Az Azure Cloud Services konfigurációs és felügyeleti problémái (klasszikus): Gyakori kérdések (gyakori kérdések)

Javasoljuk, hogy az ügyfelek a levéltanúsítvány helyett a teljes tanúsítványláncot (levéltanúsítványt, köztes tanúsítványt és gyökértanúsítványt) telepítsenek. Ha csak a levéltanúsítványt telepíti, a Tanúsítványmegbízhatósági lista (CTL) használatával a Windowsra támaszkodva hozza létre a tanúsítványláncot. Ha időszakos hálózati vagy dns-problémák lépnek fel az Azure-ban vagy a Windows Update-ben, amikor a Windows megpróbálja ellenőrizni a tanúsítványt, a tanúsítvány érvénytelennek tekinthető. A teljes tanúsítványlánc telepítésekor ez a probléma elkerülhető. A Láncolt SSL-tanúsítvány telepítésének blogja bemutatja, hogyan telepítheti a teljes tanúsítványláncot.

Ezek a tanúsítványok automatikusan létrejönnek, amikor bővítményt adnak hozzá a Felhőszolgáltatáshoz. Ez a bővítmény leggyakrabban a WAD vagy az RDP kiterjesztés, de lehet más is, például a Kártevőirtó vagy a Naplógyűjtő bővítmény. Ezek a tanúsítványok csak a bővítmény privát konfigurációjának titkosítására és visszafejtésére használhatók. A lejárati dátum soha nem van bejelölve, így nem számít, hogy a tanúsítvány lejárt-e. 

Ezeket a tanúsítványokat figyelmen kívül hagyhatja. Ha törölni szeretné a tanúsítványokat, megpróbálhatja törölni őket. Az Azure hibát jelez, ha egy használatban lévő tanúsítványt próbál törölni.

Tekintse meg a következő útmutatót:

Tanúsítvány beszerzése a Microsoft Azure-webhelyekhez (WAWS) való használathoz

A CSR csak egy szöveges fájl. Nem kell a tanúsítványt használni kívánt gépről létrehozni. Bár ez a dokumentum egy App Service-hez készült, a CSR létrehozása általános, és a Cloud Servicesre is vonatkozik.

A felügyeleti tanúsítványok megújításához az alábbi PowerShell-parancsokat használhatja:

Add-AzureAccount
Select-AzureSubscription -Current -SubscriptionName <your subscription name>
Get-AzurePublishSettingsFile

A Get-AzurePublishSettingsFile új felügyeleti tanúsítványt hoz létre az Előfizetés-kezelési>tanúsítványokban az Azure Portalon. Az új tanúsítvány neve a következőhöz hasonló: "YourSubscriptionNam]-[CurrentDate]-credentials".

Ezt a feladatot automatizálhatja egy indítási szkripttel (batch/cmd/PowerShell), és regisztrálhatja az indítási szkriptet a szolgáltatásdefiníciós fájlban. Adja hozzá az indítási szkriptet és a tanúsítványt (.p7b fájlt) az indítási szkript ugyanazon könyvtárának projektmappájába.

Ez a tanúsítvány a gépkulcsok azure-webszerepkörökben való titkosítására szolgál. További információért tekintse meg ezt a tanácsadást.

További információért tekintse át az alábbi cikkeket:

• Indítási feladatok konfigurálása és futtatása felhőszolgáltatáshoz
• Gyakori felhőszolgáltatás-indítási feladatok

Hamarosan létrejön egy új tanúsítvány létrehozása a Távoli asztali protokollhoz (RDP). Másik lehetőségként futtathatja ezt a szkriptet:

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 20 48 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Hamarosan elérhető lesz a blob vagy a helyi fájl kiválasztása a csdef és a cscfg feltöltési helyéhez. A New-AzureDeployment használatával beállíthatja az egyes helyértékeket.

Metrikák figyelésének képessége a példány szintjén. További monitorozási képességek érhetők el a Felhőszolgáltatások monitorozása című témakörben.

Kimerítette a helyi tárolási kvótát a naplókönyvtárba való íráshoz. A probléma megoldásához tegye a következő három dolog egyikét:

• Engedélyezze a diagnosztikát az IIS-hez, és rendszeres időközönként áthelyezhesse a diagnosztikát a Blob Storage-ba.
• Manuálisan távolítsa el a naplófájlokat a naplózási könyvtárból.
• A helyi erőforrások kvótakorlátjának növelése.

