วันอังคารที่ 11 กันยายน พ.ศ. 2561

รู้จักกับ Shielded Virtual Machines ใน Windows Server 2016 และ 2019

     สวัสดีครับท่านผู้อ่านทุกท่าน สำหรับบทความตอนนี้ของผมจะเป็นเรื่องราวของฟีเจอร์หนึ่งที่อยู่ใน Windows Server 2016 และรวมถึงใน Windows Server 2019 ด้วยครับ โดยฟีเจอร์ที่ว่านี้มีชื่อว่า "Shielded Virtual Machines" หรือผมขอเรียกสั้นว่า  Shielded VMs นะครับ โดยฟีเจอร์ดังกล่าวนี้จะทำหน้าที่ในการปกป้อง Virtual Machines ที่รันและทำงานอยู่ใน Hyper-V Servers ครับ เรื่องราวของ Shielded VMs จะเป็นอย่างไร เชิญติดตามก้นได้เลยครับผม

Shielded Virtual Machines (Shielded VMs) คืออะไร?

 ก่อนอื่นเลยผมต้องขออนุญาตอธิบายถึงที่มาที่ไปกันก่อนนะครับ จากนั้นผมจะพาท่านผู้อ่านไปทำความรู้จักกับ Shielded VMs,  โดยผมขอเริ่มจากดาต้าเซ็นเตอร์ขององค์กรต่างๆ ที่มีอยู่ทุกวันนี้ ส่วนใหญ่ได้มีการนำเอา Virtualization เทคโนโลยีเข้ามาใช้งาน เช่น VMware, Microsoft, Citrix, หรือยี่ห้ออื่นๆ โดยประโยชน์ที่ได้รับจากการนำเอาเทคโนโลยีดังกล่าวมาใช้งานมีมากมายครับ เช่น

- ทำให้ใช้งานทรัพยากรเครื่อง (System Resources) ได้อย่างเต็มประสิทธิภาพ
- ระบบต่างๆ ที่รันอยู่ใน Virtual Machines ไม่ขึ้นหรือไม่ผูกกับ Hardware นั่นหมายความว่า สามารถนำเอา
  Virtual  Machines ไปรันและทำงานที่ Hardware ใดก้อได้
- จากข้อที่แล้วส่งผลให้การดูแลและบำรุงรักษาทำได้สะดวกและง่ายมากขึ้น
- ประหยัดค่าใช้จ่ายในการดูแลรักษา

สิ่งเหล่านี้คือตัวอย่างของประโยชน์ที่จะได้รับจาก Virtualization เทคโนโลยีครับ แต่มีสิ่งหนึ่งที่ไม่อาจมองข้ามไปได้และถือว่าเป็นเรื่องที่สำคัญมากที่สุดเรื่องหนึ่งคือ เรื่องของความปลอดภัยสำหรับ Virtualization (Virtualization Security)  จากจุดนี้เองทาง Microsoft ได้มีการลงทุนและพัฒนา ตลอดจนหาแนวทางที่จะทำการปกป้อง Virtual Machines รวมถึง Hyper-V Hosts ที่ Virtual Machines เหล่านั้นรันและทำงานอยู่ ให้รอดพ้นจากภัยคุกคามต่างๆ เช่น  Malicious Software ที่ทำถูกรันขึ้นมาเพื่อทำการ Compromise Hyper-Hosts, การเข้าถึง Virtual Machines แล้วทำการ Copy ไฟล์ของ Virtual Machines (VHDX) และอื่นๆ เป็นต้นครับ เพราะภัยคุกคามเหล่านี้ต้องการที่จะเข้าถึงตัวของ Hyper-V Hosts จากนั้นก็จะเข้าถึง Virtual Machines ต่างๆ ที่รันอยู่ใน Hyper-V Hosts นั้นๆ  นั่นหมายความว่า ระะบบต่างๆ ที่รันอยู่ใน Virtual Machines เช่น Domain Controllers, File Servers, HR Servers, Database Servers, และอื่นๆ เป็นต้น ก็จะตกอยู่ในอันตราย และสำคัญที่สุดคือ ข้อมูลขององค์กรก็จะไปตกอยู่ในมือของผู้ไม่หวังดีครับ

