Включение связи HTTPS в Azure Облачные службы (расширенная поддержка)

Статья
04/13/2024

Обмен данными с Облачные службы Microsoft Azure (расширенная поддержка) выполняется с помощью протокола HTTPS. В этой статье описывается, как включить связь HTTPS для Облачные службы (расширенная поддержка).

Предварительные требования

Visual Studio.
Проект Azure Облачные службы (расширенная поддержка) в Visual Studio.
Сертификат SSL в формате PFX. Если у вас еще нет SSL-сертификата, назначенного ЦС, используйте скрипт PowerShell для самостоятельного назначения сертификата для тестового использования.
Ресурс Azure Key Vault, который находится в той же группе ресурсов, что и ресурс Azure Облачные службы (расширенная поддержка). Если у вас еще нет ресурса, можно создать ресурс хранилища ключей с помощью портал Azure.

Общие шаги по развертыванию проекта

Общие действия по развертыванию проекта Облачные службы (расширенная поддержка) в Azure приведены ниже.

Подготовьте сертификат.
Настройте проект.
Упаковайте файл проекта в файлы определения службы (CSDEF), конфигурации службы (CSCFG) и пакета службы (CSPKG) облачной службы.
При необходимости измените конфигурацию ресурса Облачные службы (расширенная поддержка). Например, можно внести любое из следующих изменений:
1. Обновите URL-адрес пакета.
2. Настройте параметр URL-адреса.
3. Обновите параметр секретов операционной системы.
Разверните и обновите новый проект в Azure.

Примечание.

Проект можно развернуть с помощью нескольких различных методов, например с помощью следующих средств:

Visual Studio
Шаблон Azure Resource Manager (шаблон ARM)
Средство непрерывной интеграции и непрерывной доставки (CI/CD), например Azure DevOps

Независимо от метода развертывания общие шаги развертывания одинаковы.

Первые два этих шага необходимы для всех методов развертывания. Эти действия рассматриваются в разделе "Изменения кода". Остальные шаги также важны, но они не всегда требуют ручного вмешательства пользователя. Например, шаги могут выполняться автоматически средством, например Visual Studio. Последние три этих шага рассматриваются в разделе изменений конфигурации.

Изменения в коде

Чтобы внести изменения в код для подготовки сертификата и настройки проекта, сделайте следующее:

Следуйте инструкциям по отправке сертификата в хранилище ключей с помощью шага 6.
Запишите отпечаток сертификата (шестнадцатеричная строка 40 цифр).
В файле конфигурации службы (CSCFG) проекта добавьте отпечаток сертификата в роль, в которой требуется использовать сертификат. Например, если вы хотите использовать сертификат в качестве SSL-сертификата для взаимодействия с WebRole, можно добавить XML-код, похожий на следующий фрагмент кода в WebRole1 качестве первого дочернего элемента корневого ServiceConfiguration элемента:
```
<Role name="WebRole1">
  <Instances count="1" />
  <Certificates>
    <Certificate
      name="Certificate1"
      thumbprint="0123456789ABCDEF0123456789ABCDEF01234567"
      thumbprintAlgorithm="sha1"
    />
  </Certificates>
</Role>
```
Имя сертификата можно настроить, но оно должно соответствовать имени сертификата, используемого в файле определения службы (CSDEF).

В файле определения службы (CSDEF) добавьте следующие элементы.

Родительский XPath	Элементы для добавления	Атрибуты для использования
`/ServiceDefinition/WebRole/Sites/Site/Bindings`	`Binding`	name, endpointName
`/ServiceDefinition/WebRole/Endpoints`	`InputEndpoint`	имя, протокол, порт, сертификат
`/ServiceDefinition/WebRole`	`Certificates/Certificate`	name, storeLocation, storeName, permissionLevel

Элемент Certificates должен быть добавлен непосредственно после закрывающего Endpoints тега. Он не содержит атрибутов. Он содержит только дочерние Certificate элементы.

