Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, jak administrować infrastrukturą w chmurze platformy Azure w celu zapewnienia kondycji operacyjnej. Potrzebujesz silnej kontroli administracyjnej nad operacjami w chmurze, aby zapewnić, że chmura jest zgodna z celami biznesowymi.
Identyfikowanie zakresu zarządzania
Obowiązki związane z zarządzaniem różnią się w zależności od modelu wdrażania. Skorzystaj z poniższej tabeli, aby zidentyfikować obowiązki związane z zarządzaniem infrastrukturą (IaaS), platformą (PaaS), oprogramowaniem (SaaS) i wdrożeniami lokalnymi.
| Obszary administracyjne | Na miejscu | IaaS (Azure) | PaaS (Azure) | SaaS |
|---|---|---|---|---|
| Zmień | ✔️ | ✔️ | ✔️ | ✔️ |
| Bezpieczeństwo | ✔️ | ✔️ | ✔️ | ✔️ |
| Zgodność | ✔️ | ✔️ | ✔️ | ✔️ |
| Dane | ✔️ | ✔️ | ✔️ | ✔️ |
| Kod i środowisko uruchomieniowe | ✔️ | ✔️ | ✔️ | |
| Zasoby w chmurze | ✔️ | ✔️ | ✔️ | |
| Relokacja | ✔️ | ✔️ | ✔️ | |
| System operacyjny | ✔️ | ✔️ | ||
| Warstwa wirtualizacji | ✔️ | |||
| Sprzęt fizyczny | ✔️ |
Zarządzanie zmianami
Zmiana jest najczęstszym źródłem problemów w chmurze. W związku z tym potrzebne jest podejście do zarządzania zmianami, które śledzi zmiany i ich zatwierdzenia. Powinna również wykrywać niezatwierdzone zmiany i przywracać je do żądanego stanu. Wykonaj następujące kroki:
Opracuj proces żądania zmiany. Użyj formalnego systemu, takiego jak system biletowy, pull request (GitHub lub Azure DevOps) lub wyznaczone formularze. Proces żądania zmiany musi przechwytywać szczegóły klucza, takie jak typ zmiany, tożsamość żądającego, środowisko docelowe, zakres i przyczyna. Zachowaj oddzielne procedury rutynowych żądań obsługi, takich jak resetowanie haseł.
Oceń ryzyko związane ze zmianą. Przypisz jasne kategorie ryzyka (wysokie, średnie, niskie), aby zrównoważyć szybkość wdrażania za pomocą zarządzania ryzykiem. Oceń każdą zmianę zgodnie z kryteriami, takimi jak tolerancja przestojów (budżet na błędy) i krytyczne znaczenie obciążenia. Aby ułatwić określenie odpowiedniego przepływu pracy zatwierdzania, użyj poniższej tabeli jako przykładu:
Poziom ryzyka Wynagrodzenie za przestój Krytyczne znaczenie obciążenia Proces zatwierdzania Przykładowe zmiany Wysoki Brak dozwolonych przestojów Te zmiany wpływają na systemy o znaczeniu krytycznym, które wymagają ciągłej dostępności z zerową tolerancją dla przestojów. Przeglądy przez wielu starszych inżynierów, zautomatyzowane alerty potokowe, progresywny model ekspozycji i aktywne monitorowanie. Aktualizacje infrastruktury krytycznej Średni Dozwolony krótki przestój Te zmiany wpływają na ważne systemy z ograniczoną tolerancją przestoju. Automatyczny potok oznacza zmianę. Szybki przegląd przez inżynierów, jeśli monitorowanie wszczyna alarm. Niekrytyczne aktualizacje systemu, ulepszenia funkcji podczas krótkich okien obsługi Niski Dozwolony przestój Te zmiany mają wpływ na systemy niekrytyczne, w których dłuższy przestój jest akceptowalny bez wpływu na ogólne operacje. W pełni zautomatyzowane wdrażanie za pośrednictwem procesów CI/CD uruchamia testy wstępne i monitorowanie. Rutynowe aktualizacje, drobne aktualizacje zasad Zsyfikuj wyraźnie zatwierdzenie. Zdefiniuj kryteria zatwierdzania i uprawnienia wymagane na każdym poziomie ryzyka. Określ, kto musi przejrzeć każdą zmianę, niezależnie od tego, czy jest to osoba zatwierdzająca, czy rada przeglądu, i wyjaśnić, w jaki sposób recenzenci muszą przekazywać i rozwiązywać opinie.
Standaryzacja procesu wdrażania. Jasno przedstawiono procedury tworzenia, testowania i wdrażania zatwierdzonych zmian w środowisku produkcyjnym. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie zasobami w chmurze.
