8. Desired State Configuration (DSC)
- Proactively respond to configuration
drift by defining a baseline for your
environment
- Deliver Infrastructure as code
- Flexible Delivery
• Apply and monitor
• Apply and autocorrect
- Detailed reporting and diagnostics at a
per resource level
- Available for both Windows & Linux
Change Tracking & Inventory
- Track changes made to your system
- Valuable for root-cause analysis
- Collect & search inventory and history
- Available for both Windows & Linux
- Windows
• Software
• Services
• Files
• Registry
- Linux
• Software (Packages)
• Daemons
• Files
Key Features
Configure any cloud or on
premise machine
Windows & Linux
Desired State Configuration
Change Tracking
Inventory
On-
Premises
Datacenter
Azure
AWS &
Service
Providers
9. View changes for:
• Software
• Files
• daemons/services
• registry values
• Azure activity log (New*)
Scenarios:
• Identify unauthorized changes
• Correlate configuration changes with
monitoring events
• Create an alert & remediate on change
• Reporting for package/software updates
• Browse historical changes for diagnosis and
forensics
10.
11.
12. View snapshots for:
• Software
• Files
• Daemons/services
• Registry values
Key Features:
• Spans across Windows & Linux
• Use data to create computer
groups
• Browse historical data
13.
14.
15. Automated configuration management from the cloud
• Manage physical hosts and VMs in any cloud or on-premises
• Windows or Linux
• Configuration setting and reporting
• Easily attach Azure VMs from portal, ARM Template, or extension
Powered by PowerShell DSC
PowerShell (PS) DSC configuration, node configuration (MOF), node, and
resource management
• Import configurations & modules (from PS Gallery or custom)
• Author
• Compile
• Distribute to nodes
• View granular and high-level configuration compliance reports
• Easy node onboarding
Deploy, enforce, and monitor configuration compliance
24. Patching tools Target/scope Description/OMS
Microsoft Update Clients, servers Core service for Windows updates. Update Management will leverage this. Service
itself meant for direct update, not available for Linux, no aggregated view.
WSUS Clients, servers Curate/approve and proxy patches from Windows Update.
Typical server patch install method:
• Manual
• Automation through GPO/PowerShell
SC Configuration
Manager, Intune
Clients, devices,
servers
Majority of SCCM customers are using patching features on servers.
Typical server patch install method : Manual, Automation
Missing: Linux patching
Cluster Aware Update
(CAU) and Patching
Windows 2012 and
above clusters
Ability to apply a patch on nodes of a cluster in a cluster aware way (drain, patch,
reboot, add to cluster). https://technet.microsoft.com/en-us/library/hh831694.aspx
SC VMM Hyper-V hosts Cluster aware way to keep Hypervisor patched and up to date (CAU)
Azure VM extension Linux virtual machines
in Azure
Targeted at Azure Virtual Machine customers. https://azure.microsoft.com/en-
us/blog/automate-linux-vm-os-updates-using-ospatching-extension/
Cloud Platform System:
P&U framework
CPS system Investment in a Zero-downtime Patch and Update Orchestration system for the Cloud
Platform System (multi-node)
Existing Update Management tools from Microsoft
25. Unified visibility and deploymentReliable, highly available, scalable
- Flexible scheduling options
- ConfigMgr
Update Azure & non-Azure
Windows & Linux
Update Insights
Update Deployments
Azure
Update
Management
AWS&
Service
Providers
Hyper-V
VMWare
OpenStack
On-Premises
32. Capability Meter Free units included (per month) Price
Update Management Any node N/A Free
Configuration management Azure N/A Free
Non-Azure 5 nodes $6/node/month
Process Automation Job run time 500 minutes $0.002 / minute
pay for log data stored in the Azure Log Analytics service. pricing.
Editor's Notes
MK
MK
MK
Azure üzerindeki yönetim birimleri bu resimdeki gibi ana başlıları ve altında bulunan bir sürü bileşeni içeriyor.
Bizden sonraki arkadaşlarım güvenlik ve protection altındaki belirli başlıkları ayrıntılı olarak ele alacaktır.
Biz bu bölümde Konfigürasyon bölümü altında bulunan configuration management ve Update management başlıklarını ele alacağız.
FY
Ilk ikisi DSC
Bu bahsedeceğimiz başlıklar reliable ve secure bir ortam istiyorsanız uygulamanız gereken temel bişelenleri içeriyor.
Bahsettiğim gibi güvenilir bir ortam yönetmek istiyorsanız göz önünde bulundurmanız gereken bir kaç önemli nokta bulunuyor.
