Fontos
A Cloud Services (klasszikus) mostantól elavult az új ügyfelek számára, és 2024. augusztus 31-én megszűnik minden ügyfél számára. Az új üzemelő példányoknak az Azure Cloud Services új Azure Resource Manager-alapú üzemi modelljét (kiterjesztett támogatás) kell használniuk.
Ez a cikk a Microsoft Azure Cloud Services konfigurációs és felügyeleti problémáival kapcsolatos gyakori kérdéseket tartalmazza. A méretinformációkat a Cloud Services virtuálisgép-méret lapján is megtekintheti.
Ha az Azure-beli probléma nem jelenik meg ebben a cikkben, látogasson el a Microsoft Q &A és a Stack Overflow Azure-fórumaira. Közzéteheti a problémát ezeken a fórumokon, vagy közzéteheti @AzureSupport a Twitteren. Azure-támogatás kérést is elküldhet. Támogatási kérelem elküldéséhez a Azure-támogatás lapon válassza a Támogatás kérése lehetőséget.
Tanúsítványok
- Miért hiányos a Cloud Service TLS/SSL-tanúsítvány tanúsítványlánca?
- Mi a "Bővítményekhez készült Windows Azure Tools titkosítási tanúsítvány" célja?
- Hogyan hozhatok létre tanúsítvány-aláírási kérést (CSR) az "RDP-ing" nélkül a példányban?
- Lejár a Cloud Service Management-tanúsítványom. Hogyan lehet megújítani?
- Hogyan automatizálhatja a fő TLS/SSL-tanúsítvány(.pfx) és a köztes tanúsítvány (.p7b) telepítését?
- Mi a "Microsoft Azure Service Management for MachineKey" tanúsítvány célja?
Monitorozás és naplózás
- Mik az Azure Portal közelgő felhőszolgáltatás-képességei, amelyek segíthetnek az alkalmazások kezelésében és monitorozásában?
- Miért hagyja abba az IIS a naplókönyvtárba való írást?
- Hogyan engedélyezni a WAD-naplózást a Cloud Serviceshez?
Hálózati konfiguráció
- Hogyan állítsa be az Azure Load Balancer tétlenségi időtúllépését?
- Hogyan társítani egy statikus IP-címet a Cloud Service-hez?
- Milyen funkciókat és képességeket biztosít az Azure alapszintű IPS/IDS és DDOS?
- Hogyan engedélyezheti a HTTP/2-t a Cloud Services virtuális gépen?
Permissions
- A Microsoft belső mérnökei engedély nélkül távolról is el tudják végezni az asztalt a Cloud Service-példányokra?
- Az RDP-fájl használatával nem tudok távoli asztalról Cloud Service virtuális gépre távolról csatlakozni. A következő hibaüzenet jelenik meg: Hitelesítési hiba történt (kód: 0x80004005)
Méretezés
- Nem méretezhetem túl az X-példányokat
- Hogyan konfigurálhatom az automatikus skálázást memóriametrikák alapján?
Általános
- Hogyan hozzáadni
nosniff
a webhelyemhez? - Hogyan testre szabni az IIS-t egy webes szerepkörhöz?
- Mi a felhőszolgáltatás kvótakorlátja?
- Miért jelenik meg kevés szabad lemezterület a Cloud Service-alapú virtuális gépen?
- Hogyan adhatok hozzá kártevőirtó bővítményt a Cloud Serviceshez automatizált módon?
- Hogyan engedélyezheti a kiszolgálónév-jelzést (SNI) a Felhőszolgáltatásokhoz?
- Hogyan adhatok hozzá címkéket az Azure Cloud Service-hez?
- Az Azure Portalon nem jelenik meg a Cloud Service SDK-verziója. Hogyan szerezhetem meg?
- Több hónapig le akarom állítani a felhőszolgáltatást. Hogyan csökkenthető a Cloud Service számlázási költsége az IP-cím elvesztése nélkül?
Certificates
Miért hiányos a Cloud Service TLS/SSL-tanúsítvány tanúsítványlánca?
