Włączanie komunikacji HTTPS w usługach Azure Cloud Services (rozszerzona obsługa)

Komunikacja z usługami Microsoft Azure Cloud Services (rozszerzona obsługa) odbywa się przy użyciu protokołu Https (Hypertext Transfer Protocol Secure). W tym artykule omówiono sposób włączania komunikacji HTTPS dla usług Cloud Services (rozszerzona obsługa).

Wymagania wstępne

• Visual Studio.

• Projekt azure Cloud Services (wsparcie dodatkowe) w programie Visual Studio.

• Certyfikat Secure Sockets Layer (SSL) w formacie pliku wymiany informacji osobistych (pfx). Jeśli nie masz jeszcze certyfikatu SSL przypisanego przez urząd certyfikacji, użyj skryptu programu PowerShell, aby samodzielnie przypisać certyfikat do użycia testowego.

• Zasób usługi Azure Key Vault, który znajduje się w tej samej grupie zasobów co zasób usługi Azure Cloud Services (rozszerzona pomoc techniczna). Jeśli jeszcze go nie masz, możesz utworzyć zasób magazynu kluczy przy użyciu witryny Azure Portal.

Ogólne kroki wdrażania projektu

Ogólne kroki wdrażania projektu usług Cloud Services (rozszerzonej pomocy technicznej) na platformie Azure są następujące:

1. Przygotuj certyfikat.

2. Skonfiguruj projekt.

3. Spakuj plik projektu do plików definicji usługi (csdef), konfiguracji usługi (.cscfg) i pakietu usługi (cspkg) usługi w usłudze w chmurze.

4. W razie potrzeby zmień konfigurację zasobu usług Cloud Services (wsparcie dodatkowe). Można na przykład wprowadzić dowolną z następujących modyfikacji:

   1. Zaktualizuj adres URL pakietu.
   2. Skonfiguruj ustawienie adresu URL.
   3. Zaktualizuj ustawienie wpisów tajnych systemu operacyjnego.

5. Wdrażanie i aktualizowanie nowego projektu na platformie Azure.

Uwaga 16.

Projekt można wdrożyć za pomocą kilku różnych metod, takich jak za pomocą następujących narzędzi:

• Visual Studio
• Szablon usługi Azure Resource Manager (szablon usługi ARM)
• Narzędzie ciągłej integracji i ciągłego dostarczania (CI/CD), takie jak Usługa Azure DevOps

Niezależnie od metody wdrażania ogólne kroki wdrażania są takie same.

Pierwsze dwa z tych kroków są niezbędne dla wszystkich metod wdrażania. Te kroki zostały omówione w sekcji Zmiany kodu. Pozostałe kroki są również ważne, ale nie zawsze wymagają ręcznej interwencji użytkownika. Na przykład kroki mogą być wykonywane automatycznie przez narzędzie, takie jak Visual Studio. Ostatnie trzy z tych kroków zostały omówione w sekcji Zmiany konfiguracji.

Zmiany kodu

Aby wprowadzić zmiany kodu w celu przygotowania certyfikatu i skonfigurowania projektu, wykonaj następujące kroki:

1. Postępuj zgodnie z instrukcjami, aby przekazać certyfikat do magazynu kluczy za pomocą kroku 6.

2. Zapisz odcisk palca certyfikatu (40-cyfrowy ciąg szesnastkowy).

3. W pliku konfiguracji usługi (cscfg) projektu dodaj odcisk palca certyfikatu do roli, w której chcesz użyć certyfikatu. Jeśli na przykład chcesz użyć certyfikatu jako certyfikatu SSL do komunikowania się z elementem WebRole, możesz dodać kod XML podobny do następującego fragmentu kodu jako WebRole1 pierwszego elementu głównego ServiceConfiguration :

   <Role name="WebRole1">
     <Instances count="1" />
     <Certificates>
       <Certificate
         name="Certificate1"
         thumbprint="0123456789ABCDEF0123456789ABCDEF01234567"
         thumbprintAlgorithm="sha1"
       />
     </Certificates>
   </Role>
   

   Możesz dostosować nazwę certyfikatu, ale musi być zgodna z nazwą certyfikatu używaną w pliku definicji usługi (csdef).

