Azure Thailand User Group – Code of Conduct

vm360degreeLeave a comment

All group members should follow

Throughout each interaction:

  • Be friendly and welcoming
    • Listen with purpose and create space for others’ communication preferences.
    • Ask yourself how you can make someone life easier.
  • Be patient
    • Remember that people have varying communication styles and preferences.
    • Recognize that not everyone is using their native language. Meaning and tone can be lost in translation.
  • Be thoughtful
    • Think about how others will interpret your words. Aim for clear and productive communication.
    • Remember that sometimes it is best to refrain from commenting.
  • Be respectful and inclusive
    • Respect differences of opinion.
    • Seek to understand and build bridges, not condemn or criticize.
    • Make a conscious effort to include people who differ from you.
  • Be open and curious
    • Assume good intent and interpret others’ statements or questions in good faith.
    • Ask questions to understand, not denounce.
    • Focus on continuous learning. Improve upon the things you already know, tackle new things, and ask others about their expertise to deepen your own knowledge.
Advertisement

Resource Graph – วิธีดูว่ามี Resource อะไรใน subscription บ้าง

vm360degreeLeave a comment

วิธีการ query จาก Azure ว่าใน subscription มี resource อะไรบ้าง ใน Link มีตัวอย่าง query แต่มือใหม่จะงงว่าเรียกตรงไหน การเข้าไหนให้เปิด Subscription | Resources | Open query ตามภาพด้านล่างครับ

https://techcommunity.microsoft.com/t5/itops-talk-blog/azure-resource-graph-zero-to-hero/ba-p/2303572

Azure App Service – Service Endpoint เปิด GA แล้ว

vm360degreeLeave a comment

Azure App Service เป็นบริการ Web Hosting แบบ Platform-as-a-Service (PaaS) การใช้งานจะได้ IP ที่อยู่นอก Virtual Network การจะเชื่อมต่อกับ VNet ทำยากเพราะต้องป้องกันเรื่อง Network Security ตอนนี้มี Service Endpoint แล้วจะช่วยให้การควบคุมเวลาเรียกใช้ Web APp ทำได้ง่ายครับ เพิ่มเติม https://azure.microsoft.com/en-us/updates/app-service-private-endpoints-ga/ครับ

Azure – Advisor Score

vm360degreeLeave a comment

Advisor เป็นเครื่องมือที่่คอยตรวจสอบการติดตั้ง Azure ของเราว่าเป็นไปตาม Best Practice หรือไม่ ด้วยการตรวจ Configuration และเครื่องเก็บข้อมูล (Telemetry) เพื่อนำไปวิเคราะห์และแสดงข้อมูลด้วยกระบวนการ คำแนะนำช่วยเรื่อง Cost, Performance, Availability และ Security

แนะนำ Feature ใหม่ – Advisor Score

Azure จะเทียบผลการประเมินของ Subscription ของเราเทียบกับข้อมูลที่ Microsoft เคยทำกับการใช้งานของคนอื่นแล้วให้เป็น score

Reference

  1. https://azure.microsoft.com/en-us/blog/introducing-the-microsoft-azure-wellarchitected-framework/
  2. https://azure.microsoft.com/en-us/blog/optimize-your-azure-workloads-with-azure-advisor-score/

#AzureThailandUserGroup

Container Data Encryption

vm360degreeLeave a comment

การ Run Container ต้องมี Container Host ที่เป็น VM หรืออาจเป็น Physical ซึ่ง Container Host นี้ดูแลให้โดยผู้ดูแล Host หรืออาจะไปอยู่บน Public Cloud ก็ได้  ตามที่เคยเล่าเรื่อง Docker Volume ไปแล้วว่ามันการ กำหนด storage ให้กับ Container   วิธีที่ Docker จะใช้งาน Storage จะทำผ่าน Storage Driver

