Azure Cloud Services'de HTTPS iletişimlerini etkinleştirme (genişletilmiş destek)

Microsoft Azure Cloud Services (genişletilmiş destek) ile iletişim, Köprü Metni Aktarım Protokolü Güvenli (HTTPS) protokolü kullanılarak gerçekleştirilir. Bu makalede, Cloud Services için HTTPS iletişimin nasıl etkinleştirileceği açıklanır (genişletilmiş destek).

Önkoşullar

• Visual Studio.

• Visual Studio'da bir Azure Cloud Services (genişletilmiş destek) projesi.

• Kişisel Bilgi Değişimi (.pfx) dosya biçimindebir Güvenli Yuva Katmanı (SSL) sertifikası. CA tarafından atanmış bir SSL sertifikanız yoksa, test kullanımı için kendi kendine bir sertifika atamak için bir PowerShell betiği kullanın.

• Azure Cloud Services (genişletilmiş destek) kaynağınızla aynı kaynak grubunda yer alan bir Azure Key Vault kaynağı. Henüz bir anahtarınız yoksa, Azure portal kullanarak bir anahtar kasası kaynağı oluşturabilirsiniz.

Proje dağıtımı için genel adımlar

Azure'a Cloud Services (genişletilmiş destek) projesi dağıtmaya yönelik genel adımlar şunlardır:

1. Sertifikanızı hazırlayın.

2. Projenizi yapılandırın.

3. Proje dosyasını bulut hizmetinizin hizmet tanımı (.csdef), hizmet yapılandırması (.cscfg) ve hizmet paketi (.cspkg) dosyalarına paketleyin.

4. Gerekirse Cloud Services (genişletilmiş destek) kaynağının yapılandırmasını değiştirin. Örneğin, aşağıdaki değişikliklerden herhangi birini yapabilirsiniz:

   1. Paket URL'sini güncelleştirin.
   2. URL ayarını yapılandırın.
   3. İşletim sistemi gizli dizileri ayarını güncelleştirin.

5. Yeni projeyi Azure'a dağıtın ve güncelleştirin.

Not

Proje, aşağıdaki araçlar kullanılarak gibi birkaç farklı yöntemle dağıtılabilir:

• Visual Studio
• Azure Resource Manager şablonu (ARM şablonu)
• Azure DevOps gibi sürekli tümleştirme ve sürekli teslim (CI/CD) aracı

Dağıtım yöntemi ne olursa olsun, genel dağıtım adımları aynıdır.

Bu adımlardan ilk ikisi tüm dağıtım yöntemleri için gereklidir. Bu adımlar Kod değişiklikleri bölümünde ele alınmaktadır. Kalan adımlar da önemlidir, ancak her zaman el ile kullanıcı müdahalesi gerektirmez. Örneğin, adımlar Visual Studio gibi bir araç tarafından otomatik olarak yapılabilir. Bu adımların son üçü Yapılandırma değişiklikleri bölümünde ele alınmaktadır.

Kod değişiklikleri

Sertifikanızı hazırlamak ve projenizi yapılandırmak üzere kod değişiklikleri yapmak için aşağıdaki adımları izleyin:

1. 6. adımda anahtar kasasına sertifika yüklemek için yönergeleri izleyin.

2. Sertifikanın parmak izini (40 basamaklı onaltılık dize) not edin.

3. Projenizin hizmet yapılandırması (.cscfg) dosyasında sertifika parmak izini sertifikayı kullanmak istediğiniz role ekleyin. Örneğin, bir WebRole ile iletişim kurmak için sertifikayı SSL sertifikası olarak kullanmak istiyorsanız, kök ServiceConfiguration öğenin ilk alt öğesi olarak aşağıdaki WebRole1 kod parçacığına benzeyen XML kodu ekleyebilirsiniz:

   <Role name="WebRole1">
     <Instances count="1" />
     <Certificates>
       <Certificate
         name="Certificate1"
         thumbprint="0123456789ABCDEF0123456789ABCDEF01234567"
         thumbprintAlgorithm="sha1"
       />
     </Certificates>
   </Role>
   

   Sertifikanın adını özelleştirebilirsiniz, ancak hizmet tanımı (.csdef) dosyasında kullanılan sertifika adıyla eşleşmelidir.

