Chi tiết các phương pháp Remote Access vào VM Azure

1. Remote Access vào VM Azure

a) SSH/RDP (Traditional)



# SSH vào Linux VM
ssh -i ~/.ssh/mykey.pem azureuser@vm-public-ip

# RDP vào Windows VM (sử dụng Remote Desktop Client)
mstsc /v:vm-public-ip

b) Azure Bastion (Recommended)


bash
# Tạo Azure Bastion
az network bastion create \
  --resource-group myRG \
  --name myBastion \
  --public-ip-address myBastionIP \
  --vnet-name myVNet \
  --location eastus

c) VPN Gateway


bash
# Tạo Point-to-Site VPN
az network vnet-gateway create \
  --resource-group myRG \
  --name myVPNGW \
  --vnet myVNet \
  --public-ip-addresses myGWIP \
  --gateway-type Vpn \
  --vpn-type RouteBased \
  --sku VpnGw1 \
  --vpn-gateway-generation Generation1

d) Run Command Extension


bash
# Chạy command từ xa mà không cần SSH
az vm run-command invoke \
  --resource-group myRG \
  --name myVM \
  --command-id RunShellScript \
  --scripts "sudo apt update && sudo apt install -y nginx"

2. Remote Access vào AKS

a) kubectl (Primary method)


bash
# Lấy credentials
az aks get-credentials --resource-group myRG --name myAKS

# Verify connection
kubectl get nodes

# Tích hợp Azure AD
az aks update \
  --resource-group myRG \
  --name myAKS \
  --enable-aad \
  --aad-admin-group-object-ids $ADMIN_GROUP_ID

b) Azure Cloud Shell


bash
# Truy cập từ portal.azure.com
# Cloud Shell có sẵn kubectl, helm, và Azure CLI
kubectl apply -f deployment.yaml

c) Kubernetes Dashboard


bash
# Enable dashboard
kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml

# Create service account và get token
kubectl create serviceaccount dashboard-admin -n kube-system
kubectl create clusterrolebinding dashboard-admin \
  --clusterrole=cluster-admin \
  --serviceaccount=kube-system:dashboard-admin

# Proxy để access dashboard
kubectl proxy

3. Cấp quyền cho Vendor

a) Time-limited Access (Recommended)


bash
# Tạo Azure AD PIM role assignment
az role assignment create \
  --assignee vendor@external.com \
  --role "Azure Kubernetes Service Cluster User Role" \
  --scope /subscriptions/$SUB_ID/resourcegroups/$RG/providers/Microsoft.ContainerService/managedClusters/$AKS_NAME \
  --condition "{'startDateTime':'2024-01-15T09:00:00Z','endDateTime':'2024-01-15T17:00:00Z'}"

b) Guest User với Limited Scope


bash
# Invite guest user
az ad user invite \
  --invited-user-email-address vendor@external.com \
  --invite-redirect-url "https://portal.azure.com"

# Assign limited role
az role assignment create \
  --assignee vendor@external.com \
  --role "Azure Kubernetes Service Cluster User Role" \
  --resource-group myRG

c) Service Principal cho Automation


bash
# Tạo service principal
az ad sp create-for-rbac \
  --name "vendor-sp" \
  --role "Azure Kubernetes Service Cluster User Role" \
  --scopes /subscriptions/$SUB_ID/resourcegroups/$RG

# Output sẽ có appId, password, tenant cần share với vendor

d) Namespace-specific Access


yaml
# rbac-vendor.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: vendor-binding
  namespace: vendor-apps
subjects:
- kind: User
  name: vendor@external.com
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: namespace-admin
  apiGroup: rbac.authorization.k8s.io
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: vendor-apps
  name: namespace-admin
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]

4. Security Best Practices cho Vendor Access

a) Network Restrictions


bash
# Chỉ cho phép IP cụ thể
az network nsg rule create \
  --resource-group myRG \
  --nsg-name myNSG \
  --name AllowVendorSSH \
  --protocol Tcp \
  --direction Inbound \
  --priority 1000 \
  --source-address-prefixes 203.0.113.0/24 \
  --destination-port-ranges 22

b) Conditional Access Policy


bash
# Tạo conditional access policy qua Azure Portal
# Yêu cầu:
# - MFA enabled
# - Managed devices only
# - Specific locations
# - Time-based access

c) Monitoring & Alerting


bash
# Setup audit log monitoring
az monitor activity-log alert create \
  --resource-group myRG \
  --name VendorAccessAlert \
  --scopes /subscriptions/$SUB_ID \
  --condition category=Administrative \
  --action-groups myActionGroup

