Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, jak administrować infrastrukturą w chmurze Azure w celu zapewnienia kondycji operacyjnej. Potrzebujesz silnej kontroli administracyjnej nad operacjami w chmurze, aby zapewnić, że chmura jest zgodna z celami biznesowymi.
Identyfikowanie zakresu zarządzania
Obowiązki związane z zarządzaniem różnią się w zależności od modelu wdrażania. Skorzystaj z poniższej tabeli, aby zidentyfikować obowiązki związane z zarządzaniem infrastrukturą (IaaS), platformą (PaaS), oprogramowaniem (SaaS) i wdrożeniami lokalnymi.
| Obszary administracyjne | Na miejscu | IaaS (Azure) | PaaS (Azure) | SaaS |
|---|---|---|---|---|
| Zmień | ✔️ | ✔️ | ✔️ | ✔️ |
| Bezpieczeństwo | ✔️ | ✔️ | ✔️ | ✔️ |
| Zgodność | ✔️ | ✔️ | ✔️ | ✔️ |
| Dane | ✔️ | ✔️ | ✔️ | ✔️ |
| Kod i środowisko uruchomieniowe | ✔️ | ✔️ | ✔️ | |
| Zasoby w chmurze | ✔️ | ✔️ | ✔️ | |
| Relokacja | ✔️ | ✔️ | ✔️ | |
| System operacyjny | ✔️ | ✔️ | ||
| Warstwa wirtualizacji | ✔️ | |||
| Sprzęt fizyczny | ✔️ |
Zarządzanie zmianami
Zmiana jest najczęstszym źródłem problemów w chmurze. W związku z tym potrzebne jest podejście do zarządzania zmianami, które śledzi zmiany i ich zatwierdzenia. Powinna również wykrywać niezatwierdzone zmiany i przywracać je do żądanego stanu. Wykonaj następujące kroki:
Rozwiń proces żądania zmiany. Użyj systemu formalnego, takiego jak narzędzie do obsługi biletów, żądanie ściągnięcia (GitHub lub Azure DevOps) lub wyznaczone formularze. Proces żądania zmiany musi przechwytywać szczegóły klucza, takie jak typ zmiany, tożsamość żądającego, środowisko docelowe, zakres i przyczyna. Zachowaj oddzielne procedury rutynowych żądań obsługi, takich jak resetowanie haseł.
Oceń ryzyko związane ze zmianą. Przypisz jasne kategorie ryzyka (wysokie, średnie, niskie), aby zrównoważyć szybkość wdrażania za pomocą zarządzania ryzykiem. Oceń każdą zmianę zgodnie z kryteriami, takimi jak tolerancja przestojów (budżet na błędy) i krytyczne znaczenie obciążenia. Aby ułatwić określenie odpowiedniego przepływu pracy zatwierdzania, użyj poniższej tabeli jako przykładu:
Poziom ryzyka Wynagrodzenie za przestój Krytyczne znaczenie obciążenia Proces zatwierdzania Przykładowe zmiany Wysoki Brak dozwolonych przestojów Te zmiany wpływają na systemy o znaczeniu krytycznym, które wymagają ciągłej dostępności z zerową tolerancją dla przestojów. Przeglądy przez wielu starszych inżynierów, zautomatyzowane alerty potokowe, progresywny model ekspozycji i aktywne monitorowanie. Aktualizacje infrastruktury krytycznej Średni Dozwolony krótki przestój Te zmiany wpływają na ważne systemy z ograniczoną tolerancją przestoju. Automatyczny potok oznacza zmianę. Szybki przegląd przez inżynierów, jeśli monitorowanie wszczyna alarm. Niekrytyczne aktualizacje systemu, ulepszenia funkcji podczas krótkich okien obsługi Niski Dozwolony przestój Te zmiany mają wpływ na systemy niekrytyczne, w których dłuższy przestój jest akceptowalny bez wpływu na ogólne operacje. W pełni zautomatyzowane wdrażanie za pośrednictwem procesów CI/CD uruchamia testy wstępne i monitorowanie. Rutynowe aktualizacje, drobne aktualizacje zasad Zsyfikuj wyraźnie zatwierdzenie. Zdefiniuj kryteria zatwierdzania i uprawnienia wymagane na każdym poziomie ryzyka. Określ, kto musi przejrzeć każdą zmianę, niezależnie od tego, czy jest to osoba zatwierdzająca, czy rada przeglądu, i wyjaśnić, w jaki sposób recenzenci muszą przekazywać i rozwiązywać opinie.
