Фото лазурный: Недопустимое название

С точки зрения сети, давайте посмотрим на стандартную эталонную архитектуру SAP в Azure.Здесь показано, как администрировать топологию виртуальной сети Azure, изоляцию, ограничение сетевых служб и протоколов с помощью концепции групп безопасности сети Azure. Эта сетевая безопасность должна соответствовать требованиям политики безопасности, которые диктует ваша организация.

Источник: Microsoft

Благодаря топологии сети «ступица и звезда» все серверы приложений и баз данных SAP изолированы от Интернета или даже от локальной сети.Вместо этого весь локальный трафик должен проходить через концентратор, который виртуальная сеть подключила к лучу. Это гарантирует изоляцию сети для решения SAP в Azure от общедоступного Интернета.

Для более сложных мер сетевой безопасности, сетевой DMZ — «Реализация DMZ между Azure и локальным центром обработки данных», вы можете использовать сетевое виртуальное устройство, такое как F5, которое доступно в Azure Marketplace. NVA — это устройства уровня 7, которые имеют WAF (брандмауэр веб-приложений) и другие возможности.

Для первого сценария, возможно, вы собираетесь подключиться обратно к своей корпоративной сети (частной) только . Пример диаграммы ниже

Источник: Microsoft (изменено)

Во втором сценарии вам может потребоваться прямого доступа к Интернету и частной DMZ к вашей корпоративной сети одновременно . См. Ниже образец схемы для внешнего доступа «Реализация DMZ между Azure и Интернетом».

Источник: Microsoft (изменено)

Однако обратите внимание, что NVA и не поддерживаются. можно настроить на пути связи между серверами приложений SAP и серверами СУБД решения SAP в Azure .Канал связи должен быть прямым по причинам функциональности и производительности. Более подробную информацию можно найти в разделе «Конфигурации и операции инфраструктуры SAP HANA в Azure», в котором подробно объясняется обоснование.

_______________________________________________________________________

[Примечание автора]: 3 декабря 2020 г.

Деннис Падиа опубликовал статью, в которой подробно описывается, как настроить SAP в Интернете для приложений SAP Fiori с помощью шлюза приложений Azure Web Applicatin Firewall

[Примечание автора]: 27 января 2020 г.

Мой коллега, Apparao Sanam опубликовал статью, в которой подробно описан образец архитектуры с выходом в Интернет SAP Fiori Access с использованием брандмауэра Azure и шлюза приложений Azure.

Подробности читайте в его статье

Источник: Apparao Sanam

_______________________________________________________________________

В разделе «Вопросы безопасности» документа SAP NetWeaver на виртуальных машинах (ВМ) Azure — Руководство по планированию и внедрению также рассматриваются темы сетевой безопасности.В руководстве указываются сетевые порты, которые необходимо открыть на брандмауэрах, чтобы разрешить обмен данными между приложениями, и это хороший справочный ресурс.

Windows, SUSE Linux, RHEL (Redhat) Linux или любая другая операционная система обеспечивает безопасность исключительно заказчику или поставщику управляемых услуг. Для развертываний SAP доступны образы Azure Marketplace.

Однако это общие шаблоны, они не усилены и не встроены в элементы управления безопасностью.Распространенная эталонная модель, которую большинство клиентов может получить от Center of Internet Security (CIS). Вы можете найти рекомендации по тестированию для ОС. Как и в случае со всеми руководящими принципами, предприятиям необходимо сбалансировать это в соответствии со своими собственными политиками внутренней безопасности и принять соответствующие меры.

Как правило, Microsoft Azure также рекомендует следующие пункты:

• Шифрование службы хранилища Azure (SSE) рекомендуется включить для всех учетных записей хранения Azure.Большие двоичные объекты Azure для резервного копирования также будут зашифрованы в учетной записи хранилища Azure. Любые данные, которые записываются в хранилище после включения SSE, будут зашифрованы.
• Виртуальная машина IaaS Linux: можно использовать шифрование диска Azure. Функции DM-Crypt Linux могут обеспечить шифрование тома для операционной системы загрузочного диска и дисков данных, не относящихся к HANA / AnyDB , которые могут быть подключены к виртуальной машине
• Виртуальная машина Windows IaaS: шифрование диска Azure. Функции BitLocker в Windows могут обеспечить шифрование тома для операционной системы и дисков с данными.
• Обе ОС могут использовать Azure Key Vault. Можно использовать для контроля и управления ключами и секретами шифрования дисков в вашей подписке на хранилище ключей. Он имеет возможности для предоставления и управления сертификатами SSL / TLS (Secure Sockets Layer / Transport Layer Security). Секреты также могут быть защищены с помощью HSM (аппаратных модулей безопасности).
• Для баз данных Microsoft рекомендует использовать собственную технологию шифрования SAP HANA . Аналогичным образом, если вы используете SQL Database , необходимо включить TDE (прозрачное шифрование данных).

Пользователи и авторизация

Этот раздел будет посвящен только уровню Azure IaaS, поскольку пользователи / профили SAP и базы данных обрабатываются вне Azure.

Azure Resource Manager — это средство развертывания и управления для Azure. Он также предоставляет модель RBAC управления доступом на основе ролей Azure для назначения административных привилегий на ресурсах уровня IaaS, на которых размещается ваше решение SAP в Azure. По сути, его основная цель — разделить и контролировать обязанности ваших пользователей / групп и предоставить только тот объем доступа, который необходим для выполнения их работы в отношении ресурсов.Это следует принципу наименьших привилегий с точки зрения безопасности.

Существует также риск случайного или злонамеренного действия, когда администратор может удалить или изменить критически важные ресурсы Azure, на которых находится ваше решение SAP. Используя блокировку ресурсов, это можно предотвратить или уменьшить.

В отличном блоге моего коллеги Кэмерона Гардинера «Проектирование базовой архитектуры Orica S / 4HANA в Azure» есть раздел «Безопасность в облаке», в котором вышеуказанные темы обсуждаются более подробно.

Аутентификация и единый вход

[Примечание автора]: 3 декабря 2020 г.

Деннис Падиа опубликовал статью, в которой подробно описано, как настроить SAP в Azure: Конфигурация единого входа с использованием SAML и Azure Active Directory для общедоступных и внутренних URL-адресов

Я рассмотрел эту тему об управлении доступом в другом своем блоге SAP IT Service Operations Management в Azure. Основным предварительным условием для безопасного управления пользователями и авторизацией является определение, реализация и мониторинг процесса авторизации.

