Jak navrhnout FW pravidla v Azure s NSG a ASG

Pokud z nějakého důvodu nemůžete použít platformní službu (PaaS), možná stojíte před úkolem jak nastavit firewall pravidla pro aplikaci ve VM, která má dvojici webových serverů přístupných z venku a dvě databázové VM. Jak to udělat? Mikrosegmentace per VM? Nebo pravidla na subnet? A co aplikační objekty s ASG? Podívejme se dnes na čtyři způsoby jak to navrhnout a výhody či nevýhody každého z nich. Pokračovat ve čtení „Jak navrhnout FW pravidla v Azure s NSG a ASG“

Co přinesl rok 2017 v Azure v síťařině

Rok je v cloudu dlouhá doba. V této sérii zpětných pohledů se pokouším ohlédnout za největšími novinkami, které rok 2017 přinesl. Tentokrát o tom, co je základem pro naprosto všechno. Něco, bez čeho jsou dokonalé servery, storage, databáze i aplikace k ničemu – networking. Ten fyzický vám je skryt (ale věřte že je také extrémně zajímavý – ostatně vygooglete si SONiC, open source systém pro routery a switche), ale ten softwarově definovaný je pro administrátory dost důležitý. Jak se změnil networking v Azure v roce 2017? Pokračovat ve čtení „Co přinesl rok 2017 v Azure v síťařině“

Jak připojit počítač vývojáře z domova do privátní sítě v Azure

Pokud potřebujete mít v Azure privátní prostředí bez veřejných IP adres, můžete se k němu připojit přes site-to-site VPN ve firmě, ExpressRoute ve spolupráci s operátorem a nebo vytočit VPN přímo ze svého počítače (point-to-site). Dnes se chci věnovat té poslední možnosti – jak si mohou například vývojáři vytočit VPNku do Azure.  Podíváme se na dvě varianty. Tou první bude nativní Azure VPN, což má řadu výhod, zejména perfektní integraci do Windows, ale i své limity. Proto se podíváme také na možnost použít VPN třetí strany. Může to být Fortinet, Checkpoint, Cisco, Palo Alto a tak podobně, ale my si ukážeme open source variantu SoftEther.

Pokračovat ve čtení „Jak připojit počítač vývojáře z domova do privátní sítě v Azure“

Přístup k PaaS SQL nebo Storage z vnitřní sítě Azure VNet

Platformní služby mají velmi příjemné vlastnosti z hlediska funkcí, ale i škály a cenové dostupnosti. To ale typicky znamená, že pro využití výnosů z rozsahu jsou některé jejich komponenty multi-tenantní – například jejich interní balancer apod. To znemožňuje nebo znesnadňuje (prodražuje) jejich instalaci ve VNET, privátní síti. Většinou to nevadí. Někdy ale chcete ke službám přistupovat z VNETu. Dnes už je to řešitelné – podívejme jak. Pokračovat ve čtení „Přístup k PaaS SQL nebo Storage z vnitřní sítě Azure VNet“

Bezpečný přístup z PaaS webu do databáze v IaaS nebo on-premises

Platformní služba, například aplikace běžící v Azure App Service, je v principu veřejná služba. Pokud přistupojete k platformní databázi (Azure SQL, MySQL, Postgresql, Cosmos DB) tak se tak děje na úrovni public endpointů, ale zůstává uvnitř Microsoft sítě (nejde přes Internet). Totéž platí pro DB v IaaS VM s veřejnou IP adresou. Co když ale potřebujete přistupovat k databázi, která z nějakých důvodů musí zůstat s privátní adresou? Podívejme se na možnosti. Pokračovat ve čtení „Bezpečný přístup z PaaS webu do databáze v IaaS nebo on-premises“

Networking v cloudu: Routing a service insertion v Azure

Azure VNET nabízí váš vlastní L3 prostor se směrováním mezi subnety, napojením na VPN a tak podobně. Jak vlastně směrování ve VNETu funguje? Dá se nějak ovlivnit, například do dráhy paketu vsunout vaše vlastní virtuální bezpečnostní zařízení, ať už je to Linux, Cisco, Palo Alto, Fortinet, A10, KEMP, Check Point, F5, Barracuda nebo nějaké jiné? Dnes se podíváme na podrobnosti. Pokračovat ve čtení „Networking v cloudu: Routing a service insertion v Azure“

Networking v cloudu: DNS balancer s Azure Traffic Manager

Azure nabízí tři prostředky balancování. Univerzální L4 balancer (ten je zdarma), pokročilejší L7 balancer (webová proxy) a také globální DNS balancing pro překlápění celých datových center. Podívejme se dnes na Azure Traffic Manager, DNS balancer, který můžete použít s Azure i bez, a je zásadní pro celou řadu scénářů jako je migrace, disaster recovery, geo-redundance i geo-distribuované aplikace. Pokračovat ve čtení „Networking v cloudu: DNS balancer s Azure Traffic Manager“