Standaryzacja procesu po wdrożeniu. Aby potwierdzić pomyślne zmiany, zaimplementuj kroki monitorowania i walidacji. Uwzględnij wyraźną strategię cofania zmian, aby szybko przywrócić usługę, jeśli zmiana wprowadza problemy.
Zapobiegaj nieautoryzowanym zmianom i wykrywaj je. Użyj analizy zmian , aby wykryć zmiany konfiguracji i wyjaśnić ich podstawowe przyczyny. Użyj Azure Policy do blokowania i audytowania zmian za pomocą efektów takich jak Deny, DenyAction, Audit i auditIfNotExists. Jeśli używasz Bicep, rozważ użycie stosów wdrożeniowych Bicep , aby zapobiec nieautoryzowanym zmianom.
Zarządzanie zabezpieczeniami
Tożsamość jest granicą Twojego bezpieczeństwa. Musisz zweryfikować tożsamości, ograniczyć uprawnienia i zachować bezpieczne konfiguracje zasobów. Wykonaj następujące kroki:
Zarządzanie tożsamościami. Użyj identyfikatora Entra firmy Microsoft jako ujednoliconego rozwiązania do zarządzania tożsamościami. Jasno zdefiniuj uprawnienia, stosując kontrolę dostępu opartą na rolach (RBAC). Za pomocą Microsoft Entra ID Governance można zarządzać przepływami pracy związanymi z żądaniami dostępu, przeglądami dostępu i zarządzaniem cyklem życia tożsamości. Włącz Privileged Identity Management, aby udzielić uprzywilejowanego dostępu w odpowiednim momencie. Ta strategia zmniejsza niepotrzebny podwyższony poziom dostępu. Spójnie zarządzaj wszystkimi trzema typami tożsamości (użytkownik, aplikacja, urządzenie), aby zapewnić odpowiednie uwierzytelnianie i autoryzację.
Zarządzanie dostępem. Użyj kontroli dostępu opartej na rolach (RBAC) platformy Azure i kontroli dostępu opartej na atrybutach (ABAC), aby udzielić najmniejszego uprawnienia do wykonania zadania. Aby ograniczyć obciążenie związane z zarządzaniem, preferuj przypisania ról na podstawie grup . Przyznaj uprawnienia w najniższym wymaganym zakresie , takich jak subskrypcje, grupy zasobów lub poszczególne zasoby. Unikaj nadmiernie szerokich zakresów uprawnień, aby zapobiec niezamierzonej eskalacji uprawnień. Przypisz tylko niezbędne uprawnienia dla roli każdego użytkownika.
Zarządzanie konfiguracjami zasobów. Użyj infrastruktury jako kodu (IaC), aby zapewnić spójną i powtarzalną konfigurację zasobów. Następnie użyj usługi Azure Policy , aby wymusić bezpieczne konfiguracje określonych usług platformy Azure. Aby uzyskać wskazówki dotyczące dostępnych możliwości zabezpieczeń i optymalnych konfiguracji zabezpieczeń, zapoznaj się z Podstawami zabezpieczeń. Jako funkcja dodatku użyj zasad zabezpieczeń w usłudze Defender for Cloud , aby dopasować je do typowych standardów zabezpieczeń.
Zarządzanie uwierzytelnianiem. Upewnij się, że użytkownicy przyjmują silne uwierzytelnianie za pośrednictwem uwierzytelniania wieloskładnikowego (MFA) i używają uwierzytelniania wieloskładnikowego (MFA) firmy Microsoft. Zawsze wymagaj dostępu warunkowego , aby wymusić uwierzytelnianie na podstawie tożsamości użytkownika, kondycji urządzenia i kontekstu dostępu. Konfigurowanie samoobsługowego resetowania hasła i eliminowanie słabych haseł.
Zarządzanie informacjami o zabezpieczeniach. Użyj usługi Microsoft Sentinel do zarządzania informacjami o zabezpieczeniach, a nawet zarządzania (SIEM) oraz orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR).
Kontrolowanie zabezpieczeń obciążeń. Aby uzyskać zalecenia dotyczące zabezpieczeń obciążeń, zobacz listę kontrolną zabezpieczeń platformy Well-Architected Framework i przewodniki dotyczące usług platformy Azure (zacznij od sekcji Zabezpieczenia).