İş yüklerine ve konfigürasyonlara ait deploymentları nasıl sağlıyorsunuz?
Konfigürasyonları nasıl yönetip nforce ediyorsunuz?
Değişiklikleri nasıl monitör ediyorsunuz?
Envanteri yönetiminizi nasıl yapıyorsunuz?
Serverlarınızı nasıl güncelliyorsunuz?
FY
MMA bahset
Configuration as a code
Reporting
Alerting
Ortamdaki değişikliklerin kolay şekilde belirlenmesini sağlar.
Change tracking ve inventory’den herhangi biri için bir değişiklik etkinleştirilirse diğeri için de bu geçerli olur. Örneğin bir registry track için etkinleştirildiğinde bu inventory’de de görünecektir.
Değişiklikleri belirlemek için MD5 hash’leri kullanılmaktadır. Bu hash’ler sayesinde en son yapılan inventory’den sonraki değişiklikler belirlenir.
FY
Azure VM’ler direct console üzerinden connect edilebilirler.
Onpremise Vm’ler için agent kurulumu yapılması gerekir.
MK
Yazılım,dosya,registry ve servis bilgileri’ne buradan kolaylıkla erişilir.
Registry ve dosya kısmı, change tracking ile takip edilen bileşenlerden elde edilir.
Windows ve linux makineler üzerindeki bilgileri MMA yardımıyla elde eder.
Elde edilen dataları kullanarak computer groupları oluşturulabilir.
Elde edilen bilgiler historical olarak taranabilir. (Hangi makineye ne zaman hangi yazılım yüklenmiş, ne zaman değiştirilmiş gibi..)
Belirli yazılımlar yüklü node’ların belirlenmesini sağlar.
Makineler üzerindeki envanterin raporlanmasını sağlar.
Konfigürasyonların historical olarak tutulmasını sağlar.
Konfigürasyonların verify edilmesini saplar.
NEDEN DSC KULLANMALIYIZ?
Konfigürasyon Tutarlılığı: DSC sistem yöneticilerinin yaptıkları konfigürasyonların tutarlı şekilde ve daimi olmasını sağlar.
TIME SAVING: DSC kullanılarak yapılan işlemlerde çok uzun süren işler daha kısa sürelerde hata payı elemine edilerek yapılır.
Ortam Tutarlılığı: DSC kullanılarak yapılan test ve deployment senaryoları birbiri ile tutarlıdır.
Hata Olasılığı: Deployment sırasında yaşanacak hata olasılığı azalır çünkü her zaman aynı konfigürasyon uygulanır.
DSC KULLANILARAK YAPILACAK İŞLEMLER NELERDİR?
• Server role ve feature’larının etkinleştirilmesi yada kaldırılması
• Registry key’lerin yönetilmesi
• Dosya ve dizinlerin yönetilmesi
• Process ve servislerin çalıştırılması,durdurulması ve yönetilmesi
• Kullanıcı ve grup’ların yönetilmesi
• Yeni uygulamaların deploy edilmesi
• Ortam değişkenlerinin yönetilmesi
• Windows Powershell script’leirn çalıştırılması
• Desired state dışına çıkan konfigürasyonların tekrardan düzenlenmesi
• Belirlenen node’daki geçerli konfigürasyon durumunun discover edilmesi
MOF(Managed Object Format) Dosyasını biraz Açıklarmısın?
MOF endüstri standartı bir formattır. Bir çok platform’da desteklenmektedir. Belli araçlar kullanılarak MOF dosyaları kolaylıkla yazılabilir.
Powershell DSC ile oluşturulan mof doysaları farklı platformlarda da kullanılabilir. (Örneğin client node linux işletim sistemine sahip olabilir. )
Powershell DSC mimarisinde MOF dosyası otomatik olarak oluşturulmaktadır.
Özetle DSC mimarisinde MOF kullanılmasındaki temel amaç cross-platform desteği sunmaktır.
Azure DSC’nin bize sağladığı fayda nedir? Onpremise powershell DSC ile arasında ne fark vardır?
CI/CD pipeline’ı ile bu DSC nerede kesişiyor?
Configuration as a code mimarisinin enable eder ve deployment süreçlerinin CI/CD süreçleri ile yapılmasına olanak sağlar.
Import edilen konfigürasyon source control ile sync edilebilir. Yada Azure powershell yada API gibi cicd tool’ları yardımı ile import edilmiş ve complied olmuş olabilir.