Baixe o app para aproveitar ainda mais
Prévia do material em texto
AZURE CLOUD COMPUTING AZURE CLOUD COMPUTING Azure Administrator Azure Active Directory AZURE CLOUD COMPUTINGAzure Active Directory • Um conjunto baseado em nuvem de recursos de gerenciamento de identidade que permite gerenciar com segurança o acesso aos serviços e recursos do Azure para seus usuários • Fornece gerenciamento de aplicativos, autenticação, gerenciamento de dispositivos e identidade híbrida AZURE CLOUD COMPUTINGAD DS vs Azure Active Directory O Azure AD é principalmente uma solução de identidade projetada para comunicações HTTP e HTTPS Consultando e usando a API REST sobre HTTP e HTTPS em vez de LDAP Usa os protocolos HTTP e HTTPS, como SAML, WS-Federation e OpenID Connect para autenticação (e OAuth para autorização) em vez de Kerberos Inclui serviços de federação e muitos serviços de terceiros (como o Facebook) Os usuários e grupos do Azure AD são criados em uma estrutura plana e não existem Unidades Organizacionais (UOs) nem Objetos de Diretiva de Grupo (GPOs) AZURE CLOUD COMPUTINGSelf-Service Password Reset • Determinar quem pode usar a redefinição de senha de autoatendimento • Escolha o número de métodos de autenticação necessários e os métodos disponíveis (email, telefone, perguntas) • Você pode exigir que os usuários se registrem no SSPR (mesmo processo do MFA) 1 2 3 AZURE CLOUD COMPUTINGCreate User Accounts Todos os usuários devem ter uma conta A conta é usada para autenticação e autorização Cada conta de usuário tem propriedades adicionais AZURE CLOUD COMPUTINGGroup Accounts Tipos de grupos • Security groups • Office 365 groups Tipos de associação • Assigned • Dynamic User • Dynamic Device (Security groups only) AZURE CLOUD COMPUTINGAdministrative Units • As unidades administrativas restringem as permissões em uma função a qualquer parte de sua organização que você definir. • Você poderia, por exemplo, usar unidades administrativas para delegar o papel de Administrador do Helpdesk a especialistas de suporte regional, para que eles possam gerenciar os usuários apenas na região que eles suportam. Subscriptions and Accounts AZURE CLOUD COMPUTINGAzure Subscriptions • Unidade lógica de serviços do Azure vinculada a uma conta do Azure • Limite de segurança e cobrança • Inclui contas - identidades no Azure Active Directory (Azure AD) ou em um diretório confiável do Azure AD AZURE CLOUD COMPUTINGSubscription Usage Subscription Usage Free Inclui um crédito de US $ 200 nos primeiros 30 dias, acesso limitado gratuito por 12 meses Pay-As-You-Go Cobra você mensalmente Enterprise Um contrato, com descontos para novas licenças e Software Assurance - direcionados a organizações de escala corporativa. Student Inclui US $ 100 por 12 meses - deve verificar o acesso do aluno AZURE CLOUD COMPUTINGCost Savings • Azure Reservations – ajuda economizar dinheiro pagando antecipadamente pelos serviços • Benefícios Híbridos do Azure - use licenças locais do Windows Server e SQL Server com Software Assurance • Créditos do Azure - benefício mensal de crédito que permite experimentar, desenvolver e testar novas soluções no Azure • Regiões - escolha locais e regiões de baixo custo AZURE CLOUD COMPUTINGManagement Groups • Fornece um nível de escopo acima de subscriptions • Direcionamento de políticas e budgets entre assinaturas e heranças nas hierarquias • Conformidade e relatório de custos por organização (negócios/equipes) Azure Policy AZURE CLOUD COMPUTINGInfraestrutura como serviço (IaaS) O Azure Policy é um serviço no Azure que você usa para criar, atribuir e gerenciar políticas O Azure Policy executa avaliações e verificações de recursos não compatíveis • Vantagens: • Aplicação e conformidade • Aplicar políticas em escala • Remediação Role-Based Access Control AZURE CLOUD