Problémy s konfigurací a správou pro Azure Cloud Services (classic): Nejčastější dotazy

Doporučujeme zákazníkům nainstalovat celý řetěz certifikátů (listový certifikát, zprostředkující certifikáty a kořenový certifikát) místo certifikátu typu list. Při instalaci pouze listového certifikátu spoléháte na Systém Windows, abyste vytvořili řetěz certifikátů procházením seznamu důvěryhodnosti certifikátu (CTL). Pokud dochází k přerušovaným problémům se sítí nebo dns (Domain Name System) v Azure nebo služba Windows Update při pokusu o ověření certifikátu ve Windows, může být certifikát považován za neplatný. Při instalaci úplného řetězu certifikátů se můžete tomuto problému vyhnout. Blog na webu How to install a chained SSL certificate shows how to install the full certificate chain.

Tyto certifikáty se automaticky vytvoří při každém přidání rozšíření do cloudové služby. Nejčastěji se jedná o rozšíření WAD nebo rozšíření RDP, ale může to být i jiné, například antimalwarové rozšíření nebo rozšíření kolektoru protokolů. Tyto certifikáty se používají pouze k šifrování a dešifrování privátní konfigurace rozšíření. Datum vypršení platnosti se nikdy nekontroluje, takže nezáleží na tom, jestli vypršela platnost certifikátu. 

Tyto certifikáty můžete ignorovat. Pokud chcete certifikáty vyčistit, můžete zkusit je všechny odstranit. Azure vyvolá chybu, pokud se pokusíte odstranit certifikát, který se používá.

Projděte si následující dokument s pokyny:

Získání certifikátu pro použití s weby Microsoft Azure (WAWS)

CSR je jenom textový soubor. Není nutné ho vytvářet z počítače určeného k použití certifikátu. I když je tento dokument napsaný pro službu App Service, vytvoření CSR je obecné a platí také pro cloudové služby.

K obnovení certifikátů pro správu můžete použít následující příkazy PowerShellu:

Add-AzureAccount
Select-AzureSubscription -Current -SubscriptionName <your subscription name>
Get-AzurePublishSettingsFile

Get-AzurePublishSettingsFile vytvoří nový certifikát pro správu v certifikátech správy předplatného>na webu Azure Portal. Název nového certifikátu vypadá takto: YourSubscriptionNam]-[CurrentDate]-credentials.

Tuto úlohu můžete automatizovat pomocí spouštěcího skriptu (batch/cmd/PowerShell) a zaregistrovat tento spouštěcí skript v definičním souboru služby. Přidejte spouštěcí skript i soubor certificate(.p7b) do složky projektu stejného adresáře spouštěcího skriptu.

Tento certifikát slouží k šifrování klíčů počítače ve webových rolích Azure. Další informace najdete v tomto poradci.

Další informace najdete v následujících článcích:

• Konfigurace a spuštění úloh po spuštění pro cloudovou službu
• Běžné úlohy spuštění cloudových služeb

Brzy bude možné vygenerovat nový certifikát pro protokol RDP (Remote Desktop Protocol). Případně můžete spustit tento skript:

$cert = New-SelfSignedCertificate -DnsName yourdomain.cloudapp.net -CertStoreLocation "cert:\LocalMachine\My" -KeyLength 20 48 -KeySpec "KeyExchange"
$password = ConvertTo-SecureString -String "your-password" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath ".\my-cert-file.pfx" -Password $password

Možnost zvolit objekt blob nebo místní umístění pro umístění pro nahrávání csdef a cscfg bude brzy k dispozici. Pomocí Rutiny New-AzureDeployment můžete nastavit každou hodnotu umístění.

Schopnost monitorovat metriky na úrovni instance Další možnosti monitorování jsou k dispozici v článku Jak monitorovat cloudové služby.

Vyčerpali jste kvótu místního úložiště pro zápis do adresáře protokolu. Pokud chcete tento problém vyřešit, můžete udělat jednu ze tří věcí:

• Povolte diagnostiku pro službu IIS a pravidelně se přesouvají do úložiště objektů blob.
• Ručně odeberte soubory protokolu z adresáře protokolování.
• Zvýšení limitu kvóty pro místní prostředky

Další informace najdete v následujících dokumentech:

• Ukládání a zobrazení diagnostických dat v Azure Storage
• Protokoly SLUŽBY IIS přestanou zapisovat do cloudové služby

Protokolování diagnostiky Microsoft Azure (WAD) můžete povolit pomocí následujících možností:

1. Povolení v sadě Visual Studio
2. Povolení prostřednictvím kódu .NET
3. Povolení prostřednictvím PowerShellu

Pokud chcete získat aktuální nastavení WAD cloudové služby, můžete použít rutinu PowerShellu Get-AzureServiceDiagnosticsExtensions nebo ji můžete zobrazit prostřednictvím portálu v okně Cloud Services –> Rozšíření.

