如何在 Azure AD 中建立用戶?

Azure Active Directory（Azure AD）

Azure Active Directory，也稱 ( Microsoft Entra ID ) 是一種雲端式的身份和存取管理服務，可以幫助企業安全地管理用戶、應用程式及資源的存取權限。在管理使用者時，經常需要將具有相似需求的用戶集合成群組，以簡化存取控制的配

Q1.那這樣Microsoft Entra ID是什麼? 跟他有什麼差別?

A1. Microsoft Entra ID 是 Azure AD 改名後的名稱，功能幾乎完全相同，依然負責身份驗證和存取控制。這只是品牌上的調整，方便它整合進 Microsoft Entra 的身份管理解決方案。對用戶來說，實際操作和功能並沒有變化。

Q2. 為什麼我一定要建立Azure AD? 不能直接使用嗎?

A2.  Azure AD是否需要建立才能使用？
一般來說，Azure AD 並不需要你額外「建立」，因為它是 Microsoft 雲端服務的一部分，當你使用 Microsoft 365 或 Azure 訂閱時，就會自動包含在內。
Q: 我已經有 Microsoft 帳號，為什麼還需要 Azure AD？
A: 如果你只需要個人帳戶的基本功能（例如登入或存取個人 OneDrive），就不需要額外建立 Azure AD。
簡而言之，Azure AD 本身不需要你手動建立，但若你需要進一步的企業級管理和自訂功能，可能需要先擁有對應的 Azure AD 管理權限或目錄。

建立 Azure AD 的步驟

1. 登入 Azure 入口網站

1. 前往 Azure 入口網站。
2. 使用您的 Microsoft 帳戶進行登入。如果沒有帳戶，請先註冊一個免費帳戶。
3. 
   
   
   
   

2. 建立 Azure AD 租戶

1. 登入後，在左側選單中選擇 Azure Active Directory(Microsoft Entra識別碼)。
2. 點擊 加入>>建立新的使用者。
3. 
   
   
4. • 組織名稱：輸入租戶的名稱，例如「MyCompany Directory」。
   • 初始網域名稱：這將是您的租戶唯一識別名稱，例如 mycompany.onmicrosoft.com。
   • 國家或地區：選擇您的組織所在地。
   • 
     
     
     
     
5. 確認輸入內容後，點擊 建立。

提示：建立完成後，可能需要幾分鐘來處理租戶的初始化。

 

---

3. 添加使用者到 Azure AD

1. 進入剛建立的 Azure AD 租戶。
2. 在左側選單中選擇 使用者，然後點擊 + 新增使用者。
3. 填寫以下內容：
   • 使用者名稱：為使用者指定一個唯一名稱，例如 john.doe@mycompany.onmicrosoft.com。
   • 姓名：輸入使用者的全名。
   • 角色：選擇使用者的角色，例如 使用者 或 全域管理員。
4. 點擊 建立 完成操作。

---

4. 配置應用程式整合

1. 在 Azure AD 主頁，選擇 企業應用程式。
2. 點擊 + 新增應用程式，然後選擇：
   • 內建應用程式：從清單中選擇常見的應用程式，例如 Microsoft 365。
   • 自訂應用程式：為自家開發的應用程式建立連接。
3. 根據應用程式要求，配置 SSO 或其他存取規則。

---

5. 啟用條件式存取（選用）

1. 前往 安全性 > 條件式存取。
2. 點擊 + 新增策略，設置安全性條件，例如：
   • 只允許特定 IP 範圍登入。
   • 啟用多因素驗證（MFA）。
3. 定義完成後，啟用策略。

AWS EKS自動創建的服務器，為什麼卷沒有上標籤?怎麼解決?

如果遇到用 EKS 建立節點（EC2 實例）時，這些實例自動附帶的 EBS 捲和網路介面並沒有自動打上他們想要的標籤。換句話說，EC2 實例標籤OK，但磁碟區和 ENI 標籤缺失，需要手動或額外配置來補上，如果遇到該情況該如何處置呢?

