Web托管计划,Web Hosting Plan,或者Web宿主计划是理解Azure如何管理网站资源的重要概念。理解Web托管计划可以帮助客户更好的计划和管理网站资源。在本文中,将详细介绍Web托管计划的概念。

客户可以通过通过资源组统一管理某个Azure应用所需的资源。资源组是一个逻辑的概念,资源组中可以包含任何Azure资源。但是,Azure资源组并不直接包含Azure网站,而是通过Web托管计划(Web Hosting Plan)来管理网站。Web托管计划表示可以在多个网站之间共享的一组资源和功能,每一个Azure站点都属于一个Web托管计划。Web托管计划允许您将网站进行分组,组内的网站共享相同的资源和功能。Azure支持4个层次的网站托管计划:免费、共享、基本和标准模式,每个层次的网站支持的功能和服务能力都不相同。由弱到强分别为:免费、共享、基本和标准模式;免费模式支持最少的功能,提供最低的性能保障,标准模式支持最多的功能,性能最强。
继续阅读

whp-1

kudu - process explorer -- process id

通常,在Azue网站中,当下列情景发生时,Hang模式的内存转储文件可以帮助技术人员查找问题原因:

  • 请求响应缓慢 — 比如网站耗费很长的时间处理HTTP请求
  • 资源利用率过高 — 比如CPU、Memory等资源使用率很高
  • 资源泄露 — 比如Memory使用量持续上升

关于更多内存转储文件收集、分析的内容,请访问www.debugging.com.cn

在上一篇文章中,介绍了使用Kudu Process Explorer收集Hang模式的内存转储文件。同时,也提到Kudu Process Explorer收集的是mini dump,该文件包含极其有限的信息。很多情况下,我们需要一个full dump(完整的内存转储文件)分析问题。在本文中,将介绍如何使用Kudu Rest API来收集Hang模式的full dump。

继续阅读


通常,在Azue网站中,当下列情景发生时,Hang模式的内存转储文件可以帮助技术人员查找问题原因:

  • 请求响应缓慢 — 比如网站耗费很长的时间处理HTTP请求
  • 资源利用率过高 — 比如CPU、Memory等资源使用率很高
  • 资源泄露 — 比如Memory使用量持续上升

关于更多内存转储文件收集、分析的内容,请访问www.debugging.com.cn
继续阅读

kudu - process list

关于更多内存转储文件收集、分析的内容,请访问www.debugging.com.cn

内存转储文件,顾名思义,就是将内存中的数据转储保存在转储文件中(通常为.dmp文件),技术人员可以通过分析该文件查找软件错误的原因。收集内存转储文件时,通常需要登录到问题机器运行特定的工具。下面的文档列出了几个常用工具。
Choosing the Best Tool
http://msdn.microsoft.com/en-us/library/windows/hardware/ff539117(v=vs.85).aspx

内存转储文件是一个比较冷门的概念,即使一些资深的技术人员也可能对此很生疏。在开始之前,我们介绍一下内存转储文件的基本概念。内存转储文件相当于一个内存的snapshot,在特定问题发生的时候对进程或者整个系统的内存状态进行一次“照相”,将当前的内存状态保持到文件中。这个文件就称为内存转储文件,通常是.dmp文件。内存转储文件包含进程或者系统的瞬时状态,比如当前正在执行的函数、CPU指令等,以及内存、句柄、CPU等资源的使用情况等等。
继续阅读


每个Azure网站都有一个对应的SCM站点。当我们通过GIT,GitHub,Visual Studio Online等部署Web应用时,这些部署工作都是通过SCM站点完成的。除此之外,SCM站点还提供了很多强大的功能,具体信息请参考文档。

https://github.com/projectkudu/kudu/wiki
继续阅读


ssl offload

Microsoft Azure网站内建支持两种HTTPS方式以满足客户应用的安全需求:SNI SSL和IP SSL。如下图所示,Azure网站采用SSL(off load)卸载功能。客户端与前端服务器使用HTTPS建立安全连接。前端服务器到工作服务器使用HTTP。目前暂时不支持采用客户端证书进行双向加密认证。
继续阅读


中国区Azure世纪互联运营。

Microsoft Azure网站架构中,我们描述了一个Azure网站部署单元的架构。Azure网站部署单元是基于云服务的一个应用(Azure Cloud Service)。它是一个多租户的环境,每个部署单元有一个可以通过Internet访问的入口IP(我们称之为VIP)。所有的网站的DNS都指向该VIP(配置IP SSL除外,采用IP SSL可以获得单独的公网入口IP)。客户端的所有HTTP请求都发往该VIP,Azure的网络设备/服务负责进行地址转换并将请求转发到Azure网站的前端服务器。然后,由前端服务器将HTTP请求转发到对应的工作服务器。

继续阅读


针对最近发现的SSL 3.0 POODLE漏洞,微软发布了安全警告30090008.
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
https://support2.microsoft.com/kb/3009008

Azure网站中所有的虚拟机都已经关闭了SSL3.0功能。如果客户使用旧的浏览器比如IE6,通过安全链接HTTPS的方式,访问部署在Azure网站中的站点,会遇到不能访问错误。客户需要更新至支持TLS协议的浏览器。

更多Azure环境中关于该漏洞的解决方案,请参考下面的文章。
http://azure.microsoft.com/blog/2014/10/29/protecting-against-the-ssl-3-0-vulnerabilityhttp://azure.microsoft.com/blog/2014/10/19/how-to-disable-ssl-3-0-in-azure-websites-roles-and-virtual-machines/


如同运行在本地的IIS服务一样,您可以通过IP限制功能拒绝某些特定IP地址的攻击请求。您也可以配置动态IP限制功能,自动拒绝疑似攻击。IP限制模块和动态IP限制模块都是IIS本身自有的功能。建议您阅读下面的文档来更好的了解这两个模块。
Using Dynamic IP Restrictions
http://www.iis.net/learn/manage/configuring-security/using-dynamic-ip-restrictions

IP Address and Domain Restrictions
http://technet.microsoft.com/en-us/library/hh831785.aspx
继续阅读


Azure网站内建支持HTTPS,客户可以通过HTTP或者HTTPS方式访问您的网站。有些网站基于安全考虑,需要强制客户只能通过HTTPS的方式访问。最简单的办法就是在Web.config中添加如下配置,通过sslFlags来禁止HTTPS访问。

   <system.webServer>

      <security>

         <access sslFlags=”ssl”>

      </security>

   </system.webServer>

继续阅读