Zarządzanie zgodnością
Zarządzanie zgodnością zapewnia, że operacje platformy Azure pozostają zgodne z ustalonymi zasadami ładu i standardami prawnymi. Należy zmniejszyć ryzyko, chroniąc środowisko przed potencjalnymi naruszeniami i błędami konfiguracji. Wykonaj następujące kroki:
Omówienie zasad ładu. Zasady ładu definiują ograniczenia wysokiego poziomu, które muszą być przestrzegane przez zespoły, aby zachować zgodność. Przejrzyj zasady organizacji i zamapuj każde wymaganie na procesy operacyjne. Jeśli nie masz zasad zarządzania, najpierw udokumentuj zasady zarządzania.
Zarządzanie zgodnością. Wymuszanie zgodności zapewnia, że środowisko pozostaje zgodne zarówno ze standardami organizacyjnymi, jak i prawnymi. Zapoznaj się z poniższą tabelą, aby zapoznać się z zaleceniami dotyczącymi zasad.
Zalecenie Szczegóły Rozpoczynanie pracy z ogólnymi definicjami zasad Zacznij od ogólnych definicji usługi Azure Policy, w tym dozwolonych lokalizacji, niedozwolonych typów zasobów i przeprowadź inspekcję niestandardowych ról RBAC. Zgodny ze standardami regulacyjnymi Używaj bezpłatnych, wbudowanych definicji usługi Azure Policy dostosowanych do standardów regulacyjnych, takich jak ISO 27001, NIST SP 800-53, PCI DSS, RODO
Aby uzyskać więcej informacji, zobacz Wymuszanie zgodności na platformie Azure.
Zarządzanie danymi
Zarządzanie danymi w operacjach w chmurze obejmuje aktywne klasyfikowanie, segmentowanie, zabezpieczanie dostępu i ochronę przed usunięciem. Należy zabezpieczyć poufne informacje, zachować zgodność i zapewnić niezawodność danych podczas zmian operacyjnych. Wykonaj następujące kroki:
Odnajdywanie i klasyfikowanie danych. Identyfikowanie i kategoryzowanie danych zgodnie z poufnością i ważnością. Ta klasyfikacja wskazuje dostosowane kontrole dla każdego typu danych. Użyj Microsoft Purview do zarządzania danymi. Aby uzyskać więcej informacji, zobacz Źródła danych łączące się z mapą danych usługi Microsoft Purview.
Kontrolowanie miejsca przechowywania danych. Wybierz regiony w swojej lokalizacji geograficznej, takie jak Stany Zjednoczone lub Europa, aby spełnić wymagania dotyczące rezydencji danych. Sprawdź wszelkie wyjątki, ponieważ niektóre usługi platformy Azure mogą przechowywać dane poza wybranym regionem. Regularnie przeglądaj ustawienia rezydencji danych platformy Azure i wymagania dotyczące zgodności, aby zachować pełną kontrolę nad danymi klientów.
Izolowanie obciążeń wewnętrznych ("Corp") i internetowych ("Online"). Użyj grup zarządzania, aby oddzielić obciążenia wewnętrzne i zewnętrzne. Obciążenia wewnętrzne zwykle wymagają łączności lub łączności hybrydowej z siecią firmową. Obciążenia zewnętrzne zwykle nie wymagają łączności z siecią firmową i mogą wymagać bezpośredniego dostępu przychodzącego lub wychodzącego do Internetu. Na przykład przejrzyj grupy zarządzania "Corp" (wewnętrzne) i "Online" (dostępne z Internetu) w strefie docelowej platformy Azure.
Wymuś kontrolę dostępu. Zaimplementuj niezawodne mechanizmy kontroli dostępu, takie jak Azure RBAC i Azure ABAC, aby zapewnić dostęp do poufnych danych wyłącznie autoryzowanemu personelowi, na bazie ustalonych klasyfikacji.
Ochrona danych przed usunięciem. Użyj funkcji, takich jak usuwanie nietrwałe, przechowywanie wersji danych i niezmienność, jeśli są dostępne. Zaimplementuj przechowywanie wersji bazy danych i przygotuj procedury wycofywania. Użyj usługi Azure Policy, aby odmówić usuwania magazynów danych z efektami Deny i DenyAction lub zbadaj zmiany za pomocą efektów Audit i auditIfNotExists jakichkolwiek zmian. Jeśli używasz Bicep, rozważ użycie stosów wdrożeniowych Bicep , aby zapobiec nieautoryzowanym zmianom. Używaj blokad zasobów jedynie, aby ściśle zapobiec niezamierzonym modyfikacjom lub usunięciom krytycznych danych. Unikaj używania blokad zasobów w celu ochrony konfiguracji, ponieważ blokady zasobów komplikują wdrożenia IaC.
Zarządzanie danymi obciążenia. Zobacz zalecenia platformy Well-Architected Framework dotyczące klasyfikacji danych.