V souboru definice služby (csdef) můžete zadat časový limit takto:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="mgVS2015Worker" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
  <WorkerRole name="WorkerRole1" vmsize="Small">
    <ConfigurationSettings>
      <Setting name="Microsoft.WindowsAzure.Plugins.Diagnostics.ConnectionString" />
    </ConfigurationSettings>
    <Imports>
      <Import moduleName="RemoteAccess" />
      <Import moduleName="RemoteForwarder" />
    </Imports>
    <Endpoints>
      <InputEndpoint name="Endpoint1" protocol="tcp" port="10100"   idleTimeoutInMinutes="30" />
    </Endpoints>
  </WorkerRole>

Další informace najdete v tématu Nový: Konfigurovatelný časový limit nečinnosti pro Azure Load Balancer .

Pokud chcete nastavit statickou IP adresu, musíte vytvořit vyhrazenou IP adresu. Tuto rezervovanou IP adresu je možné přidružit k nové cloudové službě nebo k existujícímu nasazení. Podrobnosti najdete v následujících dokumentech:

• Vytvoření rezervované IP adresy
• Rezervace IP adresy existující cloudové služby
• Přidružení rezervované IP adresy k nové cloudové službě
• Přidružení rezervované IP adresy ke spuštěnému nasazení
• Přidružení rezervované IP adresy ke cloudové službě pomocí konfiguračního souboru služby

Azure má IPS/IDS na fyzických serverech datacentra, aby se chránila před hrozbami. Kromě toho můžou zákazníci nasazovat řešení zabezpečení jiných společností než Microsoft, jako jsou brány firewall webových aplikací, síťové brány firewall, antimalware, detekce neoprávněných vniknutí, systémy prevence (IDS/IPS) a další. Další informace najdete v tématu Ochrana dat a prostředků a dodržování globálních standardů zabezpečení.

Microsoft nepřetržitě monitoruje servery, sítě a aplikace a zjišťuje hrozby. Přístup pro správu multiprongovaných hrozeb v Azure využívá detekci neoprávněných vniknutí, prevenci útoků DDoS (Distributed Denial-of-Service), testování průniku, analýzu chování, detekci anomálií a strojové učení k neustálému posílení ochrany a snížení rizik. Microsoft Antimalware pro Azure chrání cloudové služby Azure a virtuální počítače. Kromě toho můžete nasadit řešení zabezpečení jiných společností než Microsoft, jako jsou požáry webových aplikací, síťové brány firewall, antimalwarové systémy, detekce vniknutí a prevence (IDS/IPS) a další.

Windows 10 a Windows Server 2016 mají podporu protokolu HTTP/2 na straně klienta i serveru. Pokud se váš klient (prohlížeč) připojuje k serveru IIS přes protokol TLS (Transport Layer Security), který vyjednává protokol HTTP/2 prostřednictvím rozšíření PROTOKOLU TLS, nemusíte provádět žádné změny na straně serveru. Nemusíte provádět změny, protože hlavička h2-14 určující použití protokolu HTTP/2 se ve výchozím nastavení odesílá přes protokol TLS. Pokud váš klient odesílá hlavičku upgradu na upgrade na HTTP/2, musíte na straně serveru provést následující změnu, abyste zajistili, že upgrade funguje a že skončíte s připojením HTTP/2.

1. Spusťte regedit.exe.
2. Vyhledejte klíč registru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters.
3. Vytvořte novou hodnotu DWORD s názvem DuoEnabled.
4. Nastavte jeho hodnotu na 1.
5. Restartujte server.
6. Přejděte do části Vazby na výchozím webu a vytvořte novou vazbu TLS s certifikátem podepsaným svým držitelem, který jste vytvořili.