COMPUTINGRole-Based Access Control AZURE CLOUD COMPUTINGRole Definition A coleção de permissões que lista as operações que podem ser executadas Built-in Owner Contributor Reader … Backup Operator Security Reader User Access Administrator Virtual Machine Contributor Custom Reader Support Tickets Virtual Machine Operator "Actions": [ "*" ], "NotActions" : [ "Authorization/*/Delete", "Authorization/*/Write", "Authorization/elevateAccess/Action" ], "DataActions" : [], "NotDataActions": [], "AssignableScopes" : [ "/" ] AZURE CLOUD COMPUTINGAzure RBAC Roles vs. Azure AD Roles O Azure e o Azure AD oferecem dois tipos de funções RBAC AZURE CLOUD COMPUTINGRBAC Authentication Azure AD Admin roles Global admin Application admin Application developer Billing admin … Azure Active Directory tenant Root Global admin/User access admin (elevated access) Azure RBAC roles Owner Contributor Reader User access admin … Root management group Management group Subscription Azure account Azure RBAC roles Owner Contributor Reader User access admin … Resource group Resource Storage Accounts AZURE CLOUD COMPUTING Azure Storage Services • Azure Containers: Armazenamento de objetos massivamente escalável para texto e dados binários • Azure Tables: Ideal para armazenar dados estruturados e não relacionais • Azure Queues: Armazenamento de mensagens confiáveis entre componentes do aplicativo • Azure Files: File shares para cloud ou on- premises deployments Replication strategies LRS • Três réplicas, uma região • Protege contra falhas de disco, nó, rack • Write is acknowledged when ZRS • Três réplicas, três zonas, uma região • Protege contra falhas de disco, nó, rack e zona • Gravações síncrona para as três zonas • GRS • Seis réplicas, duas regiões (três por região) • Protege contra grandes desastres regionais • Cópia assíncrona para região secundária RA-GRS • GRS + read access para secundário • Separa o secundário endpoint Replication strategies GZRS • Seis réplicas, duas regiões • Protege contra falhas de disco, nó, rack, zona e região • Gravações síncronas para todas as três zonas e cópia assíncrona para secundária RA-GZRS • GZRS + read access to secondary • Secundário endpoint separado Securing Storage Account Endpoints Firewalls e Virtual Networks restringem o acesso ao Storage Account de específicas Subnets em Virtual Networks ou public IP’s Subnets e Virtual Networks precisam existir na mesma Region ou Region Pair como o Storage Account Blob Storage Binary Large Object (Blob) Storage Armazena dados não estruturados na nuvem Pode armazenar qualquer tipo de texto ou dados binários Usos comuns: • Servindo imagens ou documentos diretamente para um navegador • Streaming video e audio • Armazenar dados para backup, restore, disaster recovery e archiving Blob Containers Todos os blobs precisam estar em um container Contas têm contêineres ilimitados Os contêineres podem ter blobs ilimitadas • Private blobs – nenhum acesso anônimo • Blob access – público anônimo ler acesso para blobs apenas • Container access – público anônimo ler e listar acesso a todo o contêiner, incluindo o blobs Blob Access Tiers Hot tier – Otimizado para acesso frequente de objetos no storage account Cool tier – Otimizado para armazenar grandes quantidades de dados que são acessados e armazenados com frequência por pelo menos 30 dias Archive – Otimizado para dados que podem tolerar várias horas de latência de recuperação e permanecerão no nível de arquivo por pelo menos 180 dias Você pode alternar entre essas camadas de acesso a qualquer momento✓ Storage Security Shared Access Signatures • Fornece acesso delegado aos recursos • Concede acesso a clientes sem compartilhar sua storage account keys • A conta SAS delega acesso aos recursos em um ou mais dos serviços de armazenamento • O serviço SAS delega acesso a