Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Enklave bietet integrierte Observability-Funktionen zur Unterstützung sicherer, skalierbarer und zentralisierter Überwachung von unternehmenskritischen Umgebungen. Diese Funktionen helfen Community-Managern und Enklavenbesitzern, Compliance zu erzwingen, Anomalien zu untersuchen und die Betriebsintegrität über isolierte Workloads hinweg sicherzustellen.
Für Azure Enclave-Ressourcen sind standardmäßig Folgendes aktiviert:
- Der Log Analytics-Arbeitsbereich wird standardmäßig in der von der Community verwalteten Ressourcengruppe bereitgestellt.
- (Optional) Der Protokollanalyse-Arbeitsbereich wird in der verwalteten Ressourcengruppe der Enklave bereitgestellt.
- Das Speicherkonto wird in der Enclave Managed Resource Group bereitgestellt.
- Flowprotokolle virtueller Netzwerke für jede Enklave sind aktiviert, verweisen auf das Storage-Konto der Enklave und werden an den Community- und/oder Enklave-Protokollanalyse-Arbeitsbereich weitergeleitet.
- Diagnoseeinstellungen sind für Ressourcen aktiviert, die in sowohl von Community als auch von Enclave verwalteten Ressourcengruppen bereitgestellt werden.
Zentrale und isolierte Observability
Die Observability in Azure Enclave basiert auf einem Dual-Tier-Protokollierungsmodell, das sowohl die zentralisierte als auch die isolierte Diagnoseprotokollierung mithilfe von Azure Monitor, Log Analytics und Speicherkonten unterstützt.
Beobachtbarkeit auf Gemeinschaftsebene
Jede in Azure Enklave erstellte Community umfasst einen zentralen Log Analytics Arbeitsbereich. Dieser Arbeitsbereich wurde für Folgendes entwickelt:
- Aggregieren Sie Diagnosedaten und Metriken aus allen Enklaven in der Community.
- Stellen Sie einen einzigen Glasbereich zur Überwachung und Abfrage von Diagnose- und Ablaufprotokollen bereit.
- Unterstützen Sie Enklavenübergreifende Analysen, Warnungen und Compliance-Tracking.
Wenn die Community erstellt wird, wird der Arbeitsbereich automatisch erstellt. Der Arbeitsbereich kann als Diagnoseziel durch Enklaven- oder Workloadbesitzer während des Bereitstellungs- oder Aktualisierungsvorgangs ausgewählt werden. Der öffentliche Zugriff ist für den Community-Log-A-Arbeitsbereich deaktiviert, ist jedoch standardmäßig nicht netzwerkisoliert. Um den öffentlichen Zugriff oder die Netzwerkisolation zu konfigurieren, sollten Sie die Sicherheit privater Links hinzufügen.
Note
Diagnoseeinstellungen aus Enklavenressourcen (z. B. Workloads, öffentliche IPs oder Anwendungsgateways) können so konfiguriert werden, dass Protokolle an den zentralen Arbeitsbereich gesendet werden, um die einheitliche Überwachung zu unterstützen.
Beobachtbarkeit auf Enclave-Ebene
Zusätzlich zum Gemeinschaftsarbeitsbereich wird jede Enklave mit einem isolierten Log Analytics Arbeitsbereich bereitgestellt, der speziell für diese Enklave vorgesehen ist. Dieser Arbeitsbereich ist für Protokollierungsszenarien auf Enklavenebene optimiert und weist die folgenden Merkmale auf:
- Standardspeicherung von Flussprotokollen virtueller Netzwerke, die für jede Enklave automatisch aktiviert werden.
- Optionale Diagnoseeinstellungen für enklave-bezogene Ressourcen, z. B. interne Workloads und Netzwerkkomponenten.
- Entwickelt, um Isolations- oder regulatorische Anforderungen zu erfüllen, die eine enklavenübergreifende Protokollaggregation verhindern.
Administratoren können entscheiden, die Enklavendiagnose privat zu halten, indem Protokolle nur an diesen isolierten Arbeitsbereich gesendet werden.
