利用 Network Security Group (NSG) 管理 Azure 進出流量,讓雲端資源更安全 26. January 2016 mandy Azure, VM (0) 前言 以往 Azure VM 只能利用 Endpoint 加上 ACL (Access List Control) 來管理 Inbound 的流量,如下圖:且Outbound 的流量只能透過作業系統裡面的 Windows Firewall 來控管。 而微軟推出了較新的技術,給予雲端資源能有更安全的管理機制,就是 Network Security Group (以下稱 NSG)。除了可以控制 Inbound 之外,也可以限制流量輸出,NSG 可和 vNet、Subnet、VM、NIC 做關聯,讓您在雲端安全控管方面更有彈性、更有掌握能力。 實作 以下我們以一個簡易情境:讓 Azure VM (Windows Server 2012 R2) 不能透過 TCP_80 port 上網,一般實務上都會建議把此規則建立起來,因為 Server 都是提供重要服務,若輕易上網、下載檔案,很容易有資安風險。 預設 Azure VM (v2 - 資源管理員類型) 建立起來後就會有一個 Network Security Group,而這個 NSG 是綁在 VM 的網卡上,如下圖: 目前 Azure VM 是可以上網的狀態: 登入 Azure Portalhttps://portal.azure.com 選擇欲設定的 NSG →所有設定→輸出安全性規則 (Outbound) 新增→輸入名稱、優先順序(數字越小越優先)→目的地、來源及埠號 往下捲記得選擇 拒絕 / 允許 ,這是非常重要的設定哦! 設定完成後,Azure VM 就不能透過瀏覽器上網了!如果設定完成後,還是可以連接同一個頁面的話,請連接看看別的頁面 (有可能是瀏覽器的cache) 限制 注意 Endpoint 加 ACL 不可和 NSG 同時存在,若已經有 Endpoint 加 ACL,想要加 NSG,請先移除原有設定。 相關連結 什麼是網路安全性群組 (NSG)? == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==
以 Azure New Portal 監控我的 Azure VM,在第一時間知道效能狀況 14. January 2016 mandy Azure, VM (0) 前言 針對 Azure VM,我們可以在 Azure Portal 上設定一些警示,例如:CPU 超過 70% 就寄發 Mail 給相關人員,以便進行偵錯或者後續規模擴大的動作。而舊 Poral (manage.windowsazure.com) 只有五種度量可以選擇,且無法將 Log 存在 Azure Storage 內,也只能撈七天內的圖表資料,如下圖: 舊Portal只有下列五種度量 (Metric),供管理者設定警示: CPU百分比 磁碟寫入的位元組數/秒 磁碟讀取的位元組數/秒 網路輸入 網路輸出 而 Azure New Portal 提供更多的度量、更多的彈性(e.g.可以選擇時間範圍、將 Log 存放至 Azure Storage),讓管理人員能夠更加掌握 Azure VM 的狀態,甚至可以針對圖表及數據來做分析。本文介紹如何利用新的 Azure 入口網站來監控 Azure VM 及設定警示。 實作 登入Azure New Portal:https://portal.azure.com 點選要設定的VM,並按下「監視」(Monitoring) 視窗: 開啟「診斷」(Diagnostic) 功能:設定度量的 Log 存到哪個 Azure Storage內,視需求勾選欲儲存哪些度量 (Metric)。 接著選擇「編輯圖表」,視需求設定時間範圍、勾選要加到圖表上的度量,這部份是做即時監控。 勾選完就可以看到圖表區有您加上的度量、及下方的度量數據 接著新增「警示」 (alert),此次設定「當五分鐘內,CPU percentage 超過 60% 時寄信通知管理者」 設定方便辨識的名稱、及警示度量 設定「過去5分鐘內」、「條件大於60%」(這邊的條件就是指上面選擇的度量),並設定要不要讓 RBAC 的擁有者、參與者、讀取者角色收到信件,當然也可以另外設定其它的系統管理者email。這邊就不贅述 RBAC 角色,請各位自行閱讀相關資料。 新增完警示後,會在清單中出現 此時我利用一套壓測軟體,讓 Azure VM 的 CPU 一直維持在99%,以達成 CPU 超過 60% 的條件。 接著就會收到 Azure 寄來的警示信,通知您 Azure VM 的 CPU 用量已經超過您所設定的門檻了! 後續若 CPU 的使用量降下來,Azure 也會寄信通知您。 《補充》:Log 是存放在 Azure Table Storage,所以記得用適當的工具去瀏覽這些資料 (e.g. Azure Explorer) 相關連結 Microsoft Azure Virtual Machine Monitoring with Azure Diagnostics Extension == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==
