qq_24550639-CSDN博客

原创 Azure CDN

Azure Front Door

2022-11-28 16:58:42 955 3

本文将介绍Azure Hub Spoke 网络拓扑结构，hub中心网络就像一个连接中心，连接很多spoke 辐射网络，hub中心网络还可以作为连接本地的连接点，spoke网络会和hub网络胡同，也可以用来进行隔离负载。中心网络：中心网络是和本地连接的中心，中心网络是用来放服务的，这些服务用来管理辐射网络。辐射网络：各个辐射网络是用来隔离负载的，和其他辐射网络相互隔离。每个负载都会有多层，多个子网连接。虚拟网路对等互联：两个虚拟网络可以通过对等互联连接，peering是不可传递的，低延迟，一旦peer了

2022-06-20 17:16:21 1913

原创 Azure File Sync

Azure File Sync 是什么？Azure File Sync 把企业的文件共享集中在Azure Files 做管理，保证其可用性、便捷性、以及和Windows File 服务器的兼容性。很多用户可能会倾向将所有数据存在本地，Azure File sync可以将windows 服务器快速转成Azure File share 的缓存服务器，可以使用所有windows 的协议来访问数据，比如SMB NFS FTPS。Azure File Sync的优势Cloud Tier上云之后，补偿访问的文件

2022-05-26 13:30:19 325

原创 Azure Well-Architected Framework 最佳运维

运维最佳实践监控和诊断直挂重要。云应用程序跑在远端的数据中心，也就是说你对远端的数据中心没有全权的掌控。对于大型的应用程序，登上一台虚拟机去进行故障排除是不现实的，因为很难定位到底是哪一台虚拟机出现了问题。对PAAS服务，也没有虚拟机可以登录，也就是说，你不知道故障出现在哪里。所有的系统必须要收到监控。监控和诊断有以下几个阶段：源数据：app log web server log 平台的诊断日志监控数据集中存储监控数据集中分析诊断可视化告警启用资源级别的Azure Policy确保运维

2022-03-18 13:56:04 2685

原创 Azure 监控

Azure 监控Azure 监控帮助你加强云上资源的可用性和应用服务的性能，Azure监控提供一整套解决方案，来收集、分析数据，作为云上和本地环境的遥测工具。监控可以帮助你了解你的应用程序如何运作，积极主动底找到问题点，保障应用的正常运行。Azure 监控能够完成以下几点：检测和诊断应用的问题，用application insight（看看是啥？）基础设施相关的问题，用VM insight和container insight使用Log Analytics来监控数据，从而进行故障分析支持大规模的

2022-03-15 23:07:49 2086

原创 Azure BareMetal 裸金属

Azure 裸金属虽然Azure平台提供了很多集成的云服务，但是，也有客户需要将服务直接跑在裸金属服务器上，不需要中间的虚拟化层，这样可以进行跟访问，控制操作系统层，为了满足这个需求，Azure 提供BareMetal 基础设施，以供一些核心系统使用。裸金属服务由专门的裸金属实例组成：高性能的存储，NFS ISCSI, 光纤通道，存储可以直接由裸金属实例进行共享，比如扩展集群。一系列虚拟VLAN。这个环境由专门的VLAN，有个专门的资源组放裸金属。Azure 裸金属提供30多种 SKU，从2

2022-02-07 18:07:47 813 2

原创 Azure Virtual WAN

Azure Virtual WANVirtual WAN是一个网络服务，将网络、安全、路由等功能集合再一起提供一个统一的操作界面，功能包括分支机构链接，通过Virtual WAN可以自动链接到合作伙伴的设备，比如SD-WAN或者VPN CPE， S2S VPN，远程用户VPN链接，私有链接ER链接，intra-cloud链接，transitive 虚拟网络连接，VPN ExpressRoute连接，路由，Firewall，加密私有连接。The virtual VAN 架构就像个hub spoke结构，

2022-01-26 11:45:13 503

原创 Azure Blob 存储

#什么是Azure Blob 存储？微软云对象存储方案，专门用来存储大量的非结构数据，非结构数据不遵循特殊的数据模型或者定义，比如说文本和二进制数据。Blob 存储专门存储以下：给浏览器直接提供图片和文件数据为文件提供分布式访问流视频和语音写日志数据存储备份、恢复、灾备、归档存储数据用户和客户端应用可以通过HTTP HTTPS来访问对象存储，Azure Storage API Azure PowerShell Azure CLI，或者Azure 存储客户端库，客户端库支持：.NET、J

