Problemas de rede e conectividade para Serviços de Nuvem do Azure (clássico): Perguntas frequentes (FAQs)

Primeiro, certifique-se de que a instância de máquina virtual que você está tentando reservar o IP esteja ativada. Segundo, certifique-se de usar IPs reservados para as implantações de preparo e produção. Não altere as configurações enquanto a implantação é atualizada.

Adicione regras para o NSG que permitem o tráfego nas portas 3389 e 20000. A Área de Trabalho Remota usa a porta 3389. Instâncias de serviço de nuvem têm a carga balanceada, de modo que você não pode controlar diretamente a escolha da instância à qual se conectar. Os agentes RemoteForwarder e RemoteAccess gerenciam o tráfego de protocolo RDP e permitem que o cliente envie um cookie RDP e especifique uma instância individual à qual se conectar. Os agentes RemoteForwarder e RemoteAccess exigem que a porta 20000 seja aberta, que poderá ser bloqueada se você tiver um NSG.

Não, não usando o protocolo ICMP/"ping" normal. O protocolo ICMP não é permitido por meio do Azure Load Balancer.

Para testar a conectividade, é recomendável fazer um ping de porta. Enquanto Ping.exe utiliza ICMP, você pode usar outras ferramentas, como PSPing, Nmap e telnet para testar a conectividade com uma porta TCP específica.

Para obter mais informações, consulte Usar pings de porta em vez de ICMP para testar a conectividade de VM do Azure.

O Azure implementa um segurança de rede de várias camadas para proteger seus serviços de plataforma contra ataques de DDoS (negação de serviço distribuída). O sistema de proteção contra DDoS do Azure faz parte do processo de monitoramento contínuo do Azure, que é aprimorado continuamente por meio de teste de penetração. Esse sistema de proteção DDoS foi projetado para resistir não só a ataques externos, como também a de outros locatários do Azure. Para obter mais informações, consulte Segurança de rede do Azure.

Você pode criar uma tarefa de inicialização para bloquear seletivamente alguns endereços IP específicos. Para obter mais informações, consulte Bloquear um endereço IP específico.

Você pode receber a mensagem de erro "Esta conta de usuário expirou" quando você ignora a data de validade configurada nas configurações de RDP. Você pode alterar a data de validade no portal seguindo estas etapas:

1. Entre no portal do Azure, navegue até o seu serviço de nuvem e selecione o guia Área de Trabalho Remota.

2. Selecione o slot de implantação de Produção ou Preparo.

3. Altere a data Expira em e, em seguida, salve a configuração.

Agora você deve ser capaz de fazer RDP para seu computador.

Para obter informações sobre como funciona o balanceador de carga interno, consulte Novo modo de distribuição do Azure Load Balancer.

O algoritmo de distribuição usado é um hash de 5 tuplas (IP de origem, porta de origem, IP de destino, porta de destino e tipo de protocolo) para mapear o tráfego para os servidores disponíveis. Ele fornece permanência somente dentro de uma sessão de transporte. Os pacotes na mesma sessão TCP ou UDP são direcionados para a mesma instância do DIP (IP de Datacenter), atrás do ponto de extremidade de balanceamento de carga. Quando o cliente fecha e reabre a conexão ou inicia uma nova sessão por meio do mesmo IP de origem, a porta de origem é alterada e faz com que o tráfego vá para um ponto de extremidade DIP diferente.

O Módulo de Reescrita de URL do IIS pode ser usado para redirecionar o tráfego que chega na URL padrão do serviço de nuvem (por exemplo, *.cloudapp.net) para alguma URL/Nome DNS personalizada. Como o módulo de Reescrita de URL está habilitado em funções Web por padrão e suas regras são configuradas no web.config do aplicativo, ele está sempre disponível na VM, independentemente de reinicializar/refazer imagens. Para mais informações, consulte:

• Criar regras de reescrita para o Módulo de Reescrita de URL
• Remova o link padrão

Você pode impedir o tráfego de entrada para o padrão de URL/nome do seu serviço da sua nuvem (por exemplo, *.cloudapp.NET). Defina o cabeçalho de host para um nome DNS personalizado (por exemplo, www.MyCloudService.com) na configuração de associação de site no arquivo de definição (*.csdef) do serviço de nuvem, conforme indicado:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="AzureCloudServicesDemo" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
    <WebRole name="MyWebRole" vmsize="Small">
        <Sites>
            <Site name="Web">
            <Bindings>
                <Binding name="Endpoint1" endpointName="Endpoint1" hostHeader="www.MyCloudService.com" />
            </Bindings>
            </Site>
        </Sites>
        <Endpoints>
            <InputEndpoint name="Endpoint1" protocol="http" port="80" />
        </Endpoints>
        <ConfigurationSettings>
            <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
        </ConfigurationSettings>
    </WebRole>
</ServiceDefinition>

Devido a essa associação do cabeçalho do host ser imposta por meio do arquivo csdef, o serviço pode ser acessado somente por meio do nome personalizado “www.MyCloudService.com”. Todas as solicitações de entrada para o domínio “*.cloudapp.net” sempre falham. Se você usar uma sonda SLB personalizada ou um balanceador de carga interno no serviço, bloquear a URL/Nome padrão do serviço poderá interferir no comportamento de investigação.

Para certificar-se de que o endereço IP público do seu serviço de nuvem (também conhecido como VIP) nunca será alterado para que ele possa estar normalmente na lista de permissões por alguns clientes específicos, é recomendável ter um IP reservado associado a ele. Caso contrário, o IP virtual fornecido pelo Azure é desalocado da sua assinatura, se você excluir a implantação. Para a operação de permuta de VIP bem-sucedida, você precisará de IPs reservados individuais para slots de preparo e produção. Sem eles, a operação de troca falhará. Para reservar um endereço IP e associá-lo aos seus Serviços de Nuvem, veja os artigos:

• Reservar o endereço IP de um serviço de nuvem existente
• Associar um IP reservado a um serviço de nuvem usando um arquivo de configuração de serviço

Se você tiver mais de uma instância para suas funções, associar RIP ao seu Serviço de Nuvem não causaria nenhum tempo de inatividade. Como alternativa, pode-se adicionar o intervalo de IP do seu datacenter do Azure a uma lista de permissões. Você pode encontrar todos os intervalos de IP do Azure no Centro de Download da Microsoft.

Esse arquivo contém intervalos de endereços IP (inclusive intervalos de Computação, SQL e Armazenamento) usados em Datacenters do Azure. Um arquivo atualizado que reflete os intervalos atualmente implantados e quaisquer alterações futuras para os intervalos de IP, é postado semanalmente. Novos intervalos que aparecem no arquivo não são usados nos centros de dados por pelo menos uma semana. Baixe o novo arquivo .xml semanalmente e faça as alterações necessárias no seu site para identificar corretamente os serviços em execução no Azure. Os usuários do Azure ExpressRoute podem observar esse arquivo usado para atualizar o anúncio de BGP de espaço do Azure na primeira semana de cada mês.

Os serviços de nuvem não podem ser colocados em redes virtuais do Azure Resource Manager. Redes virtuais do Gerenciador de Recursos e redes virtuais de implantação clássica podem ser conectadas através de emparelhamento. Para obter mais informações, consulte Emparelhamento de rede virtual do Azure.

Você pode usar o script do PS a seguir para obter a lista de IPs públicos para Serviços de Nuvem em sua assinatura

$services = Get-AzureService  | Group-Object -Property ServiceName

foreach ($service in $services)
{
    "Cloud Service '$($service.Name)'"

    $deployment = Get-AzureDeployment -ServiceName $service.Name
    "VIP - " +  $deployment.VirtualIPs[0].Address
    "================================="
}