Feeds:
Posts
Comentários

vnet01

Eremos abortar hoje um uma funcionalidade no Azure, que é implantação de VNet-to-VNet, Que é modelo de implantação clássico (gerenciamento de serviço). Podemos usar o portal clássico e novo portal do azure para criação das VNets, os gateways e o PowerShell  para configurar a conexão VNet-to-VNet ou pelo novo portal do azure.

vnet

Sobre conexões de rede virtual a rede virtual

Conectar uma rede virtual a outra rede virtual (rede virtual a rede virtual) é semelhante a conectar uma rede virtual a um site local. Os dois tipos de conectividade usam um gateway de VPN para fornecer um túnel seguro usando IPsec/IKE.

As VNets que você conecta podem estar em regiões e assinaturas diferentes. Você pode combinar a comunicação de VNet-to- VNet usando configurações multissite. Isso permite estabelecer topologias de rede que combinam conectividade entre instalações a conectividade de rede intervirtual.

Por que conectar redes virtuais?

Você talvez queira conectar redes virtuais pelos seguintes motivos:

Redundância geográfica entre regiões e presença geográfica

Você pode configurar sua própria sincronização ou replicação geográfica com conectividade segura sem passar por pontos de extremidade voltados para a Internet.

Com o Azure Load Balancer e a tecnologia de clustering da Microsoft ou de terceiros, você pode configurar uma carga de trabalho altamente disponível com redundância geográfica entre várias regiões do Azure. Um exemplo importante é configurar o Always On do SQL com Grupos de Disponibilidade espalhados por várias regiões do Azure.

Aplicativos multicamadas regionais com limite de isolamento forte

Na mesma região, você pode configurar aplicativos multicamadas com várias VNets conectadas com isolamento forte e comunicação entre camadas segura.

Comunicação entre organizações e assinaturas no Azure

Se você tem várias assinaturas do Azure, agora é possível se conectar a cargas de trabalho de assinaturas diferentes com segurança entre redes virtuais.

Para empresas ou provedores de serviço, é possível habilitar a comunicação entre organizações usando a tecnologia VPN segura no Azure.

Etapa 1 – Planejar os intervalos de endereços IP

É importante decidir os intervalos que você usará para configurar as redes virtuais. Para esta configuração, você deve garantir que nenhum dos intervalos de VNet se sobreponham entre si ou aos das redes locais às quais se conectam.

A tabela a seguir mostra um exemplo de como definir as VNets. Use os intervalos apenas como uma diretriz. Anote os intervalos para suas redes virtuais. Você precisa dessas informações para etapas posteriores.

Etapa 2 – Criar a VNet1

Nesta etapa, criamos a VNet1. Ao usar qualquer um dos exemplos, faça as substituições pelos seus próprios valores. Se sua VNet já existir, você não precisará realizar esta etapa. Mas você precisa verificar se os intervalos de endereços IP não se sobrepõem aos intervalos da segunda VNet ou de qualquer outra rede virtual à qual deseja se conectar.

Faça logon no portal clássico do Azure. Neste artigo, podemos usar o portal clássico porque algumas das definições de configuração necessárias ainda não estão disponíveis no portal do Azure.

No canto inferior esquerdo da tela, clique em Novo > Serviços de Rede > Rede Virtual > Criação Personalizada para iniciar o assistente de configuração. Ao navegar pelo assistente, adicione os valores especificados para cada página.

Quaisquer dúvida fico a disposição!

Ref: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-vnet-vnet-rm-ps

Azure Active Directory

ad-azure

O Active Directory do Azure (AD do Azure) é o serviço de gerenciamento de identidade e diretório multilocatário com base em nuvem da Microsoft. Para administradores de TI, o AD do Azure oferece uma solução acessível e fácil de usar para fornecer a funcionários e parceiros de negócios acesso de logon único (SSO) a milhares de aplicativos SaaS na nuvem, como Office365, Salesforce.com e  DropBox .

