Problémy s konfigurací a správou pro Azure Cloud Services (classic): Nejčastější dotazy

Doporučujeme zákazníkům nainstalovat celý řetěz certifikátů (listový certifikát, zprostředkující certifikáty a kořenový certifikát) místo certifikátu typu list. Při instalaci pouze listového certifikátu spoléháte na Systém Windows, abyste vytvořili řetěz certifikátů procházením seznamu CTL. Pokud dochází k přerušovaným problémům se sítí nebo DNS v Azure nebo služba Windows Update při pokusu o ověření certifikátu ve Windows, může být certifikát považován za neplatný. Instalací úplného řetězu certifikátů se můžete tomuto problému vyhnout. Blog na webu Jak nainstalovat zřetězený certifikát SSL ukazuje, jak to udělat.

Tyto certifikáty se automaticky vytvoří při každém přidání rozšíření do cloudové služby. Nejčastěji se jedná o rozšíření WAD nebo rozšíření RDP, ale může to být i jiné, například antimalwarové rozšíření nebo rozšíření kolektoru protokolů. Tyto certifikáty se používají pouze k šifrování a dešifrování privátní konfigurace rozšíření. Datum vypršení platnosti se nikdy nekontroluje, takže nezáleží na tom, jestli vypršela platnost certifikátu. 

Tyto certifikáty můžete ignorovat. Pokud chcete certifikáty vyčistit, můžete zkusit je všechny odstranit. Pokud se pokusíte odstranit certifikát, který se používá, Azure vyvolá chybu.

Projděte si následující dokument s pokyny:

Získání certifikátu pro použití s weby Windows Azure (WAWS)

CSR je jenom textový soubor. Nemusí se vytvářet z počítače, kde se certifikát nakonec použije. I když je tento dokument napsaný pro službu App Service, vytvoření CSR je obecné a platí také pro cloudové služby.

K obnovení certifikátů pro správu můžete použít následující příkazy PowerShellu:

Add-AzureAccount
Select-AzureSubscription -Current -SubscriptionName <your subscription name>
Get-AzurePublishSettingsFile

Soubor Get-AzurePublish Nastavení File vytvoří nový certifikát pro správu v certifikátech správy předplatného>na webu Azure Portal. Název nového certifikátu vypadá takto: YourSubscriptionNam]-[CurrentDate]-credentials.

Tuto úlohu můžete automatizovat pomocí spouštěcího skriptu (batch/cmd/PowerShell) a zaregistrovat tento spouštěcí skript v definičním souboru služby. Přidejte spouštěcí skript i soubor certificate(.p7b) do složky projektu stejného adresáře spouštěcího skriptu.

Tento certifikát slouží k šifrování klíčů počítače ve webových rolích Azure. Další informace najdete v tomto poradci.

Další informace najdete v následujících článcích:

• Konfigurace a spuštění úloh po spuštění pro cloudovou službu
• Běžné úlohy spuštění cloudových služeb

Brzy bude možné vygenerovat nový certifikát pro protokol RDP (Remote Desktop Protocol). Případně můžete spustit tento skript:

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 20 48 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Možnost zvolit objekt blob nebo místní umístění pro umístění pro nahrávání csdef a cscfg bude brzy k dispozici. Pomocí Rutiny New-AzureDeployment můžete nastavit každou hodnotu umístění.

Schopnost monitorovat metriky na úrovni instance Další možnosti monitorování jsou k dispozici v článku Jak monitorovat cloudové služby.

Vyčerpali jste kvótu místního úložiště pro zápis do adresáře protokolu. Pokud chcete tento problém opravit, můžete udělat jednu ze tří věcí:

• Povolte diagnostiku pro službu IIS a pravidelně se přesouvají do úložiště objektů blob.
• Ručně odeberte soubory protokolu z adresáře protokolování.
• Zvýšení limitu kvóty pro místní prostředky

Další informace najdete v následujících dokumentech:

• Ukládání a zobrazení diagnostických dat v Azure Storage
• Protokoly SLUŽBY IIS přestanou zapisovat do cloudové služby

Protokolování windows Azure Diagnostics (WAD) můžete povolit pomocí následujících možností:

1. Povolení v sadě Visual Studio
2. Povolení prostřednictvím kódu .NET
3. Povolení prostřednictvím PowerShellu

Pokud chcete získat aktuální nastavení WAD cloudové služby, můžete použít rutinu PowerShellu Get-AzureServiceDiagnosticsExtensions nebo ji můžete zobrazit prostřednictvím portálu v okně Cloud Services –> Rozšíření.