További tudnivalókért lásd a következő dokumentumokat:

• Diagnosztikai adatok tárolása és megtekintése az Azure Storage-ban
• Az IIS-naplók nem írnak többé a Cloud Service-ben

A Microsoft Azure Diagnostics (WAD) naplózását a következő lehetőségeken keresztül engedélyezheti:

1. Engedélyezés a Visual Studióból
2. Engedélyezés .NET-kódon keresztül
3. Engedélyezés a PowerShell-lel

A felhőszolgáltatás aktuális WAD-beállításainak lekéréséhez használhatja a Get-AzureServiceDiagnosticsExtensions PowerShell parancsmagot, vagy megtekintheti a portálon a "Cloud Services --> Extensions" panelen.

A szolgáltatásdefiníciós (csdef) fájlban az időtúllépést a következőképpen adhatja meg:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="mgVS2015Worker" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
  <WorkerRole name="WorkerRole1" vmsize="Small">
    <ConfigurationSettings>
      <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
    </ConfigurationSettings>
    <Imports>
      <Import moduleName="RemoteAccess" />
      <Import moduleName="RemoteForwarder" />
    </Imports>
    <Endpoints>
      <InputEndpoint name="Endpoint1" protocol="tcp" port="10100"   idleTimeoutInMinutes="30" />
    </Endpoints>
  </WorkerRole>

További információ: Az Azure Load Balancer konfigurálható tétlenségi időtúllépése.

Statikus IP-cím beállításához létre kell hoznia egy fenntartott IP-címet. Ez a fenntartott IP-cím társítható egy új felhőszolgáltatáshoz vagy egy meglévő üzembe helyezéshez. Részletekért tekintse meg az alábbi dokumentumokat:

• Fenntartott IP-cím létrehozása
• Meglévő felhőszolgáltatás IP-címének lefoglalása
• Fenntartott IP-cím társítása új felhőszolgáltatáshoz
• Fenntartott IP-cím társítása futó üzemelő példányhoz
• Fenntartott IP-cím társítása felhőszolgáltatáshoz szolgáltatáskonfigurációs fájl használatával

Az Azure ips/IDS-sel rendelkezik az adatközpont fizikai kiszolgálóiban a fenyegetések elleni védelem érdekében. Emellett az ügyfelek nem Microsoft-alapú biztonsági megoldásokat is üzembe helyezhetnek, például webalkalmazási tűzfalakat, hálózati tűzfalakat, kártevőirtókat, behatolásészlelést, megelőző rendszereket (IDS/IPS) stb. További információ: Adatok és eszközök védelme, valamint a globális biztonsági szabványoknak való megfelelés.

A Microsoft folyamatosan figyeli a kiszolgálókat, hálózatokat és alkalmazásokat a fenyegetések észleléséhez. Az Azure többtényezős fenyegetéskezelési megközelítése behatolásészlelést, elosztott szolgáltatásmegtagadási (DDoS) támadás-megelőzést, behatolástesztelést, viselkedéselemzést, anomáliadetektálást és gépi tanulást használ a védelem folyamatos megerősítéséhez és a kockázatok csökkentéséhez. Az Azure-hoz készült Microsoft Antimalware védi az Azure Cloud Servicest és a virtuális gépeket. Emellett nem Microsoft biztonsági megoldásokat is üzembe helyezhet, például webalkalmazások tűzfalait, hálózati tűzfalakat, kártevőirtókat, behatolásészlelési és -megelőzési rendszereket (IDS/IPS) stb.

A Windows 10 és a Windows Server 2016 támogatja a HTTP/2-t ügyfél- és kiszolgálóoldalon egyaránt. Ha az ügyfél (böngésző) a HTTP/2 TLS-bővítményeken keresztüli egyeztetését biztosító Transport Layer Security (TLS) protokollon keresztül csatlakozik az IIS-kiszolgálóhoz, akkor a kiszolgálóoldalon nem kell semmilyen módosítást végeznie. Nem kell módosításokat végeznie, mert a HTTP/2 használatát meghatározó h2-14 fejléc alapértelmezés szerint TLS-en keresztül lesz elküldve. Ha viszont az ügyfél a HTTP/2-re való frissítéshez küld egy frissítési fejlécet, akkor a következő módosítást kell elvégeznie a kiszolgáló oldalán annak érdekében, hogy a frissítés működjön, és HTTP/2-kapcsolattal végződjön.

1. Futtassa a regedit.exe.
2. Keresse meg a beállításkulcsot: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
3. Hozzon létre egy új DWORD-értéket DuoEnabled néven.
4. Állítsa az értékét 1 értékre.
5. Indítsa újra a kiszolgálót.
6. Lépjen az Alapértelmezett webhelyen a Kötések csoportban, és hozzon létre egy új TLS-kötést a létrehozott önaláírt tanúsítvánnyal.