Microsoft считает, что ключевым аспектом облачной безопасности является идентификация и доступ. Пользователи могут получить доступ к ресурсам вашей организации из любого места с помощью различных устройств и приложений. Условный доступ — это краеугольный камень службы PaaS Azure Active Directory (управление доступом к удостоверениям). Он подключается к тысячам облачных приложений, включая специальные соединители, в том числе решения SAP, как показано ниже:

1. SAP Netweaver в Azure
2. SAP HANA
3. Облачная платформа SAP
4. Аутентификация идентификации SAP Cloud Platform
5. SAP Cloud для клиентов
6. SAP Business Object Cloud
7. SAP Business ByDesign

Благодаря этим коннекторам аутентификация и единая подпись выполняются без проблем и сокращают усилия по интеграции для вашей организации, гарантируя, что только авторизованные пользователи будут допущены к вашим решениям SAP.

Безопасность внешнего интерфейса (мобильный)

В прошлом SAPgui был преобладающим интерфейсным решением для SAP на клиентских рабочих станциях. Это превратилось в SAP Fiori в браузере и все чаще в мобильные устройства как предпочтительную платформу для взаимодействия с пользователем.

Microsoft Enterprise Mobility + Security — это облачное решение для управления мобильными устройствами, которое ваша организация может использовать для управления устройством BYOD (принесите свое устройство) вашего пользователя. В основном функции и возможности включают в себя:

1. Управление идентификацией и доступом
2. Защита информации
3. Расширенная защита от угроз
4. Единое управление конечными точками
5. Microsoft Cloud App Security или CASB (брокер безопасности облачного доступа)

Если вы используете SAP Cloud Platform для разработки приложений SAP Fiori, она интегрирована с возможностями Microsoft Enterprise Mobility + Security.См. Отрывок из объявления Microsoft и SAP о том, как это работает; щелкните здесь, если хотите прочитать полностью.

• «SAP разработала мобильный сервис SAP HANA Cloud Platform для SAP Fiori. Это отличная услуга, которая позволяет клиентам SAP легко создавать настраиваемые гибридные мобильные приложения SAP Fiori, улучшая пользовательский интерфейс SAP Fiori за счет мобильных качеств и значительно улучшая удобство использования, одновременно используя инвестиции клиентов, вложенные в развертывание приложений SAP Fiori.Я считаю, что это грандиозное нововведение от SAP.
• Пакет SDK для приложений Microsoft Intune инкапсулирован в подключаемый модуль Cordova, который SAP интегрировал в гибридную мобильную службу для SAP Fiori. Если клиент является клиентом EMS или Intune, когда он создает свои настраиваемые гибридные приложения SAP Fiori, возможности управления мобильными приложениями Intune (MAM) могут быть автоматически добавлены к приложениям .
• Гибридные мобильные приложения SAP Fiori — это n, опубликованные в магазине корпоративных приложений SAP — SAP Mobile Place .
• Гибридные мобильные приложения SAP Fiori могут быть загружены и опубликованы в Microsoft Intune, где ИТ-специалисты могут управлять полным жизненным циклом приложения, включая встроенные элементы управления MAM. В будущем мы продолжим инвестировать, чтобы сделать интеграцию еще более плавной ».

Вы можете проверить SAP Fiori для IOS и информацию в этой SAP-ноте 2450334 — Интеграция Intune с Fiori Client.

Проверка и мониторинг безопасности

Согласно техническому документу SAP «Рекомендации по безопасности: практическое руководство по обеспечению безопасности решений SAP®», проверки безопасности включают непрерывный мониторинг для обнаружения попыток взлома, нарушений требований или политик безопасности.Это необходимо для того, чтобы вы могли своевременно предпринять корректирующие меры для уменьшения вашего воздействия.

На уровне IaaS центр безопасности Azure будет для вас основным средством мониторинга этих служб. Еще одна возможность под названием Azure Sentinel, которая по сути является приложением SIEM (управление информацией о безопасности и событиями), встроенным в Azure, и теперь общедоступна с ноября 2019 года.

В настоящее время, насколько мне известно, прямой интеграции с SAP и его базой данных HANA нет, но я думаю, что расширение для Центра безопасности Azure и Azure Sentinel возможно с помощью настраиваемых подключаемых модулей интеграции или конечных точек.

В моем исходном абзаце сообщения выше я упомянул об отсутствии интеграции SAP с Azure Sentinel, но теперь, начиная с [Примечание автора: 26 мая-21]: теперь выпущено Защита приложения SAP с помощью нового решения для мониторинга угроз SAP Azure Sentinel. См. Просмотр снимка изображения.

Источник: Microsoft

В противном случае вы можете рассмотреть обнаружение угроз SAP Enterprise, предлагаемое SAP. Характеристики описаны здесь:

Источник: SAP

Вы можете протестировать решение через SAP CAL (Cloud Appliance Library) и развернуть его в Microsoft Azure за считанные минуты.

Источник: SAP

Существуют также другие сторонние решения, например: Enterprise Threat Monitor для SAP через Splunk. Splunk Enterprise предлагается в Azure Marketplace с 2016 года, поэтому это может быть жизнеспособным существующим решением, предоставляющим вам следующие ключевые возможности:

• Отладка SAP используется для обхода авторизации транзакций
• Пользователь загрузил основные данные клиента производственной системы
• Система SAP открыта для изменений
• Учетная запись SAP уволенного сотрудника используется для подключения к системе SAP
• Неудачные попытки входа нескольких пользователей SAP с одной рабочей станции
• Неавторизованный пользователь назначил критическую роль SAP другому пользователю
• Совместное использование аккаунта

Защитите свое предприятие с помощью Splunk и SAP Enterprise Threat Detection

SAP также рекомендует использовать службу SAP Security Optimization для мониторинга безопасности и создания отчетов.Он предназначен для проверки и повышения безопасности решений SAP путем выявления потенциальных проблем безопасности и предоставления ключевых рекомендаций. Образец отчета можно скачать здесь. Это может помочь в вашей проверке безопасности SAP и усилиях по исправлению ситуации до внешнего / внутреннего аудита.

Облачная безопасность и соответствие требованиям аудита

Microsoft заявила, что цель — сделать Azure надежным и безопасным облаком. Microsoft ежегодно инвестирует 1 миллиард долларов в исследования и разработки в области безопасности. В нем также работают 3500 специалистов по безопасности, которые работают только над защитой от угроз.Технология AI используется для анализа 6,5 триллионов глобальных сигналов, и это основано на технологии Intelligent Security Graph. Вы также можете подключиться к Microsoft Graph Security API, прочитать технический документ здесь и архитектуру высокого уровня ниже

Источник: Microsoft

Постоянная строгая проверка на реальных учениях Красной команды. Это позволяет Microsoft тестировать обнаружение нарушений и реагирование на них, чтобы измерить готовность к реальным атакам и их последствия.