V souboru definice služby (csdef) můžete zadat časový limit takto:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="mgVS2015Worker" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
  <WorkerRole name="WorkerRole1" vmsize="Small">
    <ConfigurationSettings>
      <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
    </ConfigurationSettings>
    <Imports>
      <Import moduleName="RemoteAccess" />
      <Import moduleName="RemoteForwarder" />
    </Imports>
    <Endpoints>
      <InputEndpoint name="Endpoint1" protocol="tcp" port="10100"   idleTimeoutInMinutes="30" />
    </Endpoints>
  </WorkerRole>

Další informace najdete v tématu Nový: Konfigurovatelný časový limit nečinnosti pro Azure Load Balancer .

Pokud chcete nastavit statickou IP adresu, musíte vytvořit vyhrazenou IP adresu. Tuto rezervovanou IP adresu je možné přidružit k nové cloudové službě nebo k existujícímu nasazení. Podrobnosti najdete v následujících dokumentech:

• Vytvoření rezervované IP adresy
• Rezervace IP adresy existující cloudové služby
• Přidružení rezervované IP adresy k nové cloudové službě
• Přidružení rezervované IP adresy ke spuštěnému nasazení
• Přidružení rezervované IP adresy ke cloudové službě pomocí konfiguračního souboru služby

Azure má IPS/IDS na fyzických serverech datacentra, aby se chránila před hrozbami. Kromě toho můžou zákazníci nasazovat řešení zabezpečení třetích stran, jako jsou brány firewall webových aplikací, síťové brány firewall, antimalware, detekce neoprávněných vniknutí, systémy prevence (IDS/IPS) a další. Další informace najdete v tématu Ochrana dat a prostředků a dodržování globálních standardů zabezpečení.

Microsoft nepřetržitě monitoruje servery, sítě a aplikace a zjišťuje hrozby. Přístup pro správu multiprongovaných hrozeb v Azure využívá detekci neoprávněných vniknutí, prevenci útoků DDoS (Distributed Denial-of-Service), testování průniku, analýzu chování, detekci anomálií a strojové učení k neustálému posílení ochrany a snížení rizik. Microsoft Antimalware pro Azure chrání cloudové služby Azure a virtuální počítače. Kromě toho máte možnost nasadit řešení zabezpečení třetích stran, jako jsou požáry webových aplikací, síťové brány firewall, antimalwarové systémy, detekce neoprávněných vniknutí a prevence (IDS/IPS) a další.

Windows 10 a Windows Server 2016 mají podporu protokolu HTTP/2 na straně klienta i serveru. Pokud se váš klient (prohlížeč) připojuje k serveru IIS přes protokol TLS, který vyjednává http/2 prostřednictvím rozšíření TLS, nemusíte provádět žádné změny na straně serveru. Důvodem je to, že hlavička h2-14 určující použití protokolu HTTP/2 se ve výchozím nastavení odesílá přes protokol TLS. Pokud váš klient odesílá hlavičku upgradu na upgrade na HTTP/2, musíte provést následující změnu na straně serveru, abyste zajistili, že upgrade funguje a že skončíte s připojením HTTP/2.

1. Spusťte regedit.exe.
2. Vyhledejte klíč registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
3. Vytvořte novou hodnotu DWORD s názvem DuoEnabled.
4. Nastavte jeho hodnotu na 1.
5. Restartujte server.
6. Přejděte na výchozí web a v části Vazby vytvořte novou vazbu TLS s právě vytvořeným certifikátem podepsaným svým držitelem.

Další informace naleznete v tématu:

• HTTP/2 ve službě IIS
• Video: HTTP/2 ve Windows 10: Prohlížeč, Aplikace a Webový server

Tyto kroky je možné automatizovat prostřednictvím spouštěcí úlohy, takže při každém vytvoření nové instance PaaS může provést výše uvedené změny v systémovém registru. Další informace naleznete v tématu Postup konfigurace a spuštění úloh spouštění pro cloudovou službu.