มุมมองด้าน Security การเก็บข้อมูลลง Volume มีการควบคุมสิทธิด้วยระบบ Access Control แม้มีการควบคุมแล้วก็ยังมีจุดเสี่ยงเหลืออยู่ ดังนั้น จึงมีผู้ทำเครื่องเข้ารหัส volume โดยผ่านช่องทาง Storage Driver  ตัวอย่างที่ยกมาเป็นของ Zettaset – Xcrypt  ในภาพด้านล่างเป็นการอธิบายว่า เมื่อ Container ขอใช้ Volume (Storage) เครื่องมือ Zettaset จะเป็น Driver เพื่อ Access Storage โดยทำการเข้ารหัส ที่มี Key เก็บอยู่บน Key Manager

zettaset-storage-driver

ผมได้ข้อมูลจาก Webinar ที่จัดโดย Mirantis Inc. หากใครสนใจฟังเต็มๆ ก็กด Link ด้านล่างนี้ได้

Slide -> https://info.mirantis.com/l/530892/is-zettaset-webinar-slides-pdf/3bdcll

Youtube -> https://www.youtube.com/embed/cHVbI-xXqn4

 

PowerShell Azure Module และ Cloud Shell

vm360degreeLeave a comment

สวัสดีครับ ผม Chaba_OK! คราวนี้เป็นเรื่อง การใช้งาน Azure สำหรับผู้ทำหน้าที่เป็น Administrator ที่ต้องใช้ Portal มีวิธีสั่งงานได้หลายวิธีวิธี คือ ผ่านหน้า Web Page, Command-Line, REST API และ Visual Studio ที่ใช้สำหรับ Admin บ่อยๆ คือ Web และ Command-line  ขอแนะนำวิธีง่ายเพียง 2 วิธีคือ

1. Azure Portal –  Web Page (https://portal.zure.com) – ใช้งาน Web Application ที่เป็น GUI

image

2. PowerShell เป็นการใช้ Command-line หรือ Script เป็น PowerShell มี 2 แบบให้เลือก

2.1 PowerShell ที่ทำงานจากเครื่อง Computer ของเราเอง ก่อนใช้งานต้องติดตั้ง Azure Module ลงไปก่อน ซึ่งแน่นอนว่าเครื่องจะต้องต่อ Internet เพื่อ Connect กับ Azure

– ก่อนลงมือติดตั้ง ขอแนะนำให้ Update PowerShell เป็น Version 5 วิธีดู Version PowerShell ใช้คำสั่งนี้

image

– ปกติ PowerShell ในเครื่องของเรา ถูกกำหนดให้ชี้ไป Repository ซึ่งช่วยให้สะดวกเวลาที่ต้องติดตั้ง Module เพิ่มเติม การดูค่า Repository ทำตามนี้ ผลคือ Repository คือ http://www.powershellgallery.com

image

– ลงมือติดตั้ง Module Azure ด้วยคำสั่ง find-module azure*|install-module และกด Yes to All  หรือ download .msi จากที่นี่ https://github.com/Azure/azure-powershell/releases

image

image

image

2.2 Azure Cloud Shell เป็นการใช้ PowerShell Command-line บน Browser

– วิธีนี้การทำงานต้องจำคำสั่งที่คีย์ทีละ command หรือจะใช้วิธี Upload script ก็ได้  เทคนิคการสร้าง Azure PowerShell Console นี้น่าสนุก ผมเคยเล่าเรื่อง Windows Container มันถูกนำมาใช้ในงานนี้ ภาพด้านล่างแสดงให้เห็นว่า Console ถูก Run บน Windows Container ตามปกติใน Container มัน save file ลงไม่ได้ ทำให้ต้อง Mount ไปที่ Storage ดังนั้น การใช้ Console ต้องมี Cloud Storage ประกอบด้วย เมื่อเข้า Console ครั้งแรกจึงสร้าง Cloud Storage และ Azure File Share