Další informace naleznete v tématu:

• HTTP/2 ve službě IIS
• Video: HTTP/2 ve Windows 10: Prohlížeč, Aplikace a Webový server

Tyto kroky je možné automatizovat prostřednictvím spouštěcí úlohy, takže při každém vytvoření nové instance PaaS může provést předchozí změny v systémovém registru. Další informace naleznete v tématu Postup konfigurace a spuštění úloh spouštění pro cloudovou službu.

Po dokončení můžete ověřit, jestli je protokol HTTP/2 povolený nebo ne, pomocí jedné z následujících metod:

• Povolte verzi protokolu v protokolech služby IIS a podívejte se na protokoly služby IIS. V protokolech se zobrazí PROTOKOL HTTP/2.
• Povolte vývojářský nástroj F12 v Internet Exploreru nebo Microsoft Edgi a přepněte na kartu Síť. Tady můžete protokol ověřit.

Další informace najdete v tématu HTTP/2 ve službě IIS.

Cloud Services nepodporuje model řízení přístupu na základě role v Azure, protože se nejedná o službu založenou na Azure Resource Manageru.

Přečtěte si informace o různých rolích v Azure.

Microsoft se řídí přísným procesem, který neumožňuje interním technikům vzdálenou plochu do cloudové služby bez písemného oprávnění (e-mailu nebo jiné písemné komunikace) od vlastníka nebo jejich návrhu.

K této chybě může dojít, pokud použijete soubor RDP z počítače, který je připojený k Microsoft Entra ID. Pokud chcete tento problém vyřešit, postupujte následovně:

1. Klikněte pravým tlačítkem myši na soubor RDP, který jste stáhli, a pak vyberte Upravit.
2. Před uživatelské jméno přidejte předponu \. Například místo uživatelského jména použijte .\username.

Vaše předplatné Azure má limit počtu jader, která můžete použít. Škálování nefunguje, pokud jste použili všechna dostupná jádra. Pokud máte například limit 100 jader, znamená to, že pro cloudové služby můžete mít 100 instancí virtuálních počítačů s velikostí 100 A1 nebo 50 instancí virtuálních počítačů s velikostí 50 A2.

Automatické škálování na základě metrik paměti pro cloudové služby se v současné době nepodporuje.

Tento problém můžete vyřešit pomocí Application Insights. Automatické škálování podporuje Application Insights jako zdroj metrik a může škálovat počet instancí role na základě metrik hosta, jako je paměť. Musíte nakonfigurovat Application Insights v souboru balíčku projektu cloudové služby (*.cspkg) a povolit rozšíření Azure Diagnostics ve službě k implementaci tohoto výkonu.

Další informace o využití vlastní metriky prostřednictvím Application Insights ke konfiguraci automatického škálování v cloudových službách najdete v tématu Začínáme s automatickým škálováním podle vlastní metriky v Azure.

Další informace o integraci diagnostiky Azure s Application Insights pro cloudové služby najdete v tématu Odesílání diagnostických dat cloudových služeb, virtuálních počítačů nebo Service Fabric do Application Insights.

Další informace o povolení Application Insights pro cloudové služby najdete v tématu Application Insights pro Azure Cloud Services.

Další informace o povolení protokolování diagnostiky Azure pro cloudové služby najdete v tématu Nastavení diagnostiky pro Azure Cloud Services a virtuální počítače.

Pokud chcete klientům zabránit v zašifrování typů MIME, přidejte do souboru web.config nastavení.

<configuration>
   <system.webServer>
      <httpProtocol>
         <customHeaders>
            <add name="X-Content-Type-Options" value="nosniff" />
         </customHeaders>
      </httpProtocol>
   </system.webServer>
</configuration>

Můžete ho také přidat jako nastavení ve službě IIS. V článku o běžných úlohách po spuštění použijte následující příkaz.

%windir%\system32\inetsrv\appcmd set config /section:httpProtocol /+customHeaders.[name='X-Content-Type-Options',value='nosniff']

Použijte spouštěcí skript služby IIS z článku běžné úlohy po spuštění.

Viz omezení specifická pro službu.

Toto chování se očekává a nemělo by to způsobit žádný problém s vaší aplikací. Deníkování je zapnuté pro jednotku %approot% ve virtuálních počítačích Azure PaaS, což v podstatě spotřebovává dvojnásobné místo, které soubory obvykle zabírají. Je však potřeba vědět o několika věcech, které tuto událost změní na nonissue.