Standaryzacja procesu wdrażania. Jasno przedstawiono procedury tworzenia, testowania i wdrażania zatwierdzonych zmian w środowisku produkcyjnym. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie zasobami w chmurze.
Standaryzacja procesu po wdrożeniu. Aby potwierdzić pomyślne zmiany, zaimplementuj kroki monitorowania i walidacji. Uwzględnij wyraźną strategię cofania zmian, aby szybko przywrócić usługę, jeśli zmiana wprowadza problemy.
Zapobiegaj nieautoryzowanym zmianom i wykrywaj je. Użyj analizy zmian , aby wykryć zmiany konfiguracji i wyjaśnić ich podstawowe przyczyny. Użyj Azure Policy, aby blokować i przeprowadzać inspekcję zmian przy użyciu efektów takich jak DenyDenyAction, Audit i auditIfNotExists. Jeśli używasz Bicep, rozważ użycie stosów wdrażania Bicep aby zapobiec nieautoryzowanym zmianom.
Zarządzanie zabezpieczeniami
Tożsamość jest granicą Twojego bezpieczeństwa. Musisz zweryfikować tożsamości, ograniczyć uprawnienia i zachować bezpieczne konfiguracje zasobów. Wykonaj następujące kroki:
Manage identities. Użyj Microsoft Entra ID jako ujednoliconego rozwiązania do zarządzania tożsamościami. Jasno zdefiniuj uprawnienia, stosując kontrolę dostępu opartą na rolach (RBAC). Użyj Zarządzanie Microsoft Entra ID, aby kontrolować przepływy wniosków o dostęp, przeglądy dostępu i zarządzanie cyklem życia tożsamości. Włącz Privileged Identity Management, aby udzielić dostępu uprzywilejowanego w odpowiednim czasie. Ta strategia zmniejsza niepotrzebny podwyższony poziom dostępu. Spójnie zarządzaj wszystkimi trzema typami tożsamości (użytkownik, aplikacja, urządzenie), aby zapewnić odpowiednie uwierzytelnianie i autoryzację.
Zarządzaj dostępem. Użyj kontroli dostępu opartej na rolach (RBAC) i kontroli dostępu opartej na atrybutach (ABAC) w celu przyznania minimalnych uprawnień niezbędnych do wykonania zadania. Aby ograniczyć obciążenie związane z zarządzaniem, preferuj przypisania ról na podstawie grup . Przyznaj uprawnienia w najniższym wymaganym zakresie , takich jak subskrypcje, grupy zasobów lub poszczególne zasoby. Unikaj nadmiernie szerokich zakresów uprawnień, aby zapobiec niezamierzonej eskalacji uprawnień. Przypisz tylko niezbędne uprawnienia dla roli każdego użytkownika.
Zarządzanie konfiguracjami zasobów. Użyj infrastruktury jako kodu (IaC), aby zapewnić spójną i powtarzalną konfigurację zasobów. Następnie użyj Azure Policy aby wymusić bezpieczne konfiguracje określonych usług Azure. Zajmij się kontrolą zabezpieczeń testów porównawczych zabezpieczeń w chmurze Microsoft w wersji 2 aby uzyskać wskazówki dotyczące dostępnych funkcji zabezpieczeń i optymalnych konfiguracji zabezpieczeń. Jako funkcja dodatku użyj zasad zabezpieczeń w Defender dla Chmury aby dostosować je do wspólnych standardów zabezpieczeń.
Zarządzanie uwierzytelnianiem. Upewnij się, że użytkownicy przyjmują silne uwierzytelnianie za pomocą uwierzytelniania wieloskładnikowego (MFA) i używają uwierzytelniania wieloskładnikowego Microsoft Entra . Zawsze wymagaj dostępu warunkowego , aby wymusić uwierzytelnianie na podstawie tożsamości użytkownika, kondycji urządzenia i kontekstu dostępu. Konfigurowanie samoobsługowego resetowania hasła i eliminowanie słabych haseł.
Zarządzanie informacjami o zabezpieczeniach. Użyj Microsoft Sentinel do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz orkiestracji zabezpieczeń, automatyzacji i odpowiedzi (SOAR).
Kontroluj bezpieczeństwo obciążeń. Aby uzyskać zalecenia dotyczące zabezpieczeń obciążeń, zobacz listę kontrolną zabezpieczeń w Well-Architected Framework i przewodnik po usługach Azure (zacznij od sekcji Zabezpieczenia).