Po dokončení můžete pomocí jedné z následujících metod ověřit, jestli je protokol HTTP/2 povolený nebo ne:

• Povolte verzi protokolu v protokolech služby IIS a podívejte se na protokoly služby IIS. V protokolech se zobrazí PROTOKOL HTTP/2.
• Povolte vývojářský nástroj F12 v Internet Exploreru nebo Microsoft Edgi a přepněte na kartu Síť a ověřte protokol.

Další informace najdete v tématu HTTP/2 ve službě IIS.

Cloud Services nepodporuje model řízení přístupu na základě role (Azure RBAC) Azure, protože se nejedná o službu založenou na Azure Resource Manageru.

Přečtěte si informace o různých rolích v Azure.

Microsoft se řídí striktním procesem, který interním technikům nedovolí vzdálenou plochu do cloudové služby bez písemného oprávnění (e-mailu nebo jiné písemné komunikace) od vlastníka nebo jejich návrhu.

K této chybě může dojít, pokud použijete soubor RDP z počítače, který je připojený k Microsoft Entra ID. Pokud chcete tento problém vyřešit, postupujte následovně:

1. Klikněte pravým tlačítkem myši na soubor RDP, který jste stáhli, a pak vyberte Upravit.
2. Před uživatelské jméno přidejte předponu \. Například místo uživatelského jména použijte .\username.

Vaše předplatné Azure má limit počtu jader, která můžete použít. Škálování nebude fungovat, pokud jste použili všechna dostupná jádra. Pokud máte například limit 100 jader, znamená to, že pro cloudové služby můžete mít 100 instancí virtuálních počítačů s velikostí 100 A1 nebo 50 instancí virtuálních počítačů s velikostí 50 A2.

Automatické škálování na základě metrik paměti pro cloudové služby se v současné době nepodporuje.

Tento problém můžete vyřešit pomocí Přehledy aplikace. Automatické škálování podporuje aplikační Přehledy jako zdroj metrik a může škálovat počet instancí role na základě metrik hosta, jako je paměť. Musíte nakonfigurovat Přehledy aplikace v souboru balíčku projektu cloudové služby (*.cspkg) a povolit rozšíření Azure Diagnostics ve službě k implementaci tohoto výkonu.

Další podrobnosti o využití vlastní metriky prostřednictvím služby Application Přehledy ke konfiguraci automatického škálování v Cloud Services najdete v tématu Začínáme s automatickým škálováním podle vlastních metrik v Azure.

Další informace o integraci diagnostiky Azure s aplikačními Přehledy pro cloudové služby najdete v tématu Odesílání diagnostických dat cloudové služby, virtuálního počítače nebo Service Fabric do služby Application Přehledy

Další informace o povolení aplikačních Přehledy pro cloudové služby najdete v tématu Přehledy aplikací pro Azure Cloud Services.

Další informace o povolení protokolování diagnostiky Azure pro cloudové služby najdete v tématu Nastavení diagnostiky pro Azure Cloud Services a virtuální počítače.

Pokud chcete klientům zabránit v zašifrování typů MIME, přidejte do souboru web.config nastavení.

<configuration>
   <system.webServer>
      <httpProtocol>
         <customHeaders>
            <add name="X-Content-Type-Options" value="nosniff" />
         </customHeaders>
      </httpProtocol>
   </system.webServer>
</configuration>

Můžete ho také přidat jako nastavení ve službě IIS. V článku o běžných úlohách po spuštění použijte následující příkaz.

%windir%\system32\inetsrv\appcmd set config /section:httpProtocol /+customHeaders.[name='X-Content-Type-Options',value='nosniff']

Použijte spouštěcí skript služby IIS z článku běžné úlohy po spuštění.

Viz omezení specifická pro službu.

Toto chování je očekávané a nemělo by to způsobit žádný problém s vaší aplikací. Deníkování je zapnuté pro jednotku %approot% ve virtuálních počítačích Azure PaaS, což v podstatě spotřebovává dvojnásobné místo, které soubory obvykle zabírají. Existuje však několik věcí, které byste měli vědět, že v podstatě to změní na problém, který není problém.