5. Vendor Access Workflow

Step 1: Pre-approval

Vendor request với justification
Security team review
Define scope và duration
Approve với conditions

Step 2: Access Provisioning


bash
# Temporary access script
#!/bin/bash
VENDOR_EMAIL="vendor@external.com"
END_TIME=$(date -d "+8 hours" -u +"%Y-%m-%dT%H:%M:%SZ")

# Grant temporary access
az role assignment create \
  --assignee $VENDOR_EMAIL \
  --role "Azure Kubernetes Service Cluster User Role" \
  --scope $AKS_SCOPE \
  --condition "{'endDateTime':'$END_TIME'}"

echo "Access granted until $END_TIME"

Step 3: Access Monitoring


bash
# Monitor vendor activities
kubectl get events --sort-by=.metadata.creationTimestamp
az monitor activity-log list --caller $VENDOR_EMAIL

Step 4: Access Revocation


bash
# Auto-revoke script
az role assignment delete \
  --assignee $VENDOR_EMAIL \
  --role "Azure Kubernetes Service Cluster User Role" \
  --scope $AKS_SCOPE

6. Alternative: Shared Screen Session

Sử dụng Microsoft Teams/Zoom screen sharing
Vendor hướng dẫn, khách hàng thực hiện
Record session để audit
Không cần cấp direct access

Phương pháp này đảm bảo security cao nhất while vẫn cho phép vendor support effectively.

Nhận xét

Bài đăng phổ biến từ blog này

Backup and Restore MS SQL Server 2008 Database

Backup and Restore MS SQL Server 2008 Database Bài viết này hướng dẫn các bạn backup và restore database sử dụng Microsoft SQL Server Management Studio. Công việc quản trị database đồi hỏi các bạn thật sự cẩn thận và phải có chiến lược backup hợp lý. vì lỡ một ngày đen đủi ổ cứng server die là coi như mình cũng die theo nó đối vế hệ thống server dữ liệu quan trọng thì việc backup database là vô cùng cần thiết. Sau đây mình hướng dẫn cách backup và restore database Mysql server 2008. 1. Backup database Sqlserver 2008. Step 1 : Open your Microsoft SQL Server Management Studio, whichever you prefer, standard or express edition. Step 2 : Dùng User có quyền quản trị databse để login vào MS SQL server database. Step 3 : Select the database >> Right-click >> Tasks >> Back Up [xem hình bên dưới]: Bấm chọn “ Backup ” hợp thoại backup xuất hiện Step 4 : chọn các loại backup. ở đậy mình chọn backup full. Backup type: F...

Hotswap và hot Plug là gì ?

Thuật ngữ Hot swap (tạm dịch: trao đổi nóng) là khả năng tháo gỡ và thay thế các bộ phận của một chiếc máy tính trong khi hệ thống vẫn đang chạy. Người ta còn dùng thuật ngữ Hot plug để chỉ khả năng này. Tháo lắp "nóng" thiết bị trong khi hệ thống vẫn đang hoạt động. Một khi phần mềm chuyên xử lý cái vụ hot swap được cài đặt vào máy tính, bạn có thể gắn vào và tháo ra thiết bị mà không cần phải tắt máy (shutdown, turn off) hay khởi động lại (reboot). Khả năng này cho phép bạn gắn hay tháo gỡ một cách dễ dàng các linh kiện ngoại vi như chuột, bàn phím, máy in,... Hồi xửa hồi xưa, chỉ có các hệ thống đắt tiền mới có khả năng này, vì việc hiệu chỉnh, cấu hình nó rất là nhiêu khê. Nguyên lý hoạt động của nó thế này: Các máy hỗ trợ hot swap cần phải có khả năng dò tìm và phát hiện có một bộ phận nào đó vừa được gỡ ra. Ngoài ra, tất cả các mối kết nối điện và cơ khí cũng cần phải được thiết kế làm thế nào để không làm tổn hại cho thiết bị cũng như người sử dụng mỗi ...

Hướng dẫn cài đặt Apache, MySQL, PHP, PhpMyAdmin trên CentOS 5.2

Hướng dẫn cài webserver trên hệ điều hành Linux Centos Trong quá trình làm lab, test cho webserver chạy hệ điều hành linux dưới localhost, bài test đã hoàn thành đúng yêu cầu, nên mình viết lại các quá trình làm lab. Bài viết có gì thiếu xót mong các bạn bỏ qua. " Các bước cài đặt yêu cầu máy tính bạn được kết nối internet " Centos là một hệ điều hành mã nguồn mở mạnh mẽ với những tính năng quả trị rất mạnh, Nếu bạn muốn setup cho mình một hệ thống máy chủ webserver nhưng với chị phí hạn hẹp, trong khi đó server 2008/2003 thì chi phí quá cao. Thì Centos là một giải pháp cho các bạn đơn giản vì nó free và hiệu quả. Sau đây mình hướng dẫn các bạn các ứng dụng cơ bản ban đầu của Centos. TIẾN HÀNH CÀI ĐẶT NHÁ. 1. Cài đặt Apache server: Apache là chương trình máy chủ của HTTP . Apache chạy được trên các hệ điều hành như Unix, Window, Novell Netware và các hệ điều hành khác. Nó đóng vai trò quan trọng trong việc phát triển web. Các bước cài đặt: ...

Cài đặt phần mềm symantec backup exec 11d for windows server

1. Tìm hiểu về ph ần mềm symantec backup exec 11d for windows server 1.1. Giới thiệu Đây là giải pháp quản lý dữ liệu hiệu suất cao của symantec, được thiết kế theo mô hình client/server cung cấp khả năng backup và restore nhanh và tin cậy cho hệ thống server và workstation trên nền Windows. Bộ phần mềm symantec backup exec 11d có các version sau: · Symantec backup exec 11d for windows server · Small business server edition · Quickstart edition Tùy vào viersion khác nhau mà tính năng và số lượng agent được hỗ trợ khác nhau. 1.2. Symantec backup exec 11d for windows server hoạt động như thế nào 1.1. ...

Giải pháp Load Balancing và Fail Over toàn diện dành cho Web Server

Xây dựng một hệ thống High Available (HA) là một nhiệm vụ sống còn dành cho doanh nghiệp hiện nay. Đã có những trường hợp đáng tiếc khiến cho doanh nghiệp phải chịu những thiệt hại lớn không đáng có, thậm chí là mất đi các khách hàng quan trọng – nguồn sống trong kinh doanh. Trong bài “Để website luôn online với cluster Apache High Availability Linux” đăng trên một số trang web hiện nay tuy thuận tiện nhưng vẫn còn những nhược điểm đáng kể. Một trong những nhược điểm đó là hệ thống chỉ có tác dụng chịu lỗi (Fail Over) mà không thể cân bằng tải (Load Balancing). Do đó, hệ thống chỉ có thể thích hợp với những doanh nghiệp nhỏ lẻ, nhu cầu truy cập web của khách hàng không cao. Nếu sử dụng phương thức trên cho doanh nghiệp lớn thì sẽ gây hiện tượng thắt cổ chai (bottle neck) làm nghẽn lưu lượng truy cập. Mặt khác, doanh nghiệp muốn triển khai thêm nhiều dịch vụ khác thì đây không phải là một lựa chọn thật sự hiệu quả. Một giải pháp được đưa ra l...

Lênh căn bản cho người bắt đầu dùng linux

Những lệnh căn bản về Linux Khi bước chân vào Linux, các bạn nào mới tiếp xúc và lần đầu tiên làm quen với linux thì lúc đầu còn gặp nhiều bỡ ngỡi. hôm nay mình chia sẻ với các bạn vài lệnh căn bản để sử dụng và làm quen với hệ điều hành Linux. Lệnh cơ bản hệ thống. Lệnh change password root. Passwd Lệnh mở thư mục # cd / var/www/html (câu l ệnh này dùng để mở thư mục html nằm trong www-var) L ệnh xem quyền hạn thư mục và file ll ( Ví dụ ta muốn xem các tập tin và thư mục trong folder www quyền là gì, vào thư mục html và đánh lệnh ll để xem) 4. Lệnh Rename tập tin, folder. # mv phpMyAdmin-3.2.4-english phpmyadm ( đ ổi tên thư mục phpMyAdmin-3.2.4-english thành phpmyadm) L ệnh xem dung lượng ổ cứng Df Xem dung l ượng sử dụng bộ nhớ (Ram) Free –m L ệnh xem ai đã login về hệ thống. Last ...

TỔNG QUAN MICROSOFT FOREFRONT THREAT MANAGEMENT GATEWAY

Vừa qua, Microsoft đã công bố sản phẩm Forefront Threat Management Gateway (Forefront TMG) Beta1, đây là sản phẩm cung cấp tính năng bảo mật tích hợp giữa Internet Security and Acceleration Server (ISA) , Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint. Các đặc điểm của Forefront TMG: - Bảo vệ hệ thống toàn diện - Quản lý đơn giản - Đơn giản giám sát hệ thống Forefront TMG cung cấp đầy đủ các tính năng của một Firewall: A. Các tính năng mới: Tính năng Mô tả Tương thích với Windows Server 2008, 64-bit TMG chỉ có thể chạy trên Windows Server 2008 64-bit Tùy chọn Antivirus, Antimalware - Quét những file bị lây nhiễm - Ngăn chặn những file bị nghi ngờ - Ngăn chặn những file tìm thấy đã bị hỏng - Ngăn chặn những file không thể scan - Ngăn chặn tất cả file đã được mã hóa - Ngăn chặn những file vượt quá thời gian admin qui định cho phép quét - Ngăn chặn những file có kích thước lớn do admin qui định ...

Scheduling automated backup using SQL server 2008

Ở bài trước mình đã hướng dẫn các bạn backup database Mysql server 2008 bằng cách thủ công là khi nào mình cần backup thì vào trong database chọn database backup lại, nhưng công việc này thì không mấy khả thi cho lắm, đối với những ai quản lý một lúc cùng nhiều con server database thì việc này vô cúng chiếm nhiều thời gian và lỡ như một ngày nào đó vô tình quên thì mọi chuyện trở nên rắc rối khi đúng ngày mình quên backup databse thì server die, lúc này không biết lấy gì lấy đâu database ngày đó restore lại. Các bạn đừng lo, trong bài viết này mình hướng dẫn các bạn xếp lịch backup database hoàn toàn một cách tự động. Ở bài này mình thực hiện việc backup định kỳ mỗi ngày vào lúc 12:00 AM. Các bước thực hiện Scheduling automated backup using SQL server 2008 : 1. Để bắt đầu tiến hành backup được Database chúng ta phải login vào Qsl server 2008 với quyền tài khoản quản trị. ớ đây mình dùng tài khoản mật định là Sa ( là tài khoản có quyền cao nhất trong sql server 2008). ...

Cài đặt VMware vSphere ESXi 5

Cài đặt VMware vSphere ESXi 5 Nghiên cứu vSphere cũng đã khá lâu, cũng có viết một số bài lab nhưng chưa publish lên. Thôi thì hôm nay dành ít thời gian để đăng tải loạt bài về VMware vSphere ESXi 5 lên blog, để nó mốc meo lâu quá rồi ^^! Mô hình mạng sẽ sử dụng trong các bài lab sắp tới như sau : Trong bài này, Tôi sẽ viết về quá trình cài đặt ESXi 5 và giới thiệu tổng quan một số thông tin, tùy chọn trên phiên bản ESXi 5. Đầu tiên là các bạn phải file .iso của ESXi 5 về và boot từ CD (.iso nếu cài trên máy ảo. Quá trình cài đặt: - Load các file cần thiết - Thông tin phần cứng - Nhấn [Enter] - Nhấn F11 để đồng ý các điều khoản - Quét kiểm tra phần cứng - Chọn ổ cứng để cài đặt vSphere ESXi 5.0 - Nhấn Enter để tiếp tục ( Default) - Nhập password cho quyền root. - Quá trình cài đặt bắt đầu. . - Việc cài đặt vSphere ESXi 5đã hoàn tất. - Khởi động lại server. Màn hình Console và các Option: Màn hình mặcđịnh kh...

File Monitoring and Auditing "Phần mềm giám sát try cập vào File server"

File Monitoring and Auditing PA File Sight is a file monitoring software that will help you determine who is reading from and writing to important files. It can tell you when a new file or folder is created or renamed. And, with our file watcher, when a file or folder gets deleted, PA File Sight can tell you who did it and what computer they did it from (IP address and computer name). Besides file access auditing and logging actions, the Ultra Edition helps you further by providing historical reports to help see what happened earlier, whether you chose to be notified or not. AND it lets you alert on user usage patterns (reading X files in Y time for example) to help detect file copying activity . Report from PA File Sight Ultra. Note: the Lite edition has alerting, but not reporting.