AzurePowerShellConsole

การเข้าใช้งานครั้งแรกจะต้อง Create storage ตามภาพด้านล่าง

image

ด้านล่างเป็นหน้าจอ Console ใช้คำสั่ง  get-psdrive จะเห็น drive y: ที่เป็นที่เก็บ file AzurePowerShellDrive

ด้านล่าง ใน Azure Portal จะเห็น Storage Account ใน Resource Group “cloud-shell-storage-xx” ตามภาพ ได้สร้าง Directory-work เพื่อเก็บ Script

AzurePowerShellPortalUpload

สรุป การใช้สั่งงาน Azure ทำงานผ่าน PowerShell ได้ มีทั้งวิธีจากเครื่อง Computer เราเอง และวิธี Azure PowerShell Console

#https://www.facebook.com/groups/1912394935675514/

#AzureThailandUserGroup

 

 

Key Vault ตอนที่ 1 สวัสดี Azure Key Vault

vm360degreeLeave a comment

สวัสดีครับ ผม Chaba_OK! คราวนี้เรามาทำความรู้จักกับ Azure key Vault กัน  ปกติ Application ที่ใช้งานกันทั่วไปมีส่วนประกอบสำคัญด้าน Software Infrastructure 3 ส่วนคือ Application, ค่า Configuration และ Data ในส่วนของ Configuration อาจเป็นค่าความลับ (Secret หรือ Key) ที่ใช้ในการเข้าหรือถอดรหัส (Crptographic Key) ที่มีความสำคัญและจำเป็นสำหรับการทำงานของ Application เช่น User ID และ Password เพื่อเรียกใช้งาน Database (Connection String) ถ้าเก็บความลับเหล่านี้ไม่ดี อาจหลุดออกไปทำให้เกิดความเสียหายได้ ดังนั้น ค่าเหล่านี้ควรเก็บไว้ในที่ปลอดภัยซึ่งมีคุณสมบัติเบื้องต้นของการที่ๆ จัดเก็บค่าลับๆ มี 3 ข้อดังนี้

  1. Authentication สามารถตรวจสอบตัวตนของผู้ที่จะมาดูค่าต่างๆ ที่เก็บไว้
  2. Authorization สามารถกำหนดสิทธิ เพื่อควบคุมการใช้งานและช่วยแบ่งหน้าที่ตามความรับผิดชอบของผู้ใช้งาน (Role Base Access Control)
  3. Audit สามารถตรวจสอบการใช้งานได้

สำหรับบางหน่วยงาน การเก็บ Cryptographic Key/Secret จะต้องปฏิบัติตามกฏที่วางไว้โดยหน่วยงานที่กำกับหรือตรวจสอบ เพื่อให้การปฏิบัติงานเข้ามาตราฐาน จึงต้องใช้อุปกรณ์เรียกว่า Hardware Security Management (HSM) เพื่อเป็นช่วยเก็บ Secret และยังใช้ HSM ทำงานเข้ารหัสข้อมูลได้อีกด้วย

Micrisoft Azure Key Vault คือ บริการ Internet HSM บนระบบ Cloud ของ Microsoft Azure ที่รับฝาก Cryptographic Key และ Secret มีความสามารถกำหนดสิทธิผู้ใช้งานตามหน้าที่ (Role Base Access Control) และตรวจสอบการใช้งาน (Audit) และมี API สำหรับผู้พัฒนา Application ใช้สั่งงาน

บริการของ Key Vault ที่เก็บ Cryptographic Key/Secret แบ่งการเก็บข้อมูลเป็น 3 ประเภทคือ

Certificate สร้าง Certificate ใน Format X509 จาก Certificate Authority (CA) หรืออาจทำเป็น Self-Signed ก็ได้
Key เก็บ Key ที่ใช้ Encryption หรือ Decryption
Secret เก็บค่าความลับ

สิ่งที่ต้องมีก่อนการใช้งาน Key Vault (Prerequisite)