จากเมื่อซักครู่ที่ผมอธิบายไปนั้น สิ่งหนึ่งที่ผมจะพยายามชี้ให้ท่านผู้อ่านได้เห็นคือ ตัวของ Virtual Machines นั้นเป็นเป้าหมายหลักของภัยคุกคามเหล่านี้ครับ เพราะสามารถเข้าถึงได้ง่ายครับ เพราะ Virtual Machines ที่รันและทำงานอยู่ใน Hyper-V นั้น ถ้ามองอีกมุมหนึ่ง Virtual Machines เหล่านี้ก็เป็นเพียงแค่ไฟล์ธรรมดาไฟล์หนึ่งที่เก็บอยู่ใน Server ครับ ผมกำลังพูดถึง ไฟล์นามสกุล VHD และ VHDX ของ Hyper-V ครับ ซึ่งผมสามารถทำการ Copy ไฟล์ดังกล่าวใส่ใน External Hard Disks ของผมแล้วนำไปรันและทำงานที่อื่นๆ ได้ครับ

ซึ่งนั่นก็หมายความว่าข้อมูลขององค์กรเกิดรั่วไหลแล้วครับ ดังนั้นสิ่งที่ผู้ดูแลระบบหรือผู้ที่เกี่ยวข้องขององค์กรนั้นจะต้องคิดและวางแผนเพื่อหาทางป้องกัน Virtual Machines รวมถึง Hyper-V Hosts ได้อย่างไรครับ จากปัญหาดังกล่าวทาง Microsoft ได้เตรียมีฟีเจอร์ที่จะมาจัดการปัญหาดังกล่าวนี้ให้แล้วครับ โดยฟีเจอร์นี้จะอยู่ใน Windows Server 2016 และ Windows Server 2019 ด้วยครับ ฟีเจอร์ที่ว่านี้ก็คือ "Shielded Virtual Machines" ครับผม โดย Shielded VMs จะทำหน้าที่ในการปกป้อง Virtual Machines และ Hyper-V Hosts จากปัญหาที่ผมได้อธิบายไปก่อนหน้านี้ครับ


รู้จักกับ Guarded Fabric

 Shielded VMs เป็นฟีเจอร์ที่ทำการปกป้อง Virtual Machines ที่เป็น Generation 2 หรือ Gen 2 ครับ ซึ่งมี Virtual TPM แล้วทำการเข้ารหัสหรือ Encryption โดยใช้ BitLocker ครับ โดย Virtual Machines ที่ถูกเข้ารหัสนั้น จะสามารถรันและทำงานอยู่ใน Hyper-V Hosts ที่ได้มีการ Approved แล้วเท่านั้นครับ  โดยตัวที่จะมาจัดการปกป้องและทำให้ Hyper-V Hosts ปลอดภัย คือ "Host Guardian Service" หรือเรียกสั้นๆ ว่า HGS ซึ่งเป็น Role หนึ่งที่อยู่ใน Windows Server 2016 และ 2019 ครับ  โดย HGS จะทำหน้าที่จัดการควบคุมและดูแล Hyper-V Hosts ที่ HGS ดูแลและควบคุมเท่านั้นที่จะสามารถรัน Shield VMs ได้ครับ






นั่นหมายความว่า HGS จะทำงานร่วมกับ Shielded VMs เพื่อทำการปกป้อง Virtual Machines และ Hyper-V Hosts ครับ โดยทั้ง Shielded VMs และ HGS จะเป็นส่วนประกอบอยู่ภายใต้สิ่งที่เรียกว่า "Guarded Fabric" ครับ โดย Guarded Fabric จะประกอบไปด้วยส่วนประกอบต่างๆ  ดังรูปด้านล่างครับ






