Итак, большое спасибо Алексею за участие в первом выпуске нового сезона “Открытое собеседование 2021-22”. Кстати, напомню, что все желающие могут принять участие в данном проекте – достаточно связаться со мной в том же LinkedIn – https://www.linkedin.com/in/iwalker2000/ – или в комментариях под видео – а подробнее о проекте смотрите в этом видео – https://youtu.be/h0hk03xX_Z0 – идея данных видео – дать всем ИТшникам, желающим развиваться в направлении администрирования Azure, представление о тех знаниях и навыках, которые потребуются для работы администратором Azure, а для тех, кто уже работает с Azure – проверить свои знания и навыки и быть уверенным в прохождении реальных собеседований на подобную позицию.
Так что смотрите и развивайтесь профессионально. Кстати, меня спрашивали, а что делать тем, кто уже гуру в “наземной инфраструктуре” – как им легче переходить в Azure, чтобы не начинать все с начала и не выглядеть “старыми джуниорами” – думаю, такие “публичные собеседования” очень помогут тоже определиться, а вообще – планирую записать отдельное видео с “мэппингом” локальных технологий в облачные технологии и куда “копать” с точки зрения миграции знаний, чтобы не начинать с нуля.
В этом видео Алексею “выпал” следующий набор вопросов (с которым он очень даже успешно справился, а вместе с темами идут и ссылки на мои доклады по данным темам):
Думаю, такой список тем, ответы на которые есть в интервью + ссылки на более подробные доклады – поможет вам подготовиться к участию в данной инициативе или к сдаче экзаменов.
Примеры записей предыдущего сезона смотрите здесь:
ИТ-карьера – Azure L2 support engineer – публичное собеседование на позицию, что нужно знать – ч.01 – https://youtu.be/HmpgQoahXTA
ИТ-карьера – Azure L2 support engineer – публичное собеседование на позицию, что нужно знать – ч.02 – https://youtu.be/cFzd62vlB9M
ИТ-карьера – Azure L2 support engineer – публичное собеседование на позицию, что нужно знать – ч.03 – https://youtu.be/DECMirInQ2I
Хотите проверить свои знания по Azure? Понять, в каких разделах Azure у вас пробелы? Быть уверенными на собеседовании на новую позицию типа Azure Administrator/Engineer? Я запускаю на канале новый сезон инициативы “ОТКРЫТОЕ ИНТЕРВЬЮ” – к участию приглашаются все желающие. Шаринг виде – https://youtu.be/h0hk03xX_Z0 – приветствуется и добавляет +100500 в карму.
Обеспечить доступ ИТ-сообщества к оценке их профессиональных знаний и навыков для :
Пытаться понять индивидуальный уровень знаний в некоторых областях и найти «слепых пятна» в знаниях
Оценка перед сертификационными экзаменами
Имитация собеседований с реальными требованиями к реальной должности для подготовки к следующим карьерным ступеням
Предоставить интервьюируемому свою «карту знаний» и возможные способы дополнительного обучения, повышения уровня знаний (со ссылками на материалы).
Расширение знаний и навыков ИТ-сообщества путем обмена записанными сессиями «открытых интервью»
“ОТКРЫТОЕ ИНТЕРВЬЮ”– КАК?
«Открытое собеседование» представляет собой симуляцию реального 1–1,5-часового онлайн-собеседования (по Teams и т.п.), как типичное собеседование для какой-то «стандартной» ИТ-должности (для моего примера – L2 администратор службы поддержки Azure) с конкретными должностными обязанностями и требованиями (99 % близко к реальному)
«Открытое интервью» записывается и передается ИТ-сообществу любым подходящим способом.
Личность интервьюируемого может быть публичным или анонимным – по желанию интервьюируемого.
Главное условие – запись интервью будет опубликована вне зависимости от результатов и желания собеседника.
Собеседник не знает вопросов, только общие темы – например, ему задают только требования к должности (поскольку это имитация собеседования).