ในบทความนี้ท่านจะต้องมี Resource ต่อไปนี้

  1. เป็นสมาชิก Microsoft Azure
  2. ติดตั้ง PowerShell module – Azure Key Vault

ลำดับการใช้งาน Azure Key Vault

การใช้งาน Azure Key Vault ในขั้นเริ่มต้นต้องทำตามขั้นตอนในภาพด้านล่าง AzureKeyVaultFlow

ทำความรู้จักกับ Key Vault แบบง่ายด้วยการฝาก password

1. เมื่อมี Account บน Azure แล้ว วิธีใช้งาน Key Vault สามารถทำงาน GUI หรือ Command-line ได้ ในตัวอย่างเป็นการใช้ GUI สร้าง Key Vault และเก็บข้อมูลใน Key Vault ตามภาพด้านล่าง การใช้ผ่าน Command-line (PowerShell) อยู่ตอนท้าย

CreateKeyVault

การสร้าง Key Vault ต้องเตรียม Parameter ตามนี้

Name ตั้งชื่อ ซึ่งต่อไปจะถูกนำไปใช้เป็น URL ในตัวอย่างใช้ชื่อ vm360degreekeyvault จะได้ URL คือ https://vm360degreekeyvault.vault.azure.net/
Subscription เลือก subscription
Resource Group เลือกว่าจะ เก็บ Resource Group อันไหน หรือจะสร้างใหม่ก็ได้
Location เลือก Azure Location
Pricing tier มี 2 ตัวเลือก สำหรับการเรียนรู้ใช้ A1 ได้
A1 – Standard (ประหยัดประมวลผลเข้ารหัสบน Virtual Machine)
P2 – Premium (จ่ายแพงกว่า แต่ปลอดภัยกว่า เข้ารหัสใน hardware HSM)

เมื่อสร้างเสร็จก็จะมี  Key Vault ต่อไปจะเป็นการนำ Password ไปเก็บใน Key Vault

KeyVault-AddSecret

จาก Clip ที่ 2 อันข้างบน เป็นการใช้งานของ Admin ของ Azure Portal

Login-AzureRmAccount
$MyKeyVaultName = 'vm360degreekeyvault'
$mySecretPasswordDB = 'passworddb'
New-AzureRmKeyVault -VaultName $MyKeyVaultName -ResourceGroupName 'rgWestUS2' -Location 'westus2'
Get-AzureRmKeyVault -VaultName $MyKeyVaultName
Set-AzureKeyVaultSecret -VaultName $MyKeyVaultName -Name 'passworddb' `
-SecretValue (ConvertTo-SecureString -String 'p@ssw0rd' -AsPlainText -Force)
get-AzureKeyVaultSecret -VaultName $MyKeyVaultName -Name $mySecretPasswordDB | fl *
view raw KeyVault-Simple.ps1 hosted with ❤ by GitHub

สรุป ในตอนนี้เราได้รู้จักกับ Azure Key Vault เบื้องต้นและทดลองเก็บ Secret ในตอนต่อไป จะเป็นเรื่องการกำหนดสิทธิและการจัดเก็บ Audit Log

 

 

PowerShell Code Sign และ Self-Signed Certificate

vm360degreeLeave a comment

สวัสดีครับ ผม Chaba_OK! เราจะมาเรียนรู้การสร้าง PowerShell script file ให้มีความน่าเชื่อถือว่า ไม่โดนแก้ไขโดยใช้ Code signing certificate ซึ่งเหมาะกับการนำไปใช้งานใน Production System

เริ่มต้นต้องตรวจสอบก่อนว่า PowerShell ต้องเป็น version 4.0 ขึ้นไป

01

การ Sign ต้องใช้ Certificate ถ้าเป็นงาน Production เราควรใช้ Certificate ที่ออกจาก Certificate Authority แต่สำหรับการทดสอบเราจะใช้ Self-signed certificate สร้างด้วยคำสั่งนี้