Zarządzanie zgodnością
Zarządzanie zgodnością zapewnia, że Azure operacje pozostają zgodne z ustalonymi zasadami ładu i standardami regulacyjnymi. Należy zmniejszyć ryzyko, chroniąc środowisko przed potencjalnymi naruszeniami i błędami konfiguracji. Wykonaj następujące kroki:
Omówienie zasad ładu. Zasady ładu definiują ograniczenia wysokiego poziomu, które muszą być przestrzegane przez zespoły, aby zachować zgodność. Przejrzyj zasady organizacji i zamapuj każde wymaganie na procesy operacyjne. Jeśli nie masz zasad zarządzania, najpierw udokumentuj zasady zarządzania.
Zarządzanie zgodnością. Wymuszanie zgodności zapewnia, że środowisko pozostaje zgodne zarówno ze standardami organizacyjnymi, jak i prawnymi. Zapoznaj się z poniższą tabelą, aby zapoznać się z zaleceniami dotyczącymi zasad.
Zalecenie Szczegóły Rozpoczynanie pracy z ogólnymi definicjami zasad Zacznij od ogólnych definicji Azure Policy, w tym dozwolonych lokalizacji, niedozwolonych typów zasobów i inspekcji niestandardowych ról RBAC. Zgodny ze standardami regulacyjnymi Użyj bezpłatnych, wbudowanych definicji Azure Policy dostosowanych do standardów regulacyjnych, takich jak ISO 27001, NIST SP 800-53 i PCI DSS.
Aby uzyskać więcej informacji, zobacz Włączenie zgodności w Azure.
Zarządzanie danymi
Zarządzanie danymi w operacjach w chmurze obejmuje aktywne klasyfikowanie, segmentowanie, zabezpieczanie dostępu i ochronę przed usunięciem. Należy chronić poufne informacje, zachować zgodność i zapewnić niezawodność danych podczas zmian operacyjnych. Wykonaj następujące kroki:
Odnajdywanie i klasyfikowanie danych. Identyfikowanie i kategoryzowanie danych zgodnie z poufnością i ważnością. Ta klasyfikacja wskazuje dostosowane kontrole dla każdego typu danych. Użyj Microsoft Purview do zarządzania danymi. Aby uzyskać więcej informacji, zobacz Źródła danych, które łączą się z Microsoft Purview Data Map.
Kontroluj lokalizację danych. Wybierz regiony w twoim obszarze geograficznym, na przykład Stany Zjednoczone lub Europa, aby spełnić wymagania dotyczące lokalizacji danych. Sprawdź wszelkie wyjątki, ponieważ certain Azure services mogą przechowywać dane poza wybranym regionem. Regularnie sprawdzaj Azure ustawienia rezydencji danych i wymagania dotyczące zgodności, aby zachować pełną kontrolę nad danymi klientów.
Izolowanie obciążeń wewnętrznych ("Corp") i internetowych ("Online"). Użyj grup zarządzania, aby oddzielić obciążenia wewnętrzne i zewnętrzne. Obciążenia wewnętrzne zwykle wymagają łączności lub łączności hybrydowej z siecią firmową. Obciążenia zewnętrzne zwykle nie wymagają łączności z siecią firmową i mogą wymagać bezpośredniego dostępu przychodzącego lub wychodzącego do Internetu. Na przykład przejrzyj grupy zarządzania "Corp" (wewnętrzne) i "Online" (dostępne z Internetu) w Azure strefie docelowej.
Enforce access control. Implementowanie niezawodnych kontroli dostępu, takich jak Azure RBAC i Azure ABAC w celu zapewnienia dostępu do danych poufnych tylko autoryzowanych pracowników na podstawie zdefiniowanych klasyfikacji.
Ochrona danych przed usunięciem. Użyj funkcji, takich jak usuwanie nietrwałe, przechowywanie wersji danych i niezmienność, jeśli są dostępne. Zaimplementuj przechowywanie wersji bazy danych i przygotuj procedury wycofywania. Użyj Azure Policy do zablokowania usuwania magazynu danych z efektami Deny i DenyAction lub przeprowadź inspekcję wszelkich zmian za pomocą Audit i auditIfNotExists. Jeśli używasz Bicep, rozważ użycie stosów wdrażania Bicep aby zapobiec nieautoryzowanym zmianom. Używaj blokad zasobów jedynie, aby ściśle zapobiec niezamierzonym modyfikacjom lub usunięciom krytycznych danych. Unikaj używania blokad zasobów w celu ochrony konfiguracji, ponieważ blokady zasobów komplikują wdrożenia IaC.
Zarządzanie danymi obciążenia. Zobacz zalecenia platformy Well-Architected Framework dotyczące klasyfikacji danych.