После самого собеседования – карта слепых пятен и личный путь обучения, ссылки, материалы будут предоставлены интервьюируемому (не для протокола, вне записи).
ИТАК, каждый желающий проверить свои знания по администрированию Azure путем прохождения “симуляции” реального собеседования на реальную должность инженера/администратора Azure уровня L2 – может связаться со мной по указанным выше профилям – в LinkedIn или YouTube – и мы договоримся об удобном времени такого “собеседования”.
Описание такой позиции Azure L2 Support Engineer (реальной) и требований к ней (также абсолютно реальные) – смотрите ниже. Все вопросы в “интервью” также взяты из реальных задач, с которыми приходится сталкиваться администратору Azure в ежедневной работе.
Job responsibilities
Work with presales Architects team and customer technical team to build LLD
Support customer migration project
Build ARM, DSC, Security policies based on customer requirements and reference architecture
Deploy Azure IaaS/PaaS solution.
Implement Automation, Monitoring, DR solutions in Azure.
Continuous delivery infrastructure for managed customers as Infrastructure as Code.
Disaster Recovery.
Create new Automation solutions in respond to customer/L1/business requests.
Handover and train L1 team.
Required skills and experience
Knowledge in the recommended best practices and architectures of Azure — for example, Azure Virtual Datacenter — and the ability to tailor customer solutions to architecture and security requirements (IaaS/PaaS, O365).
Knowledge in networks concepts in Azure – VNET, VPN Gateways, ExpressRoute, Application Gateway/WAF, Firewall, Traffic Manager, Azure Front Door and hands on experience on planning, deploying and managing Azure Networks and Hybrid connectivity.
Knowledge in security concepts in Azure – Azure AD, IAM, VM / VNet hardening – and their practical application in the development of user infrastructures (IaaS/PaaS, O365) in Azure.
Practical knowledge and hands-on experience and skills in using Azure deployment tools – ARM template, az / PowerShell / DSC – and IaC concepts/processes. Scripting skills (powershell/DSC/cmd) for deploying IaaS and OS in virtual machines.
Practical knowledge, hands-on experience and skills in working with monitoring and support tools in Azure – ASC, AM, ASR, Automation. Skills and experience in developing scripts for Azure Automation runbooks.
Hands-on experience in the administration, support and resolution of problems in the Windows Server / Linux OS and practical experience in managing them using remote PowerShell.
Additional skills, knowledge and experience related to Azure or on-premises technologies are the big plus
Administer Azure AD / Active Directory on-prem
Windows Admin Center / Hybrid Infrastructure
Administer Office 365 / Exchange / SharePoint Server etc. office servers on-prem
DBA – Azure SQL / SQL Server etc. on-prem
MDM / MAM / Windows 10 using Intune / SCCM
Chef, Puppet, Ansible
Примеры записей предыдущего сезона смотрите здесь:
ИТ-карьера – Azure L2 support engineer – публичное собеседование на позицию, что нужно знать – ч.01 – https://youtu.be/HmpgQoahXTA
ИТ-карьера – Azure L2 support engineer – публичное собеседование на позицию, что нужно знать – ч.02 – https://youtu.be/cFzd62vlB9M
ИТ-карьера – Azure L2 support engineer – публичное собеседование на позицию, что нужно знать – ч.03 – https://youtu.be/DECMirInQ2I
Azure Storage Attribute-based Access Control (ABAC) для Azure Storage
В Azure в пока в режиме превью появилась очень интересная новая функция по контролю за доступом к данным в блобах Azure Storage на основе аттрибутов этих самых блобов или параметров операции – Azure Storage Attribute-based Access Control (ABAC) – https://azure.microsoft.com/en-us/updates/azure-storage-abac-preview/ . Принцип работы такой функции очень даже простой – для какого-то хранилища через AIM и роль типа Storage Blob Data Reader/Storage Blob Data Owner мы делигируем права работы с контейнерами для определенного пользователя Azure AD. НО! При этом добавляются дополнительные ограничения для данной делегации, которые описывают, какая операция (Read, Write, Create, Delete) с какими условиями (наличие тега и его определенного значения, имя контейнера, имя аккаунта, путь к конкретному блобу) может быть выполнена.