Velikost jednotky %approot% se vypočítá jako <velikost .cspkg + maximální velikost deníku + okraj volného místa> nebo 1,5 GB podle toho, co je větší. Velikost virtuálního počítače nemá na tento výpočet žádný vliv. (Velikost virtuálního počítače má vliv jenom na velikost dočasné jednotky C: .)

Zápis na jednotku %approot% se nepodporuje. Pokud píšete na virtuální počítač Azure, musíte to udělat v dočasném prostředku LocalStorage (nebo jiné možnosti, jako je blob storage, Soubory Azure atd.). Množství volného místa ve složce %approot% tedy není smysluplné. Pokud si nejste jistí, jestli vaše aplikace zapisuje na jednotku %approot%, můžete službu nechat běžet několik dní a pak porovnat velikosti "před" a "after". 

Azure na jednotku %approot% nic nezapíše. Jakmile se virtuální pevný disk vytvoří z vašeho .cspkg a připojeného k virtuálnímu počítači Azure, jedinou věcí, která by mohla na tuto jednotku zapisovat, je vaše aplikace. 

Nastavení deníku není možné konfigurovat, takže ho nemůžete vypnout.

Antimalwarové rozšíření můžete povolit pomocí skriptu PowerShellu v úloze po spuštění. Postupujte podle kroků v těchto článcích a implementujte ho:

• Vytvoření spouštěcí úlohy PowerShellu
• Set-AzureServiceAntimalwareExtension

Další informace o scénářích nasazení antimalwaru a o tom, jak ho povolit na portálu, najdete v tématu Scénáře nasazení antimalwaru.

SNI v Cloud Services můžete povolit pomocí jedné z následujících metod:

Metoda 1: Použití PowerShellu

Vazbu SNI je možné nakonfigurovat pomocí rutiny PowerShellu New-WebBinding ve spouštěcí úloze pro instanci role cloudové služby, jak je znázorněno níže:

New-WebBinding -Name $WebsiteName -Protocol "https" -Port 443 -IPAddress $IPAddress -HostHeader $HostHeader -SslFlags $sslFlags

Jak je popsáno zde, $sslFlags může být jednou z následujících hodnot:

Metoda 2: Použití kódu

Vazbu SNI je možné nakonfigurovat také prostřednictvím kódu při spuštění role, jak je popsáno v tomto blogovém příspěvku:

//<code snip> 
                var serverManager = new ServerManager(); 
                var site = serverManager.Sites[0]; 
                var binding = site.Bindings.Add(":443:www.test1.com", newCert.GetCertHash(), "My"); 
                binding.SetAttributeValue("sslFlags", 1); //enables the SNI 
                serverManager.CommitChanges(); 
    //</code snip>

Při použití některého z výše uvedených přístupů musí být příslušné certifikáty (*.pfx) pro konkrétní názvy hostitelů nejprve nainstalovány do instancí rolí pomocí spouštěcí úlohy nebo kódu, aby byla vazba SNI efektivní.

Cloudová služba je klasický prostředek. Značky podporují jenom prostředky vytvořené prostřednictvím Azure Resource Manageru. Značky nemůžete použít u klasických prostředků, jako je cloudová služba.

Pracujeme na přenesení této funkce na webu Azure Portal. Mezitím můžete k získání verze sady SDK použít následující příkazy PowerShellu:

Get-AzureService -ServiceName "<Cloud Service name>" | Get-AzureDeployment | Where-Object -Property SdkVersion -NE -Value "" | select ServiceName,SdkVersion,OSVersion,Slot

Už nasazená cloudová služba se účtuje za výpočetní prostředky a úložiště, které používá. I když virtuální počítač Azure vypnete, stále se vám bude účtovat úložiště.

Tady je postup, jak snížit fakturaci, aniž byste ztratili IP adresu vaší služby:

1. Před odstraněním nasazení si vyhraďte IP adresu . Za tuto IP adresu se vám bude účtovat jenom tato IP adresa. Další informace o fakturaci IP adres najdete v tématu Ceny IP adres.
2. Odstraňte nasazení. Neodstraňovat xxx.cloudapp.net, abyste ho mohli použít pro budoucnost.
3. Pokud chcete cloudovou službu znovu nasadit pomocí stejné rezervované IP adresy, kterou jste si rezervují ve svém předplatném, přečtěte si téma Rezervované IP adresy pro cloudové služby a virtuální počítače.