可參考以下文件，定義標籤使用方式。

1. EKS （eksctl）：

使用 eksctl 定義EKS標籤

https://docs.aws.amazon.com/zh_cn/eks/latest/userguide/eks-using-tags.html#tag-resources-console

2. EBS（Storage Class）：

使用 StorageClass 定義 EBS 標籤。

https://docs.aws.amazon.com/zh_tw/eks/latest/userguide/create-storage-class.html

3. ENI（VPC CNI ）：

使用 VPC CNI 定義ENI標籤

https://docs.aws.amazon.com/zh_tw/eks/latest/userguide/vpc-add-on-create.html

阿里雲 網路攻擊的防護

面對現行網路攻擊，

阿里雲主要透過以下兩種產品防禦，

分別是WAF與Anti-DDoS高防

 

WAF(Web應用防火牆)

WAF用於防禦七層的攻擊

阻擋Http Flood、CC Attack、SQL Injection、爬蟲攻擊等

 

Anti-DDoS高防

Anti-DDoS高防針對三、四層攻擊防禦，

阻擋流量型攻擊方式，

 

但服務可能會遇到攻擊既有流量型攻擊，又混雜的Web應用層攻擊，

這時如果只使用一種網路防護產品無法達到全面的防護

阿里雲上有提供配套方案，可透過在WAF前加上Anti-DDoS高防，用域名接入方式將WAF的cname加入為高防的防禦對象

透過以上方式，讓阿里雲WAF與DDoS高防形成有效的協同作用，DDoS高防首先清洗流量型攻擊，減少WAF的負擔，使其能夠更專注於應用層的安全偵測和攔截。

再搭配有效的黑白名單，排除異常IP與服務IP，進一步防禦與提高效率。

這種分層防護機制有效減少了WAF的工作量，並提高整體處理效率為服務提供更強大的網路安全保障。從而確保服務可持續運行

阿里雲DDOS高防介紹

近期服務有被DDOS攻擊查看阿里雲DDOS高防，確認以下資訊

實例規格如下

如果攻擊是超過規格會在下方紅框處顯示事件(規格超限告警)、同理目的限速事件也是。如果控制台沒有數據代表就是沒有觸發規格超限告警、目的限速事件。另外，超限告警並非及時資訊，需要到周一10:00產出

然而，規格超限告警是當業務規格超出購買規格時提示的告警資訊，不會影響業務，當多次超出才會影響丟包等資訊；
可以關注目的限速事件，當觸發目的限速事件會對業務產生影響。

此次攻擊最高為700Mbps，來自國內的攻擊，我們購買的防禦帶寬為300G，所以不會是流量攻擊造成影響，有查看到連接數異常上升，較有可能為連接型攻擊有部分請求漏過，導致源站服務異常(因為併發連接數為100,000，此次攻擊連接數已達270,000導致可能丟包)( 併發連接數可以作為影響服務的一個依據，具體要看您後端源站連線數承受能力)

從攻擊分析也可看出為連接型的DDOS攻擊

因為這次攻擊我們也進行了調整，

對四層做源限速、目的限速策略，以及調整彈性QPS((會額外產生費用，只有超過基礎的QPS和連接數才會產生費用))，並且搭配AI智能防護保護四層的連接型攻擊

限速配置

例如正常用戶的存取頻率是60秒5次，那麼可以設定成60秒存取超過20次就會加入黑名單，若進入黑名單，則其連線請求都會被丟棄。

開啟彈性QPS，彈性QPS為300,000，新建連接數為200,000，併發連接數為4,000,000(可參考QPS 文檔)

端口接入 為四層接入、域名接入 為七層接入

因為此次攻擊為針對WEB協議的CC攻擊還是建議改為七層接入避免影響服務

且因為是七層接入，遭受四層攻擊高防不會轉發，會直接丟棄，源站不會遭受影響，可以正常防護四層

文件參考

彈性QPS:

https://help.aliyun.com/zh/anti-ddos/anti-ddos-pro-and-premium/product-overview/billing-of-the-burstable-qps-feature?scm=20140722.S_help%40%40%E6%96%87%E6%A1%A3%40%402330815.S_BB1%40bl%2BRQW%40ag0%2BBB2%40ag0%2Bos0.ID_2330815-RL_%E5%BC%B9%E6%80%A7QPS-LOC_doc%7EUND%7Eab-OR_ser-V_4-P0_0&spm=a2c4g.11186623.d_help_search.i5