02

จากคำสั่ง เป็นการสร้าง Certificate เพื่อทำ Digital Signature มีอายุ 5 ปี สำหรับ domain ชื่อ api.vm360degree.com ซึ่งหากตั้งเป็นชื่ออื่นที่เหมาะกับงานก็ได้  เมื่อสร้างสำเร็จ Certificate จะถูกเก็บไว้ที่ Local Machine วิธีเปิดดูให้กด [Windows]+[R] | mmc.exe | File | Add/Remove Snap-in … เลือก Certificates | Click ที่ปุ่ม Add > | เลือก Computer account | เลือก Local Computer | กด Finish ผลตามภาพด้านล่าง

03

ลำดับต่อไป เราจะต้องย้าย Certificate ไปเก็บไว้ที่ Trusted Root Certificate ด้วยคำสั่ง move-item การอ้างอิงถึง Certificate จะใช้ค่า Thumbprint ของ Cettificate ที่สร้างไปไว้แล้ว

04

จะได้ผลลัพธ์ตามภาพด้านล่าง

05

หรือ กลับไปเรียกด้วย PowerShell คือ

06.PNG

ตอนนี้เรามี Certificate – Code Signing พร้อมจะ Signed ซึ่งในตัวอย่าง ได้เตรียม file  hello.ps1 มีหน้าตาแบบนี้

07

ใช้คำสั่งเพื่อสร้าง Sign ในภาพ

08

ในตัวอย่างผมใช้เครื่องหมาย ` เพื่อขึ้นบบรทัดใหม่โดยที่ยังไม่จบคำสั่ง ซึ่งในคีย์บอร์ดภาษาไทยเป็นตัวเปลี่ยนภาษา ก็ให้ copy ไปแปะแทนก็ได้ และหลังสัญลักษณ์นี้ห้ามเว้นวรรคให้ขึ้นบรรทัดใหม่ทันที ผลที่ได้คือในไฟล์ hello.ps1 จะมี Signature แปะไว้

09

วิธีการตรวจสอบว่าไฟล์ที่ Signed ไว้มีการแก้ไขหรือเปล่าให้คำสั่ง Get-AuthenticodeSignature ผลก็ได้ตามภาพด้านล่าง ปกติ Status ต้องเป็น valid แต่ถ้าถูกแก้จะได้เป็น  HashMismatch10.PNG

Script ที่ใช้ทั้งหมดอยู่ด้านล่าง

$MyCert = new-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\my `
-DnsName api.vm360degee.com `
-friendlyname api.vm360degree.com `
-NotAfter ( [DateTime]::Now.AddYears(5)) `
-KeyAlgorithm RSA `
-KeyLength 2048 `
-KeySpec Signature `
-Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
-KeyExportPolicy Exportable `
-KeyUsage DigitalSignature `
-Type CodeSigningCert
$MyPath = 'Cert:\LocalMachine\my\' + $MyCert.Thumbprint
Move-Item -Path $MyPath -Destination Cert:\LocalMachine\Root
$cert= Get-ChildItem cert:\localmachine\root -CodeSigningCert |?{$_.friendlyname -eq "api.vm360degree.com"}
Set-AuthenticodeSignature C:\work\Azure\cert\hello.ps1 `
-Certificate $cert `
-TimestampServer http://timestamp.comodoca.com/authenticode
Get-AuthenticodeSignature -FilePath C:\work\Azure\cert\hello.ps1
view raw ps-signed.ps1 hosted with ❤ by GitHub

สรุป เราเรียนรู้ 2 เรื่องคือ

  1. การสร้าง Self-signed certificate ด้วย PowerShell ทำความเข้าใจให้ดี เพราะจะใช้งานต่อไปอีกในครั้งต่อไป เช่น Azure KeyVault, WinRM แบบ HTTPS
  2. การ Signed PowerShell Script เพื่อป้องกันการแก้ไข