Таким образом возможности роли в целом могут быть серьезно ограничены с применением условий ABAC, что делает доступ к блобам в конкретном контейнере хранилища очень гранулированным. Так, в приведенных примерах можно увидеть различные сценарии:
использование роли Storage Blob Data Reader с условиями ABAC, при которых участник данной роли будет иметь права на чтение только тех блобов в контейнерах Azure Storage Account, которые имеют тег user со значением igorsh
использование роли Storage Blob Data Owner, которая при этом ограничена на создание новых/запись в существующие блобы только если в запросе присутствует тот же тег user со значением igorsh (таким образом – пользователь создает только те блобы, которые после может сам и читать)
и сценарий с аттрибутами контейнеров – та же роль Storage Blob Data Owner модифицирована при помощи условий ABAC и пользователи не могут выполнять операции модификации/удаления блобов в определенных контейнерах.
В целом – новая функция Azure Storage Attribute-based Access Control (ABAC) в режиме превью работает нормально, единственные моменты, которые следует учитывать – это небольшие задержки при добавлении/изменении тегов или других аттрибутов – они должны быть проиндексированны, а также – применение самих условий, которые ограничивают операцию – иногда для этого требуется несколько минут. Кроме того, если вы планируете самостоятельно “поиграться” с новым превью Azure Storage Attribute-based Access Control (ABAC) – помните, что для активации данной новой функции требуется предварительно зарегистрировать модуль BlobIndex для провайдера Microsoft.Storage в той подписке Azure, которую вы планируете использовать, как тестовую. Это можно выполнить непосредственно из консоли Cloud Shell, которая доступна в портале Azure, следующими командами:
az feature register –namespace Microsoft.Storage –name BlobIndex
az provider register –namespace ‘Microsoft.Storage’
и один важный момент здесь – регистрация модуля может занимать 5-10 минут, потому не торопитесь сразу “кидаться в бой” и начинать тестировать – проверьте сначала статус регистрации модуля BlobIndex командой
Get-AzProviderFeature -FeatureName BlobIndex -ProviderNamespace Microsoft.Storage – статус должен быть RegisterED 🙂
И ждем уже глобальной продуктовой доступности функции Azure Storage Attribute-based Access Control (ABAC) – уж очень она полезная и решает многие вопросы, которые поднимали различные пользователи насчет гранулярного управления доступом для разных пользователей к блобам в одном или нескольких контейнерах одной Azure Storage Account.
Обновление Azure VPN Gateway – новое в P2S VPN, BGP, мониторинге VPN
Обзор обновлений очень важного компонента практически любой Azure инфраструктуры – сервиса Azure Virtual Network Gateway (Azure VPN Gateway). Его существенно переработали как с точки зрения удобства эксплуатации и мониторинга, так и поменяли некоторые концептуальные моменты работы, которые могут повлиять на архитектуру в целом (по крайней мере я знаю несколько своих заказчиков, которых подобные изменения в работе обрадуют тем, что серьезно упростят архитектуру для них) – так что всем, кто занимается инфраструктурой в Azure – рекомендую присмотреться к этому обновлению Azure VPN Gateway повнимательнее.
* Мониторинг и управление соединениями. Во-первых, к имеющейся опции Reset всего VPN Gateway добавлена (наконец-то) функция Reset отдельного S2S VPN соединения, что существенно упрощает обслуживание VPN Gateway, особенно когда речь идет о множественных S2S VPN. Во-вторых – сбор именно VPN пакетов (не трафика), что позволяет достаточно просто устранять проблемы с установкой S2S VPN со сторонними устройствами. Кстати, Azure VPN Gateway записывает трафик в виде .pcap пакетов, а далее – Wireshark и знание IKE вам в помощь. В-третьих – теперь можно по одному клику получить Security Association для S2S VPN соединения – опять-таки, для устранения неполадок в соединения.