Например, файл определения службы может выглядеть следующим XML-кодом:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="CSESOneWebRoleHTTPS" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
  <WebRole name="WebRole1" vmsize="Standard_D1_v2">
    <Sites>
      <Site name="Web">
        <Bindings>
          <Binding name="Endpoint1" endpointName="Endpoint1" />
          <Binding name="HttpsIn" endpointName="HttpsIn" />
        </Bindings>
      </Site>
    </Sites>
    <Endpoints>
      <InputEndpoint name="Endpoint1" protocol="http" port="80" />
      <InputEndpoint name="HttpsIn" protocol="https" port="443" certificate="Certificate1" />
    </Endpoints>
    <Certificates>
      <Certificate name="Certificate1" storeLocation="LocalMachine" storeName="My" permissionLevel="limitedOrElevated" />
    </Certificates>
  </WebRole>
</ServiceDefinition>

В этом примере файл определения службы изменяется для привязки входной конечной точки HttpsIn протокола HTTPS через порт 443. Он использует Certificate1 сертификат для хранилища с именем My и расположением только для ограниченного или повышенного LocalMachine уровня разрешений. Имена сертификатов в элементах InputEndpoint Certificate совпадают друг с другом. Они также соответствуют имени сертификата, который использовался в файле конфигурации службы (CSCFG) на предыдущем шаге.

Изменения конфигурации

Инструкции по изменению конфигурации облачной службы отличаются в зависимости от способа развертывания облачной службы. Эти инструкции показаны на следующих вкладках. Каждая вкладка представляет другой метод развертывания.

Прежде чем продолжить, ознакомьтесь с Облачные службы Azure (расширенная поддержка) с помощью портал Azure. Затем выполните следующие действия, чтобы внести правильные изменения конфигурации с помощью портал Azure:

Перейдите к записи блога, которая называется ручной миграцией из классической облачной службы в расширенную поддержку облачной службы с помощью шаблона ARM, и выполните шаги 7–9. В этих инструкциях показано, как выполнить следующие действия.
- Упакуйте проект.
- Отправьте созданный пакет службы (project-name.cspkg>) и файлы конфигурации облачной службы (<ServiceConfiguration.Cloud.cscfg) в контейнер учетной записи хранения для облачной службы.
  
  Примечание.
  
  Кроме того, необходимо отправить файл определения службы (ServiceDefinition.csdef), используя тот же процесс, который описан для других двух файлов.
- Создайте URL-адрес подписанного URL-адреса для каждого отправленного файла.
В портал Azure вернитесь на страницу обзора облачной службы и нажмите кнопку "Обновить".
На странице "Обновление облачной службы " на вкладке "Основные сведения " внесите следующие изменения:
1. В поле "Расположение пакета/конфигурации/службы" выберите "Из большого двоичного объекта".
2. В поле Отправка пакета (CSPKG, .zip) выполните следующие действия:
  1. Выберите ссылку "Обзор ".
  2. Выберите учетную запись хранения и контейнер, в который были отправлены файлы.
  3. На странице контейнера выберите соответствующий файл (в данном случае <— имя> проекта.cspkg), а затем нажмите кнопку "Выбрать ".
3. Для поля "Отправка конфигурации" (CSCFG) (и Файла ServiceConfiguration.Cloud.cscfg) повторите подпросезону, описанную на предыдущем шаге.
4. Для поля Upload a service definition (.csdef) (and ServiceDefinition.csdef file) повторите подпросезону еще раз.
Перейдите на вкладку Конфигурация.
В поле хранилища ключей выберите хранилище ключей, в котором вы отправили сертификат (ранее в разделе "Изменения кода"). После того как сертификат найден в выбранном хранилище ключей, указанный сертификат отображает состояние найденного.
Чтобы развернуть только что настроенный проект, нажмите кнопку "Обновить ".