- 1 Host Guard Service (HGS) ซึ่งควรจะเป็น 3 Physical Servers และอยู่ภายใน Cluster
- 1 หรือมากกว่าสำหรับ Guarded Hosts ซึงก็คือ Hyper-V Servers ที่จะรัน Virtual Machines ต่างๆ แต่อยู่
  ภายใต้การดูแลควบคุมของ HGS
- Shielded Virtua Machines ซึ่งก็คือ Virtual Machines ต่างๆ ที่ได้มีการเข้ารหัสและรันอยู่ใน Guarded Hosts

ดังนั้นเมื่อถึงเวลาใช้งาน, ผู้ใช้งานต้องการสร้าง Virtual Machines ใน Guarded Fabric, นั่นหมายความทั้ง Virtual Machines ที่กำลังจะถูกสร้างขึ้นภายใน Hyper-V Hosts ทั้งหมดจะอยู่ภายใต้การดูแลและปกป้องจาก HGS ครับ สำหรับ HGS นั้นจะจัดเตรียม 2 Services สำหรับการปกป้อง Hyper-V Hosts คือ

- Trusted Attestation Service (ใช้ TPM)
- Key Attestation Service (ใช้ Asymmetric Key Pairs)

ทาง Microsoft แนะนำว่าให้ใช้ Trusted Attestation Service ครับ เพราะมีความปลอดภัยและแข็งแรงกว่าครับ แต่ตัวของ Hyper-V Hosts จะต้องมี TPM 2.0 นะครับ

และสุดท้าย ผมมีวิดีโอเกี่ยวกับเรื่องราวของ Shield VMs มาให้ท่านผู้อ่านได้เข้าไปชมกันด้วยครับ โดยวิดีโอนี้เป็นวิดีโอที่ทาง Microsoft ได้จัดทำขึ้นมาครับผม







และทั้งหมดนี้คือเรื่องราวของฟีเจอร์ Shielded Virtual Machines ครับ แต่ต้องบอกว่าเรื่องราวของ Shielded Virtual Machines ยังมีรายละเอียดอีกเยอะเลยครับ บทความของผมตอนนี้เป็นเพียงแค่นำมาให้ท่านผู้อ่านได้รู้จักเท่านั้นครับผม…..



เขียนโดย ที่ ไม่มีความคิดเห็น:

วันพฤหัสบดีที่ 6 กันยายน พ.ศ. 2561

บริหารและจัดการระบบด้วย Windows Admin Center (WAC)

     สวัสดีครับท่านผู้อ่านทุกท่าน  สำหรับบทความนี้ผมจะพาท่านไปรู้จักกับเครื่องมือตัวใหม่ที่จะใช้ในการบริการและจัดการ  Servers, Clusters, Hyper-Converged, และรวมถึง Windows 10 ด้วยครับ ต้องบอกว่าในช่วงเวลาที่ผ่านมานั้น ในส่วนของการดูแลและบริหารจัดการระบบนั้น ผู้ดูแลระบบจะต้องใช้งานและเข้าไปเกี่ยวข้องกับเครื่องมือต่างๆ มากมาย ไม่ว่าจะเป็น Tools, MMC Snap-In, เป็นต้น สำหรับการบริหารและจัดการระบบ ประกอบช่วงที่ผ่านมาเช่นกันเครื่องมือเหล่านี้ทาง Microsoft ได้มีการพัฒนาปรับปรุงเป็นระยะๆ เพื่อทำให้การบริหารจัดการทำได้ง่ายและสะดวกขึ้น นอกจากนี้แล้วก็พยายามที่จะรวบรวมเครื่องมือต่างๆ ที่ใช้ในการบริหารและจัดการระบบให้อยู่ในที่เดียวกัน ให้ได้มากที่สุด ผมยกตัวอย่าง เช่น Server Manager ซึ่ง ณ วันนี้เราสามารถทำอะไรได้หลายอย่างด้วย Server Manager แทนที่จากเดิมจะต้องไปหรือเรียกใช้เครื่องมือต่างๆ มากมาย แต่กระนั้นก็ตามถึงแม้ว่าจะใช้ Server Manager แล้ว แต่ผู้ดูแลระบบก็ยังคงต้องใช้งานเครื่องมืออื่นๆ อยู่ดี เช่น ถ้าในกรณีที่เป็น Remote Server ผู้ดูแลระบบก็ยังคงต้องใช้ RDC (Remote Desktop Client) เข้าไปจัดการ Remote Server นั้นๆ อยู่ดี นี่เป็นเพียงแค่ตัวอย่างหนึ่งเท่านั้นครับ