4. W pliku definicji usługi (csdef) dodaj następujące elementy.

   Nadrzędny XPath	Elementy do dodania	Atrybuty do użycia
   /ServiceDefinition/WebRole/Sites/Site/Bindings	Binding	name, endpointName
   /ServiceDefinition/WebRole/Endpoints	InputEndpoint	name, protocol, port, certificate
   /ServiceDefinition/WebRole	Certificates/Certificate	name, storeLocation, storeName, permissionLevel

   Element Certificates musi zostać dodany bezpośrednio po tagu zamykającym Endpoints . Nie zawiera żadnych atrybutów. Zawiera tylko elementy podrzędne Certificate .

   Na przykład plik definicji usługi może przypominać następujący kod XML:

   <?xml version="1.0" encoding="utf-8"?>
   <ServiceDefinition name="CSESOneWebRoleHTTPS" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
     <WebRole name="WebRole1" vmsize="Standard_D1_v2">
       <Sites>
         <Site name="Web">
           <Bindings>
             <Binding name="Endpoint1" endpointName="Endpoint1" />
             <Binding name="HttpsIn" endpointName="HttpsIn" />
           </Bindings>
         </Site>
       </Sites>
       <Endpoints>
         <InputEndpoint name="Endpoint1" protocol="http" port="80" />
         <InputEndpoint name="HttpsIn" protocol="https" port="443" certificate="Certificate1" />
       </Endpoints>
       <Certificates>
         <Certificate name="Certificate1" storeLocation="LocalMachine" storeName="My" permissionLevel="limitedOrElevated" />
       </Certificates>
     </WebRole>
   </ServiceDefinition>
   

   W tym przykładzie plik definicji usługi jest modyfikowany w celu powiązania wejściowego punktu końcowego HttpsIn protokołu HTTPS na porcie 443. Używa certyfikatu Certificate1 dla magazynu, który ma nazwę My i lokalizację LocalMachine tylko dla ograniczonego lub podwyższonego poziomu uprawnień. Nazwy certyfikatów w elementach InputEndpoint i Certificate są zgodne ze sobą. Są one również zgodne z nazwą certyfikatu, która została użyta w pliku konfiguracji usługi (cscfg) z poprzedniego kroku.

Zmiany konfiguracji

Instrukcje dotyczące zmiany konfiguracji usługi w chmurze różnią się w zależności od sposobu wdrożenia usługi w chmurze. Te instrukcje są wyświetlane na poniższych kartach. Każda karta reprezentuje inną metodę wdrażania.

Portal

Przed kontynuowaniem zobacz Wdrażanie usług Azure Cloud Services (wsparcie dodatkowe) przy użyciu witryny Azure Portal. Następnie wykonaj następujące kroki, aby wprowadzić prawidłowe zmiany konfiguracji w witrynie Azure Portal:

1. Przejdź do wpisu w blogu zatytułowanego Manual migration from classic Cloud Service to Cloud Service Extended Support with ARM template (Migracja ręczna z klasycznej usługi w chmurze do rozszerzonej obsługi usługi w chmurze przy użyciu szablonu arm) i wykonaj kroki od 7 do 9. Te instrukcje pokazują, jak wykonać następujące czynności:

   • Spakuj projekt.

   • Przekaż wygenerowany pakiet usługi (<project-name.cspkg>) i konfigurację usługi w chmurze (ServiceConfiguration.Cloud.cscfg) do kontenera konta magazynu dla usługi w chmurze.

     Uwaga 16.

     Musisz również przekazać plik definicji usługi (ServiceDefinition.csdef) przy użyciu tego samego procesu, który został opisany dla pozostałych dwóch plików.

   • Wygeneruj adres URL sygnatury dostępu współdzielonego (SAS) dla każdego przekazanego pliku.