Azure также имеет самый большой портфель нормативных требований, включающий более 85 предложений, охватывающих различные отрасли и регионы.Azure имеет более 74 международных и отраслевых сертификатов соответствия, таких как SOC 1, SOC 2, ISO 27001, и 5 региональных сертификатов для государственных организаций, включая сертифицированные SAP HANA виртуальные машины серии M в 2 регионах GovCloud

основаны на различных типах гарантий, включая официальные сертификаты, аттестации, проверки, авторизации и оценки, проводимые независимыми сторонними аудиторскими фирмами, а также поправки к контрактам, самооценки и руководящие документы для клиентов, подготовленные Microsoft.

Вы можете загрузить копию обзора соответствия Microsoft Azure, чтобы получить полное представление о предложениях.

Список ресурсов, приведенный ниже, также даст вам дополнительную информацию.

_______________________________________________________________________

[Примечание автора: 17 января 2020 г.]: Хороший сводный список служб, сертифицированных IRAP в Австралии, для регионов Azure

_______________________________________________________________________

В свете GDPR (Общего регламента по защите данных) и других нормативных актов по защите данных, защита конфиденциальности и соблюдения нормативных требований теперь считается ключевой деятельностью по обеспечению соблюдения нормативных требований.Эти правила часто ограничивают географию, в которой вы можете хранить, обрабатывать и получать доступ к конфиденциальным данным, и несут значительные штрафы за несоблюдение.

Существует контрольный список GDPR для подотчетности и документация для Azure, которые вы можете использовать.

Источник: SAP

Таким образом, вопросы такого рода задаются, когда вы используете SAP в Azure:

• Как мне соблюдать эти новые правила?
• Как мне быстро отреагировать на изменения в законах о защите данных?
• Как мне, как многонациональному предприятию, одновременно соответствовать нескольким региональным нормам?

Во время недавней конференции SAPPHIRE 2019, прошедшей в мае, Microsoft и SAP объявили об общедоступности SAP Data Custodian в Azure.

SAP Data Custodian предназначен для оказания помощи организациям, использующим общедоступное облако, например Microsoft Azure, в усилиях по обеспечению соответствия GDPR. SAP Data Custodian также может помочь в соблюдении следующих ключевых областей законодательства

• Privacy by Design — требует включения защиты данных на начальном этапе проектирования системы, а не добавления позже.
• Передача данных — контролеры обязаны обеспечивать защиту и конфиденциальность личных данных, когда эти данные передаются за пределы компании третьему лицу и / или другому лицу в той же компании.
• Уведомление об утечке данных — организации должны уведомить местный орган по защите данных о взломе данных в течение 72 часов с момента его обнаружения. Это означает, что организациям необходимо обеспечить наличие технологий и процессов, которые позволят им обнаруживать утечки данных и реагировать на них.

См. Образец панели мониторинга SAP Data Custodian в Azure

Источник: SAP

Операции по обеспечению сквозной безопасности для SAP в Azure — это общая ответственность.Безопасное и надежное решение SAP, размещаемое в Azure, должно учитывать безопасность на ранних этапах проектирования, сборки и соответствующего развертывания.

Я надеюсь, что это дает вам руководство и представление о том, как выглядят SAP Security Operations в Azure, а связанные встроенные ссылки дадут вам больше справочного материала.

__________________________________________________________________

Краткое содержание статьи

1. Заявленная цель Microsoft — предоставить своим клиентам и партнерам безопасное и надежное облако.
SAP
2. в Azure — это общая ответственность за безопасность клиентов и Microsoft.
Службы
3. Azure IaaS образуют основу для решений SAP в Azure, и существуют различные конфигурации безопасности и операции, необходимые клиентам и / или поставщикам управляемых услуг для обеспечения безопасной и надежной среды.
4. В Azure Marketplace доступны различные решения как собственных, так и сторонних производителей, которые обеспечивают достаточную защиту решения SAP в Azure.
5. SAP Data Custodian в Azure — это недавно выпущенное решение SAP SaaS, которое может помочь в сценариях соответствия нормативным требованиям для вашей организации.

Другие соответствующие статьи в техническом сообществе SAP

Краткое руководство по SAP на Azure SLA и OLA

Краткое руководство менеджера проекта по SAP в Azure

Краткий справочник по SAP по компонентам Azure для HA и DR

Центр передового опыта клиентов SAP для Azure

Центр передового опыта клиентов SAP для Azure: управление, проектирование, инновации и создание

Центр передового опыта SAP для Azure: поддержка и работа

Операционная модель Microsoft Cloud и сценарии миграции SAP в Azure

Управление операциями ИТ-служб SAP в Azure

Ролевое руководство эксперта SAP по навыкам и сертификации Microsoft Azure

для AZ-120 «Планирование и администрирование Microsoft Azure для рабочих нагрузок SAP».

Худшие катастрофы, связанные с остановкой производства SAP

________________________________________________________________

Я пишу в блоге эту статью, чтобы поделиться информацией, которая предназначена как общий ресурс и личные идеи. Ошибки или упущения не являются преднамеренными. Продукты и услуги, упомянутые в этой статье, не являются рекомендациями. Мнения принадлежат мне, а не взглядам моих работодателей (прошлых, настоящих или будущих) или любой организации, с которой я могу быть связан. Ваши комментарии к моим сообщениям — это ваши взгляды.Контент сторонних веб-сайтов, Microsoft, SAP и других источников воспроизводится в соответствии с Добросовестное использование критика, комментарии, новостные репортажи, обучение, стипендии и исследования.

Эта статья была впервые опубликована в Linkedin 25 июня 2019 года.

Как синхронизировать пользователей Active Directory / Azure Active Directory Photo с помощью Microsoft Identity Manager — Kloud Blog

Введение

Хотя Microsoft FIM / MIM можно использовать практически для всего, что диктуется вашими требованиями, работа с типами объектов, отличными от текста и ссылок, может быть немного сложной при первом манипулировании ими.Фотографии профиля пользователя попадают в эту категорию, поскольку они хранятся в каталоге как двоичные объекты. Добавьте Azure AD, и получение и синхронизация фотографий может показаться добавлением двойного переворота в сценарий.
Этот пост — часть 1 сообщения, состоящего из двух частей. Часть вторая здесь. По сути, это введение в практическую часть перед расширением решения за счет фото профиля Active Directory пользователей на их фото профиля Office 365. Синхронизация и метод работы с двоичными данными изображения одинаковы, но API и используемые методы различаются, когда вы хотите реализовать решение для любого масштаба.
Что касается того, зачем вам это нужно, обратитесь к Части 2 здесь. В нем подробно описано, почему вы можете захотеть это сделать.

