Zabezpieczenia, ład i zgodność rozwiązania Azure VMware Solution

W tym artykule opisano sposób bezpiecznego implementowania i holistycznego zarządzania usługą Azure VMware Solution w całym cyklu życia. W tym artykule omówiono konkretne elementy projektu i przedstawiono ukierunkowane zalecenia dotyczące zabezpieczeń, ładu i zgodności rozwiązania Azure VMware Solution.

Zabezpieczenia

Podczas podejmowania decyzji o tym, które systemy, użytkownicy lub urządzenia mogą wykonywać funkcje w ramach rozwiązania Azure VMware Solution i jak zabezpieczyć ogólną platformę, należy wziąć pod uwagę następujące czynniki.

Zabezpieczenia tożsamości

• Limity stałego dostępu: usługa Azure VMware Solution używa roli Współautor w grupie zasobów platformy Azure, która hostuje chmurę prywatną usługi Azure VMware Solution. Ogranicz stały dostęp, aby zapobiec umyślnym lub niezamierzonym nadużyciom praw współautora. Użyj uprzywilejowanego rozwiązania do zarządzania kontami, aby przeprowadzić inspekcję i ograniczyć użycie kont z wysokimi uprawnieniami.

  Utwórz grupę dostępu uprzywilejowanego identyfikatora entra firmy Microsoft w usłudze Azure Privileged Identity Management (PIM), aby zarządzać kontami użytkownika i jednostki usługi Firmy Microsoft. Użyj tej grupy, aby utworzyć klaster usługi Azure VMware Solution i zarządzać nim z dostępem opartym na uzasadnieniu czasowym. Aby uzyskać więcej informacji, zobacz Przypisywanie uprawnionych właścicieli i członków dla uprzywilejowanych grup dostępu.

  Użyj raportów historii inspekcji usługi Microsoft Entra PIM dla działań administracyjnych, operacji i przypisań rozwiązania VMware Solution platformy Azure. Raporty w usłudze Azure Storage można zarchiwizować pod kątem długoterminowych potrzeb dotyczących przechowywania inspekcji. Aby uzyskać więcej informacji, zobacz Wyświetlanie raportu inspekcji dla przypisań uprzywilejowanych grup dostępu w usłudze Privileged Identity Management (PIM).

• Scentralizowane zarządzanie tożsamościami: rozwiązanie Azure VMware Solution udostępnia poświadczenia administratora chmury i administratora sieci na potrzeby konfigurowania środowiska chmury prywatnej VMware. Te konta administracyjne są widoczne dla wszystkich współautorów, którzy mają dostęp kontroli dostępu opartej na rolach (RBAC) do usługi Azure VMware Solution.

  Aby zapobiec nadmiernemu wykorzystaniu lub nadużyciom wbudowanych cloudadmin i administratorów sieci w celu uzyskania dostępu do prywatnej płaszczyzny sterowania chmurą VMware, użyj funkcji kontroli RBAC prywatnej płaszczyzny kontroli chmury VMware, aby prawidłowo zarządzać dostępem do ról i kont. Utwórz wiele obiektów tożsamości docelowych, takich jak użytkownicy i grupy, korzystając z zasad najniższych uprawnień. Ogranicz dostęp do kont administratorów udostępnianych przez usługę Azure VMware Solution i skonfiguruj konta w konfiguracji break-glass. Używaj kont wbudowanych tylko wtedy, gdy wszystkie inne konta administracyjne są bezużyteczne.

  Użyj podanego cloudadmin konta, aby zintegrować usługi domena usługi Active Directory Services (AD DS) lub Microsoft Entra Domain Services z serwerem VMware vCenter Server i NSX-T Data Center kontroli aplikacji i tożsamości administracyjnych usług domenowych. Użyj użytkowników i grup źródłowych usług domenowych na potrzeby zarządzania i operacji usługi Azure VMware Solution i nie zezwalaj na udostępnianie kont. Tworzenie ról niestandardowych programu vCenter Server i kojarzenie ich z grupami usług AD DS w celu precyzyjnej kontroli dostępu uprzywilejowanego do powierzchni kontroli chmury prywatnej VMware.

  Opcje usługi Azure VMware Solution umożliwiają rotację i resetowanie haseł kont administracyjnych programu vCenter Server i NSX-T Data Center. Skonfiguruj regularną rotację tych kont i obróć konta w dowolnym momencie, gdy używasz konfiguracji break-glass. Aby uzyskać więcej informacji, zobacz Rotacja poświadczeń administratora chmury dla rozwiązania Azure VMware Solution.

• Zarządzanie tożsamościami maszyny wirtualnej gościa: zapewnienie scentralizowanego uwierzytelniania i autoryzacji dla gości usługi Azure VMware Solution w celu zapewnienia wydajnego zarządzania aplikacjami i zapobiegania nieautoryzowanemu dostępowi do danych i procesów biznesowych. Zarządzanie gośćmi i aplikacjami usługi Azure VMware Solution w ramach ich cyklu życia. Skonfiguruj maszyny wirtualne gościa do używania scentralizowanego rozwiązania do zarządzania tożsamościami w celu uwierzytelniania i autoryzacji do zarządzania i używania aplikacji.

