多奇數位 Azure 部落格

利用 Network Security Group (NSG) 管理 Azure 進出流量,讓雲端資源更安全

26. January 2016 mandy Azure, VM (0)
前言 以往 Azure VM 只能利用 Endpoint 加上 ACL (Access List Control) 來管理 Inbound 的流量,如下圖:且Outbound 的流量只能透過作業系統裡面的 Windows Firewall 來控管。 而微軟推出了較新的技術,給予雲端資源能有更安全的管理機制,就是 Network Security Group (以下稱 NSG)。除了可以控制 Inbound 之外,也可以限制流量輸出,NSG 可和 vNet、Subnet、VM、NIC 做關聯,讓您在雲端安全控管方面更有彈性、更有掌握能力。 實作 以下我們以一個簡易情境:讓 Azure VM (Windows Server 2012 R2) 不能透過 TCP_80 port 上網,一般實務上都會建議把此規則建立起來,因為 Server 都是提供重要服務,若輕易上網、下載檔案,很容易有資安風險。 預設 Azure VM (v2 - 資源管理員類型) 建立起來後就會有一個 Network Security Group,而這個 NSG 是綁在 VM 的網卡上,如下圖: 目前 Azure VM 是可以上網的狀態:  登入 Azure Portalhttps://portal.azure.com 選擇欲設定的 NSG →所有設定→輸出安全性規則 (Outbound) 新增→輸入名稱、優先順序(數字越小越優先)→目的地、來源及埠號 往下捲記得選擇 拒絕 / 允許 ,這是非常重要的設定哦!  設定完成後,Azure VM 就不能透過瀏覽器上網了!如果設定完成後,還是可以連接同一個頁面的話,請連接看看別的頁面 (有可能是瀏覽器的cache) 限制 注意 Endpoint 加 ACL 不可和 NSG 同時存在,若已經有 Endpoint 加 ACL,想要加 NSG,請先移除原有設定。 相關連結 什麼是網路安全性群組 (NSG)?   == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==

以 Azure New Portal 監控我的 Azure VM,在第一時間知道效能狀況

14. January 2016 mandy Azure, VM (0)
前言 針對 Azure VM,我們可以在 Azure Portal 上設定一些警示,例如:CPU 超過 70% 就寄發 Mail 給相關人員,以便進行偵錯或者後續規模擴大的動作。而舊 Poral (manage.windowsazure.com) 只有五種度量可以選擇,且無法將 Log 存在 Azure Storage 內,也只能撈七天內的圖表資料,如下圖:  舊Portal只有下列五種度量 (Metric),供管理者設定警示: CPU百分比 磁碟寫入的位元組數/秒 磁碟讀取的位元組數/秒 網路輸入 網路輸出 而 Azure New Portal 提供更多的度量、更多的彈性(e.g.可以選擇時間範圍、將 Log 存放至 Azure Storage),讓管理人員能夠更加掌握 Azure VM 的狀態,甚至可以針對圖表及數據來做分析。本文介紹如何利用新的 Azure 入口網站來監控 Azure VM 及設定警示。 實作 登入Azure New Portal:https://portal.azure.com 點選要設定的VM,並按下「監視」(Monitoring) 視窗: 開啟「診斷」(Diagnostic) 功能:設定度量的 Log 存到哪個 Azure Storage內,視需求勾選欲儲存哪些度量 (Metric)。  接著選擇「編輯圖表」,視需求設定時間範圍、勾選要加到圖表上的度量,這部份是做即時監控。  勾選完就可以看到圖表區有您加上的度量、及下方的度量數據 接著新增「警示」 (alert),此次設定「當五分鐘內,CPU percentage 超過 60% 時寄信通知管理者」  設定方便辨識的名稱、及警示度量 設定「過去5分鐘內」、「條件大於60%」(這邊的條件就是指上面選擇的度量),並設定要不要讓 RBAC 的擁有者、參與者、讀取者角色收到信件,當然也可以另外設定其它的系統管理者email。這邊就不贅述 RBAC 角色,請各位自行閱讀相關資料。 新增完警示後,會在清單中出現  此時我利用一套壓測軟體,讓 Azure VM 的 CPU 一直維持在99%,以達成 CPU 超過 60% 的條件。 接著就會收到 Azure 寄來的警示信,通知您 Azure VM 的 CPU 用量已經超過您所設定的門檻了! 後續若 CPU 的使用量降下來,Azure 也會寄信通知您。    《補充》:Log 是存放在 Azure Table Storage,所以記得用適當的工具去瀏覽���些資料 (e.g. Azure Explorer) 相關連結 Microsoft Azure Virtual Machine Monitoring with Azure Diagnostics Extension   == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==

Azure VM 該選擇哪一種 SQL Server Image?怎麼做最符合經濟效益?

13. January 2016 mandy Azure (0)
前言 沒有 SQL Server 授權的用戶,可以在建立 Azure VM 時選擇 SQL Server Image。SQL Server Image 相對於只有 OS Image 來說有較高的計價,on-premises 的 Windows 授權不可帶到雲端上,但 SQL Server 的授權可以。 Azure VM 上的授權有三種,分別為「SQL Web」、「SQL Standard」、「SQL Enterprise」,大家一定會有疑問該開哪一種授權的 Image,本文會簡述一下一般的使用情境,並拿價格做比較。 概念 以下是 Azure VM - SQL Server Image 的三種授權方式: 這三種 Image 主要的差別如下 (更多細節請參考相關連結): 授權:三種授權包含的內容不一樣,計價方式不一樣 (這是當然!) 資料庫鏡像:Web 版只能當見證伺服器 複寫:Web 版只能當 subscriber 功能:Web 版沒有 SQL Profiler 而實務上在使用的時候,若有用到商業智慧 (BI – Business Intelligence) 相關功能,就選擇 Enterprise 版本;若有使用到一般報表的相關功能,就選擇 Standard 版本;若上述功能都用不到,一般建議選擇 Web 版本。 費用 我們拿一樣的規格來看,都採用Standard - A2 的 VM 規格 (價格若有變動以 Azure 官網為準): SQL Server Enterprise - 每月費用約為 NT$38782 元 SQL Server Standard - 每月費用約為 NT$13389 元 SQL Server Web - 每月費用約為 NT$4894 元Web 與 Enterprise 的每月價格可以差到快8倍、Web 與 Standard 的每月價格可以差到2.7倍!因此,若沒有特殊功能的需求,還是推薦客戶使用 Web 版,經濟又實惠! 相關連結 SQL Server 2014 版本支援的功能 SQL Server 2014 的版本和元件   == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==