Azure Disk Encryption – Linux / Windows

Kisa bir sure once Microsoft Azure altyapisinda calistirilan sanal makinelerde disk sifreleme isleminin detaylarini inceleyen bir whitepaper yayimladi. Whitepaper’a asagidaki linkten ulasabilirsiniz.

https://gallery.technet.microsoft.com/Azure-Disk-Encryption-for-a0018eb0

Kisa bir ozet gecmek gerekirse, bilindigi gibi uzun yillardir Microsoft kendi veri merkezimizde bulunan istemci ve sunucular icin bitlocker ile fiziksel guvenligi sagliyordu. Bunun icin farkli yapilandirma yontemleri bulunuyordu. TPM, USB, Group Policy vb yontemler ile disk uzerindeki verilerin herhangi bir fiziksel calinma durumunda okunamaz duruma gelmelerini saglayabiliyorduk.

Microsoft benzer yapilandirmayi artik Microsoft Azure uzerinde de sagliyor. Ayni sekilde temelde Bitlocker teknolojisini kullanan bu yapilandirma hem Windows hem de Linux sanal makineler icin kullanilabilir durumda. Bitlocker ile birlikte arka tarafta aslinda sureci yoneten bilesen ise Azure Key Vault.

Azure Key Vault aslinda size bulut mimarisini uzerinde kullanmis oldugunuz anahtarlari sifreleme sansi veriyor. Bu anahtarlara birkac ornek: authentication, storage account, sertifikalar yada standart sifreler verilebilir. BU sayede yazilim gelistiriciler cok hizli bir sekilde istenilen anahtarlari olusturabilir, sifreleyebilir ve istedikleri testleri gerceklestirebilirler. Uygulamalar icin olusturulan bu guvenlik anahtalari uygulama disinda ayri bir vault icerisinde saklanir ve URI ile tetiklenebilir. Ayri bir vault icerisinde tutulan bu anahtarlar ise varsayilanda uygulama ile ayni Azure veri merkezinde saklanir ve verimlilik/performans artisi saglanir.

Arka tarafta Azure Key Vault destegi ile birlikte artik Azure izerinde bulunan sanal makinelerinizi, galeri icerisinden olsuturdugunuz sanal makineleri ve hali hazirda calistirdiginiz sanal makineleri sifreleyebilirsiniz. SU anki Public Preview surumu ile birlikte:

  • Azure Key Vault destegi yukarida bahsettigimiz gibi bulunuyor
  • A,D ve G serisi sanal makine destegi bulunuyor
  • Azure Resource Manager ile sifreleme tetikleneniliyor
  • Bu surum ile birlikte ozellikle tum Azure bolgerinde kullanilabilir durumda

Ozellikle Azire Resource Manager destegi oldukca onemli. Bu sayede PowerShell yada Azure CLI kullanarak sifreleme gorevlerini gerceklestirebilirsiniz.

Azure Premium Storage

Azure gun geçtikçe daha yeni ozelliklerle karsimiza cikiyor ve bu sayede daha fazla organizasyon kritik kaynaklarini buluta taşıyabiliyor.

Uzun zamandir beklediğim ozelliklerden birisi de artik Azure üzerinde kullanılabilir. Premium Storage.

Bilindigi gibi daha önceden Azure üzerinde sanal makinelerimiz için kullandigimiz disklerde cok fazla yapilandirma gerçekleştiremiyorduk. Ancak gerçek dünyada bulunan uygulamalarimizin cok spesifik kaynak kullanim ihtiyaclari olabiliyor. Eger daha hizli veri transferi gereksinimi duyan uygulamalari buluta tasimayi dusunuyorsaniz artik Premium Storage içerisinde gelen Shared SSD diskleri kullanabilme sansiniz var. Premium Storage su an için yalnızca DS ve GS serisi sanal makineler içerisinde kullanılabilir.

Premium Storage ile ilgili önemli noktalar:

  • Premium Storage kullanmak için bir Premium Storage hesabi olusturmaniz gerekiyor.
  • Premium Storage Azure Portal disinda PowerShell ve SDK ile ulaşılabilir durumda.
  • Su an için yalnızca page blobs desteği bulunuyor. Page blob bildiğiniz gibi sanal makinelerin disklerinin barindirildigi storage hizmeti
  • Otomatik olarak Premium Storage LRS ile 3 kopya tutacaktır.
  • Yalnizca DS ve GS serilerinde kullanılabilir.
  • Isterseniz bu seri sunucularda normal diskleri de kullanabilirsiniz.
  • Premium Storage hesabi farkli bir custom domain name üzerinde maplenemez.
  • Storage Analytics su an için desteklenmiyor.