Aby uzyskać więcej informacji, zobacz Egzekwowanie zarządzania danymi.
Zarządzanie kosztami
Zarządzanie kosztami w operacjach w chmurze oznacza śledzenie wydatków aktywnie zarówno centralnie, jak i na obciążenie. Kontrola kosztów powinna zapewnić wgląd w wydatki i zachęcić do odpowiedzialnych wydatków. Wykonaj następujące kroki:
Zarządzanie kosztami i ich przeglądanie. Użyj narzędzi Microsoft Cost Management, aby monitorować koszty chmury. Platforma Azure nie ma mechanizmu obejmującego całą subskrypcję, aby ograniczyć wydatki na określony próg. Niektóre usługi, takie jak obszar roboczy usługi Azure Log Analytics, mają limity wydatków. Strategia monitorowania kosztów służy jako podstawowe narzędzie do zarządzania kosztami.
Zarządzanie kosztami obciążeń. Udzielanie dostępu do rozliczeń zespołom ds. obciążeń. Upewnij się, że zespoły korzystają z listy kontrolnej optymalizacji kosztów Well-Architected Framework.
Zarządzanie kodem i środowiskiem uruchomieniowym
Zarządzanie kodem i środowiskiem uruchomieniowym to obowiązki związane z obciążeniem. Zespoły ds. obciążeń korzystają z listy kontrolnej doskonałości operacyjnej platformy Well-Architected Framework, która zawiera 12 zaleceń dotyczących kontrolowania kodu i środowiska uruchomieniowego.
Zarządzanie zasobami w chmurze
Ustanów jasne protokoły wdrażania oraz proaktywne strategie wykrywania dryfu i rozrastania, aby zachować spójność w różnych środowiskach. W tej sekcji opisano:
- Wdrożenia portalu
- Wdrożenia kodu
- Dryf konfiguracji
- Rozrastanie zasobów
Zarządzanie wdrożeniami portalu
Zdefiniuj protokoły i limity dla wdrożeń portalu, aby zminimalizować potencjał problemów produkcyjnych. Wykonaj następujące kroki:
Zdefiniuj zasady wdrażania portalu. Upewnij się, że istotne zmiany oparte na portalu są zgodne z ustalonymi procesami zarządzania zmianami. Wdrożenia portalu służą przede wszystkim do szybkiego tworzenia prototypów, rozwiązywania problemów lub drobnych korekt w środowiskach deweloperskich i testowych. Unikaj zmian portalu bez struktury, ponieważ te zmiany prowadzą do dryfu, błędów konfiguracji i problemów ze zgodnością. Zamiast tego opieraj się na kontrolowanych wersjach szablonów infrastruktury jako kodu (IaC) dla zapewnienia spójności. Aby uzyskać więcej informacji, zobacz Zarządzanie wdrożeniami kodu.
Rozróżnianie środowisk. Ogranicz zmiany oparte na portalu ściśle do środowisk nieprodukcyjnych. Zezwalaj na szybkie tworzenie prototypów wyłącznie w dedykowanych środowiskach deweloperskich lub testowych i wymuszaj rygorystyczne mechanizmy kontroli w środowisku produkcyjnym.
Ogranicz uprawnienia portalu. Ogranicz możliwości wdrażania z portalu przy użyciu kontroli dostępu opartej na rolach (RBAC). Przypisz uprawnienia tylko do odczytu domyślnie i eskaluj uprawnienia tylko w razie potrzeby.
Udziel dostępu just-in-time. Użyj usługi Privileged Identity Management (PIM), aby uzyskać dostęp do zasobów platformy Azure i Microsoft Entra. Wymagaj sekwencyjnych zatwierdzeń od wielu osób lub grup w celu aktywowania usługi PIM. Zarezerwuj uprzywilejowane role administracyjne ("role superadministratora A0") wyłącznie dla scenariuszy awaryjnych.
Kontrola dostępu oparta na rolach w modelu operacyjnym. Projektuj zasady RBAC dostosowane do zespołów operacyjnych, w tym poziomów pomocy technicznej, operacji zabezpieczeń, platform, sieci i obciążeń.
Przeprowadź inspekcję wszystkich działań. Monitoruj i rejestruj wszystkie akcje w systemie. Użyj usługi Azure Policy do audytowania zmian (Audit lub auditIfNotExists). Ponadto skonfiguruj alert w usłudze Azure Monitor , aby powiadamiać uczestników projektu, gdy ktoś usunie zasób platformy Azure. Jeśli używasz Bicep, rozważ użycie stosów wdrożeniowych Bicep , aby zapobiec nieautoryzowanym zmianom.
