könyvtárból.
  • Növelje a helyi erőforrások kvótakorlátját.

További információ a következő dokumentumokban található:

Hogyan engedélyezi a WAD-naplózást Cloud Services?

A Windows Azure Diagnostics (WAD) naplózását a következő beállításokkal engedélyezheti:

  1. Engedélyezés a Visual Studióból
  2. Engedélyezés .NET-kódon keresztül
  3. Engedélyezés a PowerShell-lel

A felhőszolgáltatás aktuális WAD-beállításainak lekéréséhez használhatja a Get-AzureServiceDiagnosticsExtensions PowerShell-parancsmagot, vagy megtekintheti a portálon a "Cloud Services --> Extensions" panelen.

Hálózati konfiguráció

Hogyan állítsa be az Azure Load Balancer tétlen időtúllépését?

Az időtúllépést a szolgáltatásdefiníciós (csdef) fájlban az alábbi módon adhatja meg:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="mgVS2015Worker" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
  <WorkerRole name="WorkerRole1" vmsize="Small">
    <ConfigurationSettings>
      <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
    </ConfigurationSettings>
    <Imports>
      <Import moduleName="RemoteAccess" />
      <Import moduleName="RemoteForwarder" />
    </Imports>
    <Endpoints>
      <InputEndpoint name="Endpoint1" protocol="tcp" port="10100"   idleTimeoutInMinutes="30" />
    </Endpoints>
  </WorkerRole>

További információt az Új: Konfigurálható üresjárati időtúllépés Azure Load Balancer.

Hogyan társítani egy statikus IP-címet a Cloud Service-hez?

Statikus IP-cím beállításához létre kell hoznia egy fenntartott IP-címet. Ez a fenntartott IP-cím társítható egy új felhőszolgáltatáshoz vagy egy meglévő üzemelő példányhoz. Részletekért tekintse meg a következő dokumentumokat:

Milyen funkciókat és képességeket biztosít az Azure alapszintű IPS/IDS és DDOS?

Az Azure IPS/IDS-sel rendelkezik az adatközpont fizikai kiszolgálóiban a fenyegetések elleni védelem érdekében. Emellett az ügyfelek külső biztonsági megoldásokat is üzembe helyezhetnek, például webalkalmazási tűzfalakat, hálózati tűzfalakat, kártevőirtókat, behatolásészlelést, megelőzési rendszereket (IDS/IPS) stb. További információ: Adatok és eszközök védelme és a globális biztonsági szabványoknak való megfelelés.

A Microsoft folyamatosan figyeli a kiszolgálókat, hálózatokat és alkalmazásokat a fenyegetések észlelése érdekében. Az Azure többprojektes fenyegetéskezelési megközelítése behatolásészlelést, elosztott szolgáltatásmegtagadásos (DDoS) támadásmegelőzést, behatolástesztelést, viselkedéselemzést, anomáliadetektálást és gépi tanulást használ a védelem folyamatos megerősítéséhez és a kockázatok csökkentéséhez. Microsoft Antimalware az Azure-hoz az Azure Cloud Services és a virtuális gépeket védi. Emellett külső biztonsági megoldásokat is üzembe helyezhet, például webalkalmazási tűzfalakat, hálózati tűzfalakat, kártevőirtókat, behatolásészlelő és -megelőző rendszereket (IDS/IPS) és sok mást.

HTTP/2 engedélyezése Cloud Services virtuális gépen

Windows 10 és Windows Server 2016 támogatja a HTTP/2-t ügyfél- és kiszolgálóoldalon egyaránt. Ha az ügyfél (böngésző) TLS-en keresztül csatlakozik az IIS-kiszolgálóhoz, amely ALS-bővítményeken keresztül egyezteti a HTTP/2-t, akkor nem kell módosítania a kiszolgálóoldalon. Ennek az az oka, hogy A TLS-en keresztül a http/2 használatát meghatározó h2-14 fejléc alapértelmezés szerint el lesz küldve. Ha viszont az ügyfél egy FRISSÍTÉS fejlécet küld a HTTP/2-re való frissítéshez, akkor az alábbi módosítást a kiszolgáló oldalán kell elvégeznie, hogy a frissítés működjön, és HTTP/2-kapcsolattal végződjön.