2. W witrynie Azure Portal wróć do strony Przegląd usługi w chmurze, a następnie wybierz pozycję Aktualizuj.

3. Na stronie Aktualizowanie usługi w chmurze wprowadź następujące zmiany na karcie Podstawy:

   1. W polu Lokalizacja definicji pakietu/konfiguracji/usługi wybierz pozycję Z obiektu blob.

   2. W polu Przekaż pakiet (.cspkg, .zip) wykonaj następujące kroki:

      1. Wybierz link Przeglądaj.
      2. Wybierz konto magazynu i kontener, do którego zostały przekazane pliki.
      3. Na stronie kontenera wybierz odpowiedni plik (w tym przypadku project-name.cspkg>), a następnie wybierz przycisk Wybierz.<

   3. W polu Przekaż konfigurację (cscfg) (i plik ServiceConfiguration.Cloud.cscfg) powtórz podprocedurę opisaną w poprzednim kroku.

   4. W polu Przekaż definicję usługi (csdef) (i plik ServiceDefinition.csdef) powtórz ponownie podprocedure.

4. Wybierz kartę Konfiguracja.

5. W polu Magazyn kluczy wybierz magazyn kluczy, w którym przekazano certyfikat (wcześniej w sekcji Zmiany kodu). Po znalezieniu certyfikatu w wybranym magazynie kluczy wyświetlony zostanie stan znaleziono.

6. Aby wdrożyć nowo skonfigurowany projekt, wybierz przycisk Aktualizuj .

Program PowerShell

Przed kontynuowaniem zobacz Wdrażanie usługi w chmurze (rozszerzona obsługa) przy użyciu programu Azure PowerShell. Następnie wykonaj następujące kroki, aby wprowadzić zmiany konfiguracji za pomocą skryptu programu PowerShell:

1. Przejdź do wpisu w blogu zatytułowanego Manual migration from classic Cloud Service to Cloud Service Extended Support with ARM template (Migracja ręczna z klasycznej usługi w chmurze do rozszerzonej obsługi usługi w chmurze przy użyciu szablonu arm) i wykonaj kroki od 7 do 9. Te instrukcje pokazują, jak wykonać następujące czynności:

   • Spakuj projekt.

   • Przekaż wygenerowany plik pakietu usługi (<project-name.cspkg>) do kontenera konta magazynu dla usługi w chmurze.

     Uwaga 16.

     Pomimo tego, co zostało określone w instrukcjach, nie musisz przekazywać pliku konfiguracji usługi w chmurze (ServiceConfiguration.Cloud.cscfg). W tym miejscu należy przekazać tylko plik pakietu usługi.

   • Wygeneruj adres URL sygnatury dostępu współdzielonego (SAS) dla przekazanego pliku pakietu usługi.

2. Zaloguj się do platformy Azure, uruchamiając polecenie cmdlet Connect-AzAccount .

3. W poniższym skrypcie programu PowerShell zastąp symbole zastępcze na początku skryptu rzeczywistymi wartościami dla każdej zmiennej, a następnie uruchom skrypt, aby zaktualizować usługę w chmurze:

   # Enter values for placeholders in the following variables.
   $vaultName = "<key-vault-resource-name>"
   $resourceGroupKeyVault = "<resource-group-name-where-key-vault-is-deployed>"
   $certificateName = "<name-of-certificate-saved-in-key-vault>"
   $cloudService = @{
       Name = "<name-of-cloud-service>"
       ResourceGroupName = "<resource-group-name-where-cloud-service-is-deployed>"
       SubscriptionId = "<subscription-guid>"
   }
   $cscfgFilePath = "<local-path-to-your-service-configuration-file-cscfg>"
   $cspkgUrl = "<sas-token-url-of-the-service-package-file-cspkg>"
   
   # Code execution
   $keyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $resourceGroupKeyVault
   $certificate = Get-AzKeyVaultCertificate -VaultName $vaultName -Name $certificateName
   $vaultSecretGroupObject = @{
       CertificateUrl = $certificate.SecretId
       Id = $keyVault.ResourceId
   }
   $secretGroup = New-AzCloudServiceVaultSecretGroupObject @vaultSecretGroupObject
   $osProfile = @{secret = @($secretGroup)}
   