2022-01-26 11:36:10 1465

原创企业级 - FSlogix

FSlogix方案是用来加强non-persistent Windows 计算环境，可以用来共有云和私有云。配置文件可以存在Azure Files Azure NetApp Files。一般用户配置文件可能会很大，所以用户登录登出时间会很长，这样不可接受，FSlogix就是用来重定向这些路由到合适的地方，配置文件存在VHDx文件里面。Windows Service agent配置在镜像文件里面，装好agent之后，两个过滤驱动器就会嵌入到操作系统中，然后就可以配置合适的键值来存放VHD 文件忙活着放在

2021-10-11 16:27:41 1204

原创 Azure Arc - 微软混合云方案

随着企业上云的趋势愈发普遍，如今大多数公司都有复杂的IT环境，有本地数据中心，有多家云厂商的公有云，甚至有物联网边缘环境，每一个环境都有自己的管理工具，这样使得日常的运维管理工作变得十分复杂。Azure Arc就是用来解决这一问题的，是一个简化运维管理工具，将多云环境、本地环境通过Azure Arc来进行统一管理。Azure Arc可以赋能：用一个统一的管理界面来管理企业的全部环境，将非Azure的环境、本地环境、其他云厂商的环境都投射到Azure Resource Manager。可以管理虚拟.

2021-09-14 13:29:11 364

原创 802.1X 跨林间的网络互通

802.1X是干嘛的？设备如果想连到LAN和WLAN需要有身份验证机制。IEEE 802.1X就是一个基于端口网络访问控制，提供安全的网络验证。802.1X和我们家里用的无线wifi有一个根本的区别，就是需要一个叫RADIUS的服务器，这个RADIUS服务器会基于公司的网路策略来检查用户的凭据是否有效，RADIUS服务器需要一个独特的凭据或者证书来进行身份验证，这样可以防止使用一个单独的密码来进行身份验证，因为单独的密码很容易被黑客窃取。802.1X如何工作的？802.1X是一个网络验证协议，当企

2021-08-30 16:21:12 250

原创 Azure虚拟桌面的安全基线

AVD安全基线AVD的安全基线是基于Azure Security Benchmark 2.0的。网络安全NS-1：内部网络安全现有的网络规划必须和企业的划分原则相一致。任何对公司来说是核心高危的系统，都应该单独隔离起来，然后用NSG或者firewall来保护。使用ASC中的动态网络加固功能来配置NSG，从而限制端口和源IP。基于应用程序和企业划分原则，用NSG来限制或允许内部资源之间的流量。对于well-defined application，可以使用deny by default，permi

2021-08-13 12:15:28 177

原创 Azure 最佳架构安全评估 - 数据保护

数据保护使用访问控制、加密、日志来分类、保护、监控数据资产。要保护静态数据和传输数据。Checklist使用基于身份的存储访问使用Azure内置的数据加密在数据传输过程中，需要全程加密将密钥存在密钥保管库中，并采用RBAC以及审计策略频繁更换密钥和秘密Azure数据加密静态数据传输数据关键点是否有RBAC进行基于身份的存储访问控制使用标准推荐的加密算法使用安全的哈希算法对静态数据进行分类和加密加密虚拟磁盘使用key encryption key来保护数据加密密钥 da

2021-08-07 11:01:25 184

原创 Azure 最佳架构安全评估 - 网络（续）

Azure 网络安全最佳实践本文会介绍Azure加固网络安全的最佳实践。本文会介绍：最佳实践是啥样？为什么你要实现最佳实践？如果不实现最佳实践的话会怎么样？实践最佳实践的几种方式？实现最佳实践你能学习到什么？使用强的网络控制将虚拟机和网络设备放在虚拟网络中，这样就可以将设备进行互通互联了。所以你可以将网络网卡连接到虚拟网络上，从而允许不通设备之间基于TCP\IP的通信。当你进行网络规划的时候，或者进行网络安全规划，我们建议你集中管理如下的资源：集中管理ExpressRoute，虚拟