  Użyj scentralizowanej usługi AD DS lub protokołu LDAP (Lightweight Directory Access Protocol) na potrzeby maszyn wirtualnych gościa usługi Azure VMware Solution i zarządzania tożsamościami aplikacji. Upewnij się, że architektura usług domenowych uwzględnia wszelkie scenariusze awarii, aby zapewnić ciągłą funkcjonalność podczas przestojów. Połączenie implementację usług AD DS za pomocą identyfikatora Firmy Microsoft Entra na potrzeby zaawansowanego zarządzania oraz bezproblemowego uwierzytelniania gościa i autoryzacji.

Zabezpieczenia środowiska i sieci

• Natywne możliwości zabezpieczeń sieci: Implementowanie mechanizmów zabezpieczeń sieci, takich jak filtrowanie ruchu, zgodność z regułami open Web Application Security Project (OWASP), ujednolicone zarządzanie zaporą i ochrona przed rozproszoną odmową usługi (DDoS).

  • Filtrowanie ruchu steruje ruchem między segmentami. Zaimplementuj urządzenia filtrowania ruchu sieciowego gościa przy użyciu NSX-T Data Center lub funkcji wirtualnego urządzenia sieciowego (WUS), aby ograniczyć dostęp między segmentami sieci gościa.

  • Zgodność zestawu reguł OWASP Core chroni obciążenia aplikacji internetowej gościa usługi Azure VMware Solution przed ogólnymi atakami internetowymi. Użyj funkcji OWASP usługi aplikacja systemu Azure Gateway Web Application Firewall (WAF), aby chronić aplikacje internetowe hostowane na gościach usługi Azure VMware Solution. Włącz tryb zapobiegania przy użyciu najnowszych zasad i pamiętaj, aby zintegrować dzienniki zapory aplikacji internetowej ze strategią rejestrowania. Aby uzyskać więcej informacji, zobacz Wprowadzenie do usługi Azure Web Application Firewall.

  • Ujednolicone zarządzanie regułami zapory uniemożliwia zduplikowanie lub brak reguł zapory przed zwiększeniem ryzyka nieautoryzowanego dostępu. Architektura zapory przyczynia się do większego poziomu zarządzania siecią i stanu zabezpieczeń środowiska dla usługi Azure VMware Solution. Użyj stanowej architektury zapory zarządzanej, która umożliwia przepływ ruchu, inspekcję, scentralizowane zarządzanie regułami i zbieranie zdarzeń.

  • Ochrona przed atakami DDoS chroni obciążenia usługi Azure VMware Solution przed atakami, które powodują utratę finansową lub słabe środowisko użytkownika. Zastosuj ochronę przed atakami DDoS w sieci wirtualnej platformy Azure, która hostuje bramę zakończenia usługi ExpressRoute dla połączenia usługi Azure VMware Solution. Rozważ użycie usługi Azure Policy do automatycznego wymuszania ochrony przed atakami DDoS.

• Szyfrowanie VSAN przy użyciu kluczy zarządzanych przez klienta (CMK) umożliwia szyfrowanie magazynów danych VSAN rozwiązania VMware Solution za pomocą klucza szyfrowania przechowywanego przez klienta w usłudze Azure Key Vault. Za pomocą tej funkcji można spełnić wymagania dotyczące zgodności, takie jak przestrzeganie zasad rotacji kluczy lub zarządzanie zdarzeniami cyklu życia klucza. Aby uzyskać szczegółowe wskazówki i limity implementacji, zobacz Konfigurowanie szyfrowania kluczy zarządzanych przez klienta magazynowanych w rozwiązaniu Azure VMware Solution

• Kontrolowany dostęp do serwera vCenter: Niekontrolowany dostęp do serwera vCenter rozwiązania Azure VMware Może zwiększyć obszar obszaru podatnego na ataki. Użyj dedykowanej stacji roboczej z dostępem uprzywilejowanym (PAW), aby bezpiecznie uzyskać dostęp do programu Azure VMware Solution vCenter Server i menedżera NSX-T. Utwórz grupę użytkowników i dodaj indywidualne konto użytkownika do tej grupy użytkowników.

• Przychodzące rejestrowanie żądań internetowych dla obciążeń gościa: użyj usługi Azure Firewall lub zatwierdzonego urządzenia WUS, które przechowuje dzienniki inspekcji dla żądań przychodzących do maszyn wirtualnych gościa. Zaimportuj te dzienniki do rozwiązania do zarządzania zdarzeniami zabezpieczeń i zdarzeń (SIEM), aby uzyskać odpowiednie monitorowanie i alerty. Użyj usługi Microsoft Sentinel do przetwarzania informacji o zdarzeniach i rejestrowania platformy Azure przed integracją z istniejącymi rozwiązaniami SIEM. Aby uzyskać więcej informacji, zobacz Integrowanie Microsoft Defender dla Chmury z usługą Azure VMware Solution.

• Monitorowanie sesji na potrzeby zabezpieczeń wychodzącego połączenia internetowego: użyj kontroli reguł lub inspekcji sesji wychodzącej łączności internetowej z rozwiązania Azure VMware Solution, aby zidentyfikować nieoczekiwane lub podejrzane działania internetowe dla ruchu wychodzącego. Zdecyduj, kiedy i gdