Включение обмена данными по протоколу HTTPS в Azure Облачные службы (расширенная поддержка)

Статья
04/13/2024

Взаимодействие с Облачные службы Microsoft Azure (расширенная поддержка) осуществляется с помощью протокола HTTPS. В этой статье описывается, как включить обмен данными по протоколу HTTPS для Облачные службы (расширенная поддержка).

Предварительные требования

Visual Studio.
Проект azure Облачные службы (расширенная поддержка) в Visual Studio.
SSL-сертификат в формате PFX-файла. Если у вас еще нет SSL-сертификата, назначенного ЦС, используйте скрипт PowerShell для самостоятельного назначения сертификата для тестового использования.
Ресурс Azure Key Vault, который находится в той же группе ресурсов, что и ресурс azure Облачные службы (расширенная поддержка). Если у вас еще нет ресурса хранилища ключей, вы можете создать ресурс хранилища ключей с помощью портал Azure.

Общие действия по развертыванию проекта

Ниже приведены общие действия по развертыванию проекта Облачные службы (расширенная поддержка) в Azure.

Подготовьте сертификат.
Настройте проект.
Упакуйте файл проекта в файлы определения службы (CSDEF), конфигурации службы (CSCFG) и пакета службы (CSPKG) облачной службы.
При необходимости измените конфигурацию ресурса Облачные службы (расширенная поддержка). Например, можно внести одно из следующих изменений:
1. Обновите URL-адрес пакета.
2. Настройте параметр URL-адреса.
3. Обновите параметр секретов операционной системы.
Разверните и обновите новый проект в Azure.

Примечание.

Проект можно развернуть с помощью нескольких различных методов, например с помощью следующих средств:

Visual Studio
Шаблон Resource Manager Azure (шаблон ARM)
Средство непрерывной интеграции и непрерывной поставки (CI/CD), например Azure DevOps

Независимо от метода развертывания общие шаги развертывания совпадают.

Первые два из этих шагов необходимы для всех методов развертывания. Эти шаги рассматриваются в разделе Изменения кода . Остальные шаги также важны, но они не всегда требуют вмешательства пользователя вручную. Например, эти действия могут выполняться автоматически с помощью такого средства, как Visual Studio. Последние три из этих шагов рассматриваются в разделе Изменения конфигурации .

Изменения кода

Чтобы внести изменения в код для подготовки сертификата и настройки проекта, сделайте следующее:

Следуйте инструкциям, чтобы отправить сертификат в хранилище ключей на шаге 6.
Запишите отпечаток сертификата (40-значная шестнадцатеричная строка).
В cscfg-файле конфигурации службы проекта добавьте отпечаток сертификата в роль, в которой вы хотите использовать сертификат. Например, если вы хотите использовать сертификат в качестве SSL-сертификата для взаимодействия с WebRole, можно добавить XML-код, похожий на следующий фрагмент кода для WebRole1 , в качестве первого дочернего элемента корневого ServiceConfiguration элемента:
```
<Role name="WebRole1">
  <Instances count="1" />
  <Certificates>
    <Certificate
      name="Certificate1"
      thumbprint="0123456789ABCDEF0123456789ABCDEF01234567"
      thumbprintAlgorithm="sha1"
    />
  </Certificates>
</Role>
```
Вы можете настроить имя сертификата, но оно должно соответствовать имени сертификата, используемому в файле определения службы (CSDEF).

В файле определения службы (CSDEF) добавьте следующие элементы.

Родительский XPath	Добавляемый элемент	Атрибуты для использования
`/ServiceDefinition/WebRole/Sites/Site/Bindings`	`Binding`	name, endpointName
`/ServiceDefinition/WebRole/Endpoints`	`InputEndpoint`	имя, протокол, порт, сертификат
`/ServiceDefinition/WebRole`	`Certificates/Certificate`	name, storeLocation, storeName, permissionLevel

Элемент Certificates должен быть добавлен непосредственно после закрывающего Endpoints тега. Он не содержит атрибутов. Он содержит только дочерние Certificate элементы.

Например, файл определения службы может выглядеть так:

<?xml version="1.0" encoding="utf-8"?>
<ServiceDefinition name="CSESOneWebRoleHTTPS" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceDefinition" schemaVersion="2015-04.2.6">
  <WebRole name="WebRole1" vmsize="Standard_D1_v2">
    <Sites>
      <Site name="Web">
        <Bindings>
          <Binding name="Endpoint1" endpointName="Endpoint1" />
          <Binding name="HttpsIn" endpointName="HttpsIn" />
        </Bindings>
      </Site>
    </Sites>
    <Endpoints>
      <InputEndpoint name="Endpoint1" protocol="http" port="80" />
      <InputEndpoint name="HttpsIn" protocol="https" port="443" certificate="Certificate1" />
    </Endpoints>
    <Certificates>
      <Certificate name="Certificate1" storeLocation="LocalMachine" storeName="My" permissionLevel="limitedOrElevated" />
    </Certificates>
  </WebRole>
</ServiceDefinition>

В этом примере файл определения службы изменяется для привязки входной конечной HttpsIn точки для протокола HTTPS через порт 443. Он использует Certificate1 сертификат для хранилища с именем My и расположением для только ограниченного или повышенного LocalMachine уровня разрешений. Имена сертификатов в элементах InputEndpoint и Certificate соответствуют друг другу. Они также соответствуют имени сертификата, который использовался в файле конфигурации службы (CSCFG-файл) на предыдущем шаге.

Изменения конфигурации

Инструкции по изменению конфигурации облачной службы различаются в зависимости от способа развертывания облачной службы. Эти инструкции отображаются на следующих вкладках. Каждая вкладка представляет разные методы развертывания.

Прежде чем продолжить, см. статью Развертывание Облачные службы Azure (расширенная поддержка) с помощью портал Azure. Затем выполните следующие действия, чтобы внести правильные изменения в конфигурацию с помощью портал Azure:

Перейдите к записи блога, которая называется Миграция вручную из классической облачной службы в расширенную поддержку облачной службы с шаблоном ARM, и выполните шаги 7–9. В этих инструкциях показано, как выполнить следующие действия.
- Упаковка проекта.
- Отправьте файлы созданного пакета службы (<project-name.cspkg>) и конфигурации облачной службы (ServiceConfiguration.Cloud.cscfg) в контейнер учетной записи хранения для облачной службы.
  
  Примечание.
  
  Вам также потребуется отправить файл определения службы (ServiceDefinition.csdef), используя тот же процесс, который описан для двух других файлов.
- Создайте URL-адрес подписанного URL-адреса подписанного URL-адреса url-адреса подписанного URL-адреса (SAS) для каждого отправленного файла.
В портал Azure вернитесь на страницу Обзор облачной службы и выберите Обновить.
На странице Обновление облачной службы внесите следующие изменения на вкладке Основные сведения :
1. В поле Расположение пакета, конфигурации или службы выберите Из BLOB-объекта.
2. В поле Отправка пакета (CSPKG, .zip) выполните следующие действия.
  1. Щелкните ссылку Обзор .
  2. Выберите учетную запись хранения и контейнер, в который вы отправили файлы.
  3. На странице контейнера выберите соответствующий файл (в данном случае <project-name.cspkg>) и нажмите кнопку Выбрать.
3. Для поля Отправка конфигурации (CSCFG) (и файла ServiceConfiguration.Cloud.cscfg ) повторите подзадачи, описанные на предыдущем шаге.
4. Для поля Отправка определения службы (CSDEF) (и файла ServiceDefinition.csdef ) повторите подпроцедуру еще раз.
Перейдите на вкладку Конфигурация .
В поле Хранилище ключей выберите хранилище ключей, в которое вы отправили сертификат (ранее в разделе Изменения кода ). После того как сертификат будет найден в выбранном хранилище ключей, в указанном сертификате отобразится состояниеНайдено.
Чтобы развернуть только что настроенный проект, нажмите кнопку Обновить .

Прежде чем продолжить, см. статью Развертывание облачной службы (расширенная поддержка) с помощью Azure PowerShell. Затем выполните следующие действия, чтобы внести изменения в конфигурацию с помощью скрипта PowerShell:

Перейдите к записи блога, которая называется Миграция вручную из классической облачной службы в расширенную поддержку облачной службы с шаблоном ARM, и выполните шаги 7–9. В этих инструкциях показано, как выполнить следующие действия.
- Упаковка проекта.
- Отправьте созданный пакет службы (<project-name.cspkg>) в контейнер учетной записи хранения для облачной службы.
  
  Примечание.
  
  Несмотря на то, что указано в инструкциях, вам не нужно отправлять файл конфигурации облачной службы (ServiceConfiguration.Cloud.cscfg). Сюда необходимо отправить только файл пакета службы.
- Создайте URL-адрес подписанного URL-адреса подписанного URL-адреса url-адреса подписанного URL-адреса для отправленного пакета службы.
Войдите в Azure, выполнив командлет Connect-AzAccount .

В следующем сценарии PowerShell замените заполнители в начале сценария фактическими значениями для каждой переменной, а затем запустите скрипт, чтобы обновить облачную службу:

# Enter values for placeholders in the following variables.
$vaultName = "<key-vault-resource-name>"
$resourceGroupKeyVault = "<resource-group-name-where-key-vault-is-deployed>"
$certificateName = "<name-of-certificate-saved-in-key-vault>"
$cloudService = @{
    Name = "<name-of-cloud-service>"
    ResourceGroupName = "<resource-group-name-where-cloud-service-is-deployed>"
    SubscriptionId = "<subscription-guid>"
}
$cscfgFilePath = "<local-path-to-your-service-configuration-file-cscfg>"
$cspkgUrl = "<sas-token-url-of-the-service-package-file-cspkg>"

# Code execution
$keyVault = Get-AzKeyVault -VaultName $vaultName -ResourceGroupName $resourceGroupKeyVault
$certificate = Get-AzKeyVaultCertificate -VaultName $vaultName -Name $certificateName
$vaultSecretGroupObject = @{
    CertificateUrl = $certificate.SecretId
    Id = $keyVault.ResourceId
}
$secretGroup = New-AzCloudServiceVaultSecretGroupObject @vaultSecretGroupObject
$osProfile = @{secret = @($secretGroup)}

$cses = Get-AzCloudService @cloudService
$cses.Configuration = Get-Content $cscfgFilePath | Out-String
$cses.PackageUrl = $cspkgUrl
$cses.OSProfile = $osProfile
$cses | Update-AzCloudService

Прежде чем продолжить, см. статью Развертывание облачной службы (расширенная поддержка) с помощью шаблонов ARM. Затем выполните следующие действия, чтобы настроить шаблон ARM:

Перейдите к записи блога, которая называется Миграция вручную из классической облачной службы в расширенную поддержку облачной службы с шаблоном ARM, и выполните шаги 7–10. В этих инструкциях показано, как выполнить следующие действия.

Упаковка проекта.
Отправьте файлы созданного пакета службы (<project-name.cspkg>) и конфигурации облачной службы (ServiceConfiguration.Cloud.cscfg) в контейнер учетной записи хранения для облачной службы.
Создайте URL-адрес подписанного URL-адреса подписанного URL-адреса url-адреса подписанного URL-адреса (SAS) для каждого отправленного файла.
Получите следующие значения на странице сертификата хранилища ключей в портал Azure:
- URL-адрес сертификата хранилища ключей
- Идентификатор подписки
- Имя группы ресурсов, в которой развернуто хранилище ключей
- Имя службы для хранилища ключей

В исходном шаблоне ARM для облачной службы найдите osProfile свойство . Если исходный проект облачной службы поддерживает только обмен данными по протоколу HTTP, свойство будет пустым osProfile ("osProfile": {}). Чтобы облачная служба могла получать правильный сертификат из правильного хранилища ключей, укажите, какое хранилище ключей нужно использовать в шаблоне ARM. Для представления этого значения можно использовать параметр . Или можно жестко закодировать значение в шаблон ARM, как показано в следующем примере:

"osProfile": {
  "secrets": [
    {
      "sourceVault": {
        "id": "/subscriptions/88889999-aaaa-bbbb-cccc-ddddeeeeffff/resourceGroups/cstocses/providers/Microsoft.KeyVault/vaults/cstocses"
      },
      "vaultCertificates": [
        {
          "certificateUrl": "https://cstocses.vault.azure.net/secrets/csescert/0123456789abcdef0123456789abcdef"
        }
      ]
    }
  ]
}

В тексте JSON шаблона id ARM значение параметра sourceVault является частью URL-адреса страницы Key Vault в портал Azure. Значением certificateUrl является URL-адрес сертификата хранилища ключей, который вы нашли ранее. Текстовые форматы для этих значений показаны в следующей таблице.

Параметр	Формат
Идентификатор исходного хранилища	`/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<key-vault-name>`
URL-адрес сертификата хранилища ключей	`https://<key-vault-name>.vault.azure.net/secrets/<certificate-name>/<certificate-secret>`

Разверните обновленный шаблон ARM, содержащий новые параметры, такие как маркер SAS пакета, маркер SAS конфигурации и многое другое. Чтобы узнать, как объявить и указать эти параметры, можно просмотреть пример файла шаблона ARM и пример файла параметров шаблона ARM. Затем дождитесь завершения развертывания.

Примечание.

Если появляется сообщение об ошибке с сообщением об использовании общедоступного IP-адреса, удалите общедоступный IP-адрес из файла конфигурации службы (CSCFG) и файла параметров шаблона ARM. Не удаляйте объявление общедоступного IP-адреса из самого файла шаблона ARM.

Прежде чем продолжить, см. статью Развертывание Облачные службы (расширенная поддержка) с помощью пакета Azure SDK.

Примечание.

В этом разделе содержится код, переписанный из официального примера кода пакета SDK, который можно найти на странице примера кода GitHub для Облачные службы Azure (расширенная поддержка).

В этом разделе описывается, как использовать пакет Azure SDK и C# для внесения правильных изменений в конфигурацию. Чтобы успешно использовать пакет SDK для развертывания проекта облачной службы и изменения связанной конфигурации, необходимо зарегистрировать приложение в Microsoft Entra ID. Сведения о регистрации см. в статье Использование портала для создания Microsoft Entra приложения и субъекта-службы, которые могут получить доступ к ресурсам. В следующей таблице описаны конкретные шаги, которые необходимо выполнить, и соответствующий подраздел, который будет прочитан в этой статье.

Шаг	Ссылка на подраздел
Назначение своей подписке роли владельца приложения	Назначение роли приложению
Скопируйте идентификатор клиента и идентификатор приложения	Получение значений идентификатора клиента и приложения для входа
Создание и копирование секрета приложения	Вариант 2. Создание секрета приложения
Настройте политику доступа для хранилища ключей и предоставьте приложению разрешение (по крайней мере уровня чтения), чтобы получить доступ к сертификату.	Настройка политик доступа к ресурсам

Выполните следующие действия, чтобы внести правильные изменения в конфигурацию.

Перейдите к записи блога, которая называется Миграция вручную из классической облачной службы в расширенную поддержку облачной службы с шаблоном ARM и выполните шаги 7–10. В этих инструкциях показано, как выполнить следующие действия.
- Упаковка проекта.
- Отправьте созданный пакет службы (<project-name.cspkg>) в контейнер учетной записи хранения для облачной службы.
  
  Примечание.
  
  Несмотря на то, что указано в инструкциях, вам не нужно отправлять файл конфигурации облачной службы (ServiceConfiguration.Cloud.cscfg). Сюда необходимо отправить только файл пакета службы.
- Создайте URL-адрес подписанного URL-адреса подписанного URL-адреса url-адреса подписанного URL-адреса для отправленного пакета службы.
- Получите следующие значения на странице сертификата хранилища ключей в портал Azure:
  - URL-адрес сертификата хранилища ключей
  - Идентификатор подписки
  - Имя группы ресурсов, в которой развернуто хранилище ключей
  - Имя службы для хранилища ключей
Скачайте пример проекта (сжатый архивный файл) и извлеките его содержимое.
Откройте файл SDKSample\CreateCloudService\CreateCloudService\LoginHelper.cs в текстовом редакторе. В методе InitializeServiceClient перезапишите значения строковых tenantIdпеременных , clientId, и clientCredentials значениями идентификатора клиента, идентификатора приложения и секрета приложения соответственно. Эти значения были скопированы при регистрации приложения.

Откройте файл SDKSample\CreateCloudService\CreateCloudService\Program.cs в текстовом редакторе. В методе Main перезапишите некоторые инициализированные значения переменных, объявленных в начале метода . В следующей таблице показаны имена переменных и значения, которые необходимо использовать для них.

Имя переменной	Новое значение
`m_subId`	Идентификатор подписки, содержащей облачную службу.
`csrgName`	Имя группы ресурсов, содержащей облачную службу.
`csName`	Имя ресурса облачной службы
`kvrgName`	Имя группы ресурсов, содержащей ресурс хранилища ключей.
`kvName`	Имя ресурса хранилища ключей
`kvsubid`	Идентификатор подписки, содержащей хранилище ключей (может отличаться от идентификатора подписки облачной службы).
`secretidentifier`	URL-адрес сертификата хранилища ключей
`filename`	Локальный путь к файлу конфигурации службы (ServiceConfiguration.Cloud.cscfg)
`packageurl`	URL-адрес SAS для файла пакета службы (<project-name.cspkg>)

В области Обозреватель решений Visual Studio щелкните правой кнопкой мыши узел проекта и выберите Управление пакетами NuGet. На вкладке Обзор найдите, выберите и установите следующие пакеты:
- Microsoft.Azure.Management.ResourceManager
- Microsoft.Azure.Management.Compute
- Microsoft.Azure.Management.Storage
- Azure.Identity
- Microsoft.Rest.ClientRuntime.Azure.Authentication
Запустите проект и дождитесь появления сообщений в области Вывод . Если на панели отображается сообщение "Выйти с кодом 0", обновление и развертывание должны работать успешно. Если отображается сообщение "Выход с кодом 1", может потребоваться проверка сообщения об ошибках, чтобы просмотреть все проблемы.

Прежде чем продолжить, см. статью Создание и развертывание в Облачные службы (расширенная поддержка) в Visual Studio.

В Visual Studio необходимо внести два изменения в конфигурацию. Вы настраиваете конфигурацию службы таким образом, чтобы локальный контекст был согласован с облачным контекстом, а затем указываете расположение хранилища ключей.

Для конфигурации службы скопируйте содержимое облачного контекста (файл ServiceConfiguration.Cloud.cscfg ) и вставьте его в локальный контекст (файл ServiceConfiguration.Local.cscfg ). У вас другая конфигурация или вам по-прежнему нужен локальный файл конфигурации для других применений? Если любое из условий имеет значение true, сохраните certificate элементы из существующего локального контекста.

В области Visual Studio Обозреватель решений щелкните правой кнопкой мыши узел проекта и выберите Опубликовать. Продолжайте работу с мастером публикации приложение Azure, пока не перейдете на вкладку Параметры. На этой вкладке задайте в поле Хранилище ключей расположение, в котором хранится хранилище ключей. Наконец, нажмите кнопку Опубликовать и дождитесь завершения развертывания.

После внесения изменений в конфигурацию клиенты смогут взаимодействовать с веб-сайтом облачных служб по протоколу HTTPS. Если сертификат самозаверяющий, браузер может сообщить предупреждение о том, что сертификат не защищен, но браузер не будет блокировать подключение.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.

Поделиться через

Включение обмена данными по протоколу HTTPS в Azure Облачные службы (расширенная поддержка)

Предварительные требования

Общие действия по развертыванию проекта

Изменения кода

Изменения конфигурации

Свяжитесь с нами для получения помощи

Обратная связь

Дополнительные ресурсы