Użyj szablonów kontrolowanych wersjami. Ogranicz użycie portalu do scenariuszy awaryjnych w przypadku korzystania z wdrożeń IaC. Zmiany w portalu powodują odchylenie konfiguracji od szablonów IaC. Replikuj wszystkie zmiany oparte na portalu w szablonach IaC kontrolowanych przez wersję, takich jak szablony Bicep, Terraform lub ARM natychmiast. Regularnie eksportuj konfiguracje zasobów platformy Azure i przechowuj je jako IaC, aby zachować środowiska produkcyjne dopasowane do zatwierdzonych, możliwych do śledzenia konfiguracji. Zobacz wskazówki dotyczące eksportowania konfiguracji platformy Azure jako Bicep, Terraform lub szablonów ARM. Rozważ specyfikacje szablonów w przypadku korzystania z szablonów ARM.
Narzędzie Przypadek użycia Biceps Możliwość zarządzania, czytelna IaC specyficzna dla platformy Azure Terraform Wielochmurowe rozwiązanie, szersza obsługa społeczności Szablony ARM Pełna kontrola, wygodna z JSON
Zarządzanie wdrożeniami kodu
Zastosuj najlepsze rozwiązania dotyczące automatyzowania i kontrolowania zmian w kodzie i infrastrukturze. Wykonaj następujące kroki:
Standaryzacja narzędzi. Użyj spójnego zestawu narzędzi, aby zminimalizować przełączanie kontekstu. Wybierz narzędzia deweloperskie (VS Code, Visual Studio), repozytorium kodu (GitHub, Azure DevOps), potok ciągłej integracji/ciągłego wdrażania (GitHub Actions, Azure Pipelines) i rozwiązanie IaC (szablony Bicep, Terraform lub ARM ), które współpracują ze sobą.
Użyj kontroli wersji. Zachowaj jedno źródło prawdy dla kodu. Użyj kontroli wersji, aby zmniejszyć dryf konfiguracji i uprościć procedury wycofywania.
Użyj ścieżek wdrażania.Potok CI/CD automatyzuje proces kompilacji, uruchamia testy i skanuje kod pod kątem problemów z jakością i zabezpieczeniami dla każdego żądania ściągnięcia. Użyj funkcji GitHub Actions lub usługi Azure Pipelines , aby skompilować i wdrożyć kod aplikacji oraz pliki IaC. Egzekwowanie haczyków przed zatwierdzeniem i automatycznych skanów w celu wczesnego wychwytywania nieautoryzowanych lub zmian wysokiego ryzyka.
Wdrożenia testowe. Zatwierdzaj etapy w potokach CI/CD, aby stopniowo weryfikować wdrożenia. Postępuj zgodnie z następującą sekwencją: rozwój, weryfikacja kompilacji, testy integracji, testy wydajnościowe, testowanie akceptacji użytkownika (UAT), testowanie na środowisku testowym, wydania kanaryjskie, przedprodukcyjne i na koniec produkcja.
Użyj infrastruktury jako kodu (IaC). Użyj IaC, aby zapewnić spójność wdrożeń i zarządzać nimi za pomocą kontroli wersji. Przejdź z portalu Azure opartych na dowodach koncepcji do IaC dla środowisk produkcyjnych. Użyj szablonów Bicep, Terraform lub ARM , aby zdefiniować zasoby. W przypadku Bicep użyj modułów i rozważ wdrażanie stosów . W przypadku szablonu ARM należy wziąć pod uwagę specyfikacje szablonu dla wdrożenia w wersji.
Stosowanie najlepszych rozwiązań dotyczących repozytorium kodu. Przestrzeganie tych standardów zmniejsza błędy, usprawnia przeglądy kodu i unika problemów z integracją. W przypadku środowisk produkcyjnych o wysokim priorytcie:
Wymaganie Opis Wyłącz bezpośrednie przesyłanie Zablokuj bezpośrednie zatwierdzenia w gałęzi głównej Wymagaj pull requestów Wymagaj, aby wszystkie zmiany przechodziły przez żądanie ściągnięcia Wymaganie przeglądów kodu Upewnij się, że ktoś inny niż sam autor przegląda każde pull request. Egzekwowanie progów pokrycia kodu Upewnij się, że minimalny procent kodu przechodzi testy automatyczne dla wszystkich żądań ściągnięcia Użyj potoków weryfikacji Skonfiguruj reguły ochrony gałęzi, aby uruchomić potok walidacyjny dla żądań ściągnięcia. Wymagaj kontroli dołączania zespołu ds. obciążeń. Sprawdź, czy nowe bazy kodu i zespoły są zgodne z celami biznesowymi, standardami i najlepszymi rozwiązaniami. Użyj listy kontrolnej, aby potwierdzić strukturę repozytorium kodu, standardy nazewnictwa, standardy kodowania oraz konfiguracje pipeline'ów CI/CD.