* Мониторинг и визуализация трафика и соединений BGP протокола – тут, по-моему, не требуется комментариев – такую фичу надо было сделать еще пару лет назад минимум.
* И, наконец – серьезные изменения в P2S VPN – теперь поддерживается сразу несколько типов аутентификации, что позволяет теперь обходиться одним экземпляром VPN Gateway вместо того, чтобы отдельно держать экземпляр VPN Gateway для P2S VPN с Azure AD аутентификацией и отдельно экземпляр VPN Gateway для P2S VPN с аутентификацией с использованием сертификатов – чаще всего такой сценарий требовался, чтобы поддерживать клиентов MacOS X, которые не умели работать с OpenVPN и Azure AD. И здесь еще одна хорошая новость – параллельно с совместным использованием нескольких типов аутентификации для P2S VPN в Azure VPN Gateway – Microsoft в режиме превью (и доступным только в США) выпустила отдельного клиента Azure VPN Gateway для MacOS X с поддержкой OpenVPN и Azure AD. Так что ожидаем серьезных упрощений инфраструктуры и поддержки клиентов без заморочек с поддержкой сертификатов. Подробнее про обновления P2S клиента Azure VPN Gateway для Mac здесь – https://azure.microsoft.com/en-us/updates/public-preview-of-azure-vpn-client-for-macos/ и https://docs.microsoft.com/en-us/azure/vpn-gateway/openvpn-azure-ad-client-mac
Azure BASTION поддерживает работу с ВМ в других VNet через peering
В данном случае речь идет про небольшое обновление функциональности Azure BASTION, которое теперь позволяет развертывать один экземпляр BASTION в центральной HUB VNET и далее получать удаленный доступ через RDP/SSH к виртуальным машинам, которые находятся в SPOKE VNET и эти виртуальные сети подключены к основной HUB VNET через Azure VNET Peering, если это разрешено локальными NSG конечной VNET. Таким образом, поскольку не требуется иметь Azure Bastion в каждой VNET – решается сразу несколько важных задач оптимизации обслуживания и стоимости сервисов удаленного доступа RDP/SSH к инфраструктуре виртуальных машин в Azure. Кроме сокращения количества непосредственно Azure Bastion – во многих сценариях отпадает необходимость и использования большого количества Jump Server’ов в центральном хабе – что тоже положительным образом влияет на стоимость и управляемость сети. Единственное, что пока еще недоступно для работы через Azure Bastion – это возможность RDP/SSH подключения через Bastion и использованием учетных записей Azure AD – в настоящий момент Bastion позволяет залогиниться только с локальной учетной записью ВМ, но, насколько я знаю – над этим также работают.
Если вы не знакомы с концепцией Azure Bastion для защиты публичных подключений RDP/SSH виртуальных машин – рекомендую посмотреть поближе на основные возможности Azure Bastion:
* RDP и SSH прямо на портале Azure: Вы можете напрямую перейти к сеансу RDP и SSH прямо на портале Azure, используя один щелчок для совместной работы.
* Удаленный сеанс по протоколу TLS и обход брандмауэра для RDP и SSH: Бастион Azure использует веб-клиент на основе HTML5, который автоматически передается на локальное устройство, поэтому сеанс RDP и SSH по протоколу TLS через порт 443 позволяет безопасно обходить корпоративные брандмауэры.
* На виртуальной машине Azure не требуется общедоступный IP-адрес: Бастион Azure открывает подключение RDP и SSH к вашей виртуальной машине Azure, используя частный IP-адрес на виртуальной машине. На вашей виртуальной машине не требуется общедоступный IP-адрес.