รู้จักกับ Windows Admin Center
ดังนั้นจากเรื่องราวที่ผมได้อธิบายไว้ในข้างต้น ทาง Microsoft จึงได้มีโครงการที่ชื่อว่า Honolulu ซึ่งเป็นโครงการที่ทำการสร้างและพัฒนาเครื่องมือที่จะมาใช้ในการบริการและจัดการ Servers และอื่นๆ ในรูปแบบที่เป็น Centralized หรืออธิบายง่ายๆ คือสามารถบริหารและจัดการได้โดยใช้เพียงเครื่องมือตัวนี้ตัวเดียวครับ และล่าสุดเครื่องมือที่ว่านี้มีชื่ออย่างเป็นทางการว่า "Windows Admin Center" หรือเรียกสั้นๆ ว่า WAC ครับ ซึ่งจะมาโดย Default ใน Windows Server 2019 แต่เราสามารถทำการดาวน์โหลดมาใช้งานกันก่อนได้ครับ โดยตัวของ WAC สามารถติดตั้งใน Window Server 2016 และ Windows 10 ได้ครับ เรามาดูฟีเจอร์หรือความสามารถของ Windows Admin Center กันครับว่า สามารถทำอะไรได้บ้างครับ


Windows Admin Center ฟีเจอร์
- ง่ายต่อการติดตั้งและใช้งาน โดยสามารถติดตั้งได้ใน Windows Server 2016 และ Windows 10
- สามารถบริการและจัดการระบบจากภายในและภายนอกองค์กรได้ เนื่องจากตัวของ WAC เป็น Web-Based
- การควบคุมการเข้าถึงและการใช้งาน (Access Control),  WAC ใช้ Role-Based Access Control (RBAC)
  สำหรับกำหนดการเข้าถึงและการใช้งานสำหรับการบริหารและจัดการ นอกจากนี้แล้ว WAC ยัง Integrate
  ทำงานร่วมกับ Active Directory Domain Service (AD DS) และ Azure Active Directory (Azure AD)
- สามารถบริการและจัดการ Hyper-Converged Infrastructure เช่น สามารถจัดการ Compute, Network,
  Storage, บริหารจัดการ Storage Space Direct (S2D), และร่วมถึงการ Monitoring และ Alerting
- มี SDK ให้สำหรับ Developer เพื่อนำไปพัฒนา Solutions ต่างๆ และนำมา Integrate ใช้งานร่วมกับ WAC


Windows Admin Center ประกอบไปด้วย 2 ส่วนหลักๆ คือ:

1. Web Server คือส่วนที่รัน User Interface ของ WAC เพื่อให้ผู้ใช้งานใช้งานผ่านทาง HTTPS
2. Gateway คือส่วนที่ใช้ในการจัดการ Connected Servers ต่างๆ ผ่านทาง Remote PowerShell และ
WMI Over WinRM



สำหรับการติดตั้ง Windows Admin Center นั้น, ท่านผู้อ่านสามารถดาวน์โหลดได้จาก Link นี้ครับ
https://docs.microsoft.com/en-us/windows-server/manage/windows-admin-center/understand/windows-admin-center




ดาวน์โหลดเสร็จเรียบร้อยแล้ว ทำการดับเบิ้ลคลิ๊กไฟล์ (.MSI) ได้เลยครับ จากนั้นให้รอซักครู่ ท่านผู้อ่านจะเห็นตามรูปด้านล่างครับ



คลิ๊ก Next ได้เลยครับ เพื่อเข้าสู้การติดตั้ง WAC ครับผม สำหรับในส่วนต่อมาคือการติดตั้ง Configure Gateway Endpoint ของ WAC  ให้ทำการกำหนด Port ที่จะใช้ในการเข้าถึงหรือเปิดใช้งาน UI ของ WAC ครับ ผมขอกำหนด Port ตามรูปด้านล่างครับ จากนั้นให้คลิ๊ก Install ครับ