Aby uzyskać więcej informacji, zobacz Egzekwowanie zarządzania danymi.
Zarządzanie kosztami
Zarządzanie kosztami w operacjach w chmurze oznacza śledzenie wydatków aktywnie zarówno centralnie, jak i na obciążenie. Kontrola kosztów powinna zapewnić wgląd w wydatki i zachęcić do odpowiedzialnych wydatków. Wykonaj następujące kroki:
Zarządzanie i przeglądanie kosztów. Użyj narzędzi Microsoft Cost Management, aby monitorować koszty chmury. Azure nie ma mechanizmu obejmującego całą subskrypcję, aby ograniczyć wydatki na określony próg. Niektóre usługi, takie jak Azure Log Analytics obszar roboczy, mają limity wydatków. Strategia monitorowania kosztów służy jako podstawowe narzędzie do zarządzania kosztami.
Zarządzanie kosztami obciążeń. Udzielanie dostępu do rozliczeń zespołom ds. obciążeń. Upewnij się, że zespoły korzystają z listy kontrolnej optymalizacji kosztów Well-Architected Framework.
Zarządzanie kodem i środowiskiem uruchomieniowym
Zarządzanie kodem i środowiskiem uruchomieniowym to obowiązki związane z obciążeniem. Zespoły ds. obciążeń korzystają z listy kontrolnej doskonałości operacyjnej platformy Well-Architected Framework, która zawiera 12 zaleceń dotyczących kontrolowania kodu i środowiska uruchomieniowego.
Zarządzanie zasobami w chmurze
Ustanów jasne protokoły wdrażania oraz proaktywne strategie wykrywania dryfu i rozrastania, aby zachować spójność w różnych środowiskach. W tej sekcji opisano:
- Wdrożenia portalu
- Wdrożenia kodu
- Dryf konfiguracji
- Rozrastanie zasobów
Zarządzanie wdrożeniami portalu
Zdefiniuj protokoły i limity dla wdrożeń portalu, aby zminimalizować potencjał problemów produkcyjnych. Wykonaj następujące kroki:
Zdefiniuj zasady wdrażania portalu. Upewnij się, że istotne zmiany oparte na portalu są zgodne z ustalonymi procesami zarządzania zmianami. Wdrożenia portalu służą przede wszystkim do szybkiego tworzenia prototypów, rozwiązywania problemów lub drobnych korekt w środowiskach deweloperskich i testowych. Unikaj zmian portalu bez struktury, ponieważ te zmiany prowadzą do dryfu, błędów konfiguracji i problemów ze zgodnością. Zamiast tego opieraj się na kontrolowanych wersjach szablonów infrastruktury jako kodu (IaC) dla zapewnienia spójności. Aby uzyskać więcej informacji, zobacz Zarządzanie wdrożeniami kodu.
Rozróżnianie środowisk. Ogranicz zmiany oparte na portalu ściśle do środowisk nieprodukcyjnych. Zezwalaj na szybkie tworzenie prototypów wyłącznie w dedykowanych środowiskach deweloperskich lub testowych i wymuszaj rygorystyczne mechanizmy kontroli w środowisku produkcyjnym.
Ogranicz uprawnienia portalu. Ogranicz możliwości wdrażania z portalu przy użyciu kontroli dostępu opartej na rolach (RBAC). Przypisz uprawnienia tylko do odczytu domyślnie i eskaluj uprawnienia tylko w razie potrzeby.
Przyznaj dostęp just-in-time. Użyj Zarządzania Tożsamościami Uprzywilejowanymi (PIM) do uzyskiwania dostępu do zasobów Azure i Microsoft Entra. Wymagaj sekwencyjnych zatwierdzeń od wielu osób lub grup w celu aktywowania usługi PIM. Role uprzywilejowane ("A0" role superadministratora) rezerwuj wyłącznie na sytuacje awaryjne.
Kontrola dostępu oparta na rolach w modelu operacyjnym. Projektuj zasady RBAC dostosowane do zespołów operacyjnych, w tym poziomów pomocy technicznej, operacji zabezpieczeń, platform, sieci i obciążeń.
Przeprowadź inspekcję wszystkich działań. Monitoruj i rejestruj wszystkie akcje w systemie. Użyj Azure Policy do inspekcji zmian (Audit lub auditIfNotExists). Ponadto skonfiguruj alert w Azure Monitor aby powiadomić uczestników projektu, gdy ktoś usunie zasób Azure. Jeśli używasz Bicep, rozważ użycie stosów wdrażania Bicep aby zapobiec nieautoryzowanym zmianom.