* Без лишних проблем с управлением NSG: Бастион Azure — это полностью управляемая платформа службы PaaS от Azure, которая внутреннее защищена для обеспечения надежного подключения RDP или SSH. Не нужно применять какие-либо NSG в подсети Бастиона Azure. Поскольку Бастион Azure подключается к вашим виртуальным машинам по частному IP-адресу, вы можете настроить свои NSG так, чтобы они разрешали RDP или SSH только из Бастиона Azure. Это устраняет необходимость управлять NSG каждый раз, когда необходимо безопасно подключиться к виртуальным машинам. * Защита от сканирования портов: Поскольку вам не нужно предоставлять свои виртуальные машины в общедоступный Интернет, ваши виртуальные машины защищены от сканирования портов неавторизированными пользователями и пользователями-злоумышленниками, расположенными за пределами вашей виртуальной сети.
* Защита от эксплойтов нулевого дня. Защищает только в одном месте: Бастион Azure — это полностью управляемая платформой PaaS-служба. Поскольку он находится по периметру виртуальной сети, не стоит беспокоиться об усилении защиты каждой виртуальной машины в вашей виртуальной сети. Платформа Azure защищает от эксплойтов нулевого дня, в результате чего Бастион Azure защищен и всегда актуален для вас.
Логин в Azure VM (Windows) с использованием учетной записи Azure AD
Еженедельный обзор новинок Azure – сегодня поговорим про логин в Azure VM на Windows с использованием учетных записей из Azure AD. Кстати, если данная информация для вас полезна – поддержите серию данных обзорных видео про Azure – репост в социальных сетях, особенно в LinkedIn, и на специализированных ИТ форумах. И вернемся к новой возможности подключения к рабочему столу виртуальной машины в Azure под управлением Windows Server 2019 или Windows 10 с использованием учетной записи в Azure AD и с правами, определяемыми через RBAC Azure, а не внутри виртуальной машины, релиз которой был анонсирован в середине мая 2021 – https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows .
Основной сценарий использования – упорядочение и оптимизация инфраструктуры виртуальных машин в Azure и способа доступа к ним, а также повышение безопасности доступа. Каким образом такой подход позволяет упростить инфраструктуру? – в первом приближении – теперь не нужно “тянуть” в Azure отдельные виртуальные машины-контроллеры домена “наземной” Active Directory, а достаточно засинхронизировать требуемые учетные записи с Azure AD, к которой и будут добавлены Azure VM, и после – делегировать учетным записям требуемые права логина (админ/пользователь) через Azure RBAC. Безопасность таких входов в инфраструктуру может быть обеспечена, во-первых, фактом того, что ПК, с которого выполняется подключение с аккаунтом Azure AD, также должен быть в соответствующем домене Azure AD, во-вторых – различными политиками условного подключения (Conditional Access) при логине в Azure AD + проверка на возможные атаки Azure AD Identity Protection + MFA.
Сам процесс активации данной функции – просто указание того, что виртуальная машина должна быть добавлена в Azure AD, при создании новой Azure VM под управлением Windows Server 2019 или Windows 10 (предыдущие Windows Server 2016/2012 не поддерживаются, Linux сейчас находится в тестировании) – и дальше, при развертывании VM, Azure сам сделает все необходимые операции по установке расширения внутрь VM, созданию сервисного аккаунта и присоединении к Azure AD. Далее, как вы поняли, остается только назначить права через RBAC.
И, конечно же, ограничения, которые следует учитывать – во-первых, это версии ОС, которые вы планируете использовать в своих Azure VM. Во-вторых – клиентские ОС, с которых вы подключаетесь к такой Azure VM через учетную запись Azure AD, также должны быть участниками того же домена Azure AD или, что актуально только для клиента на Windows 10 20H1 и выше – могут быть зарегистрированы в домене Azure AD (что существенно упрощает сценарий, кстати). В-третьих – по указанной ссылке – https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows – ознакомьтесь с требованиями к исходящим соединениям для Azure VM, которые вы планируете добавить в Azure AD и подключаться через ее учетные записи.