四層防護策略: 

https://help.aliyun.com/zh/anti-ddos/anti-ddos-pro-and-premium/user-guide/create-an-anti-ddos-protection-policy?spm=a2c4g.11186623.help-menu-28396.d_2_4_0_2_1.1dbe5078MR8xOH

超限告警數據更新時間

如何在阿里雲中有效防護DDoS攻擊並阻擋大量流量

前提條件:

已購買DDoS高防（中國內地）實例或DDoS高防（非中國大陸）實例

DDoS高防（中國內地）實例或DDoS高防（非中國大陸）

中國站vs.國際站 差別:

DDoS高防（中國內地）:端口接入有應用層防護增強功能

DDoS高防（非中國大陸）:端口接入無應用層防護增強功能

什麼是新建連接數?併發連接數又是什麼?何謂正常值?攻擊?

新建連線數 (New Connections)

定義：新建連線數指的是在某段時間內，系統可以接受的新的網路連線請求的最大數量。

用途：此指標通常用於衡量一個服務（例如負載平衡器、雲端伺服器等）能在單位時間內接受的最大連線數。對於需要高並發的服務，必須確保該數值足夠大，以避免連線被拒絕。

例如，設定為 5000 表示每秒最多可以接受 5000 個新的連線請求。

並發連線數 (Concurrent Connections)

定義：並發連接數指的是同時維持的連接數。在任意時刻，系統上所有處於「連線」狀態的用戶端和伺服器之間的連線總數。

用途：此指標主要衡量系統的連接負載能力。如果並發連線數過高，系統可能會出現效能瓶頸，導致服務的延遲和逾時。

例如，設定為 100,000 表示系統能夠同時支援最多 100,000 個活躍連線。

正常值（Normal Traffic）

同時連線數（Concurrent Connections）：指在某一時刻，客戶端與服務端之間維持的有效連線數量。正常業務中的波動範圍在可接受範圍內。

新連線數（New Connections）：指每單位時間內建立的新連線數量。正常業務中的新連線數是穩定且連續的，反映業務請求量的增長。

攻擊（Attack Traffic）

瞬時性（Burst Traffic）：攻擊流量通常在短時間內突然激增，這會對系統造成衝擊，並遠超過正常業務流量的波動範圍。

沒有規律（Irregular Pattern）：攻擊流量沒有明顯的規律或可預測的模式，可能會以不規則的方式湧入系統，而正常業務流量一般呈現較為規律的變化模式。

提高DDos高防有效阻擋攻擊的方法

1.開啟QPS

啟用QPS超過基本的QPS和連線數後才會產生費用，如果不想開啟彈性QPS，或是可以點選右側的升級，直接升級QPS和連線數，一般彈性QPS適用於偶爾流量的增加，直接升級QPS是業務一直都有增加

彈性QPS計費標準說明可參考：

https://www.alibabacloud.com/help/zh/anti-ddos/anti-ddos-pro-and-premium/product-overview/billing-of-the-burstable-qps-feature?spm=a2c63.p38356.0.i0

2.設置四層AI防護

點選"防護設置"→"通用防護策略"→"非網站業務DDos防護"→"AI智能防護"點選設置

參考資料:

https://help.aliyun.com/zh/anti-ddos/anti-ddos-pro-and-premium/user-guide/configure-intelligent-protection?spm=a2c4g.11186623.0.preDoc.2530240f3t4vi5

3.對四層進行源限速和目的限速策略

點選"防護設置"→"通用防護策略"→"非網站業務DDos防護"，可進行源限速和目的限速。

詳細設置可參考:

https://help.aliyun.com/zh/anti-ddos/anti-ddos-pro-and-premium/user-guide/create-an-anti-ddos-protection-policy?spm=a2c4g.11186623.0.nextDoc.7ee07c5cjsNuWL

4.針對部分IP進行黑名單，白名單設置

點選"防護設置"→"通用防護策略"→"基礎設施DDos防護"，進行黑名單及白名單設置。

黑名單：

自訂的黑名單：永久生效(目前黑名單最多封鎖7天，而非永久生效)。

智慧防禦演算法下發的黑名單：DDoS高防智慧防禦演算法標記的惡意IP，有效期限由智慧防禦演算法動態計算，最短5分鐘，最長1小時。如果惡意IP在有效期限內有持續的惡意攻擊行為，DDoS高防將自動延長有效期限。