Zarządzanie odchyleniem konfiguracji
Zarządzaj dryfem konfiguracji przez identyfikowanie i poprawianie rozbieżności między docelową konfiguracją a środowiskiem produkcyjnym. Postępuj zgodnie z następującymi najlepszymi rozwiązaniami:
Zapobiegaj zmianom i wykrywaj je. Użyj analizy zmian , aby wykryć zmiany konfiguracji i wyjaśnić ich podstawowe przyczyny. Użyj Azure Policy do blokowania i audytowania zmian za pomocą efektów takich jak Deny, DenyAction, Audit i auditIfNotExists. Jeśli używasz Bicep, rozważ użycie stosów wdrożeniowych Bicep , aby zapobiec nieautoryzowanym zmianom.
Wykrywanie dryfu konfiguracji IaC. Dryf występuje, gdy ktoś aktualizuje plik IaC (zamierzony, niezamierzony) lub wprowadza zmianę w witrynie Azure Portal. Regularnie porównuj środowisko na żywo z żądaną konfiguracją, aby wykryć dryf:
Przechowuj żądane i ostatnie znane dobre konfiguracje. Zapisz żądany plik konfiguracji w repozytorium kontrolowanym przez wersję. Ten plik przedstawia oryginalną, przeznaczoną konfigurację. Zachowaj ostatnio znaną dobrą konfigurację jako niezawodne odniesienie do przywracania i bazową wartość odniesienia do wykrywania dryfu.
Wykryj dryf konfiguracji przed wdrożeniem. Przejrzyj potencjalne zmiany przed wdrożeniem przy użyciu planu Terraform, Bicep what-if, lub szablonu usługi ARM what-if. Dokładnie zbadaj rozbieżności, aby upewnić się, że proponowane zmiany są zgodne z żądanym stanem.
Wykrywanie dryfu po wdrożeniu. Regularnie porównuje środowiska na żywo z żądanymi konfiguracjami za pomocą regularnych kontroli dryfu. Zintegruj te sprawdzenia z potokami ciągłej integracji/ciągłego wdrażania lub przeprowadź je ręcznie w celu utrzymania spójności. Zobacz przykład z usługami Azure Policy i Azure Pipelines.
Przywracanie do ostatniej znanej dobrej konfiguracji. Opracuj przejrzyste strategie przywracania, wykorzystujące zautomatyzowane procedury w potoku ciągłej integracji/ciągłego wdrażania. Skorzystaj z ostatniej znanej dobrej konfiguracji, aby szybko przywrócić niepożądane zmiany i zminimalizować przestoje.
Zminimalizuj zmiany oparte na portalu. Zminimalizuj zmiany inne niż IaC, ograniczając je tylko do scenariuszy awaryjnych. Wymuszaj ścisłe mechanizmy kontroli dostępu, takie jak Privileged Identity Management. Należy szybko zaktualizować pliki IaC, jeśli konieczne jest ręczne dostosowanie w celu zachowania dokładności żądanej konfiguracji.
Zarządzanie rozprzestrzenianiem się zasobów
Rozrastanie zasobów opisuje niekontrolowany wzrost zasobów w chmurze. Ten wzrost zwiększa koszty, zagrożenia bezpieczeństwa i złożoność zarządzania. Wykonaj następujące kroki:
Implementowanie zasad ładu. Użyj usługi Azure Policy , aby wymusić standardy aprowizacji zasobów i tagowania w całej organizacji. Utwórz wyraźną strategię nazewnictwa , aby ułatwić widoczność zasobów.
Organizuj zasoby efektywnie. Strukturyzuj zasoby hierarchicznie z grupami zarządzania i subskrypcjami dostosowanymi do potrzeb organizacji. Ta struktura zwiększa widoczność i zarządzanie zasobami. Zapoznaj się ze wskazówkami dotyczącymi strefy docelowej platformy Azure , aby uzyskać sprawdzone najlepsze rozwiązania.
Ogranicz uprawnienia do wdrożeń. Zaimplementuj najlepsze praktyki dotyczące kontroli dostępu opartej na rolach (RBAC), opisane w dokumentacji Azure RBAC i Microsoft Entra RBAC. Przypisz odpowiednie uprawnienia do użytkowników. Użyj ról czytelnika, aby zminimalizować ryzyko tworzenia nieautoryzowanych zasobów.