Так что – успешного использования новой полезной функции логина в Azure VM с учетной записью Azure AD с правами RBAC.
Смотрите другие видео, посвященные Azure, у меня на канале:
Windows 10 c ядром Linux (WSL2) “научилась” запускать графические GUI приложения Linux – демо WSLg – https://youtu.be/7Yz3fPuQH6k
Azure SALES – онлайн-семинар MUK – продажа сервисов Azure для различных сценариев кибербезопасности – https://youtu.be/YF7yKgCVLAA
По приглашению компании МУК – https://muk.ua/ – прочитал несколько семинаров по технологиям Azure, в основном в рамках того самого базового курса по Azure, который потом предполагает сдачу сертификационного экзамена Microsoft Az-900 – http://bit.ly/Exam-Az-900 – как раз для тех, кому лениво смотреть весь цикл серий (тем более, что я их так пока и не закончил). Но, если у вас есть потребность “быстренько” познакомиться с основными концепциями и технологиями Azure всего за 4 часа, а не за 15 часов (как в моем курсе http://bit.ly/Exam-Az-900) – тогда смотрите эту “короткую” серию 😉
Темы первого семинара “Основы управления AZURE и базовые сервисы AZURE”
Базовые концепции облаков – надежность, эластичность, масштабируемость
Датацентры Azure и высокая доступность
Утилиты управления Azure – портал, PowerShell, CLI
Понятие Resource Group и развертывание ресурсов
Основные сетевые сервисы в Azure
Основные сервисы хранилищ в Azure
Резервное копирование и DR в Azure
Виртуальные машины в Azure, отказоустойчивость, мониторинг
Вычислительные сервисы в Azure – App Services, Functions
Кстати, в конце видео я упоминаю про так называемое “публичное собеседование” – https://youtu.be/pyzxPupDbI8?t=12811 – эта такое себе анонимное (по желанию) собеседование под запись или сразу в прямом эфире с разбором полетов потом – чтобы желающие сразу могли оценить требования крупной компании на простую должность типа инженера/архитектора поддержки клиентов в Azure. Потом я это опубликую тут, на канале, в разделе ИТ-карьеры – http://bit.ly/ITcarriera_ – а то народ периодически спрашивает, что нужно знать и как понять, знаешь ли ты “это” и просит записать видео – а записывать абстрактно как-то не хочется – типа, перечисления – вот, это, это и это учите, а хотелось бы сделать такой вот живой диалог, плюс – можно же сразу знать, что учить, а я еще буду в конце такого “собеседования” рассказывать, как и для чего 😉 В общем, если вы вдруг хотите поучавствовать в таком эксперименте – добавляйтесь ко мне в контакты в LinkedIn – https://www.linkedin.com/in/iwalker2000/ и при добавлении не забудьте указать в сообщении, что хотите поучавствовать в онлайн собеседовании 😉
Смотрите продолжение моего доклада по Azure Fundamentals на онлайн семинаре, который проводит по пятницам компания МУК ( https://muk.ua/ ). Первую часть семинара можете посмотреть в записи тут – https://youtu.be/pyzxPupDbI8 – а также напомню, что у меня на канале есть 13 серий базового курса по Azure, который потом предполагает сдачу сертификационного экзамена Microsoft Az-900 – http://bit.ly/Exam-Az-900 . А темами данной части семинара по Azure для технических специалистов стали следующие возможности и функции Azure:
Темы второго семинара “AZURE – основы использования сервисов безопасности, надежности и мониторинга”
* Безопасность Azure
Защита учетных записей в Azure Active Directory
Политики безопасности в Azure
Средства защиты данных, шифрование, ключи и секреты
Сетевая безопасность Azure
Безопасная конфигурация Azure VM
Azure Security Center
Best Practices для облачной и локальной инфраструктуры с сервисами безопасности Azure
Igor "Walker" Shastitko 