Para desenvolvedores de aplicativo, o AD do azure  quer apenas que se concentre na criação de se aplicativo, de forma simples fazendo a integração de solução de gerenciamento de identidade da mais alta qualidade e utilizado por milhões de empresa no mundo.

O AD do Windows Azure também inclui um conjunto de recursos de gerenciamento de identidade, incluindo multi-factor autentication, registro de dispositivos, gerenciamento de senha de autoatendimento, gerenciamento de grupos de autoatendimento, gerenciamento de contas com privilégios, controles de acesso com base em função, monitoramento de uso de aplicativo, auditoria avançada e alertas e monitoramento de segurança. E todos esses recursos podem ajudar a proteger seu aplicativo na nuvem, simplificar todos os processos de TI, cortar custos e ajudar a garantir que suas metas de conformidade corporativa sejam atingidas.

Se você for um cliente do Office365, Azure ou Dynamics CRM Online, talvez não tenha percebido que já está usando o AD do Azure. Todo locatário do Office365, Azure e Dynamics CRM já é, na verdade, um locatário do AD do Azure. Quando desejar, você poderá começar a usar esse locatário para gerenciar o acesso a milhares de outros aplicativos na nuvem aos quais o AD do Azure se integra!

ad

Benefícios do AD do Azure:

  1. Melhorar a Produtividade dos funcionários
  2. Melhorar a segurança
  3. Redução de custo
  4. Logon único

Quanto Custa?

R$ 3,75 por usuário por mês.

Experimente ! – você pode começar se inscrever em avalição gratuita de 30 dias hoje mesmo e implante sua primeira solução de nuvem em menos de 5 minutos.

Conheça mais de Windows Azure !!! até próximas publicação !!

REF: https://azure.microsoft.com/pt-br/documentation/articles/active-directory-whatis/#como-posso-comear; https://azure.microsoft.com/pt-br/services/active-directory/;https://azure.microsoft.com/pt-br/pricing/details/active-directory/

 

azure_

 

Implante várias instâncias de funções para cada serviço. A Microsoft oferece garantias de disponibilidade para serviços que você cria e implanta, mas essas garantias somente serão válidas se você implantar pelo menos duas instâncias de cada função no serviço. Isso permite que uma função fique indisponível enquanto a outra permanece ativa. Isso é especialmente importante se você precisar implantar atualizações em um sistema ao vivo sem interromper as atividades dos clientes; é possível desativar e atualizar instâncias individualmente, enquanto as outras continuam online.

Aplicativos host em vários datacenters. Embora isso seja extremamente improvável, é possível que todo um datacenter fique offline por meio de um evento, como um desastre natural ou falha de Internet. Aplicativos de negócios vitais devem ser hospedados em mais de um datacenter, para oferecer disponibilidade máxima. Isso pode reduzir a latência de usuários locais, além de oferecer outras oportunidades de flexibilidade ao atualizar aplicativos.

Automatizar e testar tarefas de implantação e manutenção. Aplicativos distribuídos consistem em várias partes que devem trabalhar em conjunto. A implantação, portanto, deve ser automatizada usando mecanismos testados e aprovados como scripts e aplicativos de implantação. Eles podem atualizar e validar a configuração e automatizar o processo de implantação. Técnicas automatizadas também devem ser usadas para realizar atualizações de aplicativos inteiros ou partes de aplicativos. É fundamental testar todos esses processos integralmente, para garantir que não existirá tempo de inatividade adicional devido a erros. Todas as ferramentas de implantação devem ter restrições de segurança adequadas, para proteger o aplicativo implantado; defina e imponha políticas de implantação cuidadosamente e minimize a necessidade de intervenção humana.