Użyj szablonów kontrolowanych wersjami. Ogranicz użycie portalu do scenariuszy awaryjnych w przypadku korzystania z wdrożeń IaC. Zmiany w portalu powodują odchylenie konfiguracji od szablonów IaC. Replikuj natychmiast wszystkie zmiany oparte na portalu w szablonach IaC kontrolowanych wersjonowaniem, takich jak Bicep, Terraform lub ARM. Regularnie eksportuj konfiguracje zasobów Azure i przechowuj je jako IaC, aby zachować środowiska produkcyjne dopasowane do zatwierdzonych, możliwych do śledzenia konfiguracji. Zobacz wskazówki dotyczące sposobu eksportowania konfiguracji Azure jako Bicep, Terraform lub szablonów ARM. Rozważ specyfikacje szablonów w przypadku korzystania z szablonów ARM.
Narzędzie Przypadek użycia Bicep Łatwe w zarządzaniu, czytelne IaC specyficzne dla Azure Terraform Wielochmurowe rozwiązanie, szersza obsługa społeczności Szablony ARM Pełna kontrola, wygodna z JSON
Zarządzanie wdrożeniami kodu
Zastosuj najlepsze rozwiązania dotyczące automatyzowania i kontrolowania zmian w kodzie i infrastrukturze. Wykonaj następujące kroki:
Standaryzacja narzędzi. Użyj spójnego zestawu narzędzi, aby zminimalizować przełączanie kontekstu. Wybierz narzędzia deweloperskie (VS Code, Visual Studio), repozytorium (GitHub, Azure DevOps), pipeline CI/CD (GitHub Actions, Azure Pipelines) i rozwiązanie IaC (Bicep, Terraform lub szablony ARM), które współpracują ze sobą.
Użyj kontroli wersji. Zachowaj jedno źródło prawdy dla kodu. Użyj kontroli wersji, aby zmniejszyć dryf konfiguracji i uprościć procedury wycofywania.
Użyj ścieżek wdrażania.Potok CI/CD automatyzuje proces kompilacji, uruchamia testy i skanuje kod pod kątem problemów z jakością i zabezpieczeniami dla każdego żądania ściągnięcia. Użyj GitHub Actions lub Azure Pipelines do kompilowania i wdrażania kodu aplikacji i plików IaC. Egzekwowanie haczyków przed zatwierdzeniem i automatycznych skanów w celu wczesnego wychwytywania nieautoryzowanych lub zmian wysokiego ryzyka.
Wdrożenia testowe. Zatwierdzaj etapy w potokach CI/CD, aby stopniowo weryfikować wdrożenia. Postępuj zgodnie z następującą sekwencją: rozwój, weryfikacja kompilacji, testy integracji, testy wydajnościowe, testowanie akceptacji użytkownika (UAT), testowanie na środowisku testowym, wydania kanaryjskie, przedprodukcyjne i na koniec produkcja.
Użyj infrastruktury jako kodu (IaC). Użyj IaC, aby zapewnić spójność wdrożeń i zarządzać nimi za pomocą kontroli wersji. Przejdź z dowodów koncepcji opartych na portalu Azure do IaC dla środowisk produkcyjnych. Użyj Bicep, Terraform lub ARM do definiowania zasobów. W przypadku Bicep użyj modułów i rozważ stosy wdrożeniowe. W przypadku szablonu ARM należy wziąć pod uwagę specyfikacje szablonu dla wdrożenia w wersji.
Stosowanie najlepszych rozwiązań dotyczących repozytorium kodu. Przestrzeganie tych standardów zmniejsza błędy, usprawnia przeglądy kodu i unika problemów z integracją. W przypadku środowisk produkcyjnych o wysokim priorytcie:
Wymaganie Opis Wyłącz bezpośrednie przesyłanie Zablokuj bezpośrednie zatwierdzenia w gałęzi głównej Wymagaj pull requestów Wymagaj, aby wszystkie zmiany przechodziły przez żądanie ściągnięcia Wymaganie przeglądów kodu Upewnij się, że ktoś inny niż sam autor przegląda każde pull request. Egzekwowanie progów pokrycia kodu Upewnij się, że minimalny procent kodu przechodzi testy automatyczne dla wszystkich żądań ściągnięcia Użyj potoków weryfikacji Skonfiguruj reguły ochrony gałęzi, aby uruchomić potok walidacyjny dla żądań ściągnięcia. Wymagaj kontroli dołączania zespołu ds. obciążeń. Sprawdź, czy nowe bazy kodu i zespoły są zgodne z celami biznesowymi, standardami i najlepszymi rozwiązaniami. Użyj listy kontrolnej, aby potwierdzić strukturę repozytorium kodu, standardy nazewnictwa, standardy kodowania oraz konfiguracje pipeline'ów CI/CD.
