iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 14
0
Everything on Azure

玩轉 Azure 於指尖隨心所欲系列 第 14

Azure 專屬 VM 好用管理技巧公開 (二)..內附JIT

繼上篇針對自身Azure VM有基本管理上的認識後快馬加鞭繼續更多好用功能上示範,就給他繼續看下去

題外話現在你在VM上的管理頁面都有建議橫幅提示(這就是原本的建議服務已經主動性深入每個VM做提醒)
https://ithelp.ithome.com.tw/upload/images/20181014/20025481PNk7khCTM7.png

點進去就可以看到目前擬自身VM各項的評定狀態
https://ithelp.ithome.com.tw/upload/images/20181014/20025481jPZgamcflZ.png

舉例檢視一下安全性
https://ithelp.ithome.com.tw/upload/images/20181014/20025481Bh2F4tng8O.png

就看到了目前的安全層級以及分數,未加密磁碟為例點進去其實有很清楚的說明與解決方式,如上篇示範有些類型可以直接功能就Enable修正,不過就當作是維運智能助理相信會有不少幫助
https://ithelp.ithome.com.tw/upload/images/20181014/20025481c14ryocXtR.png

這類型建議服務如果要獨立來看搜尋如下並釘選至左列功能表,方便後續直接使用
https://ithelp.ithome.com.tw/upload/images/20181014/20025481FjsLEKY2aZ.png

進去建議服務就會看到目前這整個Azure內的主機服務狀態及評定建議,就不需要一個個點進去來檢視
https://ithelp.ithome.com.tw/upload/images/20181014/20025481vqLYeSEKIy.png

這是我從建議服務上直接下載PDF報表的樣式,算是總表的檢視是否有用就看個人需求...csv也有.可以用Excel在做進一步資料分析整理之用
https://ithelp.ithome.com.tw/upload/images/20181014/20025481ZpefB8Ndcx.png

接下來有個中文翻譯就嚴重損壞修復@@....這啥鬼..點進去看就是Site Recovery嘛!!詭異的翻譯
這上面除了預設的異地備援配對外以我為例VM在東南亞-->東亞就是首選,但如果真的不要預設下列的選單都是可以支援的容錯移轉
https://ithelp.ithome.com.tw/upload/images/20181014/20025481YS6y8n37Nf.png

這些欄位正式環境因為有名稱管理上的問題基本上都會先設定好包含資源群組,備援服務,網路,快取複寫資料時存放位置,不過我假設都不懂的情況下一鍵解決你的問題,那就是如下方式產生的名稱預設直接啟動複寫即可
https://ithelp.ithome.com.tw/upload/images/20181014/20025481smCv9xcVOy.png

補充下面磁碟的對應可以自己決定異地複寫的磁碟類型是HDD或是SSD都可以在此刻決定
https://ithelp.ithome.com.tw/upload/images/20181014/20025481dJeJcWVEgi.png

好吧!GG時間..我解釋一下為何不行...因為我用的訂閱是Azure Pass原廠給的試用.這有限制地區服務,正式則無此問題
(這些列出的地區全部都不行..試過@@)
https://ithelp.ithome.com.tw/upload/images/20181014/20025481lXngE3eZ4o.png

我拿另一個也是Azure Pass的訂閱放在美東也是做異地複寫完成的狀態做範例...正常複寫完成會呈現此結果可以檢視目前的健康狀態以及RTO最近的抄寫時間
https://ithelp.ithome.com.tw/upload/images/20181014/20025481hqLlI4pmAu.png

從備援服務來看目前受保護的VM可以看到完整的圓餅圖統計包含抄寫與移轉數量及下面的服務元件關聯性,如我異常會直接顯示紅色並且問題節點是可以有問題評定與建議解決作法
https://ithelp.ithome.com.tw/upload/images/20181014/20025481KaiXF8t1Lh.png

如果要做測試容錯移轉或直接正式移轉(把來源VM關機)依照你要的復原點狀態來啟動功能都算實用許多
https://ithelp.ithome.com.tw/upload/images/20181014/20025481kErlDTDhih.png

接下來更新管理(這原本是Log分析服務上的方案來檢視各個VM主機)已經非常方便的讓個別VM啟用即可..一樣還沒有Log分析服務可以選擇新建,我已經有了就選擇已有的之後啟用即可
https://ithelp.ithome.com.tw/upload/images/20181014/20025481RQOMUsLkC0.png

啟用中,等它一下
https://ithelp.ithome.com.tw/upload/images/20181014/20025481mzhtyFklj6.png

我再點選下面的清查功能想啟用發現這是連動的服務,有關連到Log分析所以要一個個來
https://ithelp.ithome.com.tw/upload/images/20181014/20025481aQIYnGywgu.png

變更追蹤狀況一樣...
https://ithelp.ithome.com.tw/upload/images/20181014/20025481dLOg1xr0ir.png

有了更新管理設定完成不過要等它收集資料上面提示至少15分鐘時間
https://ithelp.ithome.com.tw/upload/images/20181014/20025481gPOlgF3g44.png

XD...有錯誤需要排解
https://ithelp.ithome.com.tw/upload/images/20181014/20025481s2ZSLR0ve7.png

確認一下是否沒有真的執行Log分析更新管理方案開始此服務
https://ithelp.ithome.com.tw/upload/images/20181014/20025481mRxTlDzYnk.png

進去OMS入口網站後立馬就看到了更新管理圓餅圖顯示
https://ithelp.ithome.com.tw/upload/images/20181014/20025481i7gR4mmW45.png

理性從設定來看註冊Agent的來源的確是有一台Linux
https://ithelp.ithome.com.tw/upload/images/20181014/20025481FjoQOgnKju.png

從更新管理圓餅圖點進去看..沒錯就是我這台GaryVM
https://ithelp.ithome.com.tw/upload/images/20181014/20025481z2Fs8X1ZAG.png

都進來了就看一下裡面偵測需要更有15個更新hotfix吧!
https://ithelp.ithome.com.tw/upload/images/20181014/20025481fIzG2R1Sdt.png

挑一個來檢視一下系統做建議的詳細更新資訊說明
https://ithelp.ithome.com.tw/upload/images/20181014/20025481KClcQsFk0B.png

啟用清查功能
https://ithelp.ithome.com.tw/upload/images/20181014/20025481hWu1u9maZ0.png

其實就是整個VM上的軟體盤點...多個方便的工具可以直接檢視不用額外安裝
https://ithelp.ithome.com.tw/upload/images/20181014/20025481X3092l8bCz.png

這是列出這台VM上的檔案路徑....真的是走過必留下痕跡
https://ithelp.ithome.com.tw/upload/images/20181014/20025481N3rXs5Wep5.png

我們可以設定指定要追蹤變更的檔案路徑作為後續一種檔案變更的事後追查比對之用(設定Temp作為路徑為例)
https://ithelp.ithome.com.tw/upload/images/20181014/20025481ZxoAwDMAra.png

設定檔案路徑完成
https://ithelp.ithome.com.tw/upload/images/20181014/20025481VOPaf90Kup.png

變更追蹤此功能在啟用後就可以從此來檢視是否有變更的事件與時間紀錄
https://ithelp.ithome.com.tw/upload/images/20181014/20025481GmqHYQag9T.png

可以進一步針對變更事項進一步檢視如這刪除的動作關聯性為何?
https://ithelp.ithome.com.tw/upload/images/20181014/20025481Rmr7dvjowE.png

接下來有個執行命令!這算是新的方便管理功能..不用一定要登入才能執行,目前只有檢視網路IP以及直接寫Shell執行的功能,這是直接未登入VM直接ifconfig顯示目前IP狀態
https://ithelp.ithome.com.tw/upload/images/20181014/20025481a2vmg2bkWF.png

這是透過Shell直接簡單的一段hello World輸出結果範例...(所以其實你會寫shell可以做更多事情)鳥哥Linux來一下需要直接充電
http://linux.vbird.org/linux_basic/0340bashshell-scripts.php
https://ithelp.ithome.com.tw/upload/images/20181014/200254811vmXQhJtnw.png

有個組態的功能點進去一窺究竟..受限的存取功能JIT
https://ithelp.ithome.com.tw/upload/images/20181014/20025481OWFb0La8TL.png

因為這是安全資訊中心服務的進階功能..可以免費60天啟用
https://ithelp.ithome.com.tw/upload/images/20181014/2002548176U0t8Obwn.png

如果不是每個訂閱都要此功能要記得篩選,預設是這整個帳戶內的訂閱全啟用
https://ithelp.ithome.com.tw/upload/images/20181014/20025481huJEMMvg9o.png

這也是一樣,如果不是每個VM都要受管理則不安裝Agent後續需要的在啟用安裝
https://ithelp.ithome.com.tw/upload/images/20181014/200254817HCa3CknhS.png

資訊安全中心啟用完成畫面...這也是可以講很久的功能..先不在此討論它
https://ithelp.ithome.com.tw/upload/images/20181014/20025481KAzeno79ta.png

直接點選JIT功能...沒錯都是空個..因為剛剛選擇不安裝嘛!
https://ithelp.ithome.com.tw/upload/images/20181014/20025481pWMkbEyA67.png

回到GaryVM來執行啟用JIT
https://ithelp.ithome.com.tw/upload/images/20181014/20025481xStUUZFoUG.png

啟用完畢提醒直接到資訊安全中心做JIT設定
https://ithelp.ithome.com.tw/upload/images/20181014/20025481piHcN9MMkJ.png

預設是3hr從啟用後開始算..所以目前並非可以設定排程時間區間,包含這台預設開啟的埠號或是還要新增都可以
https://ithelp.ithome.com.tw/upload/images/20181014/20025481iZ571Y1QDD.png

因為它可以鎖定來源IP,我先看一下我自己目前對外IP
https://ithelp.ithome.com.tw/upload/images/20181014/20025481Kqq7tCbO1W.png

故意設定一組錯的並設定生效維持24小時可以連線
https://ithelp.ithome.com.tw/upload/images/20181014/20025481ZXYAOONhTm.png

設定完成就立刻生效
https://ithelp.ithome.com.tw/upload/images/20181014/20025481AAC7IXJF6J.png

嘗試連線果然立刻阻擋
https://ithelp.ithome.com.tw/upload/images/20181014/20025481eF2elE45nf.png

設定回我剛剛對外連線的正確IP並改回允許1小時的連線時間
https://ithelp.ithome.com.tw/upload/images/20181014/20025481kaaelTcSy5.png

等它生肖大概約幾十秒後再測試登入就正常進入了
https://ithelp.ithome.com.tw/upload/images/20181014/200254819gcJXqtW6c.png

我們來看一下到底是甚麼法寶,沒錯就是它...在NSG輸入端預設有一筆All Deny,而需求連線的規則就在Deny更優先,時間一到立刻Policy就關閉切換到Deny All..這就JIT
https://ithelp.ithome.com.tw/upload/images/20181014/20025481eDVtifdOag.png

好啦!又到了尾聲....支持的捧油們繼續努力加油...小弟先退下..再會


上一篇
Azure 專屬 VM 變身網站服務,好用管理技巧公開 (一)
下一篇
Azure 專屬 VM 好用管理技巧公開 (三)....內有警示 Alert
系列文
玩轉 Azure 於指尖隨心所欲32

尚未有邦友留言

立即登入留言