Прежде чем продолжить, см. статью "Развертывание облачной службы (расширенная поддержка) с помощью Azure PowerShell. Затем выполните следующие действия, чтобы внести изменения в конфигурацию с помощью скрипта PowerShell:

Перейдите к записи блога, которая называется ручной миграцией из классической облачной службы в расширенную поддержку облачной службы с помощью шаблона ARM, и выполните шаги 7–9. В этих инструкциях показано, как выполнить следующие действия.
- Упакуйте проект.
- Отправьте созданный файл пакета службы (<project-name.cspkg>) в контейнер учетной записи хранения для облачной службы.
  
  Примечание.
  
  Несмотря на то, что указано в инструкциях, вам не нужно отправлять файл конфигурации облачной службы (ServiceConfiguration.Cloud.cscfg). Только файл пакета службы должен быть отправлен здесь.
- Создайте URL-адрес подписанного URL-адреса url-адреса подписанного URL-адреса для отправленного файла пакета службы.
Войдите в Azure, выполнив командлет Connect-AzAccount .

В следующем скрипте PowerShell замените заполнители в начале скрипта фактическими значениями для каждой переменной, а затем запустите скрипт для обновления облачной службы:

# Enter values for placeholders in the following variables.
$vaultName = "<key-vault-resource-name>"
$resourceGroupKeyVault = "<resource-group-name-where-key-vault-is-deployed>"
$certificateName = "<name-of-certificate-saved-in-key-vault>"
$cloudService = @{
    Name = "<name-of-cloud-service>"
    ResourceGroupName = "<resource-group-name-where-cloud-service-is-deployed>"
    SubscriptionId = "<subscription-guid>"
}
$cscfgFilePath = "<local-path-to-your-service-configuration-file-cscfg>"
$cspkgUrl = "<sas-token-url-of-the-service-package-file-cspkg>"

# Code execution
$keyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $resourceGroupKeyVault
$certificate = Get-AzKeyVaultCertificate -VaultName $vaultName -Name $certificateName
$vaultSecretGroupObject = @{
    CertificateUrl = $certificate.SecretId
    Id = $keyVault.ResourceId
}
$secretGroup = New-AzCloudServiceVaultSecretGroupObject @vaultSecretGroupObject
$osProfile = @{secret = @($secretGroup)}

$cses = Get-AzCloudService @cloudService
$cses.Configuration = Get-Content $cscfgFilePath | Out-String
$cses.PackageUrl = $cspkgUrl
$cses.OSProfile = $osProfile
$cses | Update-AzCloudService

Прежде чем продолжить, см. статью "Развертывание облачной службы (расширенная поддержка) с помощью шаблонов ARM. Затем выполните следующие действия, чтобы настроить шаблон ARM:

Перейдите к записи блога, которая называется ручной миграцией из классической облачной службы в расширенную поддержку облачной службы с помощью шаблона ARM, и выполните шаги 7–10. В этих инструкциях показано, как выполнить следующие действия.

Упакуйте проект.
Отправьте созданный пакет службы (project-name.cspkg>) и файлы конфигурации облачной службы (<ServiceConfiguration.Cloud.cscfg) в контейнер учетной записи хранения для облачной службы.
Создайте URL-адрес подписанного URL-адреса для каждого отправленного файла.
Получите следующие значения на странице сертификата хранилища ключей в портал Azure:
- URL-адрес сертификата хранилища ключей
- ИД подписки
- Имя группы ресурсов, в которой развернуто хранилище ключей
- Имя службы для хранилища ключей

Найдите osProfile свойство в исходном шаблоне ARM для облачной службы. Если исходный проект облачной службы поддерживает только http-связь, osProfile свойство пусто ("osProfile": {}). Чтобы облачная служба получите правильный сертификат из правильного хранилища ключей, укажите, какое хранилище ключей необходимо использовать в шаблоне ARM. Этот параметр можно использовать для представления этого значения. Кроме того, можно жестко закодировать значение в шаблон ARM, как показано в следующем примере:

"osProfile": {
  "secrets": [
    {
      "sourceVault": {
        "id": "/subscriptions/88889999-aaaa-bbbb-cccc-ddddeeeeffff/resourceGroups/cstocses/providers/Microsoft.KeyVault/vaults/cstocses"
      },
      "vaultCertificates": [
        {
          "certificateUrl": "https://cstocses.vault.azure.net/secrets/csescert/0123456789abcdef0123456789abcdef"
        }
      ]
    }
  ]
}

В тексте JSON шаблона id ARM значение параметра sourceVault является частью URL-адреса страницы Key Vault в портал Azure. Значением certificateUrl является URL-адрес сертификата хранилища ключей, который вы нашли ранее. Текстовые форматы для этих значений показаны в следующей таблице.

Параметр	Форматировать
Идентификатор исходного хранилища	`/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<key-vault-name>`
URL-адрес сертификата хранилища ключей	`https://<key-vault-name>.vault.azure.net/secrets/<certificate-name>/<certificate-secret>`

Разверните обновленный шаблон ARM, содержащий новые параметры, такие как маркер SAS пакета, маркер SAS конфигурации и многое другое. Чтобы узнать, как объявить и указать эти параметры, можно просмотреть пример файла шаблона ARM и пример файла параметров шаблона ARM. Затем дождитесь завершения развертывания.

Примечание.

Если появится сообщение об ошибке, указывающее, что используется общедоступный IP-адрес, удалите общедоступный IP-адрес из файла конфигурации службы (CSCFG) и файла параметров шаблона ARM. Не удаляйте объявление общедоступного IP-адреса из самого файла шаблона ARM.

Прежде чем продолжить, ознакомьтесь с разделом "Развертывание Облачные службы (расширенная поддержка) с помощью пакета SDK Azure.

Примечание.

В этом разделе содержится код, который перезаписывается из официального кода примера пакета SDK, который можно найти на странице кода GitHub для Azure Облачные службы (расширенная поддержка).

В этом разделе описывается, как использовать пакет SDK Azure и C# для внесения правильных изменений конфигурации. Чтобы успешно использовать пакет SDK для развертывания проекта облачной службы и изменения связанной конфигурации, необходимо зарегистрировать приложение в идентификаторе Microsoft Entra. Сведения о регистрации см. на портале, чтобы создать приложение Microsoft Entra и субъект-службу, которые могут получить доступ к ресурсам . В следующей таблице описаны конкретные шаги, которые необходимо предпринять, и соответствующий подраздел для чтения в этой статье.

Этап	Ссылка на подраздел
Назначение подписки роли владельца приложения	Назначение роли приложению
Копирование идентификатора клиента и идентификатора приложения	Получение значений идентификатора клиента и приложения для входа
Создание и копирование нового секрета приложения	Вариант 2. Создание секрета приложения
Настройте политику доступа для хранилища ключей и предоставьте приложению разрешение (по крайней мере на уровне чтения), чтобы получить доступ к сертификату.	Настройка политик доступа для ресурсов

Выполните следующие действия, чтобы внести правильные изменения конфигурации:

Перейдите к записи блога, которая называется ручной миграцией из классической облачной службы в расширенную поддержку облачной службы с помощью шаблона ARM и выполните шаги 7–10. В этих инструкциях показано, как выполнить следующие действия.
- Упакуйте проект.
- Отправьте созданный файл пакета службы (<project-name.cspkg>) в контейнер учетной записи хранения для облачной службы.
  
  Примечание.
  
  Несмотря на то, что указано в инструкциях, вам не нужно отправлять файл конфигурации облачной службы (ServiceConfiguration.Cloud.cscfg). Только файл пакета службы должен быть отправлен здесь.
- Создайте URL-адрес подписанного URL-адреса url-адреса подписанного URL-адреса для отправленного файла пакета службы.
- Получите следующие значения на странице сертификата хранилища ключей в портал Azure:
  - URL-адрес сертификата хранилища ключей
  - ИД подписки
  - Имя группы ресурсов, в которой развернуто хранилище ключей
  - Имя службы для хранилища ключей
Скачайте пример проекта (сжатый архивный файл) и извлеките его содержимое.
Откройте файл SDKSample\CreateCloudService\CreateCloudService\LoginHelper.cs в текстовом редакторе. В методе InitializeServiceClient перезапись значений tenantIdпеременных , clientIdа также clientCredentials строковых переменных со значениями идентификатора клиента, идентификатора приложения и секрета приложения соответственно. Эти значения являются теми, которые вы скопировали при регистрации приложения.