Considere a possibilidade de usar os recursos de produção e preparo da plataforma nos casos em que eles estão disponíveis. Por exemplo, usar os ambientes de preparo e produção dos Serviços de Nuvem do Azure permite alternar entre um aplicativo e outro instantaneamente, por meio de uma Permuta de VIP (permuta de endereço IP virtual). No entanto, se você preferir uma preparação local, ou preferir implantar versões diferentes do aplicativo simultaneamente e migrar gradualmente os usuários, você não poderá usar uma operação de Permuta de VIP.

Aplique as alterações de configuração sem reciclar a instância quando possível. Em muitos casos, as definições de configuração para um aplicativo ou serviço do Azure podem ser alteradas sem exigir que a função seja reiniciada. A função expõe eventos que podem ser processados para detectar alterações de configuração e aplicá-las a componentes do aplicativo. No entanto, algumas alterações nas configurações da plataforma principal exigem a reinicialização de uma função. Ao criar serviços e componentes, maximize a disponibilidade e minimize o tempo de inatividade projetando-os para aceitar alterações na configuração sem a necessidade de reiniciar o aplicativo como um todo.

Use domínios de atualização para o tempo de inatividade zero durante as atualizações. Unidades de computação do Azure, como funções de trabalho e da Web, são alocadas para domínios de atualização. Os domínios de atualização agrupam instâncias de função juntando-as de modo que, quando ocorre uma atualização sem interrupção, as funções no domínio de atualização são interrompidas, atualizadas e reiniciadas uma por vez. Isso minimiza o impacto na disponibilidade do aplicativo. Você pode especificar quantos domínios de atualização devem ser criados para um serviço quando o serviço é implantado.

Observação:

Funções também são distribuídas entre domínios de falha, cada um dos quais é razoavelmente independente de outros domínios de falha em termos de disponibilização de rack do servidor, energia e resfriamento, para minimizar a possibilidade de uma falha que afete todas as instâncias de função. Essa distribuição ocorre automaticamente e você não pode controlá-la.

Configure conjuntos de disponibilidade para máquinas virtuais do Azure. A colocação de duas ou mais máquinas virtuais no mesmo conjunto de disponibilidade garante que essas máquinas virtuais não serão implantadas no mesmo domínio de falha. Para maximizar a disponibilidade, você deve criar várias instâncias de cada máquina virtual essencial usada pelo seu sistema e colocar essas instâncias no mesmo conjunto de disponibilidade. Se você estiver executando várias máquinas virtuais que servem para propósitos diferentes, crie um conjunto de disponibilidade para cada máquina virtual. Adicione instâncias de cada máquina virtual a cada conjunto de disponibilidade. Por exemplo, se você tiver criado máquinas virtuais separadas para atuarem como um servidor Web e um servidor de relatórios, crie um conjunto de disponibilidade para o servidor Web e outro conjunto de disponibilidade para o servidor de relatórios. Adicione instâncias da máquina de virtual do servidor Web ao conjunto de disponibilidade do servidor Web, e adicione instâncias da máquina virtual do servidor de relatórios ao conjunto de disponibilidade do servidor de relatórios.

Gerenciamento de dados

Tire proveito da replicação de dados tanto por meio da redundância local quanto da geográfica. Os dados no armazenamento do Azure são replicados automaticamente para proteção contra perda em caso de falha de infraestrutura, e alguns aspectos dessa replicação podem ser configurados. Por exemplo, cópias de dados somente leitura podem ser replicadas em mais de uma região geográfica (mencionado como armazenamento por redundância geográfica com acesso de leitura, ou RA-GRS). Observe que o uso de RA-GRS gerará cobranças adicionais. Para obter detalhes, confira Preços de Armazenamento do Azure.

Use simultaneidade otimista e consistência eventual sempre que possível. Transações que impedem o acesso a recursos por meio de bloqueio (simultaneidade pessimista) podem causar baixo desempenho e reduzir consideravelmente a disponibilidade. Esses problemas podem se tornar especialmente críticos em sistemas distribuídos. Em muitos casos, um design cuidadoso e técnicas como particionamento podem minimizar a possibilidade de ocorrência de atualizações conflitantes. Quando os dados forem replicados, ou lidos a partir de um repositório atualizado separadamente, serão consistentes apenas eventualmente. Mas as vantagens normalmente compensam o impacto na disponibilidade do uso de transações, a fim de garantir consistência imediata.