Przeprowadzanie regularnych inspekcji. Użyj usługi Azure Advisor , aby zidentyfikować nieużywane lub nieużywane zasoby platformy Azure. Użyj usługi Cost Management , aby przeanalizować wydatki na chmurę i usunąć oddzielone zasoby powodujące niepotrzebne koszty. Pamiętaj, że nie wszystkie zasoby platformy Azure generują opłaty. Uruchamianie zapytań w usłudze Azure Resource Graph w celu zachowania dokładnego spisu zasobów.
Zarządzanie relokacją
Okresowo oceniaj bieżące regiony platformy Azure, aby określić, czy przenoszenie obciążeń w innym miejscu poprawia wydajność, zmniejsza koszty lub zwiększa wydajność.
Informacje o sterownikach relokacji. Zrozumienie czynników relokacji zapewnia, że każda relokacja ma prawidłowe uzasadnienie biznesowe, biorąc pod uwagę, że relokacja wiąże się z ryzykiem i kosztami. Typowe uzasadnienia biznesowe dla relokacji obejmują ekspansję biznesową, wymagania dotyczące zgodności z przepisami i bliskość użytkowników końcowych.
Zarządzanie ryzykiem relokacji. Zarządzanie ryzykiem relokacji zapobiega zakłóceniom i utrzymuje zgodność. Zdefiniuj akceptowalne okna przestojów, przekaż wpływ uczestnikom projektu i zapewnij przestrzeganie zasad organizacyjnych i przepisów branżowych.
Zarządzanie kosztami relokacji. Zarządzanie kosztami relokacji uniemożliwia niepotrzebne wydatki podczas migracji. Transferowanie danych raz, usuwanie zduplikowanych środowisk i porównywanie regionalnych cen platformy Azure. Zapoznaj się z cennikiem przepustowości platformy Azure.
Zarządzaj projektami relokacji. Małe zespoły powinny migrować obciążenia pojedynczo w sposób ukierunkowany. Duże zespoły powinny jednocześnie przenosić wiele obciążeń, aby osiągnąć wydajność dzięki skoordynowanemu planowaniu.
Aby uzyskać więcej informacji, zobacz Przenoszenie obciążeń.
Zarządzanie systemami operacyjnymi
W przypadku korzystania z maszyn wirtualnych należy również zarządzać systemem operacyjnym. Wykonaj następujące kroki:
Automatyzowanie konserwacji maszyny wirtualnej. Na platformie Azure użyj narzędzi automatyzacji , aby tworzyć maszyny wirtualne platformy Azure i zarządzać nimi. Użyj usługi Azure Machine Configuration , aby przeprowadzić inspekcję lub skonfigurować ustawienia systemu operacyjnego jako kod dla maszyn działających na platformie Azure i w środowisku hybrydowym.
Aktualizowanie systemów operacyjnych. Należy zarządzać aktualizacjami gościa i konserwacją hosta , aby upewnić się, że systemy operacyjne są aktualne w celach bezpieczeństwa.
Monitorowanie operacji w systemie gościa. Użyj usługi Azure Change Tracking and Inventory, aby ulepszyć inspekcję i zarządzanie dotyczące operacji w systemie gościa. Monitoruje zmiany i udostępnia szczegółowe dzienniki spisu serwerów na platformie Azure, lokalnie i w innych środowiskach w chmurze.
