Supervisión de componentes de la zona de aterrizaje de la plataforma de Azure
Supervise los componentes de la zona de aterrizaje de la plataforma de Azure para garantizar la disponibilidad, confiabilidad, seguridad y escalabilidad. La supervisión de los componentes permite a su organización lo siguiente:
- Detectar y resolver rápidamente problemas, optimizar el uso de recursos y solucionar proactivamente las amenazas de seguridad.
- Supervisar continuamente el rendimiento y el estado, lo que ayuda a su organización a minimizar el tiempo de inactividad, optimizar los costos y garantizar una operación eficaz.
- Facilitar el planeamiento de capacidad, lo que permite a su organización anticipar las necesidades de recursos y escalar la plataforma en consecuencia.
Supervisar los servicios de zona de aterrizaje de la plataforma para mantener un entorno estable y seguro, maximizar el rendimiento y satisfacer eficazmente las necesidades cambiantes de su negocio.
En el vídeo siguiente se analiza la solución que se describe en este artículo y se muestra cómo implementar Azure Monitor.
Guía de supervisión de la zona de aterrizaje de Azure
Las alertas de consulta de registro, registro de actividad y métricas de línea base están disponibles para los componentes de la plataforma de zona de aterrizaje y otros componentes de zona de aterrizaje seleccionados. Estas alertas garantizan alertas y supervisión coherentes para la zona de aterrizaje de Azure. Se basan en procedimientos recomendados por Microsoft para la supervisión proactiva, como la configuración de alertas, los umbrales y las notificaciones para la detección y respuesta oportuna ante problemas. Use las instrucciones siguientes para lograr visibilidad en tiempo real del rendimiento, el uso y la seguridad de la implementación de la zona de aterrizaje de la plataforma. Solucione de forma proactiva los problemas, optimice la asignación de recursos y garantice un entorno confiable y seguro.
Descargue un archivo Visio de esta arquitectura.
Los siguientes subconjuntos de componentes de Azure tienen definidas una o varias alertas:
- Azure ExpressRoute
- Azure Firewall
- Azure Virtual Network
- Azure Virtual WAN
- Área de trabajo de Log Analytics de Azure Monitor
- Zona DNS privada de Azure
- Azure Key Vault
- Máquina virtual de Azure
- Cuenta de Azure Storage
Para obtener más información, consulte Detalles de alerta.
Para asegurarse de que los recursos de la organización se supervisan y protegen correctamente, también debe configurar correctamente las alertas e implementar los procesos adecuados para responder a las alertas. Configure grupos de acciones con los canales de notificación adecuados y pruebe las alertas para asegurarse de que funcionan según lo previsto. De acuerdo con el principio de democratización de la suscripción de Cloud Adoption Framework, configure al menos un grupo de acciones para cada suscripción para que se notifique al personal pertinente sobre las alertas. Como forma mínima de notificación, el grupo de acciones debe incluir un canal de notificación por correo electrónico. Si usa reglas de procesamiento de alertas de Azure Monitor para enrutar alertas a uno o varios grupos de acciones, tenga en cuenta que las alertas de estado del servicio no admiten reglas de procesamiento de alertas. Configure las alertas de estado del servicio directamente con el grupo de acciones.
De acuerdo con los Principios de la zona de aterrizaje de Azure para la gobernanza controlada por directivas, hay disponible una solución de marco que proporciona una manera sencilla de escalar las alertas mediante Azure Policy. Estas directivas usan el efecto DeployIfNotExists para implementar reglas de alerta pertinentes, reglas de procesamiento de alertas y grupos de acciones al crear un recurso en el entorno de la zona de aterrizaje de Azure, tanto en servicios de plataforma como en zonas de aterrizaje.