白名單：僅支援自訂的白名單，永久生效。

參考資料:

https://help.aliyun.com/zh/anti-ddos/anti-ddos-pro-and-premium/user-guide/set-blacklist-and-whitelist-for-anti-ddos-pro-instance-ip?spm=a2c4g.11186623.0.i8

AWS EC2當機(因EBS卷吞吐量超限)的對應做法

 當 AWS EC2 實例發生當機，我方進行報修後得到以下相關回應：

1.原廠工程師檢查EC2實例，未發現底層主機有硬件故障和異常時間

- status check/狀態檢查均無異常

2.原廠工程師通過CloudWatch檢查3個EBS卷，沒有發現3個EBS個卷有異常事件產生，但發現該卷vol-xxxxxx吞吐量超限：

”指標” VolumeThroughputExceededCheck: 1 表明磁盤操作導致吞吐量超過該卷的上限。

綜合分析，EC2底層主機以及EBS均無發現有明顯異常事件，所見異常可能與根卷在特定時間段的大量讀取且導致吞吐量超限有關聯。

處理 EBS 卷吞吐量超限的根本方法是升級 EBS 卷的類型和性能，根據需求選擇合適的 EBS 卷類型（如 gp3、io1、io2），並確保 EC2 實例的性能能夠配合使用的存儲資源。如果吞吐量經常超限，還需要考慮優化應用程式的 I/O 操作，或將負載分散到多個磁碟卷中。本篇先針對EBS容量、EC2類型與設置警報來做說明。

1. 檢查並升級 EBS 卷類型

EBS 提供多種類型的磁碟，根據需求選擇合適的卷型可以避免吞吐量不足的問題。可以考慮升級現有的 EBS 卷類型，以提供更高的吞吐量。

一般用途 SSD（gp3）：提供相對較好的性價比，支持自訂吞吐量和 IOPS。可以升級現有卷為 gp3，並根據需要設置吞吐量。(此選項可自定義吞吐量)

預設性能 SSD（gp2）：吞吐量會受限於卷的大小，因此，卷太小可能無法達到足夠的吞吐量。

性能 SSD（io1/io2）：提供高吞吐量和低延遲，適合要求高吞吐量和高 IOPS 的工作負載。

2. 增加 EBS 卷的容量

如果客戶使用的是 gp2 類型的 EBS 卷，吞吐量是與磁碟容量有關的。具體來說，增加磁碟容量可以提高吞吐量，避免瓶頸。另請注意：增加卷的容量（相關數值至少大於 10 GiB）。

3. 調整 EC2 實例的性能

確保 EC2 實例的大小和性能配置適合工作負載。如果使用的 EC2 實例本身的網絡性能或磁碟性能不夠強大，可能會對吞吐量設有限制。所以應根據需求進行升級 EC2 實例，選擇更高網絡性能和 I/O 性能的類型。

但此一修改須將EC2停機，才能修改實例類型，之後啟動實例還需要再確認性能是否改善。

4. 監控 EBS 性能並設置警報(避免狀況再發生的處置)

使用 AWS CloudWatch 監控 EBS 卷的性能，設置警報來提前識別吞吐量接近極限的情況。可設置警報以便當 EBS 卷的吞吐量達到一定閾值時，及時進行調整。

在CloudWatch操作介面可創建監控警報，選擇 EBS 卷的吞吐量（VolumeReadOps, VolumeWriteOps, VolumeThroughput 等指標），設定當吞吐量接近或超過閾值時觸發警報，並通過電子郵件或其他方式通知。