Откройте файл SDKSample\CreateCloudService\CreateCloudService\Program.cs в текстовом редакторе. В методе Main перезапись некоторых инициализированных значений переменных, объявленных в начале метода. В следующей таблице показаны имена переменных и значения, которые необходимо использовать для них.

Имя переменной	Новое значение
`m_subId`	Идентификатор подписки, содержащей облачную службу
`csrgName`	Имя группы ресурсов, содержащей облачную службу
`csName`	Имя ресурса облачной службы
`kvrgName`	Имя группы ресурсов, содержащей ресурс хранилища ключей
`kvName`	Имя ресурса хранилища ключей
`kvsubid`	Идентификатор подписки, содержащей хранилище ключей (это может отличаться от идентификатора подписки облачной службы).
`secretidentifier`	URL-адрес сертификата хранилища ключей
`filename`	Локальный путь к файлу конфигурации службы (ServiceConfiguration.Cloud.cscfg)
`packageurl`	URL-адрес SAS для файла пакета службы (<project-name.cspkg>)

В области Обозреватель решений Visual Studio щелкните правой кнопкой мыши узел проекта и выберите пункт "Управление пакетами NuGet". На вкладке "Обзор" найдите, выберите и установите следующие пакеты:
- Microsoft.Azure.Management.ResourceManager
- Microsoft.Azure.Management.Compute
- Microsoft.Azure.Management.Storage
- Azure.Identity
- Microsoft.Rest.ClientRuntime.Azure.Authentication
Запустите проект, а затем подождите, пока сообщения будут отображаться на панели вывода . Если в области отображается "выход с кодом 0", обновление и развертывание должно работать успешно. Если отображается сообщение "выход с кодом 1", может потребоваться проверить наличие сообщений об ошибках для просмотра любых проблем.

Прежде чем продолжить, см. статью "Создание и развертывание в Облачные службы (расширенная поддержка) в Visual Studio.

В Visual Studio необходимо внести два изменения конфигурации. Настройте конфигурацию службы таким образом, чтобы локальный контекст был выровнен с облачным контекстом, а затем укажите расположение хранилища ключей.

Для конфигурации службы скопируйте содержимое облачного контекста (файл ServiceConfiguration.Cloud.cscfg) и вставьте их в локальный контекст (файл ServiceConfiguration.Local.cscfg). У вас есть другая конфигурация или вам по-прежнему нужен локальный файл конфигурации для других использования? Если любое условие имеет значение true, сохраните certificate элементы из существующего локального контекста.

В области Обозреватель решений Visual Studio щелкните правой кнопкой мыши узел проекта и выберите "Опубликовать". Перейдите к мастеру публикации приложение Azure, пока не перейдете на вкладку "Параметры". На этой вкладке задайте для поля хранилища ключей расположение, в котором сохраняется хранилище ключей. Наконец, нажмите кнопку "Опубликовать ", а затем дождитесь завершения развертывания.

После внесения изменений конфигурации клиенты смогут взаимодействовать с веб-сайтом облачных служб с помощью протокола HTTPS. Если сертификат самозаверяется, браузер может сообщить о том, что сертификат не защищен, но браузер не блокирует подключение.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.

Поделиться через

Включение связи HTTPS в Azure Облачные службы (расширенная поддержка)

Предварительные требования

Общие шаги по развертыванию проекта

Изменения в коде

Изменения конфигурации

Свяжитесь с нами для получения помощи

Обратная связь

Дополнительные ресурсы