2021-08-06 16:58:34 261 1

原创 Azure 最佳架构安全评估 - 网络

Azure 最佳架构安全评估 - 网络安全保护资产的最近本保障是控制好Azure上的网络流量，Azure的资源和本地资源之间的流量，进出Azure的流量。如果网络没有相应的安全防护，那么环境就很容易受到黑客攻击，比如公网IP的扫描。正确的网络安全控制可以很好地检测、控制、组织攻击者的攻击。网络安全评估Checklist进行网络划分，对每个划分的网络分区建立安全的通信连接。将网络划分和整个企业的划分策略相一致。涉及安全管控来确保允许和阻止的网络流量，访问请求和应用程序通信，不同网络分区之间怎么实现这

2021-08-05 15:43:36 780

原创 Azure Active Directory 系统学习 -1

Azure AD 组和用户管理AAD 可以用组来管理基于云的应用程序、本地应用程序的权限访问。注意：在Azure界面，你可以看见一些用户和组的信息，但是你不能在门户界面上对其进行管理，那是因为，这些组是从本地AD同步过来，只能由本地AD进行管理。还有一些组是通信组、或者是启用邮箱功能的安全组，这些组只能由Exchange Admin Center 或者M365 admin center进行管理，你必须进入Exchange和M365管理中心才能管理这些组。AAD里面如果进行访问管理？AAD 可以给一个

2021-07-26 15:39:59 514

原创 Hyper-V 迁移

将Hyper-V 从2012 迁移到2012 R2本文将介绍如何将Hyper-V角色的服务期从2012 迁移到2012 R2，迁移包括源服务器的虚拟机、数据、操作系统。迁移包括：准备、迁移、验证阶段。迁移文档和工具帮助将源服务器的数据、操作系统等迁移到目标服务器（2012 R2），通过本文所用的工具，可以简化迁移过程，缩短迁移时间，添加迁移的准确度。Virtual Machine Manager in Microsoft System Center 2012 R2 可以简化迁移流程。Hyper-V

2021-07-08 15:36:14 1980

原创 Azure Web Application Firewall -Web 应用程序网关

Azure 最佳架构框架 - 安全- 自治要进行整体架构设计，要对财务、人员、时间进行资源优先级排序。这些资源的限制都会在不同程度上影响到安全态势。给运维、技术配置企业级的策略，基于内部因素（业务需求、风险、资产评估）以及外部因素（安全基线、合规标准、威胁环境）。在定义这些策略之前，要考虑到以下几点：企业的安全态势是如何进行监控、审计、报告？现有的安全时间是否在施行？是否有新的安全合规要求？是否有专门的行业、政府的合规要求？在策略都确定好以后，持续提升这些标准将有效加强安全。确保安全态势不

2021-06-15 16:45:33 160 3

原创 Azure 最佳架构之安全

Azure 最佳架构之安全 - 概要安全一直都是一个复杂的难题，一直处于魔高一尺，道高一丈的水平。安全漏洞的初始可以源于找出一些常见的程序错误，或者非预期的边缘场景。但是，随时技术发展，安全的漏洞不仅仅局限于此，攻击者会从系统配置、运维时间、系统和用户的社交习惯来发掘漏洞。随着系统越来越复杂、各个系统相互连接，用户数量增加，攻击者又更多的机会去找到漏洞，然后对系统进行攻击。在设计云架构的时候，安全一直是最重要的一个架构因素。安全保障了云上的机密性、完整性、可用性。以下的各个方面是Azure最佳架构的几

2021-04-07 22:41:37 227 2

原创远程桌面服务 - Remote Desktop Service

什么是远程桌面服务为终端用户提供虚拟化解决方案平台，包括单独的虚拟化应用程序，提供安全的手机端和远程桌面短的访问，使得终端用户有能力在云端运行自己的应用程序和桌面端。

2021-02-23 15:47:00 4800 4

原创 Azure Active Directory B2C (1)

Azure AD B2CAzure AD B2C 提供了business to customer的身份标识机服务。是一种SaaS服务。客户可以选择他们喜欢的社交软件、企业软件、本地账户登标识来进行SSO，这样来访问你的应用程序和APIsAAD B2C时一种客户身份标识访问管理解决方案，可以支持百万数量的用户，每天可以支持数十亿的验证请求。AAD B2C可以保证认证平台的安全扩大，可以进行健康、自动处理DDos 密码喷洒保利破解等威胁。SSOAAD B2C可以支持基本的验证协议，包括OpenI