  1. Futtassa regedit.exe.
  2. Keresse meg a beállításkulcsot: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
  3. Hozzon létre egy DuoEnabled nevű új DWORD-értéket.
  4. Állítsa az értékét 1-re.
  5. Indítsa újra a kiszolgálót.
  6. Lépjen az alapértelmezett webhelyre , és a Kötések területen hozzon létre egy új TLS-kötést az imént létrehozott önaláírt tanúsítvánnyal.

További információkért lásd:

  • HTTP/2 az IIS-en
  • Videó: HTTP/2 a Windows 10: Böngésző, alkalmazások és webkiszolgáló

Ezek a lépések egy indítási feladaton keresztül automatizálhatók, így amikor új PaaS-példány jön létre, elvégezheti a fenti módosításokat a rendszerregisztrációs adatbázisban. További információ: Indítási feladatok konfigurálása és futtatása felhőszolgáltatáshoz.

Ha ez megtörtént, az alábbi módszerek egyikével ellenőrizheti, hogy a HTTP/2 engedélyezve van-e:

  • Engedélyezze a protokollverziót az IIS-naplókban, és tekintse meg az IIS-naplókat. A http/2 jelenik meg a naplókban.
  • Engedélyezze az F12 fejlesztői eszközt az Internet Explorerben vagy a Microsoft Edge-ben, és váltson a Hálózat lapra a protokoll ellenőrzéséhez.

További információ: HTTP/2 az IIS-en.

Engedélyek

Hogyan valósíthatok meg szerepköralapú hozzáférést Cloud Services?

Cloud Services nem támogatja az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) modelljét, mivel nem Azure Resource Manager-alapú szolgáltatás.

Lásd : Az Azure különböző szerepköreinek ismertetése.

Távoli asztal

A Microsoft belső mérnökei engedély nélkül is távolról csatlakozhatnak a Cloud Service-példányokhoz?

A Microsoft szigorú eljárást követ, amely nem teszi lehetővé, hogy a belső mérnökök a tulajdonostól vagy a tervezőtől származó írásos engedély (e-mail vagy egyéb írásbeli kommunikáció) nélkül távoli asztalt létesíthessenek a felhőszolgáltatással.

Nem tudok távoli asztalt létrehozni a Cloud Service-beli virtuális géphez az RDP-fájl használatával. A következő hibaüzenet jelenik meg: Hitelesítési hiba történt (kód: 0x80004005)

Ez a hiba akkor fordulhat elő, ha az RDP-fájlt egy, az Azure Active Directoryhoz csatlakoztatott gépről használja. A probléma megoldásához kövesse az alábbi lépéseket:

  1. Kattintson a jobb gombbal a letöltött RDP-fájlra, és válassza a Szerkesztés parancsot.
  2. Adja hozzá a "\" előtagot a felhasználónév elé. Használja például a .\username nevet felhasználónév helyett.

Méretezés

Nem méretezhetem túl az X-példányokat

Az Azure-előfizetésében korlátozva van a használható magok száma. A skálázás nem fog működni, ha az összes elérhető magot felhasználta. Ha például 100 magos korláttal rendelkezik, az azt jelenti, hogy 100 A1 méretű virtuálisgép-példánya lehet a felhőszolgáltatáshoz, vagy 50 A2 méretű virtuálisgép-példány.

Hogyan konfigurálhatom az automatikus skálázást a memóriametrikák alapján?

Az Cloud Services memóriametrikái alapján történő automatikus skálázás jelenleg nem támogatott.