Javasoljuk, hogy az ügyfelek a levéltanúsítvány helyett a teljes tanúsítványláncot (levéltanúsítványt, köztes tanúsítványt és gyökértanúsítványt) telepítsenek. Ha csak a levéltanúsítványt telepíti, a Windowsra támaszkodva hozza létre a tanúsítványláncot a CTL használatával. Ha időszakos hálózati vagy DNS-problémák lépnek fel az Azure-ban vagy a Windows Update-ben, amikor a Windows megpróbálja érvényesíteni a tanúsítványt, a tanúsítvány érvénytelennek tekinthető. A teljes tanúsítványlánc telepítésével elkerülhető ez a probléma. A láncolt SSL-tanúsítvány telepítéséről szóló blog bemutatja, hogyan teheti ezt meg.
Mi a "Bővítményekhez készült Windows Azure Tools titkosítási tanúsítvány" célja?
Ezek a tanúsítványok automatikusan létrejönnek, amikor bővítményt adnak hozzá a Felhőszolgáltatáshoz. Ez általában a WAD vagy az RDP bővítmény, de lehet más is, például a Kártevőirtó vagy a Naplógyűjtő bővítmény. Ezek a tanúsítványok csak a bővítmény privát konfigurációjának titkosítására és visszafejtésére használhatók. A lejárati dátum soha nem van bejelölve, így nem számít, hogy a tanúsítvány lejárt-e.
Ezeket a tanúsítványokat figyelmen kívül hagyhatja. Ha törölni szeretné a tanúsítványokat, megpróbálhatja törölni őket. Az Azure hibát jelez, ha egy használatban lévő tanúsítványt próbál törölni.
Hogyan hozhatok létre tanúsítvány-aláírási kérést (CSR) az "RDP-ing" nélkül a példányban?
Tekintse meg a következő útmutatót:
Tanúsítvány beszerzése Windows Azure-webhelyekkel (WAWS) való használatra
A CSR csak egy szöveges fájl. Nem kell abból a gépről létrehozni, ahol a tanúsítványt végül használni fogják. Bár ez a dokumentum egy App Service-hez készült, a CSR létrehozása általános, és a Cloud Servicesre is vonatkozik.
Lejár a Cloud Service Management-tanúsítványom. Hogyan lehet megújítani?
A felügyeleti tanúsítványok megújításához az alábbi PowerShell-parancsokat használhatja:
Add-AzureAccount
Select-AzureSubscription -Current -SubscriptionName <your subscription name>
Get-AzurePublishSettingsFile
A Get-AzurePublish Gépház File új felügyeleti tanúsítványt hoz létre az Előfizetés-kezelési>tanúsítványokban az Azure Portalon. Az új tanúsítvány neve a következőhöz hasonló: "YourSubscriptionNam]-[CurrentDate]-credentials".
Hogyan automatizálhatja a fő TLS/SSL-tanúsítvány(.pfx) és a köztes tanúsítvány (.p7b) telepítését?
Ezt a feladatot automatizálhatja egy indítási szkripttel (batch/cmd/PowerShell), és regisztrálhatja az indítási szkriptet a szolgáltatásdefiníciós fájlban. Adja hozzá az indítási szkriptet és a tanúsítványt (.p7b fájlt) az indítási szkript ugyanazon könyvtárának projektmappájába.
Mi a "Microsoft Azure Service Management for MachineKey" tanúsítvány célja?
Ez a tanúsítvány a gépkulcsok azure-webszerepkörökben való titkosítására szolgál. További információért tekintse meg ezt a tanácsadást.
For more information, see the following articles:
Monitorozás és naplózás
Mik az Azure Portal közelgő felhőszolgáltatás-képességei, amelyek segíthetnek az alkalmazások kezelésében és monitorozásában?
Hamarosan létrejön egy új tanúsítvány létrehozása a Távoli asztali protokollhoz (RDP). Másik lehetőségként futtathatja ezt a szkriptet:
$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 20 48 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password
Hamarosan elérhető lesz a blob vagy a helyi fájl kiválasztása a csdef és a cscfg feltöltési helyéhez. A New-AzureDeployment használatával beállíthatja az egyes helyértékeket.