สุดท้ายขอฝาก Facebook group – Azure Thailand User Group ไว้ด้วยครับ

Reference

Create Code Signing Certificate on Windows for signing PowerShell scripts

https://blogs.technet.microsoft.com/heyscriptingguy/2010/06/17/hey-scripting-guy-how-can-i-sign-windows-powershell-scripts-with-an-enterprise-windows-pki-part-2-of-2/

https://www.ddls.com.au/blog/creating-a-self-signed-certificate-for-powershell/

Azure VM ให้ drive D: มาทำไม?

vm360degreeLeave a comment

เวลาที่สร้าง VM ใน Azure จะมี drive temporary มาให้พร้อมกับคำเตือนว่า “This temporary storage must not be used to store data that you are not willing to lose.”  จะมีมาให้ทำไม?

คำตอบ คือ จาก Understanding the temporary drive on windows azure VM ที่น่าสนใจคื Drive นี้เอาไว้ใช้เก็บ Page file และไม่คิดเงินครับ

#AzureThailandUserGroup

 

 

Update your Windows

vm360degreeLeave a comment

ทุกวันนี้การพัฒนา Application แข่งกันมากและทำกันไวมากเพื่อช่วยให้ธุรกิจแข่งขันกันได้ สำหรับ Microsoft ผู้พัฒนา Windows Server ก็เข้าใจประเด็นนี้ ได้บอกชัดเจนว่าให้ความสำคัญมากกับเรื่อง Container/Microservice  และการใช้ Windows Server บน Cloud และ On-Premise  จึงได้เปลี่ยนวิธีการออก Feature ใหม่ๆ ให้เร็วขึ้นและเปลี่ยน Security Update (hotfix) ด้วย

Nano Server และ Server Core

ตอนที่ Windows Server 2016 ออกมา เราได้รู้จัก Windows Server, Server Core และมีของใหม่คือ Nano Server (อ่านที่นี่) โดย Nano ถูกวางให้เป็นความหวังว่าจะลดงานของของ Server Admin ได้เพราะมันมีขนาดเล็ก ใช้ Resource น้อยและไม่ต้องลง Hotfix บ่อย แต่ Nano มาพร้อมกับความยากเพราะมันไม่มี Driver หรือ Plug and Play สำหรับอุปกรณ์บน Server มาให้  ทำให้ Nano บน Physical Server ติดตั้งยาก  ไม่เหมือน Windows Server ปกติ จึงทำให้การใช้งานจริงๆ นั้น Nano ถูก Run เป็น Virtual Machine (VM) เพื่อทำเป็น Container Server (อ่านที่นี่)

ในส่วน Server Core นั้นก็คือ Windows Server with Desktop (Windows Server ที่มี GUI) ที่ถูกถอด GUI ออกไปจึงมีแต่ Command Line การสั่งงานก็ใช้ PowerShell หรือ Remote Admin Tool จากเครื่องที่มี GUI โดยที่มันยังคง Role/Feature ไว้เหมือนกัน ข้อดีของ Server Core คือ มีขนาดเล็กกว่า GUI และมี  Hotfix น้อยกว่าแบบที่มี GUI ที่ Azure หรือ Azure Stack ก็ใช้ Server Core

New Model of Deliverying of Windows Server และคำยืนยันว่า Nano Server ใช้เพื่อ Container

หลักจาก Nano Server ถูกใช้งานไปสักระยะ Microsoft ได้พบว่า Nano Server ถูกนำไปใช้เป็น Container มาก เพราะมันเล็ก ประกอบกับต้องออก Feature ใหม่เร็วขึ้นจึงได้ประกาศเรื่อง New Model of Deliverying of Windows Server หรือการออก Update Feature มาในเดือนมิถุนายน 2560 ดังนี้