Обзор

Как всегда, я использую свой любимый агент управления PowerShell (Granfeldt PSMA). Я обновил существующий агент управления для Azure AD, описанный здесь. Я настоятельно рекомендую вам использовать это в качестве основы для дополнительных функций фото, которые я описываю в этом посте. Не забывайте об AzureADPreview, теперь в модуле PowerShell AzureAD были изменены вспомогательные библиотеки ADAL.Я подробно описываю изменения здесь, чтобы вы могли заставить AuthN работать с новыми библиотеками.
Таким образом, изменения в моей предыдущей Azure AD PowerShell MA заключаются в добавлении двух дополнительных атрибутов в сценарий схемы и включении логики для импорта фотографии профиля пользователей (если она у них есть) в сценарий импорта.

Schema.ps1

Возьмите schema.ps1 из моего Azure AD PSMA и добавьте следующие две строки внизу (перед $ obj в последней строке, где я оставил пустую строку (29)).

 $ obj | Add-Member -Type NoteProperty -Name "AADPhoto | Binary" -Value 0x20
$ obj | Add-Member -Type NoteProperty -Name "AADPhotoChecksum | String" -Value "23973abc382373" 

Атрибут AADPhoto типа Binary — это место, где мы будем хранить фотографию.Атрибут AADPhotoChecksum типа String — это место, где мы будем хранить контрольную сумму фотографии для использования в логике, если нам нужно определить, легко ли изменились изображения во время импорта.

Import.ps1

Возьмите import.ps1 из моего Azure AD PSMA и сделайте следующие дополнения;

• На сервере синхронизации MIM загрузите / установите модуль Pscx PowerShell.
  • Модуль Pscx Powershell необходим для Get-Hash (для вычисления контрольной суммы изображения) на основе переменных и файла на локальном диске
  • Вы можете получить модуль из Галереи с помощью Install-Module Pscx -Force
  • Добавьте эти две строки в начало импорта.ps1 скрипт. Вокруг линии 26 хорошее место

 # Модуль Powershell, необходимый для Get-Hash (для вычисления контрольной суммы изображения)
Импорт-модуль Pscx 

• Добавьте следующие строки в Import.ps1 в разделе, где мы создаем объект для передачи в MA. После $ obj.Add («AADCity», $ user.city ) хорошим местом будет строка .
• Сценарий ниже создает WebClient, а не использует Invoke-RestMethod или Invoke-WebRequest для получения изображения профиля Azure AD пользователей, только если существует атрибут «[email protected]» , который указывает, что у пользователя есть профиль. Фото.Я использую WebClient поверх функций PowerShell Invoke-RestMethod или Invoke-WebRequest, чтобы возвращаемый объект был в двоичном формате (а не в виде строки), что избавляет от необходимости преобразовывать его в двоичный или выводить в файл и прочтите это обратно. WebClient также быстрее передает изображения / данные.
• После возврата изображения (строка 8 ниже) изображение добавляется к объекту в качестве атрибута AADPhoto для передачи в MA (строка 11)
• Строка 14 получает контрольную сумму изображения и добавляет ее к атрибуту AADPhotoChecksum в строке 16.

Прочие изменения

Теперь, когда вы обновили скрипты схемы и импорта, вам необходимо;

• Обновите схему в Azure AD PSMA, чтобы добавить новые атрибуты (AADPhoto и AADPhotoChecksum).
• Выберите два новых атрибута в разделе «Атрибуты» вашего Azure AD PSMA
.
• Создайте в своем MetaVerse с помощью MetaVerse Designer два новых атрибута для человека (или любого другого ObjectType, который вы используете для пользователей), для AADPhoto и AADPhotoChecksum.Убедитесь, что AADPhoto имеет тип Binary, а AADPhotoChecksum — тип string.

• Настройте поток атрибутов в Azure AD PSMA, чтобы импортировать атрибуты AADPhoto и AADPhotoChecksum в метавселенную. После этого и вы выполнили импорт и синхронизацию, у вас будут фотографии Azure AD в вашем MV.

• Как узнать, что они верны? Давайте извлечем один из MV, запишем в файл и посмотрим. Этот небольшой сценарий с использованием модуля Lithnet MIIS Automation PowerShell упрощает задачу.Сначала я получаю свой пользовательский объект из MV. Затем я просматриваю текстовую строковую версию изображения (чтобы убедиться, что она есть), а затем выводю двоичную версию в файл в каталоге C: \ Temp.

 $ me = Get-MVObject -ObjectType person -Attribute accountName -Value "drobinson"
[строка] $ myphoto = $ me.Attributes.AADPhoto.Values.ValueString
[System.Io.File] :: WriteAllBytes ("c: \ temp \ UserPhoto.jpg", $ me.Attributes.AADPhoto.Values.ValueBinary) 

• Конечно же. Изображение действительное.

Заключение

Фотографии — это просто биты данных. Как только вы узнаете, как их получить и манипулировать ими, вы сможете делать с ними все, что вам нужно. См. Часть 2, в которой эта концепция расширяется до Office 365.

Категория:

Как создать образ виртуальной машины Azure и скопировать его в разные регионы в Azure

Здравствуйте, читатели надеются, что вы все в безопасности в этой ситуации пандемии Covid-19.За последние пару месяцев у меня было много запросов написать о решениях для работы из дома, и большинство из них связано с этапами развертывания Citrix VDI в Azure, поэтому я решил начать блог серии 15, чтобы показать, как можно развернуть Citrix VDI в Azure IaaS.

Но этот блог отличается от других, он на самом деле говорит о том, как создать многосеансовый образ виртуальной машины Windows 10 и как вы можете переместить его в разные регионы Azure, что в настоящее время невозможно с портала Azure. Этот метод поможет вам, если вы уже используете Citrix Cloud и развертываете образы в различных регионах Azure, или будет полезен в других ситуациях, когда вам нужно переместить образы между регионами.

Итак, начнем с создания образа. Выполним следующие шаги.

Сначала создайте новую виртуальную машину в Azure, как показано ниже.

Я выбрал стандартный диск для лабораторных целей. Фактический размер вы можете определить, следуя калькулятору Citrix VDI.

Вы можете выбрать правильную подсеть.

Выберите опцию управления

Выберите опцию Advanced

Добавьте теги

На последнем шаге отправьте развертывание и нажмите кнопку «Создать».

Когда виртуальная машина будет готова, выполните следующие действия.

RDP to VM

Откройте инструмент Sysprep по указанному ниже пути

% windir% \ system32 \ sysprep

Запустите Sysprep и выберите параметр ниже

Теперь вы можете выключить из виртуальной машины и освободите (остановите) ее.