   $cses = Get-AzCloudService @cloudService
   $cses.Configuration = Get-Content $cscfgFilePath | Out-String
   $cses.PackageUrl = $cspkgUrl
   $cses.OSProfile = $osProfile
   $cses | Update-AzCloudService
   

Szablon usługi Resource Manager

Przed kontynuowaniem zobacz Wdrażanie usługi w chmurze (rozszerzona obsługa) przy użyciu szablonów usługi ARM. Następnie wykonaj następujące kroki, aby skonfigurować szablon usługi ARM:

1. Przejdź do wpisu w blogu zatytułowanego Manual migration from classic Cloud Service to Cloud Service Extended Support with ARM template (Migracja ręczna z klasycznej usługi w chmurze do rozszerzonej obsługi usługi w chmurze przy użyciu szablonu arm) i wykonaj kroki od 7 do 10. Te instrukcje pokazują, jak wykonać następujące czynności:

   • Spakuj projekt.

   • Przekaż wygenerowany pakiet usługi (<project-name.cspkg>) i konfigurację usługi w chmurze (ServiceConfiguration.Cloud.cscfg) do kontenera konta magazynu dla usługi w chmurze.

   • Wygeneruj adres URL sygnatury dostępu współdzielonego (SAS) dla każdego przekazanego pliku.

   • Pobierz następujące wartości ze strony certyfikatu magazynu kluczy w witrynie Azure Portal:

     • Adres URL certyfikatu usługi Key Vault
     • Identyfikator subskrypcji
     • Nazwa grupy zasobów, w której wdrożono magazyn kluczy
     • Nazwa usługi dla magazynu kluczy

   W oryginalnym szablonie usługi ARM dla usługi w chmurze znajdź osProfile właściwość . Jeśli oryginalny projekt usługi w chmurze obsługuje tylko komunikację HTTP, właściwość jest pusta osProfile ("osProfile": {}). Aby umożliwić usłudze w chmurze pobranie poprawnego certyfikatu z odpowiedniego magazynu kluczy, określ magazyn kluczy, którego chcesz użyć w szablonie usługi ARM. Możesz użyć parametru do reprezentowania tej wartości. Możesz też zakodować wartość w szablonie usługi ARM, jak pokazano w poniższym przykładzie:

   "osProfile": {
     "secrets": [
       {
         "sourceVault": {
           "id": "/subscriptions/88889999-aaaa-bbbb-cccc-ddddeeeeffff/resourceGroups/cstocses/providers/Microsoft.KeyVault/vaults/cstocses"
         },
         "vaultCertificates": [
           {
             "certificateUrl": "https://cstocses.vault.azure.net/secrets/csescert/0123456789abcdef0123456789abcdef"
           }
         ]
       }
     ]
   }
   

   W tekście JSON szablonu id usługi ARM wartość w sourceVault parametrze jest częścią adresu URL strony usługi Key Vault w witrynie Azure Portal. Wartość certificateUrl to adres URL certyfikatu magazynu kluczy, który został znaleziony wcześniej. Formaty tekstowe tych wartości są wyświetlane w poniższej tabeli.

   Parametr	Format
   Identyfikator magazynu źródłowego	/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<key-vault-name>
   Adres URL certyfikatu usługi Key Vault	https://<key-vault-name>.vault.azure.net/secrets/<certificate-name>/<certificate-secret>

2. Wdróż zaktualizowany szablon usługi ARM zawierający nowe parametry, takie jak token sygnatury dostępu współdzielonego pakietu, token SAS konfiguracji i nie tylko. Aby zobaczyć, jak zadeklarować i określić te parametry, możesz przejrzeć przykładowy plik szablonu usługi ARM i przykładowy plik parametrów szablonu usługi ARM. Następnie poczekaj na zakończenie wdrożenia.

Uwaga 16.