จากนั้นจะเป็นการติดตั้ง WAC ดังรูปครับ



เมื่อติดตั้งเสร็จเรียบร้อย จะปรากฏหน้าตาดังรูปด้านล่างครับผม




ให้คลิ๊ก Finish ครับ จากนั้นผมจำทำการเรียก Windows Admin Center UI ขึ้นมาใช้งาน ดังรูปด้านล่างครับ




ผมทำการคลิ๊กที่ Windows Admin Center ท่านผู้อ่านจะเห็นว่ามีการติดตั้ง Solutions ต่างๆ เช่น Server Manager, Computer Management, และอื่นๆ ดังรูปครับ



จากนั้นผมคลิ๊กที่ Server Manager เพื่อจะทำการ Add Server หรือเครื่องที่ผมต้องการจัดการ ดังรูปด้านล่างครับผม



และมาถึงตรงนี้ มีสิ่งหนึ่งที่ผมอยากบอกท่านผู้อ่านครับ คือ Windows Admin Center ไม่ได้มาแทน Server Manager ครับ อีกรูปด้านล่างผมทำการ Add เครื่องของผมที่เป็น Windows 10 เข้าใน WAC เพื่อทำการบริหารและจัดการต่อไปครับผม


และทั้งหมดนี้คือเรื่องราวเริ่มต้นของเครื่องมือตัวใหม่ที่ชื่อว่า Windows Admin Center ที่ผมได้นำมาให้ท่านผู้อ่านได้รู้จักกันครับ ลองไปดาวน์โหลดมาติดตั้งและทดสอบใช้งานกันดูครับผม….

เขียนโดย ที่ ไม่มีความคิดเห็น:

วันอังคารที่ 4 กันยายน พ.ศ. 2561

รู้จักและใช้งาน Azure Advisor

     สวัสดีครับท่านผู้อ่านทุกท่าน กลับมาพบกันเช่นเคยครับที่นี่ หลังจากที่ห่างหายไปนานพอสมควร เนื่องจากช่วงที่ผ่านมาผมติดงานหลายๆ อย่างครับ และต้องเดินทางไปต่างประเทศเพื่อเพิ่มเติมความรู้ใหม่ๆ ด้วยครับ เอาล่ะครับมาเข้าเรื่องกันเลยครับผม สำหรับบทความตอนนี้ของผมจะยังคงเป็นเรื่องราวของ Microsoft Azure นะครับ โดยบทความนี้ผมจะพาทุกท่านไปทำความรู้จัก Service ตัวหนึ่งที่ชื่อว่า "Azure Advisor" ครับ


Azure Advisor คืออะไร?
Azure Advisor เป็น Service ที่จะมาช่วยทำการวิเคราะห์ Resources ของเราที่ได้สร้างขึ้นและทำงานอยู่ใน Microsoft Azure ครับ สำหรับท่านผู้อ่านที่ยังใหม่หรือยังไม่คุ้นเคยกับ Microsoft Azure, คำว่า Resources หมายถึง สิ่งต่างๆ ที่เราได้สร้างขึ้นมาบน Microsoft Azure เช่น Virtual Machines, Apps, Databases, และอื่นๆเป็นต้นครับ ซึ่งจะมี Resources อะไรบ้างนั้น ก็ขึ้นอยู่กับความต้องการของแต่ละองค์กรครับ ว่าจะสร้าง Resources อะไรบ้างครับ


ประโยชน์ของ Azure Advisor
กลับมาที่ Azure Advisor กันต่อครับ อย่างที่ผมอธิบายไปเมื่อซักครู่ว่า Azure Advisor จะทำการวิเคราะห์ Resources ต่างๆ ที่รันหรือทำงานอยู่ใน Microsoft Azure ครับ และหลังจากที่ Azure Advisor ทำการวิเคราะห์เสร็จเรียบร้อย Azure Advisor จะมี Recommendations หรือคำแนะนำต่างๆ  แยกตามหมวดหมู่ดังนี้ครับ