Utilize backup periódico e restauração pontual, certificando-se de que ele atende o RPO (objetivo de ponto de recuperação). Faça regularmente e automaticamente o backup de dados que não são preservados em outro local; além disso, verifique se é possível restaurar de modo confiável tanto os dados quanto o aplicativo em si caso uma falha ocorra. A replicação de dados não é um recurso de backup, porque erros e inconsistências apresentadas por meio de operações mal-intencionadas, erros ou falhas serão replicadas em todos os repositórios. O processo de backup deve ser seguro, para proteger os dados em trânsito e em armazenamento. Bancos de dados ou partes de um repositório de dados podem geralmente ser recuperados para seu estado em um ponto anterior no tempo, usando logs de transação. O Microsoft Azure fornece um recurso de backup para dados armazenados no Banco de Dados SQL do Azure. Os dados são exportados para um pacote de backup no armazenamento de blobs do Azure e podem ser baixados para um espaço local seguro para armazenamento.

Habilite a opção de alta disponibilidade para manter uma cópia secundária de um Cache Redis do Azure. Ao usar o Cache Redis do Azure, escolha a opção standard para manter uma cópia secundária do conteúdo. Para saber mais, confira Criar um cache no Cache Redis do Azure.

Erros e falhas

Introduza o conceito de um tempo limite. Serviços e recursos podem tornar-se indisponíveis, fazendo com que determinadas solicitações falhem. Certifique-se de que os tempos limite aplicados sejam apropriados a cada serviço ou recurso, bem como ao cliente que o acessa. (Em alguns casos, talvez seja apropriado permitir um tempo limite maior para uma instância específica de um cliente, dependendo do contexto e de outras ações que o cliente esteja realizando.) Um tempo limite muito curto pode causar uma quantidade excessiva de operações de nova tentativa para serviços e recursos com uma latência considerável. Tempos limite muito longos pode causar um bloqueio se uma grande quantidade de solicitações for enfileirada, aguardando a resposta de um serviço ou recurso.

Repita operações com falha causadas por falhas transitórias. Crie uma estratégia de repetição para acessar todos os serviços e recursos nos casos em que eles não oferecem suporte inerente a repetição automática de conexão. Use uma estratégia que inclui um atraso cada vez maior entre as repetições à medida que o número de falhas aumenta, a fim de evitar a sobrecarga do recurso e permitir que ele se recupere normalmente e processe as solicitações em fila. Repetições contínuas com atrasos muito curtos provavelmente agravarão o problema.

Pare de enviar solicitações para evitar falhas em cascata, quando os serviços remotos não estiverem disponíveis. Pode haver situações nas quais falhas transitórias ou de outro tipo, que variam quanto à severidade desde uma perda parcial de conectividade até falha total de um serviço, demoram muito mais que o esperado para retornar ao normal. Além disso, se um serviço estiver muito ocupado, uma falha em uma parte do sistema pode levar a falhas em cascata, além de resultar em muitas operações ficando bloqueadas e ocupando, simultaneamente, recursos críticos do sistema, como memória, threads e conexões de banco de dados. Em vez de repetir continuamente uma operação com pouca probabilidade de êxito, o aplicativo deve aceitar rapidamente que a operação falhou e lidar normalmente com essa falha. Você pode usar o padrão de disjuntor para rejeitar as solicitações para operações específicas por períodos definidos. Para obter mais detalhes, confira Circuit Breaker Pattern.

Redija ou retorne para vários componentes para reduzir o impacto de um serviço específico estar offline ou indisponível. Crie aplicativos para tirar proveito de múltiplas instâncias sem afetar a operação e as conexões existentes, sempre que possível. Use múltiplas instâncias e distribua solicitações entre elas. Além disso, detecte instâncias com falha e evite enviar solicitações a elas, para maximizar a disponibilidade.

Retorne para um fluxo de trabalho ou um serviço diferente sempre que possível. Por exemplo, se a gravação no Banco de Dados SQL falhar, armazene temporariamente os dados no armazenamento de blobs. Forneça um recurso para repetir as gravações feitas no armazenamento de blobs no Banco de Dados SQL quando o serviço ficar disponível. Em alguns casos, uma operação com falha pode ter uma ação alternativa que permite que o aplicativo continue a funcionar mesmo quando um componente ou serviço falha. Se possível, detecte as falhas e redirecione as solicitações para outros serviços que possam oferecer uma funcionalidade alternativa adequada, ou então para instâncias de backup ou redução de funcionalidade, que possam manter as operações principais enquanto o serviço primário estiver offline.

Monitoramento e recuperação de desastres

Forneça instrumentação avançada para falhas prováveis e eventos de falha, para reportar a situação à equipe de operações. Para falhas que provavelmente ocorrerão mas ainda não ocorreram, forneça dados suficientes para permitir que a equipe de operações determine a causa, atenue a situação e garanta que o sistema permaneça disponível. Para falhas que já ocorreram, o aplicativo deve retornar uma mensagem de erro apropriada para o usuário mas tentar continuar em execução, mesmo que com funcionalidade reduzida. Em todos os casos, o sistema de monitoramento deve capturar detalhes abrangentes para permitir que a equipe de operações efetue uma recuperação rápida e, se necessário, para que designers e desenvolvedores modifiquem o sistema para impedir que a situação ocorra novamente.

Monitore a integridade do sistema implementando funções de verificação. A integridade e o desempenho de um aplicativo podem diminuir ao longo do tempo sem que essa mudança seja perceptível, até o aplicativo falhar. Implemente investigações ou verifique funções que são executadas regularmente de fora do aplicativo. Essas verificações podem ser tão simples quanto medir o tempo de resposta para o aplicativo como um todo, para partes individuais do aplicativo, para os serviços individuais que o aplicativo usa ou para componentes individuais. Funções de verificação podem executar processos para garantir que eles produzem resultados válidos, medir a latência e verificar a disponibilidade, além de extrair informações do sistema.

Tente regularmente todos os sistemas de failover e failback para garantir que eles estejam disponíveis e funcionem conforme o esperado. As alterações aos sistemas e operações podem afetar as funções de failover e fallback, mas o impacto pode não ser detectado até que o sistema principal falhe ou fique sobrecarregado. Teste-o antes que ele seja exigido para compensar um problema em tempo real e em tempo de execução.

Teste os sistemas de monitoramento. Sistemas automatizados de failover e fallback e visualização manual de desempenho e integridade do sistema pelo uso de painéis dependem, todos, do funcionamento correto da instrumentação e do monitoramento. Se esses elementos falharem, perderem informações essenciais ou relatarem dados imprecisos, um operador poderá deixar de perceber que o sistema não está íntegro ou que está falhando.

Acompanhe o progresso de fluxos de trabalho de longa execução e tente novamente em caso de falha. Fluxos de trabalho de longa execução geralmente são compostos de várias etapas. Certifique-se de que cada etapa seja independente e possa ser repetida para minimizar a chance de que todo o fluxo de trabalho precise ser revertido, ou que várias transações de compensação precisem ser executadas. Monitore e gerencie o progresso de fluxos de trabalho de longa duração implementando um padrão como o Scheduler Agent Supervisor Pattern.

Planeje-se para a eventualidade de uma recuperação de desastre. Certifique-se de que haja um plano documentado, aceito e totalmente testado para a recuperação de qualquer tipo de falha que possa tornar todo o sistema principal ou parte dele indisponível. Teste os procedimentos regularmente e certifique-se de que toda a equipe de operações está familiarizada com o processo.

É importante termos bom plano de contingência, e seguir sempre as recomendações Microsoft. Dessa forma podemos ter um ambiente mais saudável.

Ref: https://azure.microsoft.com;

Ref: https://azure.microsoft.com/pt-br/documentation/articles/best-practices-availability-checklist/

Por que Usar Azure?

azure-cloud

 

Motivos:

Vários pontos durante planejamento são considerados antes implantar uma solução em cloud: Disponibilidade, flexibilidade, possíveis templates de VM, possibilidade de criar quaisquer tipo de maquina no preço que sua empresa possa pagar, possibilidade criação de VM em minutos e segurança para meus dados.

Melhoria: 1. Aumento na produtividade dos colaboradores, 2. Baixo custo em manutenção dos servidores, diminuído consumo de energia, espaço e  mão obra especializada.

Windows Azure:

O Azure dá suporte à mais ampla seleção de sistemas operacionais, linguagens de programação, estruturas, ferramentas, bancos de dados e dispositivos. Execute contêineres Linux com integração com Docker; compile aplicativos com JavaScript, Python, .NET, PHP, Java e Node.js; compile back-ends para dispositivos iOS, Android e Windows. O serviço de nuvem do Azure dá suporte às mesmas tecnologias com as quais milhões de desenvolvedores e profissionais de TI já contam e confiam. Pela sua flexibilidade de trabalhar com varias plantaformas.

Conte com um serviço de nuvem confiável:

Tem dúvidas sobre como escolher um provedor de serviço de nuvem? Desde pequenos projetos de desenvolvimento em teste a lançamentos globais de produtos, o Azure é projetado para lidar com qualquer carga de trabalho. Mais de 66% das empresas da Fortune 500 confiam no Azure, que oferece SLAs de nível empresarial para os serviços, suporte técnico 24/7 e monitoramento de integridade do serviço 24 horas.

azure

azure-seguranca-destaque

Quero começa esse pequeno artigo falado sobre a segurança do azure, é necessário atender que o azure uma plataforma de nuvem que ajuda customizar sua infraestrutura de forma escalável que você só paga pelo uso. Mas hoje vou abortar o nível de segurança que azure oferece para seus dados.

A microsoft entende que para você, e para seus clientes corporativo, a compreender os benefícios de nuvem, deverá estar disposto a confiar ao seu provedor de nuvem um dos seus ativos mais valiosos: seus dados.

Ao investir em um serviço de nuvem, você deve poder confiar que seus dados do cliente estão seguros e que a privacidade dos seus dados está protegida, bem como você mantém a propriedade e controle sobre seus dados, e que eles somente serão usados em conformidade com suas expectativas.

A Microsoft se esforça para conquistar sua confiança no Microsoft Azure. Nossa vasta experiência na administração de serviços online envolveu extenso investimento em tecnologia de base para inserir a segurança e a privacidade nos processos de desenvolvimento.

A segurança e a privacidade estão inseridas do desenvolvimento do Azure

A Microsoft aproveitou sua experiência de décadas na criação de proteções software corporativo e na execução de alguns dos maiores serviços online do mundo a fim de cria tecnologias e praticas de segurança robustas. Elas ajudam a garantir que a infraestrutura do Azure seja resistente a ataques, protege o acesso do usuário ao ambiente do Azure e ajuda a manter os dados do cliente seguros por meio de comunicações criptografadas e pelo gerenciamento de ameaças e práticas de atenuação, incluindo testes de penetração regulares.

Gerenciar e controlar a identidade e acesso do usuário aos seus ambientes, dados e aplicativos ao federar identidades de usuário para o Active Directory do Azure e habilitar a autenticação multifator para um logon ainda mais seguro.

Criptografia de comunicações e processos de operação. Para dados em repouso, o azure oferece um ampla gama de recursos de criptografia até AES_256.

Proteção de redes. O Azure fornece a infraestrutura necessária para conectar máquinas virtuais com segurança umas às outras e para conectar datacenters locais às VMs do Azure. O Azure bloqueia tráfego não autorizado para datacenters da Microsoft ou dentro deles, usando diversas tecnologias. A Rede Virtual do Azure estende-se à sua rede local para a nuvem por meio de VPN site a site.

Gerenciamento de ameaças. Para proteção contra ameaças online, o Azure oferece o Microsoft Antimalware para serviços de nuvem e máquinas virtuais.

Privacidade: os dados pertencem a você e estão sob seu controle

Por mais de 20 anos, a Microsoft tem sido uma líder na criação de soluções online robustas desenvolvidas para proteger a privacidade dos nossos clientes. Nossa experiente abordagem da privacidade e proteção dos dados baseia-se no nosso compromisso de conceder às organizações a propriedade e o controle sobre a coleta, uso e distribuição das suas informações.

Buscamos ser transparentes em nossas práticas de privacidade, oferecemos opções de privacidade significativas e gerenciamos com responsabilidade os dados que armazenamos e processamos. Um exemplo do nosso compromisso para com a privacidade dos dados do cliente é nossa adesão do primeiro código de práticas de privacidade de nuvem do mundo, o ISO/IEC 27018.

 Conformidade: estamos em conformidade com as normas globais

O Azure cumpre uma ampla gama de normas de conformidade internacionais e específicas da indústria, como ISO 27001, HIPAA, FedRAMP, SOC 1 e SOC 2, bem como normas específicas de certos países como o IRAP da Austrália, o G-Cloud do Reino Unido e o MTCS de Cingapura.

Rigorosas auditorias de terceiros, tais como as realizadas pelo British Standards Institute, confirmam a adesão do Azure aos rígidos controles de segurança exigidos por tais normas. Como parte do nosso compromisso com a transparência, você pode confirmar nossa implementação de muitos controles de segurança ao solicitar os resultados de auditoria de empresas de certificação independentes.

Quando a Microsoft verifica que nossos serviços atendem às normas de conformidade e demonstram como alcançamos a conformidade, isso facilita para que nossos clientes garantam a conformidade das infraestruturas e aplicativos que eles executam no Azure.

 

Ref: https://azure.microsoft.com/pt-br/support/trust-center/

azure

Network Azure

NSG – (Network Security Group)  Contém lista de regras que permitem ou negam tráfego de rede para suas instâncias de VM em uma Rede Virtual. Os NSGs podem ser associados as sub-redes ou instâncias de VM individuais dentro dessas sub-rede. Além disso, o tráfego para uma VM inidividuais pode ser restrito ainda mais por meio da associação de NSG diretamente à VM. Importante salientar que preciso saber algumas particulariedade da NSG antes de configurar.

  1. Você pode ter várias regras em um NSG, portanto, siga uma convenção de nomenclatura que permita a identificação da função da sua regra.
  2. Protocolo: O uso do (*) como um protocolo inclui ICMP (apenas tráfego Leste-Oeste), bem como UDP e TCP, pode reduzir o número de regras necessárias Ao mesmo tempo, o uso do (*) pode ser uma abordagem muito ampla. Portanto, use-o quando for realmente necessário.
  3. Intervalo de portas de destino: Intervalo de portas de destino para fazer a correspondência da regra Número de porta única de 1 a 65535, intervalo de portas (ou seja, 1 a 65535) ou * (para todas as portas).
  4. Prefixo de endereço de origem Prefixo ou marca de endereço de origem para fazer a correspondência da regra Endereço IP único (ou seja, 10.10.10.10), sub-rede IP (ou seja, 192.168.1.0/24), marca padrão ou * (para todos os endereços).
  5. Prefixo de endereço de destino Prefixo ou marca de endereço de destino para fazer a correspondência da regra            endereço IP único (ou seja, 10.10.10.10), sub-rede IP (ou seja, 192.168.1.0/24), marca padrão ou * (para todos os endereços).
  6. Direção Direção do tráfego para fazer a correspondência da regra entrada ou saída.
  7. Prorpiedade: As regras são verificadas em ordem de prioridade, e depois que uma regra é aplicada, nenhuma outra é testada quanto à correspondência, Número entre 100 e 4096 Considere a criação de regras que pulem prioridades, a cada 100 para cada regra, para deixar espaço para novas regras que surgem entre as existentes.
  8. Accesso: Tipo de acesso a ser aplicado se a regra for correspondente permitir ou negar Lembre-se, se uma regra de permissão não for encontrada para um pacote, ele será descartado.

Regras padrão

Todos os NSGs contêm um conjunto de regras padrão. As regras padrão não podem ser excluídas, mas como recebem a prioridade mais baixa, elas podem ser substituídas pelas regras que você criar.

Associando NSGs

Você pode associar um NSG a VMs, NICs e sub-redes, dependendo do modelo de implantação que estiver usando.

Tráfego de entrada

NSG aplicado à sub-rede. Se o NSG de sub-rede tiver uma regra correspondente para negar o tráfego, o pacote será removido aqui. NSG aplicado à NIC (Gerenciador de Recursos) ou à VM (clássica). Se o NSG de VM\NIC tiver uma regra correspondente para negar o tráfego, o pacote será removido na VM\NIC, embora o NSG de sub-rede tenha uma regra correspondente para permitir o tráfego.

Tráfego de saída

NSG aplicado à NIC (Gerenciador de Recursos) ou à VM (clássica). Se o NSG de VM\NIC tiver uma regra correspondente para negar o tráfego, o pacote será removido. NSG aplicado à sub-rede. Se o NSG de sub-rede tiver uma regra correspondente para negar o tráfego, o pacote será removido, embora o NSG de VM\NIC tenha uma regra correspondente para permitir o tráfego.

Implementação

Você pode implementar NSGs nos modelos clássicos ou de implantação do Gerenciador de Recursos usando as diferentes ferramentas listadas abaixo.

Ferramenta de implantação Clássico Gerenciador de Recursos
Portal clássico Não Não
Portal do Azure Sim Sim
PowerShell Sim Sim
CLI do Azure Sim Sim
Modelo de ARM Não Sim

Planejamento

Antes de implementar NSGs, você precisa responder às perguntas abaixo:

Para quais tipos de recurso você deseja filtrar o tráfego que entra ou sai (NICs na mesma VM, VMs, ou outros recursos, como serviços de nuvem ou ambientes de serviço de aplicativo conectados à mesma sub-rede, ou entre recursos conectados a diferentes sub-redes)?

Os recursos nos quais você deseja filtrar o tráfego que entra/sai estão conectados a sub-redes em redes virtuais existentes ou serão conectados a novas redes virtuais ou sub-redes?

A ideia da NSG é como firewall da Vnet no azure, como administrador pode criar mais uma camada de segurança para Infraestrutura no ambiente Azure, fique atento em algumas regras e considerações importante antes criar a sua (NSG) Network Security Group.

Quaisquer duvida pode deixa seu pergunta ou comentário.

Ref: https://azure.microsoft.com/pt-br/documentation/articles/virtual-networks-nsg/

 

 

Nessa Ultima quinta-feira,aprovado no exam 70-533 (Implementing Microsoft Azure Infrastructure Solutions). quero deixa algumas digas importantes:

  1. Criei uma conta no Azure, para montar seu Lab.
  2. compre o Livro Exam Ref 70-533 – Implementing Microsoft Azure Infrastructure Solutions, isso irá ajuda você com conceito e com criação do LAb.
  3. Entendimento no English, porque o exame só tem chinês simplificado, Japonês e Englih.
  4. Se dedique o máximo, o mais importante é você entender com funciona o azure.postar sobre Azure com os temas do exame.

Irei postar toda sexta-feira, sobre os temas do exame 70-533.

Vamos que Vamos !!