Narzędzia do zarządzania platformą Azure
| Kategoria | Narzędzie | Opis |
|---|---|---|
| Zarządzanie zmianami | analiza zmian | Wykrywa zmiany konfiguracji i wyjaśnia ich podstawowe przyczyny |
| Zarządzanie zmianami | Azure Policy | Wymusza, przeprowadza inspekcję lub uniemożliwia modyfikacje zasobów w chmurze |
| Zarządzanie zmianami | Stosy wdrażania Bicep | Zapobiega nieautoryzowanym zmianom. |
| Zarządzanie zabezpieczeniami | Punkty odniesienia zabezpieczeń platformy Azure | Zawiera wskazówki dotyczące dostępnych możliwości zabezpieczeń i optymalnych konfiguracji zabezpieczeń |
| Zarządzanie zabezpieczeniami | Filar zabezpieczeń dobrze zaprojektowanej struktury | Wskazówki dotyczące zabezpieczeń w projektowaniu obciążeń |
| Zarządzanie zabezpieczeniami | Przewodniki dotyczące usług platformy Azure (zacznij od sekcji Zabezpieczenia) | Zalecenia dotyczące konfiguracji zabezpieczeń dla usług platformy Azure |
| Zarządzanie zabezpieczeniami | Microsoft Entra ID | Zapewnia ujednolicone zarządzanie tożsamościami |
| Zarządzanie zabezpieczeniami | Defender for Cloud | Dopasowuje konfiguracje zasobów do standardów zabezpieczeń |
| Zarządzanie zabezpieczeniami | Microsoft Sentinel | Zapewnia informacje o zabezpieczeniach, a nawet zarządzanie (SIEM) oraz aranżację zabezpieczeń, automatyzację i reagowanie (SOAR) |
| Zarządzanie zabezpieczeniami | Kontrola dostępu oparta na rolach platformy Azure (RBAC) | Udziela bezpiecznego dostępu przy użyciu przypisań opartych na rolach |
| Zarządzanie zabezpieczeniami | Azure ABAC | Udziela bezpiecznego dostępu na podstawie warunków atrybutów |
| Zarządzanie zabezpieczeniami | Zarządzanie identyfikatorami Microsoft Entra | Zarządzanie przepływami pracy związanymi z dostępem i cyklem życia tożsamości |
| Zarządzanie zabezpieczeniami | Privileged Identity Management | Oferuje uprzywilejowany dostęp w samą porę |
| Zarządzanie zabezpieczeniami | Microsoft Entra MultiFactor Authentication (MFA) | Wymusza silne uwierzytelnianie wieloskładnikowe |
| Zarządzanie zabezpieczeniami | Dostęp warunkowy | Wymusza uwierzytelnianie oparte na kontekście |
| Zarządzanie zabezpieczeniami | Samoobsługowe resetowanie hasła | Zezwala na bezpieczne resetowanie haseł użytkownika |
| Zarządzanie zgodnością | Azure Policy | Wymusza standardy i zabezpiecza konfiguracje zasobów |
| Zarządzanie danymi | Microsoft Purview | Zarządza danymi poufnymi i klasyfikuje je |
| Zarządzanie danymi | Azure Policy | Uniemożliwia lub przeprowadza inspekcję niezamierzonych modyfikacji lub usuwania zasobów |
| Zarządzanie danymi | Blokady zasobów | Zapobiega niezamierzonym modyfikacjom lub usunięciom |
| Zarządzanie kosztami | Monitorowanie kosztów | Monitorowanie jest niezbędne do zarządzania kosztami chmury |
| Zarządzanie zasobami w chmurze | Azure Policy | Wymusza, przeprowadza inspekcję lub uniemożliwia modyfikacje zasobów w chmurze |
| Zarządzanie zasobami w chmurze (wdrożenia portalu) | Eksport szablonu ARM | Eksportuje konfiguracje zasobów jako szablony IaC |
| Zarządzanie zasobami w chmurze (wdrożenia portalu) | Alerty usługi Azure Monitor | Powiadamia uczestników projektu o zmianach zasobów |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Biceps | Zarządza infrastrukturą jako kodem dla zasobów platformy Azure |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Stosy wdrażania Bicep | Obsługuje wdrożenia kontrolowane przez wersję i zapobiega nieautoryzowanym zmianom |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Terraform | Zarządza infrastrukturą wielochmurową jako kodem |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Szablony ARM | Definiuje i wdraża zasoby platformy Azure przy użyciu szablonów |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Specyfikacje szablonów ARM | Wersjonuje i zarządza szablonami ARM dla konsystencji |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | GitHub Actions | Automatyzuje procesy kompilacji, testowania i wdrażania |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Azure Pipelines | Automatyzuje procesy kompilowania i wdrażania |
| Zarządzanie odchyleniem | Azure Policy | Wymusza, przeprowadza inspekcję lub uniemożliwia modyfikacje zasobów w chmurze |
| Zarządzanie odchyleniem | analiza zmian | Wykrywa i wyjaśnia zmiany konfiguracji |
| Zarządzanie odchyleniem | Bicep co by było, gdyby | Podgląd potencjalnych zmian konfiguracji |
| Zarządzanie odchyleniem | Plan Terraform | Podgląd potencjalnych zmian przed wdrożeniem programu Terraform |
| Zarządzanie odchyleniem | Szablon ARM — analiza "co jeśli" | Podgląd potencjalnych zmian konfiguracji |
| Zarządzanie systemami operacyjnymi | Konfiguracja maszyny platformy Azure | Przeprowadza inspekcję i konfigurację ustawień systemu operacyjnego w formie kodu |
| Zarządzanie systemami operacyjnymi | Usługa Azure Change Tracking i inwentaryzacja | Monitoruje i rejestruje zmiany w systemach operacyjnych |
| Zarządzanie systemami operacyjnymi | Narzędzia automatyzacji | Automatyzowanie konserwacji maszyny wirtualnej |
Następne kroki
Lista kontrolna zarządzania CAF