После этого сделайте следующее. Создайте новую группу ресурсов, как показано ниже, с помощью команды PowerShell.

На следующем шаге вы можете создать образ и выбрать группу ресурсов, которая была только что создана для этого.

Теперь вы видите, что образ создается

И как только образ будет создан, вы получите подтверждение, показанное ниже.

До этого это было легко, но теперь сложнее всего переместить этот образ в другой регион в Azure, и в настоящее время на портале нет инструмента, с помощью которого вы могли бы это сделать. Мы сделаем это следующим образом, как вы можете видеть ниже.

Предпосылка для этой задачи следующая.

1. Azure CLI должен быть установлен на вашем портативном компьютере или виртуальной машине, откуда вы будете запускать следующую команду.
2. Python должен быть установлен на вашем ноутбуке или виртуальной машине, откуда вы запустите эту команду ниже.
3. Необходимо установить расширение Azure CLI с помощью следующей команды. (Источник GitHub этого расширения Az CLI можно найти здесь.)

После установки вы снова можете войти в Azure CLI с помощью команды незамедлительный.

После запуска команды вы увидите экран ниже.

И через некоторое время вы можете увидеть следующее, когда изображение будет скопировано в другой регион.

Также можно зайти на портал и просмотреть уже скопированное изображение в другом регионе.Обратите внимание, это может занять 2 часа. до 24 часов. или больше для копирования в зависимости от размера вашего изображения и доступной пропускной способности. Вы также можете одновременно скопировать несколько образов с одного ноутбука или виртуальной машины, открыв отдельное окно командной строки. На сегодня все. Надеюсь, вам понравился WFH. Подождите, пожалуйста, следующих 15 серий моих блогов о развертывании Citrix VDI в Azure, которые я планирую публиковать еженедельно.

У вас впереди хороший день и приятного чтения !!!

Об авторе:

Аависек Чоудхури работает в Unisys в качестве ведущего архитектора облачной платформы Azure и проживает в Бангалоре, Индия.Он работает с несколькими технологиями MS с 2000 года, включая Azure, Windows Server, Exchange, Active Directory, Office Communication Server, TMG, MS Lync, Skype для бизнеса Server, SQL Server, SCOM, SCVMM, SCDPM, MSBI и SharePoint. Он имеет несколько сертификатов MS, таких как Dual и Chartered MCSE, MCTIP, MCSA, MCTS и т. Д. Он также получил награду Community Contributor Award от Microsoft в 2011 году. В 2017 году он был признан Azure Champs ассоциацией Microsoft. Практикующие архитекторы (MAPA) и удостоены награды Azure Master of the Month февраля.2018 от Microsoft. За последние пару лет его интерес к Azure и O365 растет с каждым днем, и в этом блоге он пытается поделиться тем, что знает или пытается изучить. Он продолжит делиться своим опытом работы с Microsoft Azure и другими технологиями Microsoft.

Ссылка:

Choudhury, A. (2020). Как создать образ виртуальной машины Azure и скопировать его в разные регионы в Azure. Доступно по адресу: https://whyazure.in/how-to-create-an-azure-vm-image-and-copy-it-to-different-regions-in-azure/ [по состоянию на 18 мая 2020 г.].

Ознакомьтесь с более интересным контентом Azure здесь

Примите участие в нашем опросе:
Можете ли вы уделить сегодня 4 минуты и помочь нам получить информацию с помощью этого короткого опроса для сообщества Microsoft 365 и Azure? Мы будем рады услышать от вас и пригласить вас поделиться своими мыслями.

Руководство по оптимизации и изменению размера изображений в хранилище BLOB-объектов Azure

Хранилище BLOB-объектов Azure — это объектное хранилище, предлагаемое в службах облачных вычислений, предлагаемых Microsoft Azure.Это масштабируемое хранилище с высокой доступностью в облаке для хранения данных и файлов.

Как и его конкуренты, AWS S3 и Google Cloud Storage, Blob Storage предоставляет функции объектного хранилища корпоративного уровня и доступно в нескольких регионах по всему миру. Однако у него есть некоторые недостатки, связанные с доставкой изображений.

1. Он не обеспечивает функций оптимизации изображений, таких как преобразование формата в WebP или AVIF из коробки.
2. Он не предлагает сжатия изображений, необходимого для доставки в Интернет.
3. Он не предлагает манипуляции с изображениями в реальном времени, чтобы обеспечить адаптивные изображения на разных устройствах или любое другое преобразование.

Однако онлайн-бизнес не может работать без этих базовых функций оптимизации и обработки изображений. Хотя существуют способы оптимизации и преобразования изображений в хранилище BLOB-объектов, большинство из них либо полагаются на обработку изображения перед загрузкой в ​​хранилище, либо на настройку ваших собственных серверов и конвейера обработки изображений.

Это не лучшее использование времени вашей команды, учитывая все основные функции, связанные с продуктом, в их конвейерах.

Вот где приходит такое решение, как ImageKit. Оно интегрируется напрямую с хранилищем BLOB-объектов Azure и может доставлять идеально оптимизированные, быстро реагирующие изображения на устройства за считанные минуты. Вы можете начать пользоваться бесплатным планом навсегда на ImageKit!

Прочтите, чтобы узнать, как это сделать.

Что такое ImageKit?

ImageKit — это облачная служба сквозного управления изображениями и их доставки.Он поставляется со встроенным хранилищем и CDN доставки, с автоматической оптимизацией и более чем 50 преобразованиями изображений и видео, которые могут выполняться в режиме реального времени.

Примечание. ImageKit поставляется с AWS CloudFront в качестве своего CDN из коробки. Если вы предпочитаете использовать собственный CDN, например Azure CDN с ImageKit, вы можете сделать это в рамках корпоративного плана с помощью службы поддержки ImageKit. Функции и интеграция с хранилищем BLOB-объектов, продемонстрированные в этом посте, остаются неизменными независимо от выбранного вами CDN.

Преимущество ImageKit в том, что вы можете использовать все его функции оптимизации и преобразования, сохраняя исходные изображения в хранилище BLOB-объектов Azure. Это означает минимальные изменения в вашем рабочем процессе, при этом вы получаете лучшие в своем классе функции доставки изображений за считанные минуты.

Более 35 000 разработчиков и 600 компаний используют ImageKit для ежедневной доставки миллиардов оптимизированных изображений и видео. Давайте посмотрим, как вы можете использовать его с хранилищем BLOB-объектов Azure.

Поток запросов для оптимизированных изображений в хранилище BLOB-объектов с помощью ImageKit

1. После присоединения хранилища BLOB-объектов к ImageKit вы можете получить доступ к изображению в нем с помощью конечной точки URL-адреса ImageKit.
   
2. Если ImageKit имеет кешированную версию образа в своем CDN или других внутренних кэшах, он доставляет образ оттуда. Такие изображения доставляются за малые двузначные миллисекунды.
   
3. Предположим, ImageKit не имеет оптимизированного и преобразованного изображения в кэше.В этом случае ImageKit получает исходное изображение из хранилища, подключенного к ImageKit, выполняет всю обработку в реальном времени и отправляет обратно нужное изображение пользователю. В среднем это занимает около 100-200 мс, в зависимости от входного изображения.
   
4. Последующие запросы для одного и того же образа обслуживаются из CDN ImageKit (или если вы используете настраиваемый CDN).
   

Интеграция хранилища BLOB-объектов Azure с ImageKit

Давайте рассмотрим шаги, которые необходимо выполнить, чтобы оптимизировать и изменить размер изображений в хранилище BLOB-объектов с помощью ImageKit.

Учитывая быстро меняющиеся функции как в ImageKit, так и в Azure Cloud. Всегда обращайтесь к текущей технической документации для этой интеграции здесь.

Мы создали учетную запись хранения под названием testimagekit в хранилище BLOB-объектов. Доступ к этой учетной записи хранения является частным, то есть мы не можем получить доступ к чему-либо внутри этой учетной записи через общедоступные URL-адреса. Внутри этой учетной записи хранения находится контейнер с именем ikcontainer . Мы загрузили в этот контейнер несколько изображений.

К концу этой статьи мы сможем доставлять высококачественные адаптивные изображения на разные устройства, используя исходное изображение, хранящееся в этом хранилище.

1.

Создайте учетную запись ImageKit. План Forever Free включает в себя все функции оптимизации и преобразования изображений, а также 20 ГБ полосы пропускания для доставки каждый месяц. Этого будет достаточно для небольших сайтов. Вы всегда можете выбрать более высокий тарифный план, если потребность в пропускной способности для доставки превышает 20 ГБ в месяц.

ImageKit предлагает шесть областей обработки по всему миру для оптимизации. Вы должны выбрать тот, который географически ближайший к местоположению вашей учетной записи хранения в облаке Azure.

2.

Поскольку изображения, добавленные в нашу учетную запись хранения, являются частными, мы не можем получить к ним доступ через URL-адрес объекта. Нам нужно создать ключи доступа в нашей учетной записи хранения, которые будут иметь доступ для чтения файлов в нашем контейнере.

Примечание: Если объекты в вашей корзине являются общедоступными, т. Е. Вы можете получить к ним доступ через их URL-адрес, вы также можете использовать интеграцию источника веб-сервера ImageKit, чтобы присоединить хранилище BLOB-объектов к ImageKit.

а. Создание подписи общего доступа в учетной записи хранения

Нам необходимо создать подпись общего доступа (SAS) с доступом только для чтения к контейнерам в нашей учетной записи хранения. Для этого щелкните соответствующую опцию в меню слева и создайте новую подпись.Настройки будут выглядеть, как показано ниже.

Для подписи общего доступа также необходимо время истечения срока действия. Мы должны указать что-то практически бесконечное. В приведенном выше примере мы устанавливаем срок действия через 30 лет.

После того, как вы нажмете кнопку «Создать маркер SAS», вам, помимо прочего, будет показан сгенерированный маркер SAS, как показано ниже. Скопируйте его значение, поскольку мы будем использовать его для интеграции нашего контейнера хранения в ImageKit.

Примечание. Для простоты мы создали подпись общего доступа на уровне учетной записи.Обратитесь к официальной документации Azure здесь, чтобы создать сервисный SAS или делегированный пользователем SAS.

3. Присоединение хранилища BLOB-объектов к ImageKit

Следующим шагом является присоединение контейнера хранилища BLOB-объектов к ImageKit. Это позволит ImageKit при необходимости получить доступ к исходным изображениям из вашего контейнера.

Для этого перейдите на страницу «Внешнее хранилище» на панели инструментов ImageKit и нажмите кнопку «Добавить новый источник». В открывшемся модальном окне выберите «Тип источника» как «Хранилище Azure».

Теперь вы можете заполнить все другие поля в этом модальном окне, такие как имя контейнера, имя учетной записи, папка контейнера (папка, к которой вы хотите получить доступ в корзине, мы будем использовать /, потому что мы хотим получить доступ ко всей корзине) . Вставьте значение токена SAS, созданного на предыдущем шаге, в соответствующее поле. После этого нажмите «Отправить», чтобы добавить этот контейнер в ImageKit.

ImageKit не начинает копирование объектов из вашего контейнера после этого шага.ImageKit обращается к объекту только тогда, когда вы запрашиваете его через его URL-адрес ImageKit.

Теперь перейдите в раздел «Конечные точки URL» на панели инструментов ImageKit. Ваш недавно добавленный источник хранилища BLOB-объектов появится под конечной точкой URL-адреса по умолчанию. Если нет, вы всегда можете щелкнуть «Изменить конечную точку URL» и добавить этот источник в конечную точку URL-адреса ImageKit.

Вот и все! На этом настройка завершена.

Теперь мы можем начать доступ к изображениям в нашем хранилище BLOB-объектов через ImageKit.Мы предоставили доступ ко всему контейнеру (используя Bucket Folder как /), поэтому нам нужно заменить конечную точку URL-адреса контейнера на конечную точку URL-адреса ImageKit.

  https://testimagekit.blob.core.windows.net/ikcontainer/product-clothes-4.jpg  

изменяется на

  https: //ik.imagekit .io / ikmedia / product-clothing-4.jpg  

Для изображения внутри папки в контейнере нам необходимо сохранить путь к папке в URL-адресе ImageKit.Например, если исходный URL-адрес изображения —

  https://testimagekit.blob.core.windows.net/ikcontainer/watches/product-watch-1.jpg  

, то его URL-адрес ImageKit —

  https : //ik.imagekit.io/ikmedia/watches/product-watch-1.jpg  

Автоматическая оптимизация изображений для хранилища BLOB-объектов Azure

ImageKit использует существующие веб-стандарты для определения форматов, поддерживаемых на запрашивающем устройстве. Если устройство поддерживает новый формат, такой как WebP или AVIF, ImageKit автоматически преобразует ваши изображения в наилучший из возможных форматов.Он также сжимает изображение, используя настройку оптимизации качества на панели инструментов ImageKit.

Эти автоматические оптимизации гарантируют, что каждое устройство получит правильный образ, и нам не нужно вдаваться в технические детали!

