繼上篇針對自身Azure VM有基本管理上的認識後快馬加鞭繼續更多好用功能上示範,就給他繼續看下去

題外話現在你在VM上的管理頁面都有建議橫幅提示(這就是原本的建議服務已經主動性深入每個VM做提醒)

點進去就可以看到目前擬自身VM各項的評定狀態

舉例檢視一下安全性

就看到了目前的安全層級以及分數,未加密磁碟為例點進去其實有很清楚的說明與解決方式,如上篇示範有些類型可以直接功能就Enable修正,不過就當作是維運智能助理相信會有不少幫助

這類型建議服務如果要獨立來看搜尋如下並釘選至左列功能表,方便後續直接使用

進去建議服務就會看到目前這整個Azure內的主機服務狀態及評定建議,就不需要一個個點進去來檢視

這是我從建議服務上直接下載PDF報表的樣式,算是總表的檢視是否有用就看個人需求...csv也有.可以用Excel在做進一步資料分析整理之用

接下來有個中文翻譯就嚴重損壞修復@@....這啥鬼..點進去看就是Site Recovery嘛!!詭異的翻譯
這上面除了預設的異地備援配對外以我為例VM在東南亞-->東亞就是首選,但如果真的不要預設下列的選單都是可以支援的容錯移轉

這些欄位正式環境因為有名稱管理上的問題基本上都會先設定好包含資源群組,備援服務,網路,快取複寫資料時存放位置,不過我假設都不懂的情況下一鍵解決你的問題,那就是如下方式產生的名稱預設直接啟動複寫即可

補充下面磁碟的對應可以自己決定異地複寫的磁碟類型是HDD或是SSD都可以在此刻決定

好吧!GG時間..我解釋一下為何不行...因為我用的訂閱是Azure Pass原廠給的試用.這有限制地區服務,正式則無此問題
(這些列出的地區全部都不行..試過@@)

我拿另一個也是Azure Pass的訂閱放在美東也是做異地複寫完成的狀態做範例...正常複寫完成會呈現此結果可以檢視目前的健康狀態以及RTO最近的抄寫時間

從備援服務來看目前受保護的VM可以看到完整的圓餅圖統計包含抄寫與移轉數量及下面的服務元件關聯性,如我異常會直接顯示紅色並且問題節點是可以有問題評定與建議解決作法

如果要做測試容錯移轉或直接正式移轉(把來源VM關機)依照你要的復原點狀態來啟動功能都算實用許多

接下來更新管理(這原本是Log分析服務上的方案來檢視各個VM主機)已經非常方便的讓個別VM啟用即可..一樣還沒有Log分析服務可以選擇新建,我已經有了就選擇已有的之後啟用即可

啟用中,等它一下

我再點選下面的清查功能想啟用發現這是連動的服務,有關連到Log分析所以要一個個來

變更追蹤狀況一樣...

有了更新管理設定完成不過要等它收集資料上面提示至少15分鐘時間

XD...有錯誤需要排解

確認一下是否沒有真的執行Log分析更新管理方案開始此服務

進去OMS入口網站後立馬就看到了更新管理圓餅圖顯示

理性從設定來看註冊Agent的來源的確是有一台Linux

從更新管理圓餅圖點進去看..沒錯就是我這台GaryVM

都進來了就看一下裡面偵測需要更有15個更新hotfix吧!

挑一個來檢視一下系統做建議的詳細更新資訊說明

啟用清查功能

其實就是整個VM上的軟體盤點...多個方便的工具可以直接檢視不用額外安裝

這是列出這台VM上的檔案路徑....真的是走過必留下痕跡

我們可以設定指定要追蹤變更的檔案路徑作為後續一種檔案變更的事後追查比對之用(設定Temp作為路徑為例)

設定檔案路徑完成

變更追蹤此功能在啟用後就可以從此來檢視是否有變更的事件與時間紀錄

可以進一步針對變更事項進一步檢視如這刪除的動作關聯性為何?

接下來有個執行命令!這算是新的方便管理功能..不用一定要登入才能執行,目前只有檢視網路IP以及直接寫Shell執行的功能,這是直接未登入VM直接ifconfig顯示目前IP狀態

這是透過Shell直接簡單的一段hello World輸出結果範例...(所以其實你會寫shell可以做更多事情)鳥哥Linux來一下需要直接充電
http://linux.vbird.org/linux_basic/0340bashshell-scripts.php

有個組態的功能點進去一窺究竟..受限的存取功能JIT

因為這是安全資訊中心服務的進階功能..可以免費60天啟用

如果不是每個訂閱都要此功能要記得篩選,預設是這整個帳戶內的訂閱全啟用

這也是一樣,如果不是每個VM都要受管理則不安裝Agent後續需要的在啟用安裝

資訊安全中心啟用完成畫面...這也是可以講很久的功能..先不在此討論它

直接點選JIT功能...沒錯都是空個..因為剛剛選擇不安裝嘛!

回到GaryVM來執行啟用JIT

啟用完畢提醒直接到資訊安全中心做JIT設定

預設是3hr從啟用後開始算..所以目前並非可以設定排程時間區間,包含這台預設開啟的埠號或是還要新增都可以

因為它可以鎖定來源IP,我先看一下我自己目前對外IP

故意設定一組錯的並設定生效維持24小時可以連線

設定完成就立刻生效

嘗試連線果然立刻阻擋

設定回我剛剛對外連線的正確IP並改回允許1小時的連線時間

等它生肖大概約幾十秒後再測試登入就正常進入了

我們來看一下到底是甚麼法寶,沒錯就是它...在NSG輸入端預設有一筆All Deny,而需求連線的規則就在Deny更優先,時間一到立刻Policy就關閉切換到Deny All..這就JIT

好啦!又到了尾聲....支持的捧油們繼續努力加油...小弟先退下..再會