Jeśli zostanie wyświetlony komunikat o błędzie informujący, że publiczny adres IP jest używany, usuń publiczny adres IP z pliku konfiguracji usługi (cscfg) i pliku parametrów szablonu usługi ARM. Nie usuwaj deklaracji publicznego adresu IP z samego pliku szablonu usługi ARM.

C#

Przed kontynuowaniem zobacz Wdrażanie usług Cloud Services (wsparcie dodatkowe) przy użyciu zestawu Azure SDK.

Uwaga 16.

Ta sekcja zawiera kod przepisany z oficjalnego przykładowego kodu zestawu SDK, który można znaleźć na przykładowej stronie kodu usługi GitHub dla usług Azure Cloud Services (rozszerzona pomoc techniczna).

W tej sekcji opisano sposób używania zestawu Azure SDK i języka C# do wprowadzania poprawnych zmian konfiguracji. Aby pomyślnie użyć zestawu SDK do wdrożenia projektu usługi w chmurze i zmodyfikowania powiązanej konfiguracji, należy zarejestrować aplikację w identyfikatorze Entra firmy Microsoft. Aby przeprowadzić rejestrację, zobacz artykuł Tworzenie aplikacji i jednostki usługi Microsoft Entra przy użyciu portalu, które mogą uzyskiwać dostęp do zasobów . W poniższej tabeli przedstawiono konkretne kroki, które należy wykonać, oraz odpowiednią podsekcję do przeczytania w tym artykule.

Krok	Link podsekcji
Przypisywanie subskrypcji roli właściciela aplikacji	Przypisywanie roli do aplikacji
Kopiowanie identyfikatora dzierżawy i identyfikatora aplikacji	Pobieranie wartości identyfikatora dzierżawy i aplikacji na potrzeby logowania
Tworzenie i kopiowanie nowego wpisu tajnego aplikacji	Opcja 2. Tworzenie nowego wpisu tajnego aplikacji
Skonfiguruj zasady dostępu dla magazynu kluczy i przyznaj aplikacji uprawnienia (co najmniej do odczytu) w celu uzyskania dostępu do certyfikatu	Konfigurowanie zasad dostępu dla zasobów

Wykonaj następujące kroki, aby wprowadzić prawidłowe zmiany konfiguracji:

1. Przejdź do wpisu w blogu zatytułowanego Manual migration from classic Cloud Service to Cloud Service Extended Support with ARM template (Migracja ręczna z klasycznej usługi w chmurze do rozszerzonej pomocy technicznej usługi w chmurze z szablonem ARM) i wykonaj kroki od 7 do 10. Te instrukcje pokazują, jak wykonać następujące czynności:

   • Spakuj projekt.

   • Przekaż wygenerowany plik pakietu usługi (<project-name.cspkg>) do kontenera konta magazynu dla usługi w chmurze.

     Uwaga 16.

     Pomimo tego, co zostało określone w instrukcjach, nie musisz przekazywać pliku konfiguracji usługi w chmurze (ServiceConfiguration.Cloud.cscfg). W tym miejscu należy przekazać tylko plik pakietu usługi.

   • Wygeneruj adres URL sygnatury dostępu współdzielonego (SAS) dla przekazanego pliku pakietu usługi.

   • Pobierz następujące wartości ze strony certyfikatu magazynu kluczy w witrynie Azure Portal:

     • Adres URL certyfikatu usługi Key Vault
     • Identyfikator subskrypcji
     • Nazwa grupy zasobów, w której wdrożono magazyn kluczy
     • Nazwa usługi dla magazynu kluczy

2. Pobierz przykładowy projekt (skompresowany plik archiwum) i wyodrębnij jego zawartość.

3. Otwórz plik SDKSample\CreateCloudService\CreateCloudService\LoginHelper.cs w edytorze tekstów. W metodzie InitializeServiceClient zastąp wartości tenantIdzmiennych , clientIdi clientCredentials string odpowiednio wartościami identyfikatora dzierżawy, identyfikatora aplikacji i wpisu tajnego aplikacji. Te wartości są wartościami skopiowanymi podczas rejestrowania aplikacji.