Kullanim öncesi asagidaki Scability ve Performance detaylarini goz onunde bulundurmaniz önemli.

5 6

EMS ile kolay Microsoft Destegi!

Microsoft cozumlerini kullanan organizasyonlarin onemli bir kismi daha once Microsoft Support ile iletisime gecmistir. Herhangi bir sorun aninda partner eger sorunu cozemiyor ise eskale edilebilecek son adim Microsoft Support oluyor.

On-premise yapilarda Microsoft Support muhendisinin gerceklesen sorun ile ilgili cozum uretebilmesi icin oncelikle var olan altyapinin detaylarini bilmesi ardindan sorun ile ilgili kapsamli bir log/trace dosyasini incelemesi gerekmektedir.

Ancak yavas yavas bulut hizmetlerini kullanmaya basliyoruz ve teknolojiyi hizmet olarak almaya basladigimiz icin bunun nimetlerinden faydalanmak da hakkimiz.

Yeni nesil Hibrit tabanli yonetim cozumu olan Microsoft Operations Management Suite ile Microsoft destegi almak oldukca kolay.

Oncelikle hizmet zaten tamami ile bir Microsoft hizmeti oldugu icin bircok on gereksinimden yada sorun cikarabilecek sizin veri merkezinizdeki bilesenlerden muaf durumda. Bu yuzden geleneksek on-premise cozumlere kiyasla cok daha az sorun cikaracagi asikar. Ancak herhangi bir sorun aninda da sizin mudahele sansiniz cok fazla bulunmuyor. Bu durumda Microsoft destek muhendisinin OMS icerisindeki veriyi ve hatayi gormesi gerekli.

OMS ekibi bu konuda cok efektif bir ozellik sundu. Artik OMS icerisindeki hesaplar bolumune Microsoft destek personelinin mail adresini ekleyebilir ve bu kisiye read-only OMS verisine erisim yetkisi verebilirsiniz. Bu sayede sorun cozumlenene kadar Microsoft personeli rahatlikla sorunu goruntuleyebilir ve aksiyon alabilir.

Bunun icin yapilmasi gereken asagidaki ekrani kullanarak ilgili mail adresinin eklenmesidir.

SupportWithOMS1.png-550x0

Azure Network Limits

Azure uzerinde network bilesenlerini yapilandirirken asagidaki limitlere dikkat edilmesi onemlidir.

Resource Default limit Maximum limit
Virtual networks per subscription 50 100
Local network sites per virtual network 20 contact support
DNS Servers per virtual network 20 100
Virtual machines and role instances per virtual network 2048 2048
Concurrent TCP connections for a virtual machine or role instance 500K 500K
Network Security Groups (NSG) 100 200
NSG rules per NSG 200 400
User defined route tables 100 200
User defined routes per route table 100 500
Public IP addresses (dynamic) 5 contact support
Reserved public IP addresses 20 contact support
Public VIP per deployment 5 contact support
Private VIP (ILB) per deployment 1 1
Endpoint Access Control Lists (ACLs) 50 50

Azure RBAC – GA – Kullanilabilir Durumda

RBAC (Role Based Access Control) yani rol tabanli erisim denetimi bilindigi gibi Microsoft’un son donemde cikardigi neredeyse tum hizmet ve cozumlerde destekleniyordu. Bu sayede rahatlikla kullanici bazli yetkilendirmeler tek bir konsol uzerinden hizlica gerceklestirilebiliyordu.

Birkac gun once duyurulan bir guncelleme ile artik Azure icin de RBAC destegi genel kullanima sunuldu.

Ozellikle Azure gibi icerisinde tonlarca servisin bulundugu ve cok fazla kullanici/yoneticinin erisiminin gerektigi yapilar icin RBAC hayatimizi onemli olcude kolaylastiracak gibi duruyor.

RBAC oncesinde yetkilendirme icin en cok kullanilan yontemlerden birisi Azure Active Directory idi. Var olan local Active Directory yapinizi Azure uzerine extend ederek single sign-on senaryolarini aktif edebilirdiniz. Ayni zamanda yerel AD uzerindeki kullanicilariniz otomatik olarak Azure hizmetleri icin kullanilabilir durumda oluyordu.

