Проблемы подключения и сетей для Облачных служб Azure (классические). Вопросы и ответы

Важно!

Облачные службы (классическая версия) объявлены устаревшими для новых клиентов. Их поддержка будет полностью прекращена 31 августа 2024 года. Для новых развертываний следует использовать Облачные службы Azure с расширенной поддержкой . Это новая модель развертывания на основе Azure Resource Manager.

В этой статье приведены часто задаваемые вопросы по подключениям и сетям для облачных служб Azure. Дополнительные сведения о размерах см. в статье Размеры для облачных служб.

Если эта статья не помогла устранить вашу проблему с Azure, посетите форумы по вопросам и ответам Майкрософт& и Stack Overflow. Описание своей проблемы можно опубликовать на этих форумах или написать в Twitter (@AzureSupport). Также можно отправить запрос в службу поддержки Azure. Чтобы отправить такой запрос, на странице поддержки Azure щелкните Получить поддержку.

Не удается зарезервировать IP-адрес в облачной службе с несколькими виртуальными IP-адресами

Сначала убедитесь, что экземпляр виртуальной машины, для который вы пытаетесь зарезервировать IP-адрес, включен. Далее убедитесь, что вы используете зарезервированные IP-адреса как для промежуточного, так и для рабочего развертывания. Не изменяйте параметры во время обновления развертывания.

Как использовать удаленный рабочий стол при наличии NSG?

Добавьте в NSG правила, разрешающие передачу трафика через порты 3389 и 20000. Удаленный рабочий стол использует порт 3389. В экземплярах облачной службы реализована балансировка нагрузки, поэтому вы не можете напрямую управлять подключением к экземпляру. Агенты RemoteForwarder и RemoteAccess управляют трафиком по протоколу удаленного рабочего стола (RDP) и позволяют клиенту отправлять файлы cookie по RDP и указывать отдельный экземпляр для подключения. Агентам RemoteForwarder и RemoteAccess требуется открытий порт 20000 При использовании группы безопасности сети он может быть заблокирован.

Можно ли проверить связь с облачной службой?

Нет, только не с помощью обычного протокола проверки связи или ICMP. Протокол ICMP не разрешен в подсистеме балансировки нагрузки Azure.

Чтобы проверить подключение, рекомендуется выполнить проверку связи с портом. Хотя Ping.exe использует протокол ICMP, вы можете использовать другие инструменты, такие как PSPing, Nmap и telnet, которые позволяют проверить возможность подключения к конкретному порту TCP.

Дополнительные сведения см. в статье Использование проверки связи с портом вместо ICMP для проверки подключения к виртуальной машине Azure.

Как избежать получения тысяч вхождений с неизвестных IP-адресов, указывающих, что на облачную службу производится вредоносная атака?

Azure реализует многоуровневую сетевую безопасность для защиты служб платформы от распределенных атак типа "отказ в обслуживании" (DDoS). Система защиты Azure от DDoS-атак — часть непрерывного процесса мониторинга Azure, которая постоянно улучшается благодаря тестам на проникновение. Эта система защиты от DDoS-атак предназначена для защиты не только от атак извне, но и от других клиентов Azure. Дополнительные сведения см. в загружаемом руководстве по сетевой безопасности в Azure.

Вы также можете создать задачу при запуске для выборочного блокирования некоторых конкретных IP-адресов. Дополнительные сведения см. в разделе Блокирование определенного IP-адреса.

При попытке выполнить удаленное подключение к моему экземпляру облачной службы появляется сообщение "Срок действия этой учетной записи пользователя истек".

Вы можете получить сообщение "Срок действия этой учетной записи пользователя истек" при обходе даты истечения срока действия, которая настраивается в параметрах протокола удаленного рабочего стола. Можно изменить дату истечения срока действия на портале, выполнив следующие действия.

  1. Войдите на портал Azure, перейдите к облачной службе и выберите вкладку Удаленный рабочий стол.

  2. Выберите рабочий или промежуточный слот развертывания.

  3. Измените дату истечения срока действия и затем сохраните конфигурацию.

Теперь вы сможете подключиться к своему компьютеру по протоколу удаленного рабочего стола.

Почему Azure Load Balancer не балансирует трафик одинаково?

Сведения о том, как работает внутренняя подсистема балансировки нагрузки, см. в записи блога о новом режиме распределения Azure Load Balancer.

В основе алгоритма распределения лежит использование хэша 5 кортежей (исходный IP-адрес, порт источника, IP-адрес назначения, порт назначения и тип протокола) для сопоставления трафика с доступными серверами. Он позволяет закреплять IP-адреса только в рамках сеанса транспорта. Пакеты в одном сеансе TCP или UDP направляются на один экземпляр IP-адреса центра обработки данных (DIP) в конечной точке с балансировкой нагрузки. Когда клиент закрывает и снова открывает подключение или начинает новый сеанс с того же исходного IP-адреса, порт источника изменяется и перенаправляет трафик к другой конечной точке DIP.

Как я могу перенаправить входящий трафик со стандартного URL-адреса облачной службы на пользовательский URL-адрес?

Модуль переопределения URL-адресов IIS можно использовать, чтобы перенаправлять трафик, поступающий на URL-адрес облачной службы по умолчанию (например, *.cloudapp.net), к любому пользовательскому имени или URL-адресу. Так как модуль переопределения URL-адресов включен для веб-ролей по умолчанию, а его правила настраиваются в файле web.config для приложения, он всегда доступен на всех виртуальных машинах вне зависимости от любых перезагрузок или пересозданий образов. Дополнительные сведения:

Как заблокировать или отключить поступление входящего трафика на URL-адрес облачной службы, используемый по умолчанию?

Вы можете запретить поступление входящего трафика на стандартный URL-адрес или адрес с именем облачной службы (например, *.cloudapp.net). Для этого укажите в заголовке узла пользовательское DNS-имя (например, www.MyCloudService.com), используя конфигурацию привязки сайта в \*.csdef-файле с определением облачной службы, как указано ниже.

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="AzureCloudServicesDemo" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
    <WebRole name="MyWebRole" vmsize="Small">
        <Sites>
            <Site name="Web">
            <Bindings>
                <Binding name="Endpoint1" endpointName="Endpoint1" hostHeader="www.MyCloudService.com" />
            </Bindings>
            </Site>
        </Sites>
        <Endpoints>
            <InputEndpoint name="Endpoint1" protocol="http" port="80" />
        </Endpoints>
        <ConfigurationSettings>
            <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
        </ConfigurationSettings>
    </WebRole>
</ServiceDefinition>

Поскольку эта привязка к заголовку узла применяется при помощи CSDEF-файла, служба будет доступна только по адресу с указанием пользовательского имени www.MyCloudService.com. При этом все входящие запросы по домену *.cloudapp.net будут завершаться ошибкой. Если вы используете пользовательский зонд SLB или внутреннюю подсистему балансировки нагрузки, блокировка стандартного URL-адреса или имени службы может повлиять на поведение этих систем.

Как можно гарантировать, что общедоступный IP-адрес облачной службы никогда не будет изменяться?

Чтобы гарантировать, что общедоступный открытый IP-адрес (виртуальный IP-адрес) облачной службы никогда не будет изменяться, чтобы определенные клиенты могли разрешить его использование, мы советуем связать с этой службой зарезервированный IP-адрес. Иначе предоставляемый Azure виртуальный IP-адрес удаляется из подписки, когда вы удаляете развертывание. Для успешного переключения виртуального IP-адреса вам потребуется присвоить зарезервированные IP-адреса и рабочей, и промежуточной средам. В противном случае произойдет сбой операции замены. Чтобы зарезервировать IP-адрес и связать его с облачными службами, выполните инструкции в следующих статьях:

Если у вас несколько экземпляров каждой роли, связывание зарезервированного IP-адреса с облачной службой не будет вызывать простоев. Кроме того, можно добавить диапазон IP-адресов центра обработки данных Azure в список разрешений. Все диапазоны IP-адресов Azure можно найти в Центре загрузки Майкрософт.

Этот файл содержит диапазоны IP-адресов (включая диапазоны вычисления, хранения и SQL), используемые в центрах обработки данных Azure. Обновленный файл публикуется еженедельно, что отражает развернутые в настоящее время диапазоны и все предстоящие изменения IP-адресов. Новые диапазоны, появившиеся в файле, не будут использоваться в центрах обработки данных по крайней мере одну неделю. Скачивайте новый XML-файл каждую неделю и вносите соответствующие изменения на своем сайте, чтобы правильно определять службы, выполняемые в Azure. Пользователи Azure ExpressRoute могут заметить, что этот файл используется для того, чтобы обновлять объявление BGP пространства Azure в первую неделю каждого месяца.

Как использовать виртуальные сети Azure Resource Manager совместно с облачными службами?

Облачные службы нельзя разместить в виртуальных сетях Azure Resource Manager. Виртуальные сети с развертыванием Resource Manager и классическим развертыванием можно соединить через пиринг. Дополнительные сведения см. в статье Пиринг между виртуальными сетями.

Как получить список общедоступных IP-адресов, используемых моими облачными службами?

Можно использовать следующий сценарий PS, чтобы получить список общедоступных IP-адресов, используемых облачными службами в вашей подписке.

$services = Get-AzureService  | Group-Object -Property ServiceName

foreach ($service in $services)
{
    "Cloud Service '$($service.Name)'"

    $deployment = Get-AzureDeployment -ServiceName $service.Name
    "VIP - " +  $deployment.VirtualIPs[0].Address
    "================================="
}