4. Otwórz plik SDKSample\CreateCloudService\CreateCloudService\Program.cs w edytorze tekstów. W metodzie Main zastąp niektóre zainicjowane wartości zmiennych zadeklarowanych na początku metody. W poniższej tabeli przedstawiono nazwy zmiennych i wartości, których należy użyć.

   Nazwa zmiennej	Nowa wartość
   m_subId	Identyfikator subskrypcji, która zawiera usługę w chmurze
   csrgName	Nazwa grupy zasobów zawierającej usługę w chmurze
   csName	Nazwa zasobu usługi w chmurze
   kvrgName	Nazwa grupy zasobów zawierającej zasób magazynu kluczy
   kvName	Nazwa zasobu magazynu kluczy
   kvsubid	Identyfikator subskrypcji zawierającej magazyn kluczy (może się to różnić od identyfikatora subskrypcji usługi w chmurze)
   secretidentifier	Adres URL certyfikatu magazynu kluczy
   filename	Ścieżka lokalna do pliku konfiguracji usługi (ServiceConfiguration.Cloud.cscfg)
   packageurl	Adres URL sygnatury dostępu współdzielonego dla pliku pakietu usługi (project-name.cspkg>)<

5. W okienku Eksplorator rozwiązań programu Visual Studio kliknij prawym przyciskiem myszy węzeł projektu, a następnie wybierz pozycję Zarządzaj pakietami NuGet. Na karcie Przeglądaj wyszukaj, wybierz i zainstaluj następujące pakiety:

   • Microsoft.Azure.Management.ResourceManager
   • Microsoft.Azure.Management.Compute
   • Microsoft.Azure.Management.Storage
   • Azure.Identity
   • Microsoft.Rest.ClientRuntime.Azure.Authentication

6. Uruchom projekt, a następnie zaczekaj na wyświetlenie komunikatów w okienku Dane wyjściowe . Jeśli w okienku zostanie wyświetlony komunikat "Exit with code 0", aktualizacja i wdrożenie powinny działać pomyślnie. Jeśli zostanie wyświetlony komunikat "Exit with code 1", może być konieczne sprawdzenie komunikatów o błędach w celu przejrzenia wszelkich problemów.

Program Visual Studio

Przed kontynuowaniem zobacz Tworzenie i wdrażanie w usługach Cloud Services (rozszerzona obsługa) w programie Visual Studio.

W programie Visual Studio musisz wprowadzić dwie zmiany konfiguracji. Skonfigurowano konfigurację usługi tak, aby kontekst lokalny był zgodny z kontekstem chmury, a następnie określasz, gdzie znajduje się magazyn kluczy.

W przypadku konfiguracji usługi skopiuj zawartość kontekstu chmury ( plik ServiceConfiguration.Cloud.cscfg ) i wklej je w kontekście lokalnym ( plik ServiceConfiguration.Local.cscfg ). Czy masz inną konfigurację, czy nadal potrzebujesz lokalnego pliku konfiguracji dla innych zastosowań? Jeśli dowolny warunek ma wartość true, zachowaj certificate elementy z istniejącego kontekstu lokalnego.

W okienku Eksplorator rozwiązań programu Visual Studio kliknij prawym przyciskiem myszy węzeł projektu, a następnie wybierz polecenie Publikuj. Przejdź do kreatora Publikowanie aplikacja systemu Azure, dopóki nie zostanie wyświetlona karta Ustawienia. Na tej karcie ustaw pole Magazynu kluczy na lokalizację, w której jest zapisywany magazyn kluczy. Na koniec wybierz przycisk Publikuj , a następnie poczekaj na zakończenie wdrożenia.

Po wprowadzeniu zmian konfiguracji klienci będą mogli komunikować się z witryną internetową usług w chmurze przy użyciu protokołu HTTPS. Jeśli certyfikat jest podpisany samodzielnie, przeglądarka może zgłosić ostrzeżenie, że certyfikat nie jest bezpieczny, ale przeglądarka nie zablokuje połączenia.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.