Zarządzanie odchyleniem konfiguracji
Zarządzaj dryfem konfiguracji przez identyfikowanie i poprawianie rozbieżności między docelową konfiguracją a środowiskiem produkcyjnym. Postępuj zgodnie z następującymi najlepszymi rozwiązaniami:
Zapobiegaj zmianom i wykrywaj je. Użyj analizy zmian , aby wykryć zmiany konfiguracji i wyjaśnić ich podstawowe przyczyny. Użyj Azure Policy, aby blokować i przeprowadzać inspekcję zmian przy użyciu efektów takich jak DenyDenyAction, Audit i auditIfNotExists. Jeśli używasz Bicep, rozważ użycie stosów wdrażania Bicep aby zapobiec nieautoryzowanym zmianom.
Detect IaC configuration drift. Drift występuje, gdy ktoś aktualizuje plik IaC (celowy, niezamierzony) lub wprowadza zmianę w portalu Azure. Regularnie porównuj środowisko na żywo z żądaną konfiguracją, aby wykryć dryf:
Przechowuj żądane i ostatnie znane dobre konfiguracje. Zapisz żądany plik konfiguracji w repozytorium kontrolowanym przez wersję. Ten plik przedstawia oryginalną, przeznaczoną konfigurację. Zachowaj ostatnio znaną dobrą konfigurację jako niezawodne odniesienie do przywracania i bazową wartość odniesienia do wykrywania dryfu.
Wykryj dryf konfiguracji przed wdrożeniem. Przegląd potencjalnych zmian przed wdrożeniem przy użyciu Terraform plan, Bicep co-jeśli lub ARM template co-jeśli. Dokładnie zbadaj rozbieżności, aby upewnić się, że proponowane zmiany są zgodne z żądanym stanem.
Wykrywanie dryfu po wdrożeniu. Regularnie porównuje środowiska na żywo z żądanymi konfiguracjami za pomocą regularnych kontroli dryfu. Zintegruj te sprawdzenia z potokami ciągłej integracji/ciągłego wdrażania lub przeprowadź je ręcznie w celu utrzymania spójności. Zobacz przykład z Azure Policy i Azure Pipelines.
Przywracanie do ostatniej znanej dobrej konfiguracji. Opracuj przejrzyste strategie przywracania, wykorzystujące zautomatyzowane procedury w potoku ciągłej integracji/ciągłego wdrażania. Skorzystaj z ostatniej znanej dobrej konfiguracji, aby szybko przywrócić niepożądane zmiany i zminimalizować przestoje.
Zminimalizuj zmiany oparte na portalu. Zminimalizuj zmiany inne niż IaC, ograniczając je tylko do scenariuszy awaryjnych. Wymuszanie rygorystycznych kontroli dostępu, takich jak Privileged Identity Management. Należy szybko zaktualizować pliki IaC, jeśli konieczne jest ręczne dostosowanie w celu zachowania dokładności żądanej konfiguracji.
Zarządzanie rozprzestrzenianiem się zasobów
Rozrastanie zasobów opisuje niekontrolowany wzrost zasobów w chmurze. Ten wzrost zwiększa koszty, zagrożenia bezpieczeństwa i złożoność zarządzania. Wykonaj następujące kroki:
Implement governance policies. Użyj Azure Policy do egzekwowania standardów aprowizacji zasobów i tagowania w całej organizacji. Utwórz wyraźną strategię nazewnictwa , aby ułatwić widoczność zasobów.
Organizuj zasoby efektywnie. Strukturyzuj zasoby hierarchicznie z grupami zarządzania i subskrypcjami dostosowanymi do potrzeb organizacji. Ta struktura zwiększa widoczność i zarządzanie zasobami. Zapoznaj się z wytycznymi dotyczącymi strefy docelowej Azure dla sprawdzonych najlepszych praktyk.
Ogranicz uprawnienia do wdrażania. Wdrażanie najlepszych praktyk kontroli dostępu opartej na rolach (RBAC) opisanych w Azure RBAC i Microsoft Entra RBAC. Przypisz odpowiednie uprawnienia do użytkowników. Użyj ról czytelnika, aby zminimalizować ryzyko tworzenia nieautoryzowanych zasobów.