um recurso em apenas um dos storage services URI and SAS Parameters • Um SAS URI aponta para um ou mais recursos de armazenamento • Consiste em um recurso de armazenamento URI e o token SAShttps://myaccount.blob.core.windows.net/?sp=r&st=2020-05- 11T18:31:43Z&se=2020-05-12T02:31:43Z&spr=https&sv=2019-10- 10&sr=b&sig=jOqABJZHfUVeBQ3yVn7kWiCKlO0sxCiK1rzEchfAz8U%3D Inclui parâmetros para URI de recursos, storage services version, services, resource types, tempo de início, tempo de validade, recurso, permissões, alcance IP, protocolo, assinatura Azure Files Managing File Shares • Garantir que a porta 445 esteja aberta • Linux – mount the drive • MacOS – mount the drive • Secure transfer required – SMB 3.0 encryption Virtual Networks Azure Networking Components • A adoção de soluções em nuvem pode economizar tempo e simplificar as operações • O Azure requer os mesmos tipos de funcionalidade de rede que a infraestrutura local • A rede do Azure oferece uma ampla variedade de serviços e produtos Subnets Uma rede virtual pode ser segmentada em uma ou mais sub-redes As sub-redes fornecem divisões lógicas na sua rede As sub-redes podem ajudar a melhorar a segurança, aumentar o desempenho e facilitar o gerenciamento da rede Cada sub-rede deve ter um intervalo de endereços exclusivo - não pode se sobrepor a outras sub-redes na rede virtual na assinatura Network Security Groups Limitar o tráfego de rede aos recursos em uma rede virtual Pode ser associado várias vezes Pode ser associado a uma sub-rede ou interface de rede Contém uma lista de regras de segurança que permitem ou negam tráfego de rede de entrada ou saída NSG Rules As regras de segurança nos NSGs permitem filtrar o tráfego de rede que pode fluir dentro e fora das sub-redes e interfaces de rede virtuais. Existem regras de segurança padrão. Você não pode excluir as regras padrão, mas pode adicionar outras regras com uma prioridade mais alta. NSG Effective Rules • Os NSGs são avaliados independentemente para a sub-rede e NIC • Uma regra de "permissão" deve existir nos dois níveis para que o tráfego seja admitido • Use o Effective Rules se não tiver certeza de quais regras de segurança estão sendo aplicadas VNet Peering • O Vnet peering conecta duas redes virtuais do Azure • Dois tipos de peering: Regional e Global • Redes peering usam o backbone do Azure para privacidade e isolamento • Fácil de configurar, transferência contínua de dados e ótimo desempenho Azure Firewall Azure Firewall • Firewall stateful como um serviço • Alta disponibilidade integrada com escalabilidade irrestrita na nuvem • Criar, impor e registrar políticas de conectividade de aplicativos e rede • Filtragem baseada em inteligência de ameaças • Totalmente integrado ao Azure Monitor para log e análise • Suporte para conectividade híbrida por meio da implantação atrás de VPN e ExpressRoute Gateways Implementing Firewalls Uma topologia de Hub-Spoke é recomendada Cada ambiente é configurado como um spoke mantendo isolamento Serviços compartilhados devem ser hospedados na Vnet de hub VPN Gateway Determine VPN Gateway Uses VPN GW Site-to-site conecta datacenters on- premises com VNETs do Azure VPN GW VNet-to-VNet conecta VNETs do Azure (custom) VPN GWPoint-to-site (User VPN) conecta dispositivos individuais as VNETs do Azure Create Site-to-Site VPN Connections Tenha tempo para planejar cuidadosamente sua configuração de rede A parte on-premises é necessária apenas se você estiver configurando site- to-site Sempre verifique e teste suas conexões Azure Load Balancer Load Balancer Distribui tráfego de entrada para backend pool usando load-balancing rules e health probes Pode ser usado para ambos os cenários de entrada/saída Dois tipos: Público e Interno Determine Load Balancer SKUs Azure Application Gateway Application Gateway Gerencia