另外對Auto Scaling相關作法應可緩解相關異常狀況，以上資料供大家參考運用。

若要進一步針對操作系統層面檢視，原廠建議安裝atop等工具以收集相關指標與資訊，可參考下面的2個文章鏈接：

- 如何為執行 Amazon Linux、RHEL、CentOS 或 Ubuntu 的 EC2 執行個體設定 ATOP 監控和 SAR 監控工具？ 請參考網址4

- 如何使用 ATOP 工具和 atopsar 工具，取得 EC2 Linux 執行個體中程序的歷史使用情況統計資料？請參考網址5

參考網址：

1. Request Amazon EBS volume modifications - Amazon EBS

2. Amazon EBS volume types - Amazon EBS

3. Amazon EC2 instance type changes - Amazon Elastic Compute Cloud

4. 設定適用於 EC2 Linux 執行個體的監控工具 | AWS re:Post

5. 使用 ATOP 工具在 EC2 Linux 執行個體上監控歷史資源使用情況 | AWS Re:Post | AWS re:Post

Azure 子網路建立教學

 Azure 平台中的子網路（Subnet）是虛擬網路（Virtual Network，VNet）中的一部分，它允許用戶將虛擬網路劃分為更小的區域，以便進行網路隔離和更精細的流量管理。本教學將詳細介紹如何在 Azure 入口網站中建立子網路，過程簡單易懂，適合初學者。

---

前置條件

1. 已有 Azure 訂閱。
2. 在 Azure 中建立了一個虛擬網路（VNet）。若未建立虛擬網路，請先參考 Azure 虛擬網路建立教學。
3. 已登入 Azure 入口網站。

---

建立子網路的步驟

步驟一：進入虛擬網路設定

選擇基本資料，可調整訂閱帳戶以及資源群組，並填寫虛擬網路名稱

步驟二：安全性

這裡可以選擇啟用防火牆防護，若尚未設定防火牆，可以參考上一篇文章，另也可以選擇Azure DDoS 網路保護，不過這是要付費的，請自行斟酌

步驟三：設定子網路資訊

1. 名稱（Name）
   為子網路命名，例如 Subnet-01。

2. 地址範圍（Address range (CIDR block)）
   指定子網路的 IP 地址範圍，格式為 CIDR，例如 10.0.1.0/24。地址範圍需位於虛擬網路的範圍內，且不能與其他子網路重疊。

3. （選填）服務端點（Service endpoints）
   若需支援特定 Azure 服務（如存儲或 SQL 資料庫），可以啟用服務端點。

4. （選填）委派（Delegation）
   若子網路需支援特定服務（如 Azure Kubernetes Service），可以進行委派設定。

5. （選填）網路安全群組（NSG）
   可將現有的網路安全群組（Network Security Group）關聯到子網路中，以管理進出子網路的流量。

6. （選填）路由表
   若有自訂路由需求，可關聯現有的路由表。

步驟四：儲存設定

確認所有設定無誤後，點擊「建立」（Save）。

---

驗證子網路是否建立成功

1. 返回虛擬網路的「子網路」頁面。
2. 檢查是否出現剛剛建立的子網路名稱及其地址範圍。
3. 子網路成功建立後，您即可在該子網路中部署虛擬機（VM）或其他資源。

---

小提示

1. 子網路大小規劃
   在設定地址範圍時，請根據需要容納的資源數量合理規劃地址大小，避免浪費 IP 資源。

2. 安全性設定
   建議為子網路配置網路安全群組（NSG），以防止未授權的流量進入。

3. 命名規範
   使用有意義的名稱，便於日後管理，例如根據功能或用途命名：Web-Subnet、DB-Subnet 等。

---

結語

子網路是 Azure 虛擬網路的重要組成部分，能夠幫助用戶實現更高效的網路管理與隔離。本教學已涵蓋子網路建立的詳細步驟，您可以根據需求靈活配置子網路，提升雲端架構的靈活性與安全性。

如有其他疑問，歡迎隨時提出！

AWS ADS 和 MGN遷移應用

AWS ADS 和 MGN遷移應用 

在進行地端伺服器（on-premises servers）遷移到 AWS 雲端的過程中，AWS 提供了多種工具來協助遷移工作，兩個常見的選擇是 AWS Application Discovery Service (ADS) 和 AWS Application Migration Service (MGN)。這兩者適合於不同的遷移需求，以下是它們的介紹和使用方式：

AWS Application Discovery Service (ADS)

• 功能：用於自動化地端伺服器的資料蒐集和分析，幫助你了解當前的 IT 環境和應用程式相依性，為遷移到 AWS 提供必要的資訊。使用 ADS，你可以獲取以下資訊：
• 伺服器規格 (CPU, Memory, Disk)
• 應用程式相依性和流量模式
• 效能使用情況
• 網路架構
• 優點：
• 自動化資料蒐集，無需手動分析現有環境。
• 提供詳細的應用程式依賴性和資源使用情況，協助制定最佳的遷移策略。
• 支援代理程式安裝及網路流量方式進行資料蒐集。