A probléma kerülő megoldásához használhatja az Application Insightsot. Az automatikus skálázás támogatja az Application Insights metrikaforrásként való használatát, és a szerepkörpéldányok számát skálázhatja vendégmetrika, például a "Memória" alapján. Konfigurálnia kell az Application Insightsot a Cloud Service-projektcsomagfájlban (*.cspkg), és engedélyeznie kell Azure Diagnostics bővítményt a szolgáltatáson a teljesítmény megvalósításához.

Az egyéni metrikák Application Insightson keresztüli használatával történő automatikus skálázás Cloud Services való konfigurálásával kapcsolatos további részletekért lásd: Ismerkedés az egyéni metrikák szerinti automatikus skálázással az Azure-ban

A Azure Diagnostics az Application Insights for Cloud Services szolgáltatással való integrálásával kapcsolatos további információkért lásd: Felhőszolgáltatás, virtuális gép vagy Service Fabric diagnosztikai adatok küldése az Application Insightsba

További információ az Application Insights for Cloud Services engedélyezéséről: Application Insights for Azure Cloud Services

Az Cloud Services Azure Diagnostics naplózásának engedélyezéséről további információt az Azure Cloud Services és a virtuális gépek diagnosztikáinak beállítását ismertető cikkben talál.

Általános

Hogyan adja hozzá a "nosniff" a webhelyem?

Ha meg szeretné akadályozni, hogy az ügyfelek megszenvedjék a MIME-típusokat, adjon hozzá egy beállítást a web.config fájlhoz.

<configuration>
   <system.webServer>
      <httpProtocol>
         <customHeaders>
            <add name="X-Content-Type-Options" value="nosniff" />
         </customHeaders>
      </httpProtocol>
   </system.webServer>
</configuration>

Ezt az IIS-ben beállításként is hozzáadhatja. Használja az alábbi parancsot a gyakori indítási feladatokkal foglalkozó cikkben.

%windir%\system32\inetsrv\appcmd set config /section:httpProtocol /+customHeaders.[name='X-Content-Type-Options',value='nosniff']

Hogyan testre szabni az IIS-t egy webes szerepkörhöz?

Használja az IIS indítási szkriptet a gyakori indítási feladatokról szóló cikkben.

Mi a felhőszolgáltatás kvótakorlátja?

Miért jelenik meg nagyon kevés szabad lemezterület a Cloud Service-beli virtuális gépem meghajtóján?

Ez a várt viselkedés, és nem okozhat problémát az alkalmazásban. A naplózás be van kapcsolva az Azure PaaS-alapú virtuális gépek %approot% meghajtóján, amely lényegében megduplázza a fájlok által általában elfoglalott helyet. Azonban számos dolog, hogy tisztában kell lennie azzal, hogy lényegében ez a helyzet egy nem-kérdés.

A %approot% meghajtóméretet a rendszer .cspkg + maximális naplóméret + szabad terület> margója vagy 1,5 GB méretként számítja ki<, attól függően, hogy melyik nagyobb. A virtuális gép mérete nincs hatással erre a számításra. (A virtuális gép mérete csak az ideiglenes C: meghajtó méretét befolyásolja.)

A(z) %approot% meghajtóra való írás nem támogatott. Ha az Azure-beli virtuális gépre ír, ezt egy ideiglenes LocalStorage-erőforrásban (vagy más lehetőségben, például Blob Storage, Azure Files stb.) kell megtennie. A%approot% mappában lévő szabad terület tehát nem értelmezhető. Ha nem biztos abban, hogy az alkalmazás az %approot% meghajtóra ír-e, hagyhatja, hogy a szolgáltatás néhány napig fusson, majd összehasonlíthatja az "előtte" és az "utána" méreteket. 

Az Azure nem ír semmit az %approot% meghajtóra. Miután létrehozta a VHD-t az .cspkg Azure-beli virtuális gépről, és csatlakoztatta az Azure-beli virtuális géphez, az egyetlen dolog, ami erre a meghajtóra írható, az az alkalmazás. 

A naplóbeállítások nem konfigurálhatók, ezért nem kapcsolhatók ki.

Hogyan adhatok hozzá kártevőirtó bővítményt a Cloud Services automatizált módon?