Konfigurierbare Protokollierungsziele
Azure Enklave unterstützt flexible Protokollierungskonfigurationen, mit denen Ressourcenbesitzer wählen können:
| Protokollierungsziel | Purpose | Standardverwendung |
|---|---|---|
| Community-Log Analytics-Arbeitsbereich | Ermöglicht zentrale Überwachung und enklavenübergreifende Analysen | Fakultativ |
| Enklave Log Analytics Arbeitsbereich | Verwaltet Isolation auf Enklaveebene und Datenhoheit | Standard für Flowprotokolle virtueller Netzwerke |
Sie können Diagnoseeinstellungen über das Azure Portal, die CLI oder Bicep/ARM-Vorlagen während oder nach der Bereitstellung konfigurieren.
Important
Flowprotokolle virtueller Netzwerke werden standardmäßig an den enklavenspezifischen Arbeitsbereich gesendet, um sicherzustellen, dass die Sichtbarkeit auf Netzwerkebene auch in isolierten Umgebungen erhalten bleibt.
Häufige Szenarien zur Beobachtbarkeit
| Scenario | Protokollierungsstrategie |
|---|---|
| Enklavenübergreifendes Zustandsdashboard | Diagnosedaten aus allen Enklaven an den zentralisierten Community-Log Analytics-Arbeitsbereich senden |
| Regulierte Enklave mit strengen Datenkontrollen | Diagnosedaten im enklavenspezifischen Log Analytics-Arbeitsbereich behalten |
| Langfristige Aufbewahrung für Überwachungszwecke | Senden von Protokollen an ein Speicherkonto mit richtliniengesteuerten Aufbewahrungseinstellungen |
| Netzwerkuntersuchung oder Bedrohungssuche | Verwenden Sie den Enklaven-Arbeitsbereich zur Analyse von Standard-Flowprotokollen für virtuelle Netzwerke |
Konfigurieren von Network Watcher Ressourcengruppen
Um potenzielle Probleme mit der Erstellung des virtuellen Netzwerkflussprotokolls zu vermeiden, richten Sie die NetworkWatcherRG Ressourcengruppe manuell ein, und weisen Sie der Mission Enclave App die Owner Rolle für diese Ressourcengruppe zu, oder überprüfen Sie, ob die Einrichtung und Rollenzuweisung automatisch erfolgt ist, bevor Sie Ihre erste Enklave im Abonnement erstellen.
Um dieses potenzielle Problem abzumildern, erstellen Sie für jedes Abonnement manuell die NetworkWatcher-Ressourcengruppe mit dem Namen NetworkWatcherRG in neuen Abonnements und gewähren Sie dann der Mission Enclave Azure Enclave-App Owner für die NetworkWatcherRG:
Wählen Sie die
NetworkWatcherRGRessourcengruppe aus, wählen SieAccess control (IAM)und dannAddundAdd role assignmentaus.
Wählen Sie
Privileged administrator rolesaus, wählen Sieowneraus, und wählen Sie dannNextaus.
Wählen Sie
Select membersaus, geben SieMission Enclavein die Suche ein, und wählen Sie die AppMission Enclaveaus, wählen SieSelectund dannNext.
Falls für Ihr Abonnement eine Bedingung erforderlich ist, wählen Sie
Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended), und dannReview + assign.
Sobald das Update abgeschlossen ist, können Sie mit der Bereitstellung Azure Enklave-Ressourcen beginnen.
Wenn eine Community oder Enklave erstellt wird, versucht Azure Enklave die folgenden Schritte:
- Überprüfen Sie, ob
NetworkWatcherRGvorhanden ist. Wenn nicht, versuchen Sie, diese Ressourcengruppe zu erstellen. - Überprüfen Sie, ob die
Mission EnclaveApp eine dauerhafteOwnerZuweisung aufNetworkWatcherRGhat. Wenn nicht, versuchen Sie, dieMission EnclaveApp als dauerhafteOwnerZuweisung aufNetworkWatcherRGzuzuweisen. Auch wenn eine geerbteOwnerBerechtigung vorhanden ist, wird versucht, eine dauerhafteOwnerZuweisung zu erstellen. - Wenn ein Schritt fehlschlägt, können Enklavenbereitstellungen fehlschlagen, wenn Sie versuchen, virtuelle Netzwerkflussprotokolle zu erstellen.