Azure RBAC ile birlikte ayni zamanda self-service yonetimini de aktif edebileceksiniz.

 

Azure VNet Nedir?

Nasil ki yerel veri merkezimizde sunucular uzerinde hizmet verebilmek icin bir network agina, bilesenlerine, guvenlik ilkelerine, sanal aglara ihtiyacimiz var ise, bulut hizmetlerinde de benzer bir network altyapisina ihtiyac duyariz. Belirli sunucularin yada sunucu gruplarinin birbirleri ile yada dis dunya ile iletisime gecebilmeleri icin en azindan bulut uzerinde bir IP adresine sahip olmalari, bir network agina dahil olmalari ve bilindik protokolleri kullanmalari gerekmektedir.

Eger Azure uzerinde var olan sunucularimizin network uzerinden haberlesmesini istiyorsak bu konuda VNet kavrami ile tanismamiz gerekiyor. VNetler sizin bulut uzerindeki networkunuzun bir yansimasidir.

Aynen gercek bir networkte oldugu gibi VNet uzerinde de IP adres bloklarina sahip olabilirsiniz, isterseniz guvenlik kurallari uygulayabilirsiniz, isim cozumleme icin DNS sunuculari yapilandirabilirsiniz hatta ve hatta routing table kayitlari giyebilirsiniz.

En buyuk fark ise siz tum bu yapilandirmalari aslinda Software Defined Networking uzerinde gerceklestirmenizdir. Yani gerceklestirdiginiz bu ayarlar Microsoft veri merkezlerindeki fiziksel network cihazlarina aninda islenmiyor. Siz Microsoft tarafindan belirlenmis kurallar cevresinde, yine Microsoft’un dizayn ettigi sanal bir network uzerinde bu yapilandirmalari gerceklestiriyorsunuz. Eger Microsoft bu sekilde bir Software Defined yaklasimi kullanmiyor olsaydi, milyonlarca farkli network, IP adresi ve yapilandirmayi yonetebilme sansi imkansiz olurdu.

Asagidaki cizimde VNetin ne olduguna dair daha fazla fikir edinebilirsiniz.

Azure virtual network

Goruldugu gibi Azure altyapisi geneneksel bir network altyapisinda bulunan network cihazlarinin yerini almis ve erisim imkani vermistir. Vnet icerisindeki onemli bilesenleri hizlica inceleyelim:

Subnet: Subnet bildiginiz gibi belirli IP adreslerini iceren bir araliktir. VNet icerisinde de farkli IP bloklari icin subnetler olusturabilirsiniz. Geleneksel veri merkezinde oldugu gibi ayni subnet icerisindeki hizmetler birbirleri ile haberlesebilirler. Ayni zamanda cross subnet erisimleri de yapilandirma sansiniz bulunuyor.

IP Adresi: Azure icerisinde kullanabileceginiz iki IP adresi tipi bulunuyor. Public yada Private. Adindan da anlasilabilecegi uzere Public IP adresleri genelde dis dunya ile iletisime gecmesi gereken servisler icin kullanilir. Private IP adresleri ise bir VNet icerisindeki kaynaklarin birbirleri ile iletisime gecmeleri icin yapilandirilir.

Azure Load Balancer: Azure uzerinde bir uygulama yada sanal makine dis yada ic dunyaya hizmet verirken Azure tarafindan saglanan yazilimsal bir Load Balancer arkasinda konumlandirilabilir. Bu sayede bu kaynaklar uzerine gelen talepler Azure LB ile dengelendikten sonra arka tarafta bulunan sunucu yada uygulamalara dagitilirlar.

Network Security Group: NGS sayesinde belirli VM yada subnetlere erisimde iletilen trafige izin verebilir yada yasaklayabilirsiniz. Bu yasaklama kaynak yada hedef IP adresine gore yapilandirilabilecegi gibi port numarasina gore de ayarlanabilir.

 

 

 

Azure File Storage

Gectigimiz gunlerde sonunda Azure File Storage genel kullanima sunuldu. Azure File Storage sayesinde artik bulut üzerinde tam anlamiyla dosya paylasimini kullanmaya başlayabiliriz.