Kondukuj regularne inspekcje. Użyj Azure Advisor w celu zidentyfikowania nieużywanych lub niedostatecznie używanych zasobów Azure. Użyj usługi Cost Management , aby przeanalizować wydatki na chmurę i usunąć oddzielone zasoby powodujące niepotrzebne koszty. Pamiętaj, że nie wszystkie zasoby Azure generują opłaty. Uruchom zapytania w Azure Resource Graph aby zachować dokładny spis zasobów.
Zarządzanie relokacją
Okresowo oceniaj bieżące regiony Azure, aby określić, czy przenoszenie obciążeń w innym miejscu poprawia wydajność, zmniejsza koszty lub zwiększa wydajność.
Informacje o sterownikach relokacji. Zrozumienie czynników relokacji zapewnia, że każda relokacja ma prawidłowe uzasadnienie biznesowe, biorąc pod uwagę, że relokacja wiąże się z ryzykiem i kosztami. Typowe uzasadnienia biznesowe dla relokacji obejmują ekspansję biznesową, wymagania dotyczące zgodności z przepisami i bliskość użytkowników końcowych.
Zarządzanie ryzykiem relokacji. Zarządzanie ryzykiem relokacji zapobiega zakłóceniom i utrzymuje zgodność. Zdefiniuj akceptowalne okna przestojów, przekaż wpływ uczestnikom projektu i zapewnij przestrzeganie zasad organizacyjnych i przepisów branżowych.
Zarządzanie kosztami relokacji. Zarządzanie kosztami relokacji uniemożliwia niepotrzebne wydatki podczas migracji. Transferuj dane raz, usuń zduplikowane środowiska i porównaj ceny regionalnych platformy Azure. Przejrzyj cennik przepustowości Azure.
Zarządzaj projektami relokacji. Małe zespoły powinny migrować obciążenia pojedynczo w sposób ukierunkowany. Duże zespoły powinny jednocześnie przenosić wiele obciążeń, aby osiągnąć wydajność dzięki skoordynowanemu planowaniu.
Aby uzyskać więcej informacji, zobacz Przenoszenie obciążeń.
Zarządzanie systemami operacyjnymi
W przypadku korzystania z maszyn wirtualnych należy również zarządzać systemem operacyjnym. Wykonaj następujące kroki:
Automatyzuj konserwację maszyn wirtualnych. W Azure użyj narzędzi automatyzacji do tworzenia i zarządzania maszynami wirtualnymi Azure. Użyj Azure Machine Configuration do inspekcji lub skonfigurowania ustawień systemu operacyjnego jako kodu dla maszyn działających w Azure i hybrydowych.
Aktualizowanie systemów operacyjnych. Należy zarządzać aktualizacjami gościa i konserwacją hosta , aby upewnić się, że systemy operacyjne są aktualne w celach bezpieczeństwa.
Monitorowanie działań wewnątrz gości. Użyj usługi Azure Śledzenie zmian i spis, aby ulepszyć audyt i zarządzanie dla operacji wewnątrz gości. Monitoruje zmiany i udostępnia szczegółowe dzienniki spisu serwerów w Azure, lokalnie i w innych środowiskach w chmurze.
narzędzia do zarządzania Azure
| Kategoria | Narzędzie | Opis |
|---|---|---|
| Zarządzanie zmianami | analiza zmian | Wykrywa zmiany konfiguracji i wyjaśnia ich podstawowe przyczyny |
| Zarządzanie zmianami | Azure Policy | Wymusza, przeprowadza inspekcję lub uniemożliwia modyfikacje zasobów w chmurze |
| Zarządzanie zmianami | Bicep stosy wdrażania | Zapobiega nieautoryzowanym zmianom. |
| Zarządzanie zabezpieczeniami | Mechanizmy kontrolne zabezpieczeń benchmarku zabezpieczeń chmury Microsoft w wersji 2 | Zawiera wskazówki dotyczące dostępnych możliwości zabezpieczeń i optymalnych konfiguracji zabezpieczeń |
| Zarządzanie zabezpieczeniami | Filar zabezpieczeń dobrze zaprojektowanej struktury | Wskazówki dotyczące zabezpieczeń w projektowaniu obciążeń |
| Zarządzanie zabezpieczeniami | Przewodniki usługi Azure (zacznij od sekcji Zabezpieczenia) | Zalecenia dotyczące konfiguracji zabezpieczeń dla usług Azure |
| Zarządzanie zabezpieczeniami | Microsoft Entra ID | Zapewnia ujednolicone zarządzanie tożsamościami |
| Zarządzanie zabezpieczeniami | Defender dla Chmury | Dopasowuje konfiguracje zasobów do standardów zabezpieczeń |