További információk:

• HTTP/2 az IIS-en
• Videó: HTTP/2 a Windows 10-ben: Böngésző, Alkalmazások és Web Server

Ezek a lépések egy indítási feladaton keresztül automatizálhatók, így egy új PaaS-példány létrehozásakor elvégezheti a korábbi módosításokat a rendszerregisztrációs adatbázisban. További információ: Indítási feladatok konfigurálása és futtatása felhőszolgáltatáshoz.

Ha végzett, az alábbi módszerek egyikével ellenőrizheti, hogy a HTTP/2 engedélyezve van-e:

• Engedélyezze a protokollverziót az IIS-naplókban, és tekintse meg az IIS-naplókat. Http/2 jelenik meg a naplókban.
• Engedélyezze az F12 Fejlesztői eszközt az Internet Explorerben vagy a Microsoft Edge-ben, és váltson a Hálózat lapra. Itt ellenőrizheti a protokollt.

További információ: HTTP/2 az IIS-en.

A Cloud Services nem támogatja az Azure szerepköralapú hozzáférés-vezérlési modelljét, mivel nem Azure Resource Manager-alapú szolgáltatás.

Lásd : Az Azure különböző szerepköreinek ismertetése.

A Microsoft szigorú folyamatot követ, amely nem teszi lehetővé, hogy a belső mérnökök a tulajdonostól vagy a tervezőtől kapott írásos engedély (e-mail vagy egyéb írásos kommunikáció) nélkül távolról is asztalt létesíthessenek a felhőszolgáltatásban.

Ez a hiba akkor fordulhat elő, ha az RDP-fájlt a Microsoft Entra-azonosítóhoz csatlakoztatott gépről használja. A probléma megoldásához kövesse az alábbi lépéseket:

1. Kattintson a jobb gombbal a letöltött RDP-fájlra, majd válassza a Szerkesztés parancsot.
2. Adja hozzá a "\" előtagot a felhasználónév elé. Használja például a felhasználónév helyett a .\username nevet.

Az Azure-előfizetése korlátozza a használható magok számát. A skálázás nem működik, ha az összes elérhető magot használta. Ha például 100 magos korláttal rendelkezik, ez azt jelenti, hogy a felhőszolgáltatáshoz 100 A1 méretű virtuálisgép-példányt vagy 50 A2 méretű virtuálisgép-példányt használhat.

A Cloud Services memóriametrikái alapján történő automatikus skálázás jelenleg nem támogatott.

A probléma megoldásához használhatja az Application Insightst. Az automatikus skálázás támogatja az Application Insightst metrikaforrásként, és a szerepkörpéldányok számát a vendégmetrika (például "Memória") alapján skálázhatja. Konfigurálnia kell az Application Insightst a Cloud Service-projektcsomag-fájlban (*.cspkg), és engedélyeznie kell az Azure Diagnostics bővítményt a szolgáltatáson ennek a bravúrnak a megvalósításához.

Ha többet szeretne tudni arról, hogyan használhat egyéni metrikákat az Application Insights használatával az automatikus skálázás felhőszolgáltatásokon való konfigurálásához, olvassa el az Azure-beli egyéni metrikák automatikus skálázásának első lépéseit

Az Azure Diagnostics és az Application Insights for Cloud Services integrálásával kapcsolatos további információkért lásd : Felhőszolgáltatás, virtuális gép vagy Service Fabric diagnosztikai adatok küldése az Application Insightsba

További információ az Application Insights for Cloud Services engedélyezéséről: Application Insights for Azure Cloud Services

Az Azure Diagnostics Naplózás felhőszolgáltatásokhoz való engedélyezéséről további információt az Azure Cloud Services és virtuális gépek diagnosztikáinak beállítása című témakörben talál .

Ha meg szeretné akadályozni, hogy az ügyfelek megszenvedzék a MIME-típusokat, adjon hozzá egy beállítást a web.config fájlhoz.

<configuration>
   <system.webServer>
      <httpProtocol>
         <customHeaders>
            <add name="X-Content-Type-Options" value="nosniff" />
         </customHeaders>
      </httpProtocol>
   </system.webServer>
</configuration>

Ezt az IIS-ben beállításként is hozzáadhatja. Használja a következő parancsot a gyakori indítási feladatok cikkével.

%windir%\system32\inetsrv\appcmd set config /section:httpProtocol /+customHeaders.[name='X-Content-Type-Options',value='nosniff']

Használja az IIS indítási szkriptet a gyakori indítási feladatokról szóló cikkben.

Lásd a szolgáltatásspecifikus korlátokat.

Ez a viselkedés várható, és nem okozhat problémát az alkalmazásnak. A naplózás be van kapcsolva az Azure PaaS virtuális gépek %approot% meghajtóján, amely lényegében a fájlok által általában használt terület kétszeresét használja fel. Azonban több dologról is tudni kell, hogy ez az esemény nem jelenik meg.