Velikost jednotky %approot% se vypočítá jako <velikost .cspkg + maximální velikost deníku + okraj volného místa> nebo 1,5 GB podle toho, co je větší. Velikost virtuálního počítače nemá na tento výpočet žádný vliv. (Velikost virtuálního počítače má vliv jenom na velikost dočasné jednotky C: .)

Zápis na jednotku %approot% se nepodporuje. Pokud píšete na virtuální počítač Azure, musíte to udělat v dočasném prostředku LocalStorage (nebo jiné možnosti, jako je blob storage, Soubory Azure atd.). Množství volného místa ve složce %approot% tedy není smysluplné. Pokud si nejste jistí, jestli vaše aplikace zapisuje na jednotku %approot%, můžete službu nechat běžet několik dní a pak porovnat velikosti "před" a "after". 

Azure nic nenapisuje na jednotku %approot%. Po vytvoření virtuálního pevného disku (VHD) z virtuálního .cspkg počítače Azure a jeho připojení k virtuálnímu počítači Azure je jedinou věcí, která by mohla na tuto jednotku zapisovat, je vaše aplikace. 

Nastavení deníku je nekonfigurovatelné, takže ho nemůžete vypnout.

Antimalwarové rozšíření můžete povolit pomocí skriptu PowerShellu v úloze po spuštění. Pokud ho chcete implementovat, postupujte podle kroků v těchto článcích:

• Vytvoření spouštěcí úlohy PowerShellu
• Set-AzureServiceAntimalwareExtension

Další informace o scénářích nasazení antimalwaru a o tom, jak ho povolit na portálu, najdete v tématu Scénáře nasazení antimalwaru.

SNI v Cloud Services můžete povolit pomocí jedné z následujících metod:

Metoda 1: Použití PowerShellu

Vazbu SNI je možné nakonfigurovat pomocí následující rutiny PowerShellu New-WebBinding v spouštěcí úloze pro instanci role cloudové služby:

New-WebBinding -Name $WebsiteName -Protocol "https" -Port 443 -IPAddress $IPAddress -HostHeader $HostHeader -SslFlags $sslFlags

Jak je popsáno tady, $sslFlags může být jedna z následujících hodnot:

Metoda 2: Použití kódu

Vazbu SNI je možné nakonfigurovat také prostřednictvím kódu při spuštění role, jak je popsáno v tomto blogovém příspěvku:

//<code snip> 
                var serverManager = new ServerManager(); 
                var site = serverManager.Sites[0]; 
                var binding = site.Bindings.Add(":443:www.test1.com", newCert.GetCertHash(), "My"); 
                binding.SetAttributeValue("sslFlags", 1); //enables the SNI 
                serverManager.CommitChanges(); 
    //</code snip>

Při použití některého z předchozích přístupů musí být příslušné certifikáty (*.pfx) pro konkrétní názvy hostitelů nejprve nainstalovány v instancích rolí pomocí spouštěcí úlohy nebo kódu, aby byla vazba SNI efektivní.

Cloudová služba je klasický prostředek. Značky podporují jenom prostředky vytvořené prostřednictvím Azure Resource Manageru. Značky nemůžete použít u klasických prostředků, jako je cloudová služba.

Pracujeme na přenesení této funkce na webu Azure Portal. Mezitím můžete k získání verze sady SDK použít následující příkazy PowerShellu:

Get-AzureService -ServiceName "<Cloud Service name>" | Get-AzureDeployment | Where-Object -Property SdkVersion -NE -Value "" | select ServiceName,SdkVersion,OSVersion,Slot

Už nasazená cloudová služba se účtuje za výpočetní prostředky a úložiště, které používá. I když virtuální počítač Azure vypnete, stále se vám budou účtovat poplatky za úložiště.

Tady je postup, jak snížit fakturaci, aniž byste ztratili IP adresu vaší služby:

1. Před odstraněním nasazení si vyhraďte IP adresu . Azure vám účtuje jenom tuto IP adresu. Další informace o fakturaci IP adres najdete v tématu Ceny IP adres.
2. Odstraňte nasazení. Neodstraňovat xxx.cloudapp.net, abyste ho mohli použít pro budoucnost.
3. Pokud chcete cloudovou službu znovu nasadit pomocí stejné rezervované IP adresy, kterou jste si rezervují ve svém předplatném, přečtěte si téma Rezervované IP adresy pro cloudové služby a virtuální počítače.