Azure File Storage arka planda SMB 3.0 protokolunu kullanarak uygulamalar için dosya paylasimi ile dosyalara erişimi mumkun kilar.

Ayni zamanda desteklediği REST API sayesinde modern uygulama geliştirme süreçlerinde de erişim desteği sunar.

Uzun zamandir beta surumunu test ediyorduk ancak GA surumu ile birlikte asagidaki ozellikler de eklenmiş durumda:

  • SMB 3.0 destegi
  • Encryption desteği
  • Browser tabanli dosya yöneticisi
  • Azure Storage Metrics destegi
  • Azure File Storage üzerinde bulunan dosya paylasimlarini on-premise mount edebilme
  • Gelistirilmis API destegi

Peki Azure File Storage ile ne tarz senaryolari hayata geçirebiliriz.

Bana gore en önemlisi artik kolaylıkla on-premise bulunan verilerimizi bulut ile paylaşabiliriz. Ornegin log dosyalari yada yedekler cok daha efektif barindirma imkani sunan Azure üzerinde kolaylıkla tutulabilir.

REST API destegi ve SMB 3.0 protokolu ile birlikte artik standard uygulamalar ile modern uygulamalari kolaylıkla entegre edebiliriz.

Bana gore bu destek cok fazla senaryoyu da beraberinde getirecek.

Istemci tarafında kullanilan SMB sürümlerini asagidaki tablodan kontrol etmeyi unutmayin.

4

 

Azure Public Reserved IP kullanilmasi

Bilindigi gibi Azure uzerindeki sanal makineleriniz icin statik yada dinamik IP adresi yapilandirmasi gerceklestirebiliyorsunuz. Ayni sekilde dis dunyaya hizmet veren servisleriniz uzerindeki IP adreslerini de rezerve edebilme sansiniz bulunuyor. Bu sayede ilgili servisiniz durdurulsa bile uzerine atanmis olan IP adresini tutmaya devam edecektir.

Azure icerisinde suanda toplamda subscription bazina 20 adet IP rezerve edebilirsiniz. Eger daha fazla ihtiyaciniz var ise Microsoft’a bu konuda bir case acmaniz gerekiyor.

Bir servis icin public IP rezerve edebilmeniz icin oncelikle bu IP’yi subscription icerisine eklemeniz gerekiyor.

New-AzureReservedIP ReservedIPName MyReservedIP Location "Central US"

Ardindan hangi IP adresinin rezerve edildigini Get-AzureReservedIP komutu ile gorebilirsiniz.

Ardindan ilgili IPyi cloud service ile iliskilendirmeniz gerekiyor. Bunun icin de asagidaki komutu kullanabilirsiniz.

New-AzureReservedIP ReservedIPName MyReservedIP Location "Central US"
$image = Get-AzureVMImage|?{$_.ImageName -like "*RightImage-Windows-2012R2-x64*"}
New-AzureVMConfig -Name TestVM -InstanceSize Small -ImageName $image.ImageName `
| Add-AzureProvisioningConfig -Windows -AdminUsername adminuser -Password MyP@ssw0rd!! `
| New-AzureVM -ServiceName TestService -ReservedIPName MyReservedIP -Location "Central US"

 

VMM Network Serisi – Logical Networks

SCVMM icerisindeki Software Defined Networking detaylarini inceleyen serinin bu bolumunde en onemli bilesenlerden birisi olan Logical Network leri inceleyecegiz. Logical Networklerden baslamamizin sebebi aslinda bir cok yapilandirmayi gerceklestirmeden once oncelikle Logical Network dizayninizi gerceklestirmenizin gerekiyor olmasidir.

Alt basliklar ile Logical Network’u inceleyemeye baslayalim.

Logical Network Nedir?

Logical Network en basit tanimi ile “Fiziksel Hyper-V hostlariniz, bu hostlar uzerinde bulunan sanal makineleriniz ve hizmetleriniz icin network bilesenlerini tanimlama ve organize etmenizi kolaylastiran bir kavramdir. SCVMM ile temelde yapmaya calistigimiz sey fiziksel network altyapisinin bir sanal kopyasini olusturmaktir, Logical Network bu noktada en buyuk rolu oynar ve fiziksel network uzerindeki bilesenlerin bircogunu tanimlamamiza olanak saglar.

