Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure Enkláva poskytuje integrované funkce pozorovatelnosti, které podporují zabezpečené, škálovatelné a centralizované monitorování důležitých prostředí. Tyto funkce pomáhají správcům komunit a vlastníkům enklávy vynucovat dodržování předpisů, zkoumat anomálie a zajistit provozní stav v izolovaných úlohách.
Pro prostředky enklávy Azure jsou ve výchozím nastavení povoleny následující možnosti:
- Pracovní prostor služby Log Analytics se ve výchozím nastavení nasazuje do skupiny prostředků spravované komunitou.
- (Volitelné) Pracovní prostor služby Log Analytics se nasazuje do spravované skupiny prostředků enklávy.
- Účet úložiště je nasazen do spravované skupiny prostředků Enclave.
- Protokoly toku služby Virtual Network pro každou enklávu jsou povoleny, směrovány do účtu úložiště enklávy a přeposílány do pracovního prostoru Log Analytics komunity a/nebo enklávy.
- Nastavení diagnostiky je povoleno pro prostředky nasazené do spravovaných skupin prostředků Community i Enclave.
Centralizovaná a izolovaná pozorovatelnost
Pozorovatelnost ve službě Azure Enclave je založena na dvouvrstvém modelu protokolování, který podporuje centralizované diagnostické protokolování i diagnostické protokolování izolované v enklávě s využitím služeb Azure Monitor, Log Analytics a účtů služby Storage.
Pozorovatelnost na úrovni komunity
Každá komunita vytvořená v Azure Enklávě zahrnuje centralizovaný pracovní prostor Log Analytics. Tento pracovní prostor je navržený tak, aby:
- Agregujte diagnostiku a metriky ze všech enkláv v rámci komunity.
- Poskytnout jednotné rozhraní pro monitorování a prohledávání diagnostických protokolů a protokolů toků.
- Podporuje analýzy napříč enklávami, výstrahy a sledování souladu s předpisy.
Po vytvoření komunity se pracovní prostor vytvoří automaticky. Pracovní prostor lze vybrat jako cíl diagnostiky prostřednictvím enklávy nebo vlastníků úloh během operací nasazení nebo aktualizace. Veřejný přístup je pro pracovní prostor Komunity Log-A zakázaný, ale ve výchozím nastavení není izolovaný v síti. Pokud chcete nakonfigurovat veřejný přístup nebo izolaci sítě, zvažte přidání zabezpečení privátního propojení.
Note
Nastavení diagnostiky z enklávových prostředků (například úloh, veřejných IP adres nebo application Gateway) je možné nakonfigurovat tak, aby odesílala protokoly do centralizovaného pracovního prostoru, aby podporovala jednotné monitorování.
Pozorovatelnost na úrovni enklávy
Kromě pracovního prostoru Community je pro každou Enclave zřízen izolovaný pracovní prostor Log Analytics určený konkrétně pro danou enklávu. Tento pracovní prostor je optimalizovaný pro případy použití protokolování na úrovni enklávy a zahrnuje následující charakteristiky:
- Výchozí úložiště protokolů toků virtuální sítě, které se automaticky povolují pro každou enklávu.
- Volitelná nastavení diagnostiky pro prostředky v rozsahu enklávy, jako jsou interní úlohy a síťové komponenty.
- Navrženo tak, aby splňovalo požadavky na izolaci nebo regulační požadavky, které brání agregaci protokolů událostí napříč enklávami.
Správci se můžou rozhodnout ponechat diagnostiku enklávy privátní odesláním protokolů pouze do tohoto izolovaného pracovního prostoru.
Konfigurovatelné cíle protokolování
Azure Enkláva podporuje flexibilní konfigurace protokolování, které vlastníkům prostředků umožňují vybrat si mezi těmito možnostmi:
| Cíl protokolování | Purpose | Výchozí použití |
|---|---|---|
| Pracovní prostor komunity Log Analytics | Umožňuje centralizované monitorování a analytiku napříč enklávami. | Optional |
| Pracovní prostor služby Log Analytics pro enklávu | Udržuje izolaci na úrovni enklávy a suverenitu dat. | Výchozí nastavení pro protokoly toku virtuální sítě |
Nastavení diagnostiky můžete nakonfigurovat prostřednictvím portálu Azure, rozhraní příkazového řádku nebo Bicep nebo šablon ARM během nebo po nasazení.
Important
Protokoly toků služby Virtual Network se ve výchozím nastavení vždy odesílají do pracovního prostoru specifického pro danou enklávu, aby bylo zajištěno zachování viditelnosti na úrovni sítě i v izolovaných prostředích.
Běžné scénáře pozorovatelnosti
| Scenario | Strategie protokolování |
|---|---|
| Řídicí panel stavu napříč enklávami | Odeslání diagnostiky ze všech enkláv do centralizovaného pracovního prostoru komunity Log Analytics |
| Regulovaná enkláva s přísnými kontrolami dat | Uchovávejte diagnostiku v pracovním prostoru Log Analytics specifickém pro enklávu |
| Dlouhodobé uchovávání pro účely auditu | Odeslání protokolů do účtu úložiště s nastavením uchovávání informací řízeným zásadami |
| Prošetření sítě nebo proaktivní vyhledávání hrozeb | Pomocí pracovního prostoru Enclave analyzujte výchozí protokoly toků ve virtuální síti |
Konfigurace skupin prostředků služby Network Watcher
Abyste se vyhnuli potenciálním problémům s vytvořením protokolu toku virtuální sítě , nastavte NetworkWatcherRG skupinu prostředků předem a přiřaďte Mission Enclave aplikaci Owner roli pro danou skupinu prostředků nebo před vytvořením prvního enkláva v předplatném ověřte, že k nastavení a přiřazení role došlo automaticky.
Aby se tento potenciální problém zmírnil, ručně vytvořte pro každé předplatné v nových předplatných skupinu prostředků NetworkWatcher s názvem NetworkWatcherRG a potom udělte aplikaci Azure Enclave Mission EnclaveOwner pro NetworkWatcherRG:
NetworkWatcherRGVyberte skupinu prostředků, vyberteAccess control (IAM), pak vyberteAddaAdd role assignment.
Vyberte
Privileged administrator roles, vyberteownera pak vyberteNext.
Vyberte
Select members, zadejteMission Enclavehledaný text a vyberteMission Enclaveaplikaci, vyberteSelecta pakNext.
Pokud vaše předplatné vyžaduje podmínku, vyberte
Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended)a pak vyberteReview + assign.
Po dokončení aktualizace můžete začít nasazovat prostředky Azure Enclave.
Když se vytvoří komunita nebo enkláva, Azure Enkláva se pokusí provést následující kroky:
- Zkontrolujte, jestli existuje
NetworkWatcherRG. Pokud ne, pokuste se vytvořit tuto skupinu prostředků. - Zkontrolujte, jestli aplikace
Mission Enclavemá trvaléOwnerpřiřazení naNetworkWatcherRG. Pokud ne, pokuste se aplikaciMission Enclavepřiřadit jako trvalé přiřazeníOwnernaNetworkWatcherRG. I když existuje zděděné oprávněníOwner, je proveden pokus o vytvoření trvalého přiřazeníOwner. - Pokud některý krok selže, nasazení enklávy může při pokusu o vytvoření protokolů toku virtuální sítě selhat.