4. Hizmet tanımı (.csdef) dosyasına aşağıdaki öğeleri ekleyin.

   Üst XPath	Eklenecek öğeler	Kullanılacak öznitelikler
   /ServiceDefinition/WebRole/Sites/Site/Bindings	Binding	name, endpointName
   /ServiceDefinition/WebRole/Endpoints	InputEndpoint	ad, protokol, bağlantı noktası, sertifika
   /ServiceDefinition/WebRole	Certificates/Certificate	name, storeLocation, storeName, permissionLevel

   öğesinin Certificates kapanış Endpoints etiketinden hemen sonra eklenmesi gerekir. Herhangi bir öznitelik içermez. Yalnızca alt Certificate öğeleri içerir.

   Örneğin, hizmet tanımı dosyanız aşağıdaki XML koduna benzeyebilir:

   <?xml version="1.0" encoding="utf-8"?>
   <ServiceDefinition name="CSESOneWebRoleHTTPS" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
     <WebRole name="WebRole1" vmsize="Standard_D1_v2">
       <Sites>
         <Site name="Web">
           <Bindings>
             <Binding name="Endpoint1" endpointName="Endpoint1" />
             <Binding name="HttpsIn" endpointName="HttpsIn" />
           </Bindings>
         </Site>
       </Sites>
       <Endpoints>
         <InputEndpoint name="Endpoint1" protocol="http" port="80" />
         <InputEndpoint name="HttpsIn" protocol="https" port="443" certificate="Certificate1" />
       </Endpoints>
       <Certificates>
         <Certificate name="Certificate1" storeLocation="LocalMachine" storeName="My" permissionLevel="limitedOrElevated" />
       </Certificates>
     </WebRole>
   </ServiceDefinition>
   

   Bu örnekte hizmet tanımı dosyası, 443 numaralı bağlantı noktasında HTTPS protokolü için giriş uç noktasını HttpsIn bağlamak üzere değiştirilmiştir. Yalnızca sınırlı veya yükseltilmiş izin düzeyi için adına My ve konumuna LocalMachine sahip bir deponun sertifikasını kullanırCertificate1. ve Certificate öğelerindeki InputEndpoint sertifika adları birbiriyle eşleşir. Ayrıca, önceki adımda hizmet yapılandırması (.cscfg) dosyasında kullanılan sertifika adıyla da eşleşir.

Yapılandırma değişiklikleri

Bulut hizmeti yapılandırmanızı değiştirme yönergeleri, bulut hizmetinizin dağıtılma şekline göre farklılık gösterir. Bu yönergeler aşağıdaki sekmelerde gösterilir. Her sekme farklı bir dağıtım yöntemini temsil eder.

Portal

Devam etmeden önce bkz. Azure portal kullanarak Azure Cloud Services (genişletilmiş destek) dağıtma. Ardından, Azure portal aracılığıyla doğru yapılandırma değişikliklerini yapmak için şu adımları izleyin:

1. ARM şablonuyla klasik Bulut Hizmetinden Bulut Hizmeti Genişletilmiş Desteği'ne el ile geçiş başlıklı blog girdisine gidin ve 7 ile 9 arasında adımları izleyin. Bu yönergeler aşağıdaki adımları nasıl yapacağınızı gösterir:

   • Projeyi paketleyin.

   • Oluşturulan hizmet paketini (<project-name.cspkg>) ve bulut hizmeti yapılandırması (ServiceConfiguration.Cloud.cscfg) dosyalarını bulut hizmetiniz için bir depolama hesabı kapsayıcısına yükleyin.

     Not

     Diğer iki dosya için açıklanan işlemi kullanarak hizmet tanımı (ServiceDefinition.csdef) dosyasını da karşıya yüklemeniz gerekir.

   • Karşıya yüklenen dosyaların her biri için bir paylaşılan erişim imzası (SAS) URL'si oluşturun.

2. Azure portal bulut hizmetinizin Genel Bakış sayfasına dönün ve Güncelleştir'i seçin.

3. Bulut hizmetini güncelleştir sayfasında Temel Bilgiler sekmesinde aşağıdaki değişiklikleri yapın:

   1. Paket/yapılandırma/hizmet tanımı konumu alanında Blobdan'ı seçin.

   2. Paket karşıya yükle (.cspkg, .zip) alanında şu adımları izleyin:

      1. Gözat bağlantısını seçin.
      2. Dosyaları karşıya yüklediğiniz depolama hesabını ve kapsayıcıyı seçin.
      3. Kapsayıcı sayfasında ilgili dosyayı seçin (bu örnekte project-name.cspkg<>) ve ardından Seç düğmesini seçin.

   3. Yapılandırmayı karşıya yükle (.cscfg) alanı (ve ServiceConfiguration.Cloud.cscfg dosyası) için, önceki adımda özetlenen alt gereksinimi yineleyin.

   4. Hizmet tanımını karşıya yükle (.csdef) alanı (ve ServiceDefinition.csdef dosyası) için alt işlemi tekrarlayın.

4. Yapılandırma sekmesini seçin.

5. Anahtar kasası alanında, sertifikayı karşıya yüklediğiniz anahtar kasasını seçin (Kod değişiklikleri bölümünün başlarında). Sertifika seçilen anahtar kasasında bulunduktan sonra, listelenen sertifika Bir BulunduDurumu görüntüler.

6. Yeni yapılandırılan projeyi dağıtmak için Güncelleştir düğmesini seçin.

PowerShell

Devam etmeden önce bkz. Azure PowerShell kullanarak Bulut Hizmeti (genişletilmiş destek) dağıtma. Ardından, yapılandırma değişikliklerini bir PowerShell betiği aracılığıyla yapmak için şu adımları izleyin:

1. ARM şablonuyla klasik Bulut Hizmetinden Bulut Hizmeti Genişletilmiş Desteği'ne el ile geçiş başlıklı blog girdisine gidin ve 7 ile 9 arasında adımları izleyin. Bu yönergeler aşağıdaki adımları nasıl yapacağınızı gösterir:

   • Projeyi paketleyin.

   • Oluşturulan hizmet paketi (<project-name.cspkg>) dosyasını bulut hizmetiniz için bir depolama hesabı kapsayıcısına yükleyin.

     Not

     Yönergelerde belirtilenlere rağmen bulut hizmeti yapılandırması (ServiceConfiguration.Cloud.cscfg) dosyasını karşıya yüklemeniz gerekmez. Yalnızca hizmet paketi dosyasının buraya yüklenmesi gerekir.

   • Karşıya yüklenen hizmet paketi dosyası için paylaşılan erişim imzası (SAS) URL'si oluşturun.

2. Connect-AzAccount cmdlet'ini çalıştırarak Azure'da oturum açın.

3. Aşağıdaki PowerShell betiğinde, betiğin başındaki yer tutucuları her değişkenin gerçek değerleriyle değiştirin ve ardından bulut hizmetinizi güncelleştirmek için betiği çalıştırın:

   # Enter values for placeholders in the following variables.
   $vaultName = "<key-vault-resource-name>"
   $resourceGroupKeyVault = "<resource-group-name-where-key-vault-is-deployed>"
   $certificateName = "<name-of-certificate-saved-in-key-vault>"
   $cloudService = @{
       Name = "<name-of-cloud-service>"
       ResourceGroupName = "<resource-group-name-where-cloud-service-is-deployed>"
       SubscriptionId = "<subscription-guid>"
   }
   $cscfgFilePath = "<local-path-to-your-service-configuration-file-cscfg>"
   $cspkgUrl = "<sas-token-url-of-the-service-package-file-cspkg>"
   
   # Code execution
   $keyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $resourceGroupKeyVault
   $certificate = Get-AzKeyVaultCertificate -VaultName $vaultName -Name $certificateName
   $vaultSecretGroupObject = @{
       CertificateUrl = $certificate.SecretId
       Id = $keyVault.ResourceId
   }
   $secretGroup = New-AzCloudServiceVaultSecretGroupObject @vaultSecretGroupObject
   $osProfile = @{secret = @($secretGroup)}
   
   $cses = Get-AzCloudService @cloudService
   $cses.Configuration = Get-Content $cscfgFilePath | Out-String
   $cses.PackageUrl = $cspkgUrl
   $cses.OSProfile = $osProfile
   $cses | Update-AzCloudService
   

Resource Manager Şablonu

Devam etmeden önce bkz . ARM şablonlarını kullanarak Bulut Hizmeti (genişletilmiş destek) dağıtma. Ardından ARM şablonunuzu yapılandırmak için şu adımları izleyin:

1. KLASIK Bulut Hizmetinden ARM şablonuyla Bulut Hizmeti Genişletilmiş Desteği'ne el ile geçiş başlıklı blog girdisine gidin ve 7 ile 10 arasında adımları izleyin. Bu yönergeler aşağıdaki adımları nasıl yapacağınızı gösterir:

   • Projeyi paketleyin.

   • Oluşturulan hizmet paketini (<project-name.cspkg>) ve bulut hizmeti yapılandırması (ServiceConfiguration.Cloud.cscfg) dosyalarını bulut hizmetiniz için bir depolama hesabı kapsayıcısına yükleyin.

   • Karşıya yüklenen dosyaların her biri için bir paylaşılan erişim imzası (SAS) URL'si oluşturun.

   • Azure portal anahtar kasası sertifika sayfasından aşağıdaki değerleri alın:

     • Anahtar kasası sertifika URL'si
     • Abonelik Kimliği
     • Anahtar kasasının dağıtıldığı kaynak grubunun adı
     • Anahtar kasası için hizmet adı

   Bulut hizmeti için özgün ARM şablonunuzda osProfile özelliğini bulun. Özgün bulut hizmeti projesi yalnızca HTTP iletişimini osProfile destekliyorsa özelliği boş olur ("osProfile": {}). Bulut hizmetinin doğru anahtar kasasından doğru sertifikayı almasını sağlamak için ARM şablonunda hangi anahtar kasasını kullanmak istediğinizi belirtin. Bu değeri göstermek için bir parametre kullanabilirsiniz. Veya aşağıdaki örnekte gösterildiği gibi değeri ARM şablonuna sabit kodlayabilirsiniz:

   "osProfile": {
     "secrets": [
       {
         "sourceVault": {
           "id": "/subscriptions/88889999-aaaa-bbbb-cccc-ddddeeeeffff/resourceGroups/cstocses/providers/Microsoft.KeyVault/vaults/cstocses"
         },
         "vaultCertificates": [
           {
             "certificateUrl": "https://cstocses.vault.azure.net/secrets/csescert/0123456789abcdef0123456789abcdef"
           }
         ]
       }
     ]
   }
   

   ARM şablonunun JSON metninde, parametredeki sourceVault değer Azure portal id Key Vault sayfasının URL'sinin bir parçasıdır. certificateUrl Değer, daha önce bulduğunuz anahtar kasası sertifika URL'sidir. Bu değerlerin metin biçimleri aşağıdaki tabloda gösterilmiştir.

   Parametre	Biçim
   Kaynak kasası kimliği	/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<key-vault-name>
   Anahtar kasası sertifika URL'si	https://<key-vault-name>.vault.azure.net/secrets/<certificate-name>/<certificate-secret>

2. Paket SAS belirteci, yapılandırma SAS belirteci ve daha fazlası gibi yeni parametreler içeren güncelleştirilmiş ARM şablonunuzu dağıtın. Bu parametrelerin nasıl bildirileceğini ve belirtileceğini görmek için örnek bir ARM şablon dosyasını ve örnek arm şablonu parametreleri dosyasını gözden geçirebilirsiniz. Ardından dağıtımın tamamlanmasını bekleyin.

Not

Genel IP adresinin kullanıldığını belirten bir hata iletisi alırsanız, hizmet yapılandırması (.cscfg) dosyasından ve ARM şablonu parametreleri dosyasından genel IP adresini kaldırın. GENEL IP adresi bildirimini ARM şablon dosyasının kendisinden kaldırmayın.

C#

Devam etmeden önce bkz. Azure SDK kullanarak Cloud Services dağıtma (genişletilmiş destek).

Not

Bu bölüm, Azure Cloud Services (genişletilmiş destek) için GitHub örnek kod sayfasında bulabileceğiniz resmi SDK örnek kodundan yeniden yazılan kodu içerir.

Bu bölümde, doğru yapılandırma değişikliklerini yapmak için Azure SDK ve C# kullanımı açıklanmaktadır. Bulut hizmeti projesini dağıtmak ve ilgili yapılandırmayı değiştirmek için SDK'yı başarıyla kullanmak için bir uygulamayı Microsoft Entra ID'a kaydetmeniz gerekir. Kaydı yapmak için Portalı kullanarak kaynaklara erişebilen bir Microsoft Entra uygulaması ve hizmet sorumlusu oluşturma makalesine bakın. Aşağıdaki tabloda, atılması gereken belirli adımlar ve bu makalede okunacak ilgili alt bölüm özetlenmiştir.

Adım	Alt bölüm bağlantısı
Aboneliğinize uygulamanız için sahip rolü atama	Uygulamaya rol atama
Kiracı kimliğini ve uygulama kimliğini kopyalama	Oturum açmak için kiracı ve uygulama kimliği değerlerini alma
Yeni uygulama gizli dizisi oluşturma ve kopyalama	Seçenek 2: Yeni uygulama gizli dizisi oluşturma
Anahtar kasası için erişim ilkesini yapılandırın ve sertifikaya erişmek için uygulamanıza (en az okuma düzeyinde) izin verin	Kaynaklarda erişim ilkelerini yapılandırma

Doğru yapılandırma değişikliklerini yapmak için şu adımları izleyin:

1. ARM şablonuyla klasik Bulut Hizmetinden Bulut Hizmeti Genişletilmiş Desteği'ne el ile geçiş başlıklı blog girdisine gidin ve 7 ile 10 arasında adımları izleyin. Bu yönergeler aşağıdaki adımları nasıl yapacağınızı gösterir:

   • Projeyi paketleyin.

   • Oluşturulan hizmet paketi (<project-name.cspkg>) dosyasını bulut hizmetiniz için bir depolama hesabı kapsayıcısına yükleyin.

     Not

     Yönergelerde belirtilenlere rağmen bulut hizmeti yapılandırması (ServiceConfiguration.Cloud.cscfg) dosyasını karşıya yüklemeniz gerekmez. Yalnızca hizmet paketi dosyasının buraya yüklenmesi gerekir.

   • Karşıya yüklenen hizmet paketi dosyası için paylaşılan erişim imzası (SAS) URL'si oluşturun.

   • Azure portal anahtar kasası sertifika sayfasından aşağıdaki değerleri alın:

     • Anahtar kasası sertifika URL'si
     • Abonelik Kimliği
     • Anahtar kasasının dağıtıldığı kaynak grubunun adı
     • Anahtar kasası için hizmet adı

2. Örnek projeyi (sıkıştırılmış arşiv dosyası) indirin ve içeriğini ayıklayın.

3. SDKSample\CreateCloudService\CreateCloudService\LoginHelper.cs dosyasını bir metin düzenleyicisinde açın. yöntemindeInitializeServiceClient, sırasıyla kiracı kimliği, uygulama kimliği ve clientCredentials uygulama gizli dizisi değerleriyle , clientIdve dize değişkenlerinin değerlerinin üzerine yazıntenantId. Bu değerler, uygulamanızı kaydettiğinizde kopyaladığınız değerlerdir.

4. SDKSample\CreateCloudService\CreateCloudService\Program.cs dosyasını bir metin düzenleyicisinde açın. yönteminde Main , yönteminin başında bildirilen değişkenlerin başlatılan değerlerinden bazılarının üzerine yazın. Aşağıdaki tabloda değişken adları ve bunlar için kullanmanız gereken değerler gösterilmektedir.

   Değişken adı	Yeni değer
   m_subId	Bulut hizmetini içeren aboneliğin kimliği
   csrgName	Bulut hizmetini içeren kaynak grubunun adı
   csName	Bulut hizmeti kaynak adı
   kvrgName	Anahtar kasası kaynağını içeren kaynak grubunun adı
   kvName	Anahtar kasası kaynak adı
   kvsubid	Anahtar kasasını içeren aboneliğin kimliği (bu, bulut hizmeti abonelik kimliğinden farklı olabilir)
   secretidentifier	Anahtar kasası sertifika URL'si
   filename	Hizmet yapılandırma dosyanızın yerel yolu (ServiceConfiguration.Cloud.cscfg)
   packageurl	Hizmet paketi dosyasının SAS URL'si (<project-name.cspkg>)

5. Visual Studio Çözüm Gezgini bölmesinde proje düğümüne sağ tıklayın ve ardından NuGet Paketlerini Yönet'i seçin. Gözat sekmesinde aşağıdaki paketleri arayın, seçin ve yükleyin:

   • Microsoft.Azure.Management.ResourceManager
   • Microsoft.Azure.Management.Compute
   • Microsoft.Azure.Management.Storage
   • Azure.Identity
   • Microsoft.Rest.ClientRuntime.Azure.Authentication

6. Projeyi çalıştırın ve sonra çıkış bölmesinde iletilerin görünmesini bekleyin. Bölmede "kod 0 ile çık" ifadesi görüntülenirse güncelleştirme ve dağıtım başarıyla çalışıyor olmalıdır. "Kod 1 ile çık" görüntülüyorsa, sorunları gözden geçirmek için hata iletilerini denetlemeniz gerekebilir.

Visual Studio

Devam etmeden önce bkz. Visual Studio'da Cloud Services (genişletilmiş destek) oluşturma ve dağıtma.

Visual Studio'da iki yapılandırma değişikliği yapmanız gerekir. Yerel bağlamın bulut bağlamıyla uyumlu olması için hizmet yapılandırmanızı ayarlarsınız ve ardından anahtar kasanızın nerede olduğunu belirtirsiniz.

Hizmet yapılandırması için bulut bağlamının içeriğini ( ServiceConfiguration.Cloud.cscfg dosyası) kopyalayın ve yerel bağlama ( ServiceConfiguration.Local.cscfg dosyası) yapıştırın. Farklı bir yapılandırmanız mı var yoksa diğer kullanımlar için hala yerel yapılandırma dosyasına mı ihtiyacınız var? Her iki koşuldan biri doğruysa, mevcut yerel bağlamdaki öğeleri koruyun certificate .

Visual Studio Çözüm Gezgini bölmesinde proje düğümüne sağ tıklayın ve yayımla'yı seçin. Ayarlar sekmesine ulaşana kadar Yayımlama Azure Uygulaması sihirbazında ilerleyin. Bu sekmede, Anahtar kasası alanını anahtar kasanızın kaydedildiği konuma ayarlayın. Son olarak Yayımla düğmesini seçin ve dağıtımın tamamlanmasını bekleyin.

Yapılandırma değişikliklerini yaptıktan sonra müşteriler, HTTPS protokollerini kullanarak bulut hizmetleri web sitenizle iletişim kurabilir. Sertifikanız otomatik olarak imzalandıysa, tarayıcı sertifikanın güvenli olmadığına dair bir uyarı bildirebilir, ancak tarayıcı bağlantıyı engellemez.

Yardım için bize ulaşın

Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.