Iste bu sebeple VMM icerisinde network yapilandirmasina Logical Network tanimi ile baslamamiz ve de ayni zamanda fiziksel network yapisini goz onune alarak Logical Network dizaynini gerceklestirmemiz gerekmektedir.

Logical Network tasarimi nasil gerceklestirilir?

Yukaridak bahsettigimiz gibi logical network tasarimi, VMM icerisinde tum networking bilesenlerini etkileyecegi icin tasarimi oldukca onemlidir. Logical Network tasarimi yaparken asagidaki hususlara dikkat edilmesi gerekiyor:

  • Oncelikle fiziksel network detaylari incelenir. Mumkun oldugunda fiziksel networkler Logical Network seklinde olusturulur.

Logical Network fiziksel networkun VMM icerisindeki sanal bir yansimasidir diyebiliriz. Bu sebeple fiziksel network detaylari detaylica incelenmelidir. Ornegin 3 ana lokasyona dagitilmis network altyapiniz varsa, bu 3 network icerisinde fiziksel Hyper-V sunuculariniz, farkli subnetleriniz ve IP araliklariniz varsa bu detaylar Logical Network tasarimi icin oldukca onemlidir.

Ancak bu her fiziksel network icin birer Logical Network olusturulacak anlamina gelmiyor. Ayni zamanda sadece 3 adet Logical Network olusturulmasi yeterlidir anlamina da gelmiyor.

Tek bir logical network icerisinde birden fazla network site, vlan ve IP subnet belirlenebilmektedir. Bu sebeple aslinda tek bir Logical Network olusturmak 3 farkli fiziksel network ihtiyaclarini karsilayabilir.

Ayrica herhangi bir lokasyonda farkli ihtiyaclar icin kullanilan networkler olabilir. Ornegin production sunuculari, test sunuculari ve development sunuculari birinci lokasyonda bulunuyor olabilir. Bu noktada bu birinci lokasyon icin ek 3 adet Logical Network daha olusturulabilir.

Goruldugu gibi fiziksel network yapisinin birebir kopyasi olarak Logical Network olusturmak her zaman dogru sonucu vermeyebilir.

Bu noktada yalnizca asagidaki senaryo icin kesin konusabiliriz.

Eger tek bir lokasyonunuz varsa ve herhangi bir izolasyon dusunmuyorsaniz tek bir Logical Network olusturabilir ve tum sanal makinelerinizi bu Logical Network uzerinden gecirebilirsiniz.

Bunun disindaki senaryolar icin detayli bir tasarim yapilmasi sarttir. Ancak her zaman basit sekilde baslamak ve ardindan eklemeler yapmak mantikli bir secim olur. Bu yuzden VMM icerisinde tek bir Logical Network ile baslayip ardindan ek Logical Network eklemelerini gerceklestirebilirsiniz.

Aslinda neden tek bir Logical Network olusturup farkli subnetleri destekleyebileceksen neden birden fazla Logical Network olusturmam lazim sorusunun iki cevabi var:

  • Ileriki serilerde gorecegimiz Port Profile lar yalnizca Logical Network uzerinde uygulanabilir. Port Profile ile bir network uzerindeki bandwidth yada ek guvenlik aksiyonlari alinabilir. Bu sebeple bu tarz gereksinimler var ise tek bir Logical Network ile ilerleyemezsiniz.
  • Ikincisi de tabi ki yonetim anlaminda kolaylik. Tek bir Logical Network icerisinde onlarca subnet, vlan olusturmak VMM icerisinde yonetimi oldukca zorlastiracaktir. Bunun yerine ayrilmis sekilde farkli networkleri ayri logical Networkler icerisinde yonetmek daha kolay olacaktir.

Ancak bu konustugumuz senaryolar gercekten dagitilmis ve farkli izolasyon gereksinimleri olan networkler icin gecerlidir. Eger tek bir lokasyona sahip yada ek izolasyon talepleriniz yok ise basit sekilde tek bir Logical Network ile baslamak sizin icin daha mantikli bir secim olacaktir.

Logical Network icerisinde hangi bilesenler tanimlanabilir?

Bir Logical Network icinde asagida goruldugu gibi farkli Network Site lar (ilerleyen bolumlerde inceleyecegiz) ve her bir network site icerisinde de VLAN ve subnet tanimlari girilebilir.

image

Diger bolumlerde Logical Switch, Port Profile, IP Pool, VNic, Network Site gibi ek bilesenleri inceleyecegiz.