Например, исходное изображение product-clothing-3.jpg в хранилище было размером 2,5 МБ.

Когда мы обращаемся к нему через ImageKit, изображение преобразуется в WebP в поддерживаемом браузере, и его размер уменьшается до 1.2 МБ. Это уменьшение размера более чем на 50% без каких-либо других изменений URL-адреса.

Если мы конвертируем изображение в AVIF (с помощью параметров URL или автоматического преобразования в ImageKit), то размер выходного изображения будет всего 641 КБ. Масштабное уменьшение размера на 75%!

Изменение размера изображения в реальном времени и другие преобразования для хранилища BLOB-объектов.

ImageKit позволяет нам добавлять параметры преобразования непосредственно в URL-адрес изображения, чтобы получить преобразованное изображение в реальном времени.Например, если нам нужно изменить размер изображения выше до ширины 300 пикселей, нам просто нужно добавить tr = w-300 в качестве параметра запроса в нашем URL-адресе.

  https://ik.imagekit.io/ikmedia/product-clothes-3.jpg?tr=w-300  

Требуется изображение размером 300 x 400? Это не должно быть проблемой с параметрами изменения размера ImageKit.

  https://ik.imagekit.io/ikmedia/product-clothes-3.jpg?tr=w-300,h-400  

Как и в приведенных выше примерах, ImageKit предлагает более 50 различных преобразований.От простого кадрирования и изменения размера до более сложных операций, таких как нанесение водяных знаков на изображения, интеллектуальная обрезка, размытие, изменение фона и т. Д. Мы можем делать все в режиме реального времени.

Используя эти преобразования, теперь мы можем доставлять идеальные адаптивные изображения каждому пользователю, обеспечивая отличную производительность на всех устройствах.

Используя преобразования наложения изображения и текста, мы можем создавать богатые контекстные изображения и динамические баннеры в реальном времени. На изображении ниже мы добавили логотип ImageKit и цену продукта в виде текста на изображение обуви. Это делается с помощью параметров преобразования на основе URL. Здесь вы можете увидеть URL преобразованного изображения.

Вот видео, демонстрирующее некоторые преобразования, доступные в ImageKit.

Повышение показателей скорости страницы для изображений в хранилище BLOB-объектов Azure

Все популярные инструменты измерения производительности в Интернете, включая Lighthouse, PageSpeed, Web Page Test и т. Д., Измеряют оптимизацию изображений и производительность доставки в своих отчетах. Если мы не решим эти проблемы, это повлияет на производительность нашего веб-сайта, и, следовательно, пострадают SEO и UX на нашей веб-странице.

Благодаря автоматической оптимизации и сжатию формата ImageKit, а также возможности изменять размер и преобразовывать изображения в реальном времени, теперь мы можем решить все проблемы с производительностью, связанные с изображениями.

Более высокий балл в тестах производительности поможет вам улучшить свой SEO-рейтинг и улучшить пользовательский опыт, который вы доставляете своим клиентам. И мы получаем это с минимальными усилиями или изменениями в нашем рабочем процессе.

Начните работу с ImageKit прямо сейчас!

План ImageKit Forever Free включает 20 ГБ выходной полосы пропускания каждый месяц, причем абсолютно бесплатно. Он может быть интегрирован с вашим контейнером хранилища BLOB-объектов за считанные минуты и имеет все функции оптимизации и преобразования изображений, необходимые для доставки нужных изображений на все устройства.

Зарегистрируйтесь сейчас и начните размещать идеально оптимизированные изображения на своих веб-сайтах и ​​в приложениях.

Сканирование изображений для Azure Pipelines

В этом сообщении блога вы узнаете, как настроить сканирование изображений для Azure Pipelines с помощью платформы Sysdig Secure DevOps.

Azure DevOps предоставляет группам инструменты, такие как контроль версий, отчетность, управление проектами, автоматизированные сборки, управление лабораториями, тестирование и управление выпусками. Azure Pipelines автоматизирует выполнение задач CI / CD, таких как создание образов контейнеров при отправке фиксации в репозиторий git или выполнение сканирования уязвимостей в образе контейнера.

Сканирование образов позволяет командам DevOps переключать безопасность, обнаруживая известные уязвимости и проверяя конфигурацию сборки контейнеров на ранних этапах их конвейера, до того, как контейнеры будут развернуты в производственной среде или образы будут помещены в любой реестр контейнеров. Это позволяет быстрее обнаруживать и исправлять проблемы, сокращая время доставки до производства.

В деталях процесс сканирования изображения с помощью Sysdig включает:

Анализ метаданных файла Docker и образа для обнаружения конфигураций, чувствительных к безопасности, например:

• Запуск от имени привилегированного пользователя (root) без команды USER.
• Использование базовых изображений, помеченных как «последние», а не конкретных версий с возможностью полного отслеживания.
• Многие другие проверки Dockerfile.

Проверка программных пакетов на предмет баз данных с хорошо известными уязвимостями:

• Пакеты ОС.
• сторонние библиотеки, установленные поверх, такие как Python pip, Ruby gems, Node npm, Java jar и т. Д.

И определенные пользователем политики или требования соответствия, которые вы хотите проверить для каждого изображения, например:

• Черные списки программных пакетов.
• Белые списки базовых изображений.
• Политики сканирования изображений, соответствующие политикам соответствия, таким как NIST 800-190 или PCI.

Одно из преимуществ подхода Sysdig к локальному сканированию заключается в том, что вы не теряете контроль над своими изображениями, поскольку их не нужно отправлять на серверную часть или открывать в каком-либо промежуточном репозитории. Изображение будет сканироваться в узле, на котором оно создано или где вы запускаете конвейер, и только результаты сканирования будут отправлены на серверную часть Sysdig Secure, будь то наш SaaS или ваш собственный экземпляр.

Конвейер Azure определяет множество задач, записанных в файле YAML, которые будут выполняться автоматически при возникновении события, которое обычно происходит при новой фиксации в связанном репозитории.

Это позволяет автоматически создавать и отправлять образы в реестры (например, реестр контейнеров Azure), а затем развертывать их в Kubernetes.

В примере, который мы используем для иллюстрации этого сообщения в блоге, мы будем отправлять коммиты в репозиторий GitHub, который запускает конвейер Azure.Затем конвейер встроит наш проект в локальный образ и просканирует его на наличие уязвимостей.

Azure получит доступ к нашему репозиторию GitHub для загрузки кода, необходимого для сборки нашего проекта и создания образа контейнера. Он также получит azure-pipelines.yaml, содержащий задачи, соответствующие конвейеру, которые размещены в том же репозитории.