2020-12-13 14:59:28 405 2

原创 OAuth 2.0 和 OpenID Connect 的基本原理和区别（干货）

基本原理首先要明确OAuth OpenID Connect学习起来比较难，对谁都会比较难，所以心态要放好，因为有很多专业属于、缩写等等，你要是之前不知道，就基本上很难看懂。而且OAuth和OpenID Connect不像HTTP这样的协议，有固定的格式，OAuth和OpenID Connect其实没有很固定的格式，没有人告诉你，一定要怎么做。所以本文都是大白话，让大家更容易看懂。为什么要用OAuth 和 OIDC来做授权和身份验证？原来，是怎么进行身份验证的？简单的表格登录验证模式，密码哈希存在数

2020-12-13 14:56:31 11434 6

原创 Azure Bastion 堡垒机

Azure BastionMooncake 可用性如图所示，Azure Bastion 在中国北2和中国东2可用。什么是 Azure BastionAzure 堡垒机是一种可以让你用浏览器或者Azure门户网站来连接虚拟机的服务。Azure Bastion 全托管的PaaS服务，在虚拟网络内部进行使用。Azure 堡垒机直接通过TLS，从Azure门户网站提供安全无缝的RDP/SSH连接。当用Azure 堡垒机进行连接登录时，虚拟机不需要公共IP地址，也不需要代理，也不需要专门的客户端软件。堡

2020-10-21 23:23:55 1039

原创 Azure NSG

Network Security GroupNSG是用来给在VNet中的资源过滤网络流量的。NSG包含很多安全规则，可以针对某些资源，控制允许或拒绝流量的入站和出站。对每个规则，可以明确指定源和目的地，端口和协议。安全规则名称：NSG要取一个名称优先级：100-4096之间的值来体现优先级，数值越低，优先级越高。源和目标：任何IP地址、CIDR、服务标签、应用程序安全组都可以所谓源和目标。对于入站流量，在Azure 将公网IP转换为私网IP之后会进行一次筛选；对于出站流量，在Azure将死亡IP地

2020-09-24 20:04:19 464

原创 Azure Security Center 系统学习 - 3

Azure 安全中心威胁防护容器安全ASC是容器本地集成的功能。ASC可以保护如下的资源种类：容器主机（运行在Docker上的虚拟机）安全中心会扫描Docker的配置并且告知一系列错误配置信息。此外，安全中心也会提供一系列配置指导以方便更快地解决问题。安全中心也会对Docker持续进行扫描评估以提供最新的状态安全信息。Azure Kerbernetes Service（AKS）Cluster可以深入扫描AKS节点、网络流量、安全控制（用Security Center’s optional AK

2020-09-22 10:03:20 277

原创 Azure Firewall 与第三方杀毒软件配合

Azure IaaS的杀毒软件可以用很多厂商的，可以用微软自己的，也推荐使用Symantec、Trend Micro、McAfee、Kaspersky来保护虚拟机的安全。Symantec Endpoint保护Windows VMAzure 有两种不同的创建部署资源的方式，Resource Manager和Classic模式。本文会涵盖经典部署的模式。但是微软建议部署模式采用resource manager模式。可以把Symantec 终结点保护客户端安装在现有的虚拟机上，这种客户端可以防病毒、放间谍软

2020-09-20 16:13:07 290

原创 Azure Security Center 系统学习 - 2

Azure 安全中心威胁保护Azure 安全中心会探测到环境中的所有威胁并发出警报。警报会有受影响资源的详细信息，所建议的修复措施，在一些场景下还可以出发logic app的相应。Azure 安全中心威胁防护提供综合的环境防护：计算资源的威胁防护：windows machines、linux machines、azure app service、azure containerAzure数据资源的威胁防护：SQL数据库、Azure Synapse Analytics（后来改位SQL Data War

2020-09-16 17:21:11 230

原创 AzureSecurity Center系统学习-1

Azure Security CenterAzure 安全中心是一个统一的基础设施安全管理系统，可以增强数据中心的安全态势，以及给云上和本地的混合负载提供高级的威胁防护。IaaS层面需要的安全需求比起PaaS 和SaaS会更多，ASC的目的就是用来保障IaaS层面的安全，加固网络，安全服务。Azure Security Center会主要针对三个最富挑战的安全问题：快速变化的工作负载：这部分既是云的优点，也是挑战。一方面，终端用户可以有能力去实现更多的功能，另一方面，如何确保人们使用和创建的各种各

2020-09-09 23:53:31 436

Microsoft-AZ-100.pdf

AZ-900.136Q.pdf

Opnet Modeler 仿真建模大解密

生产实习概要

空空如也