Azure Policy proporciona una configuración de línea base predeterminada, pero puede configurar las directivas para satisfacer sus necesidades. Si necesita alertas sobre métricas diferentes de las que proporciona el repositorio, la solución proporciona un marco para desarrollar sus propias directivas para implementar reglas de alerta. Para obtener más información, consulte la Guía de colaborador de alertas de línea base de Azure Monitor (AMBA) e Introducción a una implementación de Azure Monitor. La solución se integra en la experiencia de instalación de la zona de aterrizaje de Azure, por lo que las nuevas implementaciones de la zona de aterrizaje de Azure ofrecen la oportunidad de configurar las alertas de línea base en el momento de la instalación.
Implemente alertas a través de directivas para proporcionar flexibilidad y escalabilidad, y para asegurarse de que las alertas se implementan dentro y fuera del ámbito de la zona de aterrizaje de Azure. Las alertas solo se implementan cuando se crean los recursos correspondientes, lo que evita costos innecesarios y garantiza configuraciones de alertas actualizadas en el momento de la implementación. Esta función coincide con el principio de zona de aterrizaje de Azure de gobernanza controlada por directivas.
Instrucciones de Brownfield
En un escenario de Brownfield, la organización tiene una implementación de zona de aterrizaje de Azure existente o la organización implementó Azure antes de que estuviera disponible una arquitectura de zona de aterrizaje de Azure.
En esta sección se describen los pasos generales para la supervisión de línea de base de la zona de aterrizaje de Azure si tiene una superficie de Azure existente, tanto si está alineada con las zonas de aterrizaje de Azure como si no.
Alineado con una zona de aterrizaje de Azure
Use este proceso si tiene una implementación de zona de aterrizaje de Azure existente y desea usar el enfoque controlado por directivas.
- Importe las directivas e iniciativas pertinentes desde el repositorio de AMBA.
- Asigne las directivas necesarias en su entorno.
- Corrija las directivas no conformes.
Para obtener más información sobre las directivas pertinentes para su entorno y los pasos para aplicarlas, consulte Determinación de la jerarquía de grupos de administración.
No alineado con una zona de aterrizaje de Azure
Use este proceso si tiene una implementación alineada de zona de aterrizaje que no es de Azure y desea usar el enfoque controlado por directivas.
- Importe las directivas e iniciativas pertinentes desde el repositorio de AMBA al grupo de administración más alto desde el que desea asignar las directivas.
- Asigne las directivas necesarias en su entorno.
- Corrija las directivas no conformes.
Para obtener más información sobre las directivas pertinentes para su entorno y los pasos para aplicarlas, consulte Determinación de la jerarquía de grupos de administración.
Probar el marco
Pruebe las directivas y las alertas antes de una implementación en producción para que pueda realizar lo siguiente:
- Asegúrese de que los recursos de la organización se supervisan y protegen correctamente.
- Identifique los problemas al principio para garantizar una funcionalidad adecuada, reducir el riesgo y mejorar el rendimiento.
- Detecte y corrija problemas antes de que sean más grandes. Evite falsos positivos o negativos y reduzca el riesgo de errores costosos.
- Optimice las configuraciones para mejorar el rendimiento y evitar problemas relacionados con el rendimiento en producción.
Las pruebas le ayudan a garantizar que las configuraciones de alertas y directivas cumplan los requisitos de su organización y cumplan las normativas y los estándares. Con las regulaciones vigentes, puede evitar infracciones de seguridad, infracciones de cumplimiento y otros riesgos que pueden tener consecuencias para su organización.
Las pruebas son un paso esencial en el desarrollo e implementación de configuraciones de alertas y directivas, y pueden ayudarle a garantizar la seguridad, confiabilidad y rendimiento de los recursos de la organización.
Para más información, consulte Enfoque de prueba para zonas de aterrizaje de Azure.
Nota:
Si implementa alertas mediante un enfoque diferente, como la infraestructura como código (IaC), por ejemplo, Azure Resource Manager, Bicep o Terraform, o a través del portal, las instrucciones para las alertas, gravedad y umbrales que se encuentra en el repositorio aún aplican para determinar qué reglas de alerta configurar y para las notificaciones.