Bu makale, Microsoft Azure Cloud Services yapılandırma ve yönetim sorunları hakkında sık sorulan soruları içerir. Ayrıca, boyut bilgileri için Cloud Services Sanal Makine (VM) Boyutu sayfasına da başvurabilirsiniz.
Sertifikalar
Bulut Hizmeti TLS/SSL sertifikamın sertifika zinciri neden eksik?
Müşterilerin yalnızca yaprak sertifika yerine tam sertifika zincirini (yaprak sertifika, ara sertifikalar ve kök sertifika) yüklemelerini öneririz. Yalnızca yaprak sertifikayı yüklediğinizde, Sertifika Güven Listesi'ni (CTL) yürüyerek sertifika zincirini oluşturmak için Windows'a güvenirsiniz. Windows sertifikayı doğrulamaya çalışırken Azure veya Windows Update'te aralıklı ağ veya Etki Alanı Adı Sistemi (DNS) sorunları oluşursa, sertifika geçersiz kabul edilebilir. Tam sertifika zincirini yüklediğinizde, bu sorun önlenebilir. Zincirlenmiş SSL sertifikası yükleme blogu, tam sertifika zincirinin nasıl yükleneceğini gösterir.
"Uzantılar için Microsoft Azure Araçları Şifreleme Sertifikası"nın amacı nedir?
Bu sertifikalar, Bulut Hizmeti'ne bir uzantı eklendiğinde otomatik olarak oluşturulur. En yaygın olarak, bu uzantı WAD uzantısı veya RDP uzantısıdır, ancak Kötü Amaçlı Yazılımdan Koruma veya Günlük Toplayıcı uzantısı gibi başka uzantılar da olabilir. Bu sertifikalar yalnızca uzantının özel yapılandırmasını şifrelemek ve şifresini çözmek için kullanılır. Son kullanma tarihi hiçbir zaman denetlenmez, bu nedenle sertifikanın süresinin dolması önemli değildir.
Bu sertifikaları yoksayabilirsiniz. Sertifikaları temizlemek istiyorsanız, tümünü silmeyi deneyebilirsiniz. Kullanımda olan bir sertifikayı silmeye çalışırsanız Azure bir hata oluşturur.
Örnekte "RDP-ing" olmadan nasıl Sertifika İmzalama İsteği (CSR) oluşturabilirim?
Aşağıdaki kılavuz belgesine bakın:
Microsoft Azure Web Siteleri (WAWS) ile kullanmak üzere sertifika alma
CSR yalnızca bir metin dosyasıdır. Sertifikayı kullanmak üzere tasarlanan makineden oluşturulması gerekmez. Bu belge bir App Service için yazılmış olsa da CSR oluşturma işlemi geneldir ve Cloud Services için de geçerlidir.
Bulut Hizmeti Yönetim Sertifikamın süresi doluyor. Nasıl yenilenir?
Yönetim Sertifikalarınızı yenilemek için aşağıdaki PowerShell komutlarını kullanabilirsiniz:
Add-AzureAccount
Select-AzureSubscription -Current -SubscriptionName <your subscription name>
Get-AzurePublishSettingsFile
Get-AzurePublishSettingsFile, Azure portalında Abonelik> yeni bir yönetim sertifikası oluşturur. Yeni sertifikanın adı "YourSubscriptionNam]-[CurrentDate]-credentials" gibi görünür.
Ana TLS/SSL sertifikası (.pfx) ve ara sertifika (.p7b) yüklemesini otomatikleştirme
Başlangıç betiği (batch/cmd/PowerShell) kullanarak bu görevi otomatikleştirebilir ve bu başlangıç betiğini hizmet tanımı dosyasına kaydedebilirsiniz. Başlangıç betiğinin aynı dizininin proje klasörüne hem başlangıç betiğini hem de sertifikayı (.p7b dosyası) ekleyin.
"MachineKey için Microsoft Azure Hizmet Yönetimi" sertifikasının amacı nedir?
Bu sertifika, Azure Web Rolleri'nde makine anahtarlarını şifrelemek için kullanılır. Daha fazla bilgi edinmek için bu öneriye göz atın.
Daha fazla bilgi için aşağıdaki makalelere bakın:
İzleme ve Kayıt
Azure portalında uygulamaları yönetmeye ve izlemeye yardımcı olabilecek yaklaşan Bulut Hizmeti özellikleri nelerdir?
Uzak Masaüstü Protokolü (RDP) için yeni bir sertifika oluşturma özelliği yakında sunulacaktır. Alternatif olarak, şu betiği çalıştırabilirsiniz:
$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 20 48 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password
Csdef ve cscfg karşıya yükleme konumunuz için blob veya yerel seçim yapma özelliği yakında sunulacaktır. New-AzureDeployment kullanarak her konum değerini ayarlayabilirsiniz.
Ölçümleri örnek düzeyinde izleme olanağı. Daha fazla izleme özelliği Için Bkz . How to Monitor Cloud Services.
IIS günlük dizinine yazmayı neden durduruyor?
Günlük dizinine yazmak için yerel depolama kotasını tükettiniz. Bu sorunu düzeltmek için üç işlemden birini yapabilirsiniz:
- IIS için tanılamayı etkinleştirin ve tanılamaların düzenli aralıklarla blob depolamaya taşınmasını sağlayın.
- Günlük dosyalarını günlük dizininden el ile kaldırın.
- Yerel kaynaklar için kota sınırını artırın.
Daha fazla bilgi için, aşağıdaki belgelere bakın:
Cloud Services için WAD günlüğünü etkinleştirmek Nasıl yaparım??
Aşağıdaki seçenekler aracılığıyla Microsoft Azure Tanılama (WAD) günlüğünü etkinleştirebilirsiniz:
- Visual Studio'dan etkinleştirme
- .NET kodu aracılığıyla etkinleştirme
- PowerShell aracılığıyla etkinleştirme
Bulut Hizmetinizin geçerli WAD ayarlarını almak için Get-AzureServiceDiagnosticsExtensions PowerShell cmd'sini kullanabilir veya "Cloud Services --> Extensions" dikey penceresinde portal üzerinden görüntüleyebilirsiniz.
Ağ yapılandırması
Azure yük dengeleyici için boşta kalma zaman aşımını ayarlamak Nasıl yaparım??
Hizmet tanımı (csdef) dosyanızda zaman aşımını şu şekilde belirtebilirsiniz:
<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="mgVS2015Worker" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
<WorkerRole name="WorkerRole1" vmsize="Small">
<ConfigurationSettings>
<Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
</ConfigurationSettings>
<Imports>
<Import moduleName="RemoteAccess" />
<Import moduleName="RemoteForwarder" />
</Imports>
<Endpoints>
<InputEndpoint name="Endpoint1" protocol="tcp" port="10100" idleTimeoutInMinutes="30" />
</Endpoints>
</WorkerRole>
Daha fazla bilgi için bkz . Yeni: Azure Load Balancer için Yapılandırılabilir Boşta Kalma Zaman Aşımı.
Nasıl yaparım? statik IP adresini Bulut Hizmetimle ilişkilendirir misiniz?
Statik IP adresi ayarlamak için ayrılmış IP oluşturmanız gerekir. Bu ayrılmış IP, yeni bir Bulut Hizmeti veya mevcut bir dağıtımla ilişkilendirilebilir. Ayrıntılar için aşağıdaki belgelere bakın:
Azure temel IPS/IDS ve DDOS'un sağladığı özellikler ve özellikler nelerdir?
Azure,tehditlere karşı savunmak için veri merkezi fiziksel sunucularında IPS/IDS'ye sahiptir. Ayrıca müşteriler web uygulaması güvenlik duvarları, ağ güvenlik duvarları, kötü amaçlı yazılımdan koruma, yetkisiz erişim algılama, önleme sistemleri (IDS/IPS) ve daha fazlası gibi Microsoft dışı güvenlik çözümleri dağıtabilir. Daha fazla bilgi için bkz . Verilerinizi ve varlıklarınızı koruma ve küresel güvenlik standartlarına uyma.
Microsoft tehditleri algılamak için sunucuları, ağları ve uygulamaları sürekli izler. Azure'ın çok kaynaklı tehdit yönetimi yaklaşımı, savunmasını sürekli güçlendirmek ve riskleri azaltmak için yetkisiz erişim algılama, dağıtılmış hizmet reddi (DDoS) saldırı önleme, sızma testi, davranış analizi, anomali algılama ve makine öğrenmesi kullanır. Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, Azure Cloud Services'ı ve sanal makineleri korur. Ayrıca web uygulaması yangın duvarları, ağ güvenlik duvarları, kötü amaçlı yazılımdan koruma, yetkisiz erişim algılama ve önleme sistemleri (IDS/IPS) ve daha fazlası gibi Microsoft dışı güvenlik çözümleri dağıtabilirsiniz.
Cloud Services VM'de HTTP/2 nasıl etkinleştirilir?
Windows 10 ve Windows Server 2016 hem istemci hem de sunucu tarafında HTTP/2 desteğiyle birlikte gelir. İstemciniz (tarayıcı) TLS uzantıları aracılığıyla HTTP/2 anlaşmasında bulunan Aktarım Katmanı Güvenliği (TLS) üzerinden IIS sunucusuna bağlanıyorsa, sunucu tarafında herhangi bir değişiklik yapmanız gerekmez. HTTP/2 kullanımını belirten h2-14 üst bilgisi varsayılan olarak TLS üzerinden gönderildiğinden değişiklik yapmanız gerekmez. Öte yandan istemciniz HTTP/2'ye yükseltmek için bir Yükseltme üst bilgisi gönderiyorsa, Yükseltme'nin çalıştığından ve bir HTTP/2 bağlantısına sahip olduğunuzdan emin olmak için sunucu tarafında aşağıdaki değişikliği yapmanız gerekir.
- regedit.exe çalıştırın.
- Kayıt defteri anahtarına göz atın: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
- DuoEnabled adlı yeni bir DWORD değeri oluşturun.
- Değerini 1 olarak ayarlayın.
- Sunucunuzu yeniden başlatın.
- Varsayılan Web Sitenizde Bağlamalar'ın altına gidin ve oluşturduğunuz otomatik olarak imzalanan sertifikayla yeni bir TLS bağlaması oluşturun.
Daha fazla bilgi için bakınız:
- IIS üzerinde HTTP/2
- Video: Windows 10'da HTTP/2: Tarayıcı, Uygulamalar ve Web Sunucusu
Bu adımlar bir başlangıç görevi aracılığıyla otomatikleştirilebilir, böylece yeni bir PaaS örneği oluşturulduğunda sistem kayıt defterinde önceki değişiklikleri yapabilir. Daha fazla bilgi için bkz . Bulut Hizmeti için başlangıç görevlerini yapılandırma ve çalıştırma.
bitirdiğinizde, aşağıdaki yöntemlerden birini kullanarak HTTP/2'nin etkinleştirilip etkinleştirilmediğini doğrulayabilirsiniz:
- IIS günlüklerinde Protokol sürümünü etkinleştirin ve IIS günlüklerine bakın. Günlüklerde HTTP/2'yi gösterir.
- Internet Explorer veya Microsoft Edge'de F12 Geliştirici Aracı'nı etkinleştirin ve Ağ sekmesine geçin. Burada protokolü doğrulayabilirsiniz.
Daha fazla bilgi için bkz . IIS'de HTTP/2.
İzinler
Cloud Services için rol tabanlı erişimi nasıl uygulayabilirim?
Cloud Services, Azure Resource Manager tabanlı bir hizmet olmadığından Azure rol tabanlı erişim denetimi modelini desteklemez.
Bkz. Azure'daki farklı rolleri anlama.
Uzak masaüstü
Microsoft iç mühendisleri bulut hizmeti örneklerine izni olmadan uzak masaüstü yapabilir mi?
Microsoft, şirket içi mühendislerin sahibinden veya tasarım sahibinden gelen yazılı izin (e-posta veya diğer yazılı iletişimler) olmadan Bulut Hizmetinize uzak masaüstü uygulamasına izin vermeyecek katı bir süreç izler.
RDP dosyasını kullanarak uzak masaüstünden Bulut Hizmeti VM'sine bağlanamıyorum. Şu hatayı alıyorum: Kimlik doğrulama hatası oluştu (Kod: 0x80004005)
Bu hata, Microsoft Entra Id'ye katılmış bir makineden RDP dosyasını kullanırsanız oluşabilir. Bu sorunu çözmek için şu adımları izleyin:
- İndirdiğiniz RDP dosyasına sağ tıklayın ve düzenle'yi seçin.
- Kullanıcı adının önüne ön ek olarak "\" ekleyin. Örneğin, kullanıcı adı yerine .\username kullanın.
Ölçeklendirme
X örneklerinin ötesine ölçeklenemiyorum
Azure Aboneliğinizin kullanabileceğiniz çekirdek sayısı sınırı vardır. Kullanılabilir tüm çekirdekleri kullandıysanız ölçeklendirme çalışmaz. Örneğin, 100 çekirdek sınırınız varsa bu, Bulut Hizmetiniz için 100 A1 boyutlu sanal makine örneğiniz veya 50 A2 boyutlu sanal makine örneğiniz olabileceği anlamına gelir.
Bellek ölçümlerine göre Otomatik Ölçeklendirme'yi nasıl yapılandırabilirim?
Cloud Services için Bellek ölçümlerini temel alan otomatik ölçeklendirme şu anda desteklenmemektedir.
Bu sorunu geçici olarak çözmek için Application Insights'ı kullanabilirsiniz. Otomatik Ölçeklendirme, Ölçüm Kaynağı olarak Application Insights'ı destekler ve rol örneği sayısını "Bellek" gibi konuk ölçümüne göre ölçeklendirebilir. Bu başarıyı uygulamak için Cloud Service proje paketi dosyanızda (*.cspkg) Application Insights'ı yapılandırmanız ve hizmette Azure Tanılama uzantısını etkinleştirmeniz gerekir.
Cloud Services'da Otomatik Ölçeklendirme'yi yapılandırmak için Application Insights aracılığıyla özel ölçüm kullanma hakkında daha fazla bilgi için bkz . Azure'da özel ölçümle otomatik ölçeklendirmeyi kullanmaya başlama
Azure Tanılama Cloud Services için Application Insights ile tümleştirme hakkında daha fazla bilgi için bkz. Application Insights'a Bulut Hizmeti, Sanal Makine veya Service Fabric tanılama verileri gönderme
Cloud Services için Application Insights'ı etkinleştirme hakkında daha fazla bilgi için bkz. Azure Cloud Services için Application Insights
Cloud Services için Azure Tanılama Günlüğünü etkinleştirme hakkında daha fazla bilgi için bkz. Azure Cloud Services ve sanal makineler için tanılamayı ayarlama
Genel
Web siteme 'nosniff' Nasıl yaparım? ekleyemiyor musunuz?
İstemcilerin MIME türlerini algılamasını önlemek için web.config dosyanıza bir ayar ekleyin.
<configuration>
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Content-Type-Options" value="nosniff" />
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>
Bunu IIS'de bir ayar olarak da ekleyebilirsiniz. Ortak başlangıç görevleri makalesiyle aşağıdaki komutu kullanın.
%windir%\system32\inetsrv\appcmd set config /section:httpProtocol /+customHeaders.[name='X-Content-Type-Options',value='nosniff']
Web rolü için IIS'i özelleştirmek Nasıl yaparım??
Yaygın başlangıç görevleri makalesindeki IIS başlangıç betiğini kullanın.
Bulut Hizmetim için kota sınırı nedir?
Bkz. Hizmete özgü sınırlar.
Bulut Hizmeti SANAL makinemdeki sürücü neden az boş disk alanı gösteriyor?
Bu davranış beklenen bir davranıştır ve uygulamanızda herhangi bir soruna neden olmamalıdır. Azure PaaS VM'lerinde %approot% sürücüsü için günlük kaydı açılır ve bu da normalde dosyaların kapladığı alan miktarının iki katını tüketir. Ancak, bu olayı başarısızlığa dönüştüren, dikkat edilmesi gereken birkaç şey vardır.
%approot% sürücü boyutu, .cspkg + maksimum günlük boyutu + boş alan< kenar boşluğu veya 1,5 GB (hangisi daha büyükse) olarak >hesaplanır. VM'nizin boyutunun bu hesaplamayla bir ilgisi yoktur. (VM boyutu yalnızca geçici C: sürücüsünün boyutunu etkiler.)
%approot% sürücüsüne yazmak desteklenmiyor. Azure VM'ye yazıyorsanız, bunu geçici bir LocalStorage kaynağında (veya Blob depolama, Azure Dosyalar vb.) başka bir seçenekte yapmanız gerekir. Dolayısıyla %approot% klasöründeki boş alan miktarı anlamlı değil. Uygulamanızın %approot% sürücüsüne yazıp yazmadiğinden emin değilseniz, hizmetinizin her zaman birkaç gün çalışmasına izin verebilir ve ardından "önce" ve "sonra" boyutlarını karşılaştırabilirsiniz.
Azure %approot% sürücüsüne hiçbir şey yazmaz. Sanal sabit disk (VHD) cihazınızdan .cspkg oluşturulduktan ve Azure VM'ye bağlandıktan sonra, bu sürücüye yazabilecek tek şey uygulamanızdır.
Günlük ayarları yapılandırılamaz, bu nedenle kapatamazsınız.
Bulut Hizmetlerim için otomatik bir şekilde nasıl kötü amaçlı yazılımdan koruma uzantısı ekleyebilirim?
Başlangıç Görevi'nde PowerShell betiğini kullanarak Kötü amaçlı yazılımdan koruma uzantısını etkinleştirebilirsiniz. Bunu uygulamak için şu makalelerdeki adımları izleyin:
Kötü amaçlı yazılımdan koruma dağıtım senaryoları ve portaldan nasıl etkinleştirileceği hakkında daha fazla bilgi için bkz . Kötü amaçlı yazılımdan koruma dağıtım senaryoları.
Cloud Services için Sunucu Adı Gösterimi (SNI) nasıl etkinleştirilir?
Aşağıdaki yöntemlerden birini kullanarak Cloud Services'da SNI'yi etkinleştirebilirsiniz:
Yöntem 1: PowerShell kullanma
SNI bağlaması, bir Bulut Hizmeti rol örneği için başlangıç görevinde aşağıdaki PowerShell cmdlet'i New-WebBinding kullanılarak yapılandırılabilir:
New-WebBinding -Name $WebsiteName -Protocol "https" -Port 443 -IPAddress $IPAddress -HostHeader $HostHeader -SslFlags $sslFlags
Burada açıklandığı gibi, $sslFlags aşağıdaki değerlerden biri olabilir:
| Değer | Anlamı |
|---|---|
| 0 | SNI yok |
| 1 | SNI Etkin |
| 2 | Merkezi Sertifika Deposu kullanan SNI olmayan bağlama |
| 3 | Merkezi Sertifika deposu kullanan SNI bağlaması |
Yöntem 2: Kodu kullanma
SNI bağlaması, bu blog gönderisinde açıklandığı gibi rol başlangıcındaki kod aracılığıyla da yapılandırılabilir:
//<code snip>
var serverManager = new ServerManager();
var site = serverManager.Sites[0];
var binding = site.Bindings.Add(":443:www.test1.com", newCert.GetCertHash(), "My");
binding.SetAttributeValue("sslFlags", 1); //enables the SNI
serverManager.CommitChanges();
//</code snip>
Önceki yaklaşımlardan herhangi birini kullanarak, belirli konak adları için ilgili sertifikaların (*.pfx), SNI bağlamasının etkili olması için ilk olarak bir başlangıç görevi kullanılarak veya kod yoluyla rol örneklerine yüklenmesi gerekir.
Azure Bulut Hizmetime nasıl etiket ekleyebilirim?
Bulut Hizmeti klasik bir kaynaktır. Yalnızca Azure Resource Manager aracılığıyla oluşturulan kaynaklar etiketleri destekler. Cloud Service gibi Klasik kaynaklara etiket uygulayamazsınız.
Azure portalı, Bulut Hizmetimin SDK sürümünü görüntülemiyor. Bunu nasıl alabilirim?
Bu özelliği Azure portalına getirmeye çalışıyoruz. Bu arada, SDK sürümünü almak için aşağıdaki PowerShell komutlarını kullanabilirsiniz:
Get-AzureService -ServiceName "<Cloud Service name>" | Get-AzureDeployment | Where-Object -Property SdkVersion -NE -Value "" | select ServiceName,SdkVersion,OSVersion,Slot
Bulut Hizmetini birkaç ay boyunca kapatmak istiyorum. IP adresini kaybetmeden Bulut Hizmeti'nin faturalama maliyetini nasıl düşürün?
Zaten dağıtılmış bir Bulut Hizmeti, kullandığı İşlem ve Depolama için faturalandırılır. Bu nedenle Azure VM'yi kapatsanız bile Depolama için faturalandırılırsınız.
Hizmetinizin IP adresini kaybetmeden faturanızı azaltmak için yapabilecekleriniz şunlardır:
- Dağıtımları silmeden önce IP adresini ayırın. Azure sizi yalnızca bu IP adresi için faturalar. IP adresi faturalaması hakkında daha fazla bilgi için bkz . IP adresleri fiyatlandırması.
- Dağıtımları silin. gelecekte kullanabilmeniz için xxx.cloudapp.net silmeyin.
- Bulut Hizmetini aboneliğinizde ayırdığınız aynı yedek IP'yi kullanarak yeniden dağıtmak istiyorsanız bkz. Cloud Services ve Sanal Makineler için ayrılmış IP adresleri.