A %approot% meghajtóméret a <.cspkg + a napló maximális mérete + szabad terület> margója, vagy 1,5 GB, attól függően, hogy melyik nagyobb. A virtuális gép mérete nem befolyásolja ezt a számítást. (A virtuális gép mérete csak az ideiglenes C: meghajtó méretét befolyásolja.)

A(z) %approot% meghajtóra nem lehet írni. Ha az Azure-beli virtuális gépre ír, ezt egy ideiglenes LocalStorage-erőforrásban (vagy más lehetőségben, például Blob Storage, Azure Files stb.) kell megtennie. A(z) %approot% mappában lévő szabad terület tehát nem értelmezhető. Ha nem biztos abban, hogy az alkalmazás a%approot% meghajtóra ír, akkor mindig hagyhatja, hogy a szolgáltatás néhány napig fusson, majd összehasonlítsa az "előtte" és az "utána" méreteket. 

Az Azure nem ír semmit a(z) %approot% meghajtóra. Miután létrehozta a virtuális merevlemezt (VHD) az Ön .cspkg virtuális gépéről, és az Azure-beli virtuális gépre van csatlakoztatva, az egyetlen dolog, ami erre a meghajtóra írható, az az alkalmazás. 

A naplóbeállítások nem konfigurálhatók, ezért nem kapcsolhatja ki.

Az indítási feladatban PowerShell-szkripttel engedélyezheti a Kártevőirtó bővítményt. A megvalósításhoz kövesse az alábbi cikkek lépéseit:

• PowerShell-indítási feladat létrehozása
• Set-AzureServiceAntimalwareExtension

A kártevőirtó üzembe helyezési forgatókönyveiről és a portálról való engedélyezéséről további információt a Kártevőirtó üzembe helyezési forgatókönyvek című témakörben talál.

Az SNI a Cloud Servicesben az alábbi módszerek egyikével engedélyezhető:

1. módszer: A PowerShell használata

Az SNI-kötés a következő New-WebBinding PowerShell-parancsmaggal konfigurálható egy felhőszolgáltatás-szerepkörpéldány indítási feladatában:

New-WebBinding -Name $WebsiteName -Protocol "https" -Port 443 -IPAddress $IPAddress -HostHeader $HostHeader -SslFlags $sslFlags

Az itt leírtak szerint a $sslFlags a következő értékek egyike lehet:

2. módszer: Kód használata

Az SNI-kötés a szerepkör indítási kódjával is konfigurálható a blogbejegyzésben leírtak szerint:

//<code snip> 
                var serverManager = new ServerManager(); 
                var site = serverManager.Sites[0]; 
                var binding = site.Bindings.Add(":443:www.test1.com", newCert.GetCertHash(), "My"); 
                binding.SetAttributeValue("sslFlags", 1); //enables the SNI 
                serverManager.CommitChanges(); 
    //</code snip>

Az előző megközelítések bármelyikének használatával az adott gazdagépnevek megfelelő tanúsítványait (*.pfx) először egy indítási feladattal vagy kóddal kell telepíteni a szerepkörpéldányokra annak érdekében, hogy az SNI-kötés érvénybe léphessen.

A Cloud Service egy klasszikus erőforrás. Csak az Azure Resource Manager támogatási címkéivel létrehozott erőforrások. A klasszikus erőforrásokra, például a Cloud Service-re nem alkalmazhat címkéket.

Dolgozunk azon, hogy ezt a funkciót az Azure Portalon is el tudjuk vinni. Eközben az alábbi PowerShell-parancsokkal szerezheti be az SDK-verziót:

Get-AzureService -ServiceName "<Cloud Service name>" | Get-AzureDeployment | Where-Object -Property SdkVersion -NE -Value "" | select ServiceName,SdkVersion,OSVersion,Slot

Egy már üzembe helyezett felhőszolgáltatás számlázása az általa használt számítási és tárolási szolgáltatásért történik. Így még ha leállítja is az Azure-beli virtuális gépet, akkor is a tárterületért kell fizetnie.

A következő műveleteket végezheti el a számlázás csökkentése érdekében anélkül, hogy elveszítené a szolgáltatás IP-címét:

1. Az üzemelő példányok törlése előtt foglalja le az IP-címet . Az Azure csak ezért az IP-címért számláz. Az IP-címek számlázásáról további információt az IP-címek díjszabásában talál.
2. Törölje az üzemelő példányokat. Ne törölje a xxx.cloudapp.net, hogy a jövőben is használhassa.
3. Ha ugyanazt a tartalék IP-címet szeretné használni, amelyet az előfizetésében foglalt, a Cloud Services és a virtuális gépek fenntartott IP-címeinek használatával szeretne újból üzembe helyezni.