  1. Nano Server – ทำมาให้ใช้เป็น Container อย่างเดียว มาพร้อมกับกับ .Net core 2.0 และ PowerShell แต่ไม่มี WMI และไม่มี Role สำหรับไปทำงาน Infrastructure อื่นๆ
  2. การประกาศความถี่ในการปล่อย  Update ด้วยชื่อเรียกใหม่คือ
  • Semi-annual Channel
    • เหมาะกับผู้ที่ต้องใช้ Feature ใหม่ๆ ไม่ต้องรอเป็นปี
    • ออกปีละ 2 ครั้ง ในเดือน มีนาคม และเดือนกันยายน
    • มีให้เฉพาะ Nano Server และ Server Core
    • Support เป็นระยะเวลา 18 เดือนนับจากวันที่ออก
    • เลข Version ใช้รูปแบบ YYMM เช่น verion 1709 หมายถึง version ปี 2017 เดือนกันยายน (09)
    • ลูกค้าที่ซื้อ License ที่รองรับการ  Upgrade คือ Software Assurance หรือใช้ VM License บน Cloud จึงจะได้  Update
  • Long-term Servicing Channel
    • เหมาะกับผู้ที่ไม่ต้องการเปลี่ยน Version บ่อย เป็นงานที่ใช้กันยาวๆ
    • มีให้เฉพาะ Windows Server with Desktop
    • Support กันยาวๆ ถึง 10 ปี (5 ปีแรกเป็น mainstream และ 5 ปีหลังเป็น extended)
    • ลูกค้าซื้อ License ของ Windows ตามปกติ

Installation option Semi-annual Channel (Windows Server) Long-term Servicing Channel (Windows Server 2016)
Nano Server Yes No
Server Core Yes Yes
Server with Desktop No Yes

Source: https://docs.microsoft.com/en-us/windows-server/get-started/semi-annual-channel-overview

 

Servicing Model (Security Update)

เนื่องจากการลง Security Update เมื่อก่อนนี้ลูกค้าสามารถเลือกลงเป็นบางตัวหรือไม่ได้ลงทุกตัว การลงไม่ครบสร้างปัญหาการใช้งาน ทาง Microsoft จึงเลิกการปล่อย Security Update แบบรายตัว แล้วเปลี่ยนมาเป็นต้องลงทุกตัว ในรูปแบบ Pack โดยมีรูปแบบดังนี้

  1. Security-only Update เป็นการรวม Security Patch ประจำของเดือนไว้ด้วยกัน ลูกค้าไม่สามารถเลือกว่าจะลงอันไหนได้เอง ระบบจะลงทุกตัว ถ้าพบปัญหาจากการ  Update แล้วคิดจะถอยก็ต้องถอนทั้งหมด หากถอนไม่ได้ต้องเปิด case กับ Microsoft
  2. Monthly Rollup เป็นการรวม Security Patch, Update อื่นๆ เป็นเดือนไว้ ครอบคลุมย้อนหลังให้ด้วย  6-8 เดือน  กรณีทำผ่านการใช้ Windows Update ผ่าน Internet ที่ใครๆ ก็ทำได้

 

ถึงตรงนี้จะเข้าใจได้ว่า Update มีชุดเล็กกับชุดใหญ่ ชุดเล็กเป็นการลง  update ที่มีให้ทำกันเป็นรายเดือน ไม่มีค่าใช้จ่าย ส่วนชุดใหญ่เป็นการ  Update Feature สำหรับผู้ที่ต้องการใช้ Feature แต่มีค่าใช้จ่าย Software Assurance หรือใช้จาก Cloud

 

Reference

  1. https://docs.microsoft.com/en-us/windows-server/get-started/semi-annual-channel-overview
  2. https://docs.microsoft.com/en-us/windows-server/get-started/nano-in-semi-annual-channel
  3. https://blogs.technet.microsoft.com/hybridcloud/2017/06/15/delivering-continuous-innovation-with-windows-server/