使用 AWS ADS 的步驟：

1. 安裝 Discovery Agent：將 AWS Discovery Agent 安裝在需要遷移的地端伺服器上，它會自動蒐集系統性能和使用數據。
2. 使用 Network-based Discovery：如果不想安裝代理程式，可以使用網路式的資料蒐集，它通過分析網路流量來獲取系統資訊。
3. 查看分析結果：在 AWS 控制台中查看 ADS 蒐集到的資料，進行依賴性映射，瞭解哪些應用程式和伺服器之間有相互依賴。
4. 規劃遷移策略：根據 ADS 提供的報告和建議，規劃伺服器和應用程式的雲端部署架構。
   
   
   

   適用場景：

   • 在進行伺服器遷移之前，想先深入分析現有 IT 環境、應用程式依賴性和網路架構的情況。

   ---

   AWS Application Migration Service (MGN)

   • 功能：提供自動化的伺服器遷移服務，將地端物理或虛擬伺服器的工作負載遷移到 AWS 雲端，無需重新架構應用程式。
   • 用途：連續複製伺服器資料並自動化轉換，進行測試後可最小化停機時間，順利切換到 AWS。
   • 優點：
   • 持續的資料同步確保遷移過程中數據完整性。
   • 支援測試遷移，避免遷移後應用程式運行異常。
   • 遷移過程簡單，無需更改現有應用程式架構。

   適用場景：

   • 希望快速自動化地將伺服器遷移到 AWS，並且遷移過程需要保持最小停機時間的情況。

   ---

    AWS MGN 的使用步驟：

1. 設置遷移源和目標：
• 在 AWS 控制台中啟動 MGN，並添加需要遷移的地端伺服器。
• 配置目標伺服器的設置，包括 EC2 實例類型、VPC 網路設置等。
2. 安裝 MGN 代理：
• 在地端伺服器上安裝 AWS MGN 代理程式。這將允許持續的資料同步，將地端伺服器的內容複製到 AWS。
3. 進行遷移測試：
• 在實際遷移之前，可以啟動目標伺服器進行測試，確保應用程式和伺服器在 AWS 上能正常運行。
4. 最終遷移和切換：
• 當所有測試完成並且一切準備就緒時，可以進行最終遷移切換。MGN 會將流量切換到 AWS 雲端伺服器，並最小化停機時間。
5. 關閉地端伺服器：
• 一旦切換完成，地端的伺服器可以停機，並將所有操作轉移到 AWS 上。

總結：

• ADS 更適合在遷移之前進行環境的分析和規劃，了解系統架構和應用依賴性。
• MGN 則專注於實際的遷移過程，提供連續資料複製和最小停機時間的遷移服務，幫助企業順利完成遷移。

CSP類型的Azure訂用帳戶需開啟Cost Management相關權限才可看見預估費用Azure Cost

CSP類型的Azure訂用帳戶需開啟Cost Management相關權限才可看見預估費用

Azure Cost Management是Azure所提供的一套雲端成本控制和優化工具，重點在幫助用戶們有效管理在Azure平台上的支出。其中的功能包含了費用監控、預算管理、成本預測各個方面，可以讓用戶更好了解資源使用情況並進行優化調整。

而在建立新的虛擬機器時，Azure 入口網站會根據所選的配置（如 VM 大小、地區、作業系統等）即時顯示每月的預估成本(即 緊隨支隨付的帳戶才會估算顯示出費用)。

 

通常每月預估成本並不需要啟用到Cost Management，但可能受限於訂用帳戶類型和原則設定，例如: CSP類型的Azure訂用帳戶……等，因此，會需要開啟Cost Management功能，並且除相關限制，才可顯示預估費用。

// 上圖為以CSP類型的Azure訂用帳戶為例 >>>有開啟Cost Management

// 上圖為以CSP類型的Azure訂用帳戶為例 >>>無開啟Cost Management

參考資料:

估計在 Azure 入口網站 中建立虛擬機的成本 （預覽）

https://learn.microsoft.com/zh-tw/azure/virtual-machines/estimated-vm-create-cost-card?utm_source=chatgpt.com