| Zarządzanie zabezpieczeniami | Microsoft Sentinel | Zapewnia zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżację zabezpieczeń, automatyzację i reagowanie (SOAR) |
| Zarządzanie zabezpieczeniami | Azure RBAC | Udziela bezpiecznego dostępu przy użyciu przypisań opartych na rolach |
| Zarządzanie zabezpieczeniami | Azure ABAC | Udziela bezpiecznego dostępu na podstawie warunków atrybutów |
| Zarządzanie zabezpieczeniami | Zarządzanie Microsoft Entra ID | Zarządzanie przepływami pracy związanymi z dostępem i cyklem życia tożsamości |
| Zarządzanie zabezpieczeniami | Privileged Identity Management | Oferuje uprzywilejowany dostęp w samą porę |
| Zarządzanie zabezpieczeniami | Microsoft Entra uwierzytelnianie wieloskładnikowe (MFA) | Wymusza silne uwierzytelnianie wieloskładnikowe |
| Zarządzanie zabezpieczeniami | Dostęp warunkowy | Wymusza uwierzytelnianie oparte na kontekście |
| Zarządzanie zabezpieczeniami | Samoobsługowe resetowanie hasła | Zezwala na bezpieczne resetowanie haseł użytkownika |
| Zarządzanie zgodnością | Azure Policy | Wymusza standardy i zabezpiecza konfiguracje zasobów |
| Zarządzanie danymi | Microsoft Purview | Zarządza danymi poufnymi i klasyfikuje je |
| Zarządzanie danymi | Azure Policy | Uniemożliwia lub przeprowadza inspekcję niezamierzonych modyfikacji lub usuwania zasobów |
| Zarządzanie danymi | Blokady zasobów | Zapobiega niezamierzonym modyfikacjom lub usunięciom |
| Zarządzanie kosztami | Monitorowanie kosztów | Monitorowanie jest niezbędne do zarządzania kosztami chmury |
| Zarządzanie zasobami w chmurze | Azure Policy | Wymusza, przeprowadza inspekcję lub uniemożliwia modyfikacje zasobów w chmurze |
| Zarządzanie zasobami w chmurze (wdrożenia portalu) | Eksport szablonu ARM | Eksportuje konfiguracje zasobów jako szablony IaC |
| Zarządzanie zasobami w chmurze (wdrożenia portalu) | Azure Monitor alerty | Powiadamia uczestników projektu o zmianach zasobów |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Bicep | Zarządza infrastrukturą jako kodem dla zasobów Azure |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Bicep stosów wdrażania | Obsługuje wdrożenia kontrolowane przez wersję i zapobiega nieautoryzowanym zmianom |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Terraform | Zarządza infrastrukturą wielochmurową jako kodem |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Szablony ARM | Definiuje i wdraża zasoby Azure za pomocą szablonów |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Specyfikacje szablonów ARM | Wersjonuje i zarządza szablonami ARM dla konsystencji |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | GitHub Actions | Automatyzuje procesy kompilacji, testowania i wdrażania |
| Zarządzanie zasobami w chmurze (wdrożenia kodu) | Azure Pipelines | Automatyzuje procesy kompilowania i wdrażania |
| Zarządzanie odchyleniem | Azure Policy | Wymusza, przeprowadza inspekcję lub uniemożliwia modyfikacje zasobów w chmurze |
| Zarządzanie odchyleniem | analiza zmian | Wykrywa i wyjaśnia zmiany konfiguracji |
| Zarządzanie odchyleniem | Bicep what-if | Podgląd potencjalnych zmian konfiguracji |
| Zarządzanie odchyleniem | Plan Terraform | Podgląd potencjalnych zmian przed wdrożeniem programu Terraform |
| Zarządzanie odchyleniem | Szablon ARM — analiza "co jeśli" | Podgląd potencjalnych zmian konfiguracji |
| Zarządzanie systemami operacyjnymi | Azure Konfiguracja maszyny | Przeprowadza inspekcję i konfigurację ustawień systemu operacyjnego w formie kodu |
| Zarządzanie systemami operacyjnymi | Usługa Azure Śledzenie Zmian i Inwentaryzacja | Monitoruje i rejestruje zmiany w systemach operacyjnych |
| Zarządzanie systemami operacyjnymi | Narzędzia automatyzacji | Automatyzowanie konserwacji maszyny wirtualnej |
Następne kroki
Lista kontrolna zarządzania CAF