- High Availability
- Security
- Performance
- Costs




จากนั้นท่านผู้อ่านสามารถนำเอา Recommendations ดังกล่าวไปปรับปรุงการบริหารและจัดการ Resources เหล่านั้นเพื่อให้มีประสิทธิภาพมากขึ้นและเป็นไปตาม Best Practices ครับผม หรืออธิบายให้กระชับและเช้าใจง่ายๆ สำหรับ Azure Advisor ก็เปรียบเสมือนที่ปรึกษาส่วนตัวของท่านผู้อ่านที่จะคอยให้คำแนะนำว่าควรจะทำการบริหารและจัดการ Resources ต่างๆ ที่ใช้งานอยู่อย่างไรให้มีประสิทธิภาพมากขึ้น, มีความปลอดภัยมากขึ้น, มีเสียค่าใช้จ่ายน้อยลง เป็นต้นครับผม

สำหรับ Recommendations หรือคำแนะนำของ Azure Advisor จะมีการอัพเดทเป็นชั่วโมงๆ นะครับ และ ณ ตอนนี้ Azure Advisor สามารถให้คำแนะนำสำหรับ Azure Resources ดังต่อไปนี้เท่านั้นนะครับ

- Virtual Machines
- Availability Sets
- Application Gateways
- App Services
- SQL Servers
- Redis Cache


การใช้งาน Azure Advisor
เริ่มด้วยให้ท่านผู้อ่านสามารถไปที่ Azure Portal แล้วคลิ๊กที่ Azure Advisor ดังรูปด้านล่างครับ


เมื่อเข้าสู่ Azure Advisor ให้ท่านผู้อ่านรอซักครู่นะครับ เพราะ Azure Advisor กำลังทำการวิเคราะห์ Resources ต่างๆ ให้อยู่ครับ ซึ่งจะใช้เวลามากหรือน้อยก็ขึ้นอยู่กับจำนวนของ Resources ที่มีและใช้งานอยู่ครับผม หลังจากที่ Azure Advisor ทำการวิเคราะห์เสร็จเรียบร้อย ก็จะแสดงผลลัพธ์หรือ Recommendations แยกตามหมวดหมู่ ดังรูปด้านล่างครับ จากนั้นก็อยู่ท่านผู้อ่านแล้วครับ ว่าอยากทราบ Recommendations เรื่องหรือหมวดหมู่ใดครับ


จากรูปด้านบน สมมติว่าผมอยากทราบ Recommendations ในหมวดหมู่หรือเรื่องเกี่ยวกับ High Availability ครับ ผมก็จะทำการคลิ๊กเข้าไปที่ High Availability  เพื่อดูรายละเอียดของ Recommendations ดังรูปครับ




และจากที่ผมอ่านรายละเอียด Recommendations ที่ทาง Azure Advisor แนะนำ พบว่ามีอยู่ 4 เรื่องครับ เช่น Azure Advisor แนะนำให้ผมทำการ Backup Virtual Machines ที่รันอยู่ครับ เพื่อป้องกันในกรณีหากเกิดปัญหาครับ, รวมถึงแนะนำให้ผมสร้าง Availability Set ให้กับ Virtual Machines เพื่อทำ Redundancy ครับ และเมื่อคลิ๊กเข้าไปในแต่ละ Recommendations ก็จะมีการแนะนำวิธีการให้ด้วยครับผม

นอกจากนี้แล้ว Azure Advisor ยังให้ท่านผู้อ่านทำการดาวน์โหลด Recommendations เหล่านั้นได้อีกด้วยครับ ซึ่งสามารถเลือกได้ว่าต้องการเป็น .CSV หรือ .PDF ครับ ดังรูปด้านล่างครับผม


และทั้งหมดนี้คือเรื่องราวของ Azure Advisor ซึ่งเป็น Service ตัวนึงซึ่งทำหน้าที่เป็นที่ปรึกษาให้กับท่านผู้อ่านครับผม…..


เขียนโดย ที่ ไม่มีความคิดเห็น:
สมัครสมาชิก: บทความ (Atom)