Azure VM 該選擇哪一種 SQL Server Image?怎麼做最符合經濟效益? 13. January 2016 mandy Azure (0) 前言 沒有 SQL Server 授權的用戶,可以在建立 Azure VM 時選擇 SQL Server Image。SQL Server Image 相對於只有 OS Image 來說有較高的計價,on-premises 的 Windows 授權不可帶到雲端上,但 SQL Server 的授權可以。 Azure VM 上的授權有三種,分別為「SQL Web」、「SQL Standard」、「SQL Enterprise」,大家一定會有疑問該開哪一種授權的 Image,本文會簡述一下一般的使用情境,並拿價格做比較。 概念 以下是 Azure VM - SQL Server Image 的三種授權方式: 這三種 Image 主要的差別如下 (更多細節請參考相關連結): 授權:三種授權包含的內容不一樣,計價方式不一樣 (這是當然!) 資料庫鏡像:Web 版只能當見證伺服器 複寫:Web 版只能當 subscriber 功能:Web 版沒有 SQL Profiler 而實務上在使用的時候,若有用到商業智慧 (BI – Business Intelligence) 相關功能,就選擇 Enterprise 版本;若有使用到一般報表的相關功能,就選擇 Standard 版本;若上述功能都用不到,一般建議選擇 Web 版本。 費用 我們拿一樣的規格來看,都採用Standard - A2 的 VM 規格 (價格若有變動以 Azure 官網為準): SQL Server Enterprise - 每月費用約為 NT$38782 元 SQL Server Standard - 每月費用約為 NT$13389 元 SQL Server Web - 每月費用約為 NT$4894 元Web 與 Enterprise 的每月價格可以差到快8倍、Web 與 Standard 的每月價格可以差到2.7倍!因此,若沒有特殊功能的需求,還是推薦客戶使用 Web 版,經濟又實惠! 相關連結 SQL Server 2014 版本支援的功能 SQL Server 2014 的版本和元件 == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==
Azure VM 加上固定IP (part2 - 針對Azure VM設定固定IP),讓每台Azure VM擁有自己的Public IP 18. November 2015 mandy Azure (0) 前言 在上一篇 - Azure VM with Static Public IP (part 1 - VIP)我們介紹了如何實作Cloud Service - VIP,也簡介了一些概念與限制 [More]
Azure VM 加上固定IP (part1 - 雲端服務設定固定IP),讓雲端服務內的機器對外擁有一致的Public IP 17. November 2015 mandy Azure, Cloud Service (0) 前言 建立Azure VM或Azure Cloud Service服務後,服務的Public IP是動態的,當資源關閉時,Public IP就變更了。有些Application的需求就是讓VM擁有固定 [More]
排程自動開關機Azure VM,在離峰時段節省您的荷包 - Azure Automation 9. November 2015 mandy Azure (0) 前言 本文介紹Azure Automation(自動化)服務的應用 - 排程開關機Azure VM,主要是因為要幫客戶節省雲端成本,而他們的VM可以允許在非用戶使用期間(e.g. 晚上十點半~清晨六點 [More]
利用 Powershell 設定 Azure PTR 紀錄 (Reverse DNS),終於可以在Azure上架設SMTP Server了! 22. October 2015 mandy Azure, Cloud Service (0) 前言 Azure在2014年7月21日才發佈一個消息,就是能使用PTR紀錄,而PTR紀錄(又稱Reverse DNS)會應用在哪裡呢?通常會應用在Azure VM架對外的SMTP服務,而PTR紀錄重要 [More]