Az indítási feladatban PowerShell-szkripttel engedélyezheti a kártevőirtó bővítményt. A megvalósításhoz kövesse az alábbi cikkek lépéseit:

A kártevőirtó-telepítési forgatókönyvekről és a portálról való engedélyezéséről további információt a Kártevőirtó telepítési forgatókönyvek című témakörben talál.

Hogyan engedélyezem a kiszolgálónév jelzését (SNI) Cloud Services?

Az SNI-t az alábbi módszerek egyikével engedélyezheti Cloud Services:

1. módszer: A PowerShell használata

Az SNI-kötés a New-WebBinding PowerShell-parancsmaggal konfigurálható egy cloud service-szerepkörpéldány indítási feladatában az alábbiak szerint:

New-WebBinding -Name $WebsiteName -Protocol "https" -Port 443 -IPAddress $IPAddress -HostHeader $HostHeader -SslFlags $sslFlags

Az itt leírtak szerint a $sslFlags az alábbi értékek egyike lehet:

Érték Értelmezés
0 Nincs SNI
1 SNI engedélyezve
2 Központi tanúsítványtárolót használó nem SNI-kötés
3 Központi tanúsítványtárolót használó SNI-kötés

2. módszer: Kód használata

Az SNI-kötés a szerepkör indítási kódjával is konfigurálható, a következő blogbejegyzésben leírtak szerint:

//<code snip> 
                var serverManager = new ServerManager(); 
                var site = serverManager.Sites[0]; 
                var binding = site.Bindings.Add(":443:www.test1.com", newCert.GetCertHash(), "My"); 
                binding.SetAttributeValue("sslFlags", 1); //enables the SNI 
                serverManager.CommitChanges(); 
    //</code snip>

A fenti módszerek bármelyikének használatával az adott gazdagépnevekhez tartozó megfelelő tanúsítványokat (*.pfx) először egy indítási feladattal vagy kóddal kell telepíteni a szerepkörpéldányokra annak érdekében, hogy az SNI-kötés érvénybe lépjen.

Hogyan adhatok hozzá címkéket az Azure Cloud Service-hez?

A Cloud Service egy klasszikus erőforrás. Csak az Azure Resource Manager által létrehozott erőforrások támogatják a címkéket. Nem alkalmazhat címkéket a klasszikus erőforrásokra, például a Cloud Service-re.

A Azure Portal nem jeleníti meg a Cloud Service SDK-verzióját. Hogyan szerezhetem meg?

Dolgozunk a funkció Azure Portal való elhozásán. Addig is az alábbi PowerShell-parancsokkal szerezheti be az SDK-verziót:

Get-AzureService -ServiceName "<Cloud Service name>" | Get-AzureDeployment | Where-Object -Property SdkVersion -NE -Value "" | select ServiceName,SdkVersion,OSVersion,Slot

Több hónapra le szeretném állítani a felhőszolgáltatást. Hogyan csökkenthető a Cloud Service számlázási költsége az IP-cím elvesztése nélkül?

Egy már üzembe helyezett felhőszolgáltatás számlázása az általa használt számítási és tárolási kapacitásért történik. Így még ha leállítja is az Azure-beli virtuális gépet, a tárterületért továbbra is díjat kell fizetnie.

Az alábbiak szerint csökkentheti a számlázást anélkül, hogy elveszítené a szolgáltatás IP-címét:

  1. Az üzemelő példányok törlése előtt foglalja le az IP-címet. Csak ezért az IP-címért kell fizetnie. További információ az IP-címek számlázásáról: IP-címek díjszabása.
  2. Törölje az üzemelő példányokat. Ne törölje a xxx.cloudapp.net, hogy a jövőben használni tudja.
  3. Ha a felhőszolgáltatást ugyanazzal a fenntartott IP-címmel szeretné újból üzembe helyezni, mint amelyet az előfizetésében lefoglalt, tekintse meg a fenntartott IP-címeket a Cloud Services és a Virtual Machines számára.