Problemy z konfiguracją i zarządzaniem usługami Azure Cloud Services (wersja klasyczna): często zadawane pytania

Zalecamy, aby klienci instalowali pełny łańcuch certyfikatów (certyfikat liścia, certyfikaty pośrednie i certyfikat główny) zamiast certyfikatu liścia. Podczas instalowania tylko certyfikatu liścia należy opierać się na systemie Windows, aby skompilować łańcuch certyfikatów, przechodząc przez przejście listy zaufania certyfikatów (CTL). Jeśli sporadyczne problemy z siecią lub systemem nazw domen (DNS) występują na platformie Azure lub w usłudze Windows Update, gdy system Windows próbuje zweryfikować certyfikat, certyfikat może być uznawany za nieprawidłowy. Podczas instalowania pełnego łańcucha certyfikatów można uniknąć tego problemu. W blogu How to install a chained SSL certificate (Jak zainstalować łańcuch certyfikatów SSL) pokazano, jak zainstalować pełny łańcuch certyfikatów.

Te certyfikaty są tworzone automatycznie za każdym razem, gdy rozszerzenie zostanie dodane do usługi w chmurze. Najczęściej to rozszerzenie jest rozszerzeniem WAD lub rozszerzeniem RDP, ale może to być inne, takie jak rozszerzenie chroniące przed złośliwym kodem lub moduł zbierający dzienniki. Te certyfikaty są używane tylko do szyfrowania i odszyfrowywania konfiguracji prywatnej dla rozszerzenia. Data wygaśnięcia nigdy nie jest sprawdzana, więc nie ma znaczenia, czy certyfikat wygasł. 

Możesz zignorować te certyfikaty. Jeśli chcesz wyczyścić certyfikaty, możesz spróbować usunąć je wszystkie. Platforma Azure zgłasza błąd, jeśli spróbujesz usunąć używany certyfikat.

Zapoznaj się z następującym dokumentem ze wskazówkami:

Uzyskiwanie certyfikatu do użycia z witrynami sieci Web platformy Microsoft Azure (WAWS)

CSR to tylko plik tekstowy. Nie trzeba go tworzyć na podstawie maszyny, która ma używać certyfikatu. Mimo że ten dokument jest napisany dla usługi App Service, tworzenie csr jest ogólne i dotyczy również usług Cloud Services.

Do odnowienia certyfikatów zarządzania można użyć następujących poleceń programu PowerShell:

Add-AzureAccount
Select-AzureSubscription -Current -SubscriptionName <your subscription name>
Get-AzurePublishSettingsFile

Polecenie Get-AzurePublishSettingsFile tworzy nowy certyfikat zarządzania w obszarze Certyfikaty zarządzania subskrypcjami>w witrynie Azure Portal. Nazwa nowego certyfikatu wygląda następująco: "YourSubscriptionNam]-[CurrentDate]-credentials".

To zadanie można zautomatyzować przy użyciu skryptu uruchamiania (batch/cmd/PowerShell) i zarejestrowania tego skryptu uruchamiania w pliku definicji usługi. Dodaj zarówno skrypt uruchamiania, jak i plik certificate(.p7b) w folderze projektu tego samego katalogu skryptu uruchamiania.

Ten certyfikat służy do szyfrowania kluczy maszynowych w rolach sieci Web platformy Azure. Aby dowiedzieć się więcej, zapoznaj się z tym poradnikem.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

• Jak skonfigurować i uruchomić zadania uruchamiania dla usługi w chmurze
• Typowe zadania uruchamiania usługi w chmurze

Możliwość wygenerowania nowego certyfikatu dla protokołu RDP (Remote Desktop Protocol) będzie dostępna wkrótce. Alternatywnie możesz uruchomić ten skrypt:

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 20 48 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Możliwość wybrania obiektu blob lub lokalnego dla lokalizacji przekazywania csdef i cscfg będzie dostępna wkrótce. Za pomocą polecenia New-AzureDeployment można ustawić każdą wartość lokalizacji.

Możliwość monitorowania metryk na poziomie wystąpienia. Więcej możliwości monitorowania jest dostępnych w temacie Jak monitorować usługi Cloud Services.

Przekroczono limit przydziału magazynu lokalnego do zapisywania w katalogu dziennika. Aby rozwiązać ten problem, możesz wykonać jedną z trzech czynności:

• Włącz diagnostykę usług IIS i okresowo przenosi diagnostykę do magazynu obiektów blob.
• Ręcznie usuń pliki dziennika z katalogu rejestrowania.
• Zwiększ limit przydziału dla zasobów lokalnych.

Więcej informacji można znaleźć w następujących dokumentach:

• Przechowywanie i przeglądanie danych diagnostycznych w usłudze Azure Storage
• Dzienniki usług IIS przestają zapisywać w usłudze w chmurze

Rejestrowanie w usłudze Microsoft Diagnostyka Azure (WAD) można włączyć za pomocą następujących opcji:

1. Włączanie z poziomu programu Visual Studio
2. Włączanie za pomocą kodu platformy .NET
3. Włączanie za pomocą programu PowerShell

Aby uzyskać bieżące ustawienia wad usługi w chmurze, możesz użyć polecenia Get-AzureServiceDiagnosticsExtensions programu PowerShell lub wyświetlić je za pośrednictwem portalu w bloku "Cloud Services -> Extensions".

Możesz określić limit czasu w pliku definicji usługi (csdef) w następujący sposób:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="mgVS2015Worker" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
  <WorkerRole name="WorkerRole1" vmsize="Small">
    <ConfigurationSettings>
      <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
    </ConfigurationSettings>
    <Imports>
      <Import moduleName="RemoteAccess" />
      <Import moduleName="RemoteForwarder" />
    </Imports>
    <Endpoints>
      <InputEndpoint name="Endpoint1" protocol="tcp" port="10100"   idleTimeoutInMinutes="30" />
    </Endpoints>
  </WorkerRole>

Aby uzyskać więcej informacji, zobacz New: Configurable Idle Timeout for Azure Load Balancer (Nowy: konfigurowalny limit czasu bezczynności dla usługi Azure Load Balancer ).

Aby skonfigurować statyczny adres IP, należy utworzyć zastrzeżony adres IP. Ten zastrzeżony adres IP może być skojarzony z nową usługą w chmurze lub z istniejącym wdrożeniem. Aby uzyskać szczegółowe informacje, zobacz następujące dokumenty:

• Jak utworzyć zastrzeżony adres IP
• Zarezerwuj adres IP istniejącej usługi w chmurze
• Kojarzenie zarezerwowanego adresu IP z nową usługą w chmurze
• Kojarzenie zarezerwowanego adresu IP z uruchomionym wdrożeniem
• Kojarzenie zarezerwowanego adresu IP z usługą w chmurze przy użyciu pliku konfiguracji usługi

Platforma Azure ma usługi IPS/IDS na serwerach fizycznych centrum danych w celu obrony przed zagrożeniami. Ponadto klienci mogą wdrażać rozwiązania zabezpieczeń innych firm, takie jak zapory aplikacji internetowej, zapory sieciowe, oprogramowanie chroniące przed złośliwym kodem, wykrywanie nieautoryzowane, systemy zapobiegania (IDS/IPS) i nie tylko. Aby uzyskać więcej informacji, zobacz Ochrona danych i zasobów oraz zgodność z globalnymi standardami zabezpieczeń.

Firma Microsoft stale monitoruje serwery, sieci i aplikacje w celu wykrywania zagrożeń. Wieloprogowe podejście do zarządzania zagrożeniami na platformie Azure używa wykrywania nieautoryzowanego dostępu, zapobiegania atakom typu "rozproszona odmowa usługi", testowania penetracyjnego, analizy behawioralnej, wykrywania anomalii i uczenia maszynowego, aby stale wzmacniać ochronę i zmniejszać ryzyko. Usługa Microsoft Antimalware dla platformy Azure chroni usługi Azure Cloud Services i maszyny wirtualne. Ponadto można wdrażać rozwiązania zabezpieczeń innych firm, takie jak ściany ognia aplikacji internetowej, zapory sieciowe, oprogramowanie chroniące przed złośliwym kodem, systemy wykrywania i zapobiegania włamaniom (IDS/IPS) i nie tylko.

Systemy Windows 10 i Windows Server 2016 są obsługiwane przez protokół HTTP/2 po stronie klienta i serwera. Jeśli klient (przeglądarka) łączy się z serwerem usług IIS za pośrednictwem protokołu TLS (Transport Layer Security), który negocjuje protokół HTTP/2 za pośrednictwem rozszerzeń TLS, nie musisz wprowadzać żadnych zmian po stronie serwera. Nie musisz wprowadzać zmian, ponieważ nagłówek h2-14 określający użycie protokołu HTTP/2 jest domyślnie wysyłany za pośrednictwem protokołu TLS. Jeśli z drugiej strony klient wysyła nagłówek Uaktualnienia w celu uaktualnienia do protokołu HTTP/2, należy wprowadzić następującą zmianę po stronie serwera, aby upewnić się, że uaktualnienie działa i kończy się połączeniem HTTP/2.

1. Uruchom regedit.exe.
2. Przejdź do klucza rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
3. Utwórz nową wartość DWORD o nazwie DuoEnabled.
4. Ustaw jego wartość na 1.
5. Uruchom ponownie serwer.
6. Przejdź w obszarze Powiązania w domyślnej witrynie sieci Web i utwórz nowe powiązanie PROTOKOŁU TLS przy użyciu utworzonego certyfikatu z podpisem własnym.

Aby uzyskać więcej informacji, zobacz:

• HTTP/2 w usługach IIS
• Wideo: HTTP/2 w systemie Windows 10: przeglądarka, aplikacje i serwer sieci Web

Te kroki można zautomatyzować za pomocą zadania uruchamiania, aby za każdym razem, gdy zostanie utworzone nowe wystąpienie usługi PaaS, może wprowadzić poprzednie zmiany w rejestrze systemowym. Aby uzyskać więcej informacji, zobacz How to configure and run startup tasks for a Cloud Service (Jak skonfigurować i uruchomić zadania uruchamiania dla usługi w chmurze).

Po zakończeniu możesz sprawdzić, czy protokół HTTP/2 jest włączony, czy nie, używając jednej z następujących metod:

• Włącz wersję protokołu w dziennikach usług IIS i przejrzyj dzienniki usług IIS. W dziennikach jest wyświetlany protokół HTTP/2.
• Włącz narzędzie deweloperskie F12 w programie Internet Explorer lub przeglądarce Microsoft Edge i przełącz się na kartę Sieć. W tym miejscu możesz zweryfikować protokół.

Aby uzyskać więcej informacji, zobacz HTTP/2 w usługach IIS.

Usługi Cloud Services nie obsługują modelu kontroli dostępu opartego na rolach platformy Azure, ponieważ nie jest to usługa oparta na usłudze Azure Resource Manager.

Zobacz Omówienie różnych ról na platformie Azure.

Firma Microsoft stosuje rygorystyczny proces, który nie zezwala inżynierom wewnętrznym na pulpit zdalny do usługi w chmurze bez pisemnej zgody (wiadomości e-mail lub innej pisemnej komunikacji) od właściciela lub ich projektu.

Ten błąd może wystąpić, jeśli używasz pliku RDP z komputera przyłączonego do identyfikatora Entra firmy Microsoft. Aby rozwiązać ten problem, wykonaj poniższe czynności:

1. Kliknij prawym przyciskiem myszy pobrany plik RDP, a następnie wybierz polecenie Edytuj.
2. Dodaj "\" jako prefiks przed nazwą użytkownika. Na przykład użyj nazwy użytkownika .\username zamiast nazwy użytkownika.

Subskrypcja platformy Azure ma limit liczby rdzeni, których można użyć. Skalowanie nie działa, jeśli użyto wszystkich dostępnych rdzeni. Jeśli na przykład masz limit 100 rdzeni, oznacza to, że możesz mieć 100 wystąpień maszyn wirtualnych o rozmiarze A1 dla usługi w chmurze lub 50 wystąpień maszyn wirtualnych o rozmiarze A2.

Automatyczne skalowanie na podstawie metryk pamięci dla usług w chmurze nie jest obecnie obsługiwane.

Aby obejść ten problem, możesz użyć usługi Application Insights. Automatyczne skalowanie obsługuje usługę Application Insights jako źródło metryk i może skalować liczbę wystąpień roli na podstawie metryki gościa, takiej jak "Pamięć". Musisz skonfigurować usługę Application Insights w pliku pakietu projektu usługi w chmurze (*.cspkg) i włączyć rozszerzenie Diagnostyka Azure w usłudze w celu zaimplementowania tego wyczynu.

Aby uzyskać więcej informacji na temat korzystania z metryki niestandardowej za pośrednictwem usługi Application Insights w celu skonfigurowania automatycznego skalowania w usługach w chmurze, zobacz Wprowadzenie do automatycznego skalowania według metryki niestandardowej na platformie Azure

Aby uzyskać więcej informacji na temat sposobu integrowania Diagnostyka Azure z usługą Application Insights for Cloud Services, zobacz Wysyłanie danych diagnostycznych usługi w chmurze, maszyny wirtualnej lub usługi Service Fabric do usługi Application Insights

Aby uzyskać więcej informacji na temat włączania usługi Application Insights dla usług Cloud Services, zobacz Application Insights for Azure Cloud Services

Aby uzyskać więcej informacji na temat włączania rejestrowania Diagnostyka Azure dla usług w chmurze, zobacz Konfigurowanie diagnostyki dla usług Azure Cloud Services i maszyn wirtualnych

Aby uniemożliwić klientom wąchanie typów MIME, dodaj ustawienie w pliku web.config .

<configuration>
   <system.webServer>
      <httpProtocol>
         <customHeaders>
            <add name="X-Content-Type-Options" value="nosniff" />
         </customHeaders>
      </httpProtocol>
   </system.webServer>
</configuration>

Można to również dodać jako ustawienie w usługach IIS. Użyj następującego polecenia z typowymi zadaniami uruchamiania.

%windir%\system32\inetsrv\appcmd set config /section:httpProtocol /+customHeaders.[name='X-Content-Type-Options',value='nosniff']

Użyj skryptu uruchamiania usług IIS z artykułu typowe zadania uruchamiania.

Zobacz Limity specyficzne dla usługi.

To zachowanie jest oczekiwane i nie powinno powodować żadnego problemu z aplikacją. Dziennik jest włączony dla dysku %approot% na maszynach wirtualnych PaaS platformy Azure, co zasadniczo zużywa dwukrotnie więcej miejsca, które zwykle zajmują pliki. Istnieje jednak kilka rzeczy, o których należy pamiętać, że przekształci to wydarzenie w nonissue.

Rozmiar dysku %approot% jest obliczany jako <rozmiar pliku cspkg + maksymalny rozmiar dziennika + margines wolnego miejsca> lub 1,5 GB, w zależności od tego, co jest większe. Rozmiar maszyny wirtualnej nie ma wpływu na to obliczenie. (Rozmiar maszyny wirtualnej ma wpływ tylko na rozmiar tymczasowego dysku C:).

Zapisywanie na dysku %approot% nie jest obsługiwane. Jeśli piszesz do maszyny wirtualnej platformy Azure, musisz to zrobić w tymczasowym zasobie LocalStorage (lub innej opcji, takiej jak Blob Storage, Azure Files itp.). Dlatego ilość wolnego miejsca w folderze %approot% nie jest znacząca. Jeśli nie masz pewności, czy aplikacja zapisuje na dysku %approot%, zawsze możesz zezwolić usłudze na uruchomienie przez kilka dni, a następnie porównać rozmiary "przed" i "po". 

Platforma Azure nie zapisuje niczego na dysku %approot%. Po utworzeniu wirtualnego dysku twardego (VHD) na podstawie maszyny .cspkg wirtualnej platformy Azure i instalacji na maszynie wirtualnej platformy Azure jedyną rzeczą, która może zapisywać na tym dysku, jest aplikacja. 

Ustawienia dziennika są niekonfigurowalne, więc nie można go wyłączyć.

Rozszerzenie chroniące przed złośliwym kodem można włączyć za pomocą skryptu programu PowerShell w zadaniu uruchamiania. Aby go zaimplementować, wykonaj kroki opisane w następujących artykułach:

• Tworzenie zadania uruchamiania programu PowerShell
• Set-AzureServiceAntimalwareExtension

Aby uzyskać więcej informacji na temat scenariuszy wdrażania oprogramowania chroniącego przed złośliwym kodem i sposobu włączania go w portalu, zobacz Scenariusze wdrażania oprogramowania chroniącego przed złośliwym kodem.

SNI w usługach Cloud Services można włączyć przy użyciu jednej z następujących metod:

Metoda 1. Używanie programu PowerShell

Powiązanie SNI można skonfigurować przy użyciu następującego polecenia cmdlet programu PowerShell New-WebBinding w zadaniu uruchamiania dla wystąpienia roli usługi w chmurze:

New-WebBinding -Name $WebsiteName -Protocol "https" -Port 443 -IPAddress $IPAddress -HostHeader $HostHeader -SslFlags $sslFlags

Jak opisano tutaj, $sslFlags może być jedną z następujących wartości:

Metoda 2. Używanie kodu

Powiązanie SNI można również skonfigurować za pośrednictwem kodu podczas uruchamiania roli zgodnie z opisem w tym wpisie w blogu:

//<code snip> 
                var serverManager = new ServerManager(); 
                var site = serverManager.Sites[0]; 
                var binding = site.Bindings.Add(":443:www.test1.com", newCert.GetCertHash(), "My"); 
                binding.SetAttributeValue("sslFlags", 1); //enables the SNI 
                serverManager.CommitChanges(); 
    //</code snip>

Przy użyciu dowolnego z powyższych podejść odpowiednie certyfikaty (*.pfx) dla określonych nazw hostów muszą być najpierw zainstalowane na wystąpieniach roli przy użyciu zadania uruchamiania lub za pośrednictwem kodu, aby powiązanie SNI było skuteczne.

Usługa w chmurze to zasób klasyczny. Tagi obsługi obsługują tylko zasoby utworzone za pomocą usługi Azure Resource Manager. Nie można stosować tagów do klasycznych zasobów, takich jak usługa w chmurze.

Pracujemy nad wprowadzeniem tej funkcji w witrynie Azure Portal. W międzyczasie możesz użyć następujących poleceń programu PowerShell, aby uzyskać wersję zestawu SDK:

Get-AzureService -ServiceName "<Cloud Service name>" | Get-AzureDeployment | Where-Object -Property SdkVersion -NE -Value "" | select ServiceName,SdkVersion,OSVersion,Slot

Już wdrożona usługa w chmurze jest rozliczana za zasoby obliczeniowe i magazyn, których używa. Dlatego nawet jeśli zamkniesz maszynę wirtualną platformy Azure, nadal będą naliczane opłaty za usługę Storage.

Oto, co można zrobić, aby zmniejszyć rozliczenia bez utraty adresu IP dla usługi:

1. Zarezerwuj adres IP przed usunięciem wdrożeń. Platforma Azure rozlicza tylko za ten adres IP. Aby uzyskać więcej informacji na temat rozliczeń adresów IP, zobacz Cennik adresów IP.
2. Usuń wdrożenia. Nie usuwaj xxx.cloudapp.net, aby można było go używać w przyszłości.
3. Jeśli chcesz ponownie wdrożyć usługę w chmurze przy użyciu tego samego zarezerwowanego adresu IP zarezerwowanego w ramach subskrypcji, zobacz Reserved IP addresses for Cloud Services and Virtual Machines (Zarezerwowane adresy IP dla usług w chmurze i maszyn wirtualnych).