as solicitações de aplicativos web Encaminha o tráfego para um pool de servidores web com base na URL de uma solicitação Os servidores web podem ser máquinas virtuais do Azure, Azure virtual machine scale sets, Azure App Service, e mesmo on-premises servers Application Gateway Routing Path-based routing Multiple-site routing Azure App Service Plans e App Services App Service Plan Pricing Tiers Selected Features Free Shared (dev/test) Basic (dedicated dev/test) Standard (production workloads) Premium (enhanced scale and performance) Isolated (high-performance, security and isolation) Web, mobile, or API apps 10 100 Unlimited Unlimited Unlimited Unlimited Disk space 1 GB 1 GB 10 GB 50 GB 250 GB 1 TB Auto Scale – – – Supported Supported Supported Deployment Slots 0 0 0 5 20 20 Max Instances – – Up to 3 Up to 10 Up to 30 Up to 100 Shared compute (Free and Shared). Execute aplicativos no mesmo Azure VM que outros aplicativos do App Service, e os recursos não podem ser dimensionados Dedicated compute (Basic, Standard, Premium). Execute aplicativos no mesmo plano em VMs Azure dedicados Isolated. Executa aplicativos em VMs Azure dedicadas em Azure virtual networks dedicados Azure App Service • Inclui Web Apps, API Apps, Mobile Apps, and Function Apps • Ambiente totalmente gerenciado, permitindo o desenvolvimento de alta produtividade • Platform-as-a-service (PaaS) oferta para a construção e implantação de aplicativos em nuvem altamente disponíveis para web e mobile • Plataforma lida com infraestrutura para que os desenvolvedores se concentrem nos web apps e services • Fornece segurança e conformidade de nível corporativo File and Folder Backups Virtual Machines Implement Azure Backup Center Azure Workloads On-Premises Workloads Implementing On-premises File and Folder Backup 1. Criar o recovery services vault 2. Baixe o agente e o arquivo credencial 3. Instalar e registrar agente 4. Configure o backup Recovery Services Vault VM Backup Options Azure Workloads On-Premises Workloads Vários servidores podem ser protegidos usando o mesmo Recovery Services vault Azure Backup Server Backups com de aplicativos, backups de arquivos/pastas/ volumes e machine state backups (bare-metal, system state) Cada máquina executa o agente de proteção DPM/ MABS Opções de agendamento flexível e granular Gerenciar backups para várias máquinas em um grupo de proteção Azure Monitor Azure Monitor Service Metrics and Logs • Métricas são valores numéricos que descrevem algum aspecto de um sistema em um ponto no tempo • Eles são leves e capazes de suportar cenários quase em tempo real • Os registros contêm diferentes tipos de dados organizados em registros com diferentes conjuntos de propriedades para cada tipo • Telemetria (eventos, traços) e dados de desempenho podem ser combinados para análise Log Analytics Determine Log Analytics Uses Um serviço que ajuda você a coletar e analisar dados gerados por recursos em seus ambientes de nuvem e local Escreva consultas de log e analise interativamente seus resultados Exemplos incluem avaliar atualizações do sistema e solucionar problemas operacionais Structure Log Analytics Queries Event | where (EventLevelName == "Error") | where (TimeGenerated > ago(1days)) | summarize ErrorCount = count() by Computer | top 10 by ErrorCount desc Network Watcher Um regional service que fornece várias ferramentas de diagnóstico e monitoramento de redes IP Flow Verify diagnostica problemas de conectividade Next Hop determina se o tráfego está sendo corretamente roteado VPN Diagnostics troubleshoots gateways e conexões NSG Flow Logs mapeia o tráfego IP através de um network security group Connection troubleshoot mostra conectividade entre VM de origem e destino Topology gera um diagrama visual de recursos AZURE CLOUD COMPUTING OBRIGADO
Compartilhar