Прежде чем мы начнем, нам нужно предоставить Azure несколько разрешений в нашем репозитории GitHub.Мы сделаем это в настройках Personal Access Token на сайте GitHub:

Отсюда вы можете создать новый токен, указать имя для вашего токена, предоставить разрешения, отмеченные на изображении, и сохранить его. Вы можете узнать больше о необходимых разрешениях в руководстве по разрешениям Azure.

Теперь нам нужно войти в веб-консоль Azure. Здесь мы увидим список наших проектов. Если у вас еще нет проекта для этого конвейера, создайте новый.

Затем мы создадим подключение службы к GitHub, чтобы обеспечить конвейерный доступ к репозиторию GitHub. Для этого перейдите в: Настройки проекта> Конвейеры (подключения к сервису)> Новое подключение к сервису> GitHub:

Здесь вставьте токен персонального доступа, который мы создали ранее:

Нам также потребуется создать учетные данные, чтобы мы могли получить доступ к реестру контейнеров:

Мы можем добавить желаемый реестр контейнеров:

Не забудьте имя соединения .Мы будем использовать его позже для доступа к реестру.

На этом этапе мы готовы создать конвейер. Перейдите в раздел Pipelines и создайте новый:

Мастер конвейера запросит код нашего проекта. В этом примере мы выберем GitHub:

Далее выбираем репозиторий:

Здесь мы можем либо создать новый файл с «Начальным конвейером», либо выбрать существующий файл YAML:

В нашем случае у нас уже есть конвейер, созданный как файл, поэтому мы выберем существующий файл YAML Azure Pipelines и укажем azure-pipelines .yml в главной ветке.

Теперь мы готовы определить наш конвейер. Вы можете отредактировать его в самом Azure или изменить файл azure-pipelines.yaml в своем репозитории GitHub. Это содержимое файла:

 бассейн:
  vmImage: 'убунту-16.04'
контейнер:
  изображение: sysdiglabs / secure-inline-scan: последний
  параметры: -v / usr / bin / docker: / usr / bin / docker -v / var / run / docker.носок: /var/run/docker.sock
переменные:
  containerRegistryConnection: containerRegistry
  imageName: 'sysdiglabs / dummy-vuln-app'
  теги: |
    последний
шаги:
- задача: [электронная почта защищена]
  displayName: Построить изображение
  входы:
    репозиторий: $ (imageName)
    команда: построить
    теги: $ (теги)
- скрипт: inline_scan analysis -s https://secure.sysdig.com -k $ (secureApiKey) $ (imageName): latest
  displayName: Сканировать изображение
- задача: [электронная почта защищена]
  входы:
    команда: 'логин'
    containerRegistry: $ (containerRegistryConnection)
- задача: [электронная почта защищена]
  входы:
    команда: 'push'
    теги: $ (теги)
    containerRegistry: $ (containerRegistryConnection)
 

Не забудьте сохранить и зафиксировать этот файл.Давайте пройдемся по этапам в конвейере:

Средство выполнения конвейера выполнит образ Ubuntu 16.04 LTS и создаст контейнер, в котором будет выполняться CI / CD:

 бассейн:
 vmImage: 'убунту-16.04'
 

Для процесса сканирования изображения требуется контейнер, содержащий сценарий inline_scan < / а> . Поскольку мы будем создавать здесь контейнер приложения, мы подготавливаем среду для доступа к двоичному файлу докера и сокету Docker Engine.

 контейнер:
 изображение: sysdiglabs / secure-inline-scan: последний
 параметры: -v / usr / bin / docker: / usr / bin / docker -v /var/run/docker.sock:/var/run/docker.sock
 

Мы также определяем пару переменных: имя подключения к реестру контейнеров, а также имя и теги изображения, поскольку мы будем использовать эти значения в нескольких местах файла:

 Переменные:
 containerRegistryConnection: containerRegistry
 imageName: 'sysdiglabs / dummy-vuln-app'
 теги: |
   последний
 

Далее следуют шаги, которые должен выполнить бегун.

Первый шаг — создание изображения и присвоение тегов:

 шагов:
- задача: [электронная почта защищена]
 displayName: Построить изображение
 входы:
   репозиторий: $ (imageName)
   команда: построить
   теги: $ (теги)
 

Второй шаг — сканирование изображения:

 - сценарий: inline_scan analysis -s https://secure.sysdig.com -k $ (secureApiKey) $ (imageName): latest
 displayName: Сканировать изображение
 

В процессе сборки создается один образ контейнера для каждого тега.Мы могли бы создать более одного изображения для каждой фиксации с разными тегами, такими как хэш-код или теги фиксации, но пока мы сохраняем простоту.

Преимущество «встроенного сканирования» заключается в том, что процесс будет выполняться в среде выполнения на том же компьютере Azure, на котором был создан образ, и при этом образ контейнера никогда не покидает вашу учетную запись Azure DevOps.

В Sysdig Secure мы можем настроить несколько политик сканирования с различными проверками, чтобы определить, что считается опасным и что должно быть предупреждено или заблокировано.

Назначить политики сканирования для нашего образа так же просто, как привязать реестр, репозиторий или тег к политике.

Если процесс сканирования обнаружит уязвимость или какое-либо условие STOP в нашей политике сканирования, сценарий inline_scan вернет код, отличный от 0 , и выполнение конвейера будет прервано.

Для сценария inline_scan требуется конечная точка Sysdig Secure и маркер доступа.Не помещайте токен в файл, хранящийся в вашем репозитории GitHub, потому что он будет доступен всем, у кого есть доступ к репозиторию. Вместо этого мы установим скрытую переменную. Для этого перейдите к Изменить конвейер :

А здесь перейдите в переменных :

Используйте кнопку + , чтобы добавить новую переменную. Назовите его secureApiKey и заполните значение своим токеном Sysdig Secure API. Не забудьте нажать кнопку Сохранить это значение в секрете , чтобы его содержимое не отображалось в журналах конвейера после выполнения:

Вот и все.Если все в порядке, конвейер продолжит работу, войдя в систему и отправив образ в реестр Docker, который мы настроили ранее:

 - задача: [адрес электронной почты защищен]
 входы:
   команда: 'логин'
   containerRegistry: $ (containerRegistryConnection)
- задача: [электронная почта защищена]
 входы:
   команда: 'push'
   теги: $ (теги)
   containerRegistry: $ (containerRegistryConnection)
 

Наконец, мы готовы запустить конвейер и увидеть его в действии в Azure!

После отправки фиксации в наш репозиторий GitHub мы видим, что конвейер работает в нашей веб-консоли Azure.Вот результаты нашего конвейера. Как видите, на этапе не удалось выполнить сканирование изображения :