Metrikák figyelésének képessége a példány szintjén. További monitorozási képességek érhetők el a Felhőszolgáltatások monitorozása című témakörben.
Miért hagyja abba az IIS a naplókönyvtárba való írást?
Kimerítette a helyi tárolási kvótát a naplókönyvtárba való íráshoz. Ennek kijavításához a következő három lehetőség közül választhat:
- Engedélyezze a diagnosztikát az IIS-hez, és rendszeres időközönként áthelyezhesse a diagnosztikát a Blob Storage-ba.
- Manuálisan távolítsa el a naplófájlokat a naplózási könyvtárból.
- A helyi erőforrások kvótakorlátjának növelése.
További információkért tekintse meg a következő dokumentumokat:
Hogyan engedélyezni a WAD-naplózást a Cloud Serviceshez?
A Windows Azure Diagnostics (WAD) naplózását a következő lehetőségeken keresztül engedélyezheti:
A felhőszolgáltatás aktuális WAD-beállításainak lekéréséhez használhatja a Get-AzureServiceDiagnosticsExtensions PowerShell parancsmagot, vagy megtekintheti a portálon a "Cloud Services --> Extensions" panelen.
Network configuration
Hogyan állítsa be az Azure Load Balancer tétlenségi időtúllépését?
A szolgáltatásdefiníciós (csdef) fájlban az időtúllépést a következőképpen adhatja meg:
<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="mgVS2015Worker" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
<WorkerRole name="WorkerRole1" vmsize="Small">
<ConfigurationSettings>
<Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
</ConfigurationSettings>
<Imports>
<Import moduleName="RemoteAccess" />
<Import moduleName="RemoteForwarder" />
</Imports>
<Endpoints>
<InputEndpoint name="Endpoint1" protocol="tcp" port="10100" idleTimeoutInMinutes="30" />
</Endpoints>
</WorkerRole>
További információ: Az Azure Load Balancer konfigurálható tétlenségi időtúllépése.
Hogyan társítani egy statikus IP-címet a Cloud Service-hez?
Statikus IP-cím beállításához létre kell hoznia egy fenntartott IP-címet. Ez a fenntartott IP-cím társítható egy új felhőszolgáltatáshoz vagy egy meglévő üzembe helyezéshez. Részletekért tekintse meg az alábbi dokumentumokat:
Milyen funkciókat és képességeket biztosít az Azure alapszintű IPS/IDS és DDOS?
Az Azure ips/IDS-sel rendelkezik az adatközpont fizikai kiszolgálóiban a fenyegetések elleni védelem érdekében. Emellett az ügyfelek külső biztonsági megoldásokat is üzembe helyezhetnek, például webalkalmazási tűzfalakat, hálózati tűzfalakat, kártevőirtókat, behatolásészlelést, megelőző rendszereket (IDS/IPS) stb. További információ: Adatok és eszközök védelme, valamint a globális biztonsági szabványoknak való megfelelés.
A Microsoft folyamatosan figyeli a kiszolgálókat, hálózatokat és alkalmazásokat a fenyegetések észleléséhez. Az Azure többtényezős fenyegetéskezelési megközelítése behatolásészlelést, elosztott szolgáltatásmegtagadási (DDoS) támadás-megelőzést, behatolástesztelést, viselkedéselemzést, anomáliadetektálást és gépi tanulást használ a védelem folyamatos megerősítéséhez és a kockázatok csökkentéséhez. Az Azure-hoz készült Microsoft Antimalware védi az Azure Cloud Servicest és a virtuális gépeket. Emellett külső biztonsági megoldásokat is üzembe helyezhet, például webalkalmazások tűzfalait, hálózati tűzfalait, kártevőirtókat, behatolásészlelési és megelőzési rendszereket (IDS/IPS) stb.
Hogyan engedélyezheti a HTTP/2-t a Cloud Services virtuális gépen?
A Windows 10 és a Windows Server 2016 támogatja a HTTP/2-t ügyfél- és kiszolgálóoldalon egyaránt. Ha az ügyfél (böngésző) TLS-bővítményeken keresztül csatlakozik az IIS-kiszolgálóhoz, amely a HTTP/2-t TLS-bővítményeken keresztül tárgyalja, akkor a kiszolgálóoldalon nem kell semmilyen módosítást végeznie. Ennek az az oka, hogy A TLS-en keresztül a http/2 használatát meghatározó h2-14 fejléc alapértelmezés szerint el lesz küldve. Ha viszont az ügyfél a HTTP/2-re való frissítéshez küld egy frissítési fejlécet, akkor az alábbi módosítást a kiszolgáló oldalán kell elvégeznie, hogy a frissítés működjön, és HTTP/2-kapcsolattal végződjön.
- Futtassa a regedit.exe fájlt.
- Keresse meg a beállításkulcsot: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
- Hozzon létre egy új DWORD-értéket DuoEnabled néven.
- Állítsa az értékét 1 értékre.
- Indítsa újra a kiszolgálót.
- Lépjen az alapértelmezett webhelyre, és a Kötések területen hozzon létre egy új TLS-kötést az imént létrehozott önaláírt tanúsítvánnyal.
For more information, see:
- HTTP/2 az IIS-en
- Videó: HTTP/2 a Windows 10-ben: Böngésző, alkalmazások és webkiszolgáló
Ezek a lépések egy indítási feladaton keresztül automatizálhatók, így új PaaS-példány létrehozásakor a rendszerregisztrációs adatbázisban elvégezheti a fenti módosításokat. További információ: Indítási feladatok konfigurálása és futtatása felhőszolgáltatáshoz.
Ha ez megtörtént, az alábbi módszerek egyikével ellenőrizheti, hogy a HTTP/2 engedélyezve van-e:
- Engedélyezze a protokollverziót az IIS-naplókban, és tekintse meg az IIS-naplókat. Http/2 jelenik meg a naplókban.
- Engedélyezze az F12 Fejlesztői eszközt az Internet Explorerben vagy a Microsoft Edge-ben, és váltson a Hálózat lapra a protokoll ellenőrzéséhez.
További információ: HTTP/2 az IIS-en.
Permissions
Hogyan implementálhatok szerepköralapú hozzáférést a Cloud Serviceshez?
A Cloud Services nem támogatja az Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) modellt, mivel nem Azure Resource Manager-alapú szolgáltatás.
Lásd : Az Azure különböző szerepköreinek ismertetése.
Távoli asztal
A Microsoft belső mérnökei engedély nélkül távolról is el tudják végezni az asztalt a Cloud Service-példányokra?
A Microsoft szigorú eljárást követ, amely nem teszi lehetővé, hogy a belső mérnökök a tulajdonos vagy a tervező írásos engedélye (e-mail vagy egyéb írásos kommunikáció) nélkül távolról asztalt létesíthessenek a felhőszolgáltatásban.
Az RDP-fájl használatával nem tudok távoli asztalról Cloud Service virtuális gépre távolról csatlakozni. A következő hibaüzenet jelenik meg: Hitelesítési hiba történt (kód: 0x80004005)
Ez a hiba akkor fordulhat elő, ha az RDP-fájlt a Microsoft Entra-azonosítóhoz csatlakoztatott gépről használja. To resolve this issue, follow these steps:
- Kattintson a jobb gombbal a letöltött RDP-fájlra, majd válassza a Szerkesztés parancsot.
- Adja hozzá a "\" előtagot a felhasználónév elé. Használja például a felhasználónév helyett a .\username nevet.
Scaling
Nem méretezhetem túl az X-példányokat
Az Azure-előfizetése korlátozza a használható magok számát. A skálázás nem működik, ha az összes elérhető magot használta. Ha például 100 magos korláttal rendelkezik, ez azt jelenti, hogy a felhőszolgáltatáshoz 100 A1 méretű virtuálisgép-példányt vagy 50 A2 méretű virtuálisgép-példányt használhat.
Hogyan konfigurálhatom az automatikus skálázást memóriametrikák alapján?
A Cloud Services memóriametrikái alapján történő automatikus skálázás jelenleg nem támogatott.
A probléma megoldásához használhatja az Alkalmazás Elemzések. Az automatikus skálázás támogatja az alkalmazás Elemzések metrikaforrásként, és skálázhatja a szerepkörpéldányok számát a vendégmetrika , például a "Memória" alapján. Az alkalmazás Elemzések a Cloud Service-projektcsomagfájlban (*.cspkg) kell konfigurálnia, és engedélyeznie kell az Azure Diagnostics bővítményt a szolgáltatáson ennek a bravúrnak a megvalósításához.
Az egyéni metrikák alkalmazáson Elemzések használatával történő használatával kapcsolatos további információkért tekintse meg az Azure-ban az egyéni metrikák automatikus skálázásának első lépéseit
Az Azure Diagnostics és az Application Elemzések for Cloud Services integrálásával kapcsolatos további információkért lásd: Felhőszolgáltatás, virtuális gép vagy Service Fabric diagnosztikai adatok küldése az Alkalmazás Elemzések
További információ az Alkalmazás Elemzések felhőszolgáltatásokhoz való engedélyezéséről: Application Elemzések for Azure Cloud Services
Az Azure Diagnostics Naplózás felhőszolgáltatásokhoz való engedélyezéséről további információt az Azure Cloud Services és virtuális gépek diagnosztikáinak beállítása című témakörben talál .
Általános
Hogyan adja hozzá a "noniff" elemet a webhelyemhez?
Ha meg szeretné akadályozni, hogy az ügyfelek megszenvedzék a MIME-típusokat, adjon hozzá egy beállítást a web.config fájlhoz.
<configuration>
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Content-Type-Options" value="nosniff" />
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>
Ezt az IIS-ben beállításként is hozzáadhatja. Használja a következő parancsot a gyakori indítási feladatok cikkével.
%windir%\system32\inetsrv\appcmd set config /section:httpProtocol /+customHeaders.[name='X-Content-Type-Options',value='nosniff']
Hogyan testre szabni az IIS-t egy webes szerepkörhöz?
Használja az IIS indítási szkriptet a gyakori indítási feladatokról szóló cikkben.
Mi a felhőszolgáltatás kvótakorlátja?
Miért jelenik meg nagyon kevés szabad lemezterület a Cloud Service virtuális gépen?
Ez a várt viselkedés, és nem okozhat problémát az alkalmazásnak. A naplózás be van kapcsolva az Azure PaaS virtuális gépek %approot% meghajtóján, amely lényegében a fájlok által általában használt terület kétszeresét használja fel. Azonban számos dolog, hogy tisztában kell lennie azzal, hogy lényegében ez egy nem probléma.
A %approot% meghajtóméret a <.cspkg + a napló maximális mérete + szabad terület> margója, vagy 1,5 GB, attól függően, hogy melyik nagyobb. A virtuális gép mérete nem befolyásolja ezt a számítást. (A virtuális gép mérete csak az ideiglenes C: meghajtó méretét befolyásolja.)
A(z) %approot% meghajtóra nem lehet írni. Ha az Azure-beli virtuális gépre ír, ezt egy ideiglenes LocalStorage-erőforrásban (vagy más lehetőségben, például Blob Storage, Azure Files stb.) kell megtennie. A(z) %approot% mappában lévő szabad terület tehát nem értelmezhető. Ha nem biztos abban, hogy az alkalmazás a%approot% meghajtóra ír, akkor mindig hagyhatja, hogy a szolgáltatás néhány napig fusson, majd összehasonlítsa az "előtte" és az "utána" méreteket.
Az Azure nem ír semmit a(z) %approot% meghajtóra. Miután létrehozta a VHD-t az Önből .cspkg
, és az Azure-beli virtuális gépre van csatlakoztatva, az egyetlen dolog, ami erre a meghajtóra írható, az az alkalmazás.
A naplóbeállítások nem konfigurálhatók, ezért nem kapcsolhatja ki.
Hogyan adhatok hozzá kártevőirtó bővítményt a Cloud Serviceshez automatizált módon?
Az indítási feladatban PowerShell-szkripttel engedélyezheti a Kártevőirtó bővítményt. A megvalósításhoz kövesse az alábbi cikkek lépéseit:
A kártevőirtó üzembe helyezési forgatókönyveiről és a portálról való engedélyezéséről további információt a Kártevőirtó üzembe helyezési forgatókönyvek című témakörben talál.
Hogyan engedélyezheti a kiszolgálónév-jelzést (SNI) a Felhőszolgáltatásokhoz?
Az SNI a Cloud Servicesben az alábbi módszerek egyikével engedélyezhető:
1. módszer: A PowerShell használata
Az SNI-kötés a New-WebBinding PowerShell-parancsmaggal konfigurálható egy felhőszolgáltatás-szerepkörpéldány indítási feladatában az alábbiak szerint:
New-WebBinding -Name $WebsiteName -Protocol "https" -Port 443 -IPAddress $IPAddress -HostHeader $HostHeader -SslFlags $sslFlags
Az itt leírtak szerint a $sslFlags az alábbi értékek egyike lehet:
Érték | Meaning |
---|---|
0 | Nincs SNI |
1 | SNI engedélyezve |
2 | Központi tanúsítványtárolót használó nem SNI-kötés |
3 | Központi tanúsítványtárolót használó SNI-kötés |
2. módszer: Kód használata
Az SNI-kötés a szerepkör indítási kódjával is konfigurálható a blogbejegyzésben leírtak szerint:
//<code snip>
var serverManager = new ServerManager();
var site = serverManager.Sites[0];
var binding = site.Bindings.Add(":443:www.test1.com", newCert.GetCertHash(), "My");
binding.SetAttributeValue("sslFlags", 1); //enables the SNI
serverManager.CommitChanges();
//</code snip>
A fenti módszerek bármelyikének használatával az adott gazdagépnevek megfelelő tanúsítványait (*.pfx) először egy indítási feladattal vagy kóddal kell telepíteni a szerepkörpéldányokra annak érdekében, hogy az SNI-kötés érvénybe léphessen.
Hogyan adhatok hozzá címkéket az Azure Cloud Service-hez?
A Cloud Service egy klasszikus erőforrás. Csak az Azure Resource Manager támogatási címkéivel létrehozott erőforrások. A klasszikus erőforrásokra, például a Cloud Service-re nem alkalmazhat címkéket.
Az Azure Portalon nem jelenik meg a Cloud Service SDK-verziója. Hogyan szerezhetem meg?
Dolgozunk azon, hogy ezt a funkciót az Azure Portalon is el tudjuk vinni. Eközben az alábbi PowerShell-parancsokkal szerezheti be az SDK-verziót:
Get-AzureService -ServiceName "<Cloud Service name>" | Get-AzureDeployment | Where-Object -Property SdkVersion -NE -Value "" | select ServiceName,SdkVersion,OSVersion,Slot
Több hónapig le akarom állítani a felhőszolgáltatást. Hogyan csökkenthető a Cloud Service számlázási költsége az IP-cím elvesztése nélkül?
Egy már üzembe helyezett felhőszolgáltatás számlázása az általa használt számítási és tárolási szolgáltatásért történik. Így még ha leállítja is az Azure-beli virtuális gépet, akkor is fizetnie kell a Tárterületért.
A következő műveleteket végezheti el a számlázás csökkentése érdekében anélkül, hogy elveszítené a szolgáltatás IP-címét:
- Az üzemelő példányok törlése előtt foglalja le az IP-címet . Csak ezért az IP-címért kell fizetnie. Az IP-címek számlázásáról további információt az IP-címek díjszabásában talál.
- Törölje az üzemelő példányokat. Ne törölje a xxx.cloudapp.net, hogy a jövőben is használhassa.
- Ha ugyanazt a tartalék IP-címet szeretné használni, amelyet az előfizetésében foglalt, a Cloud Services és a virtuális gépek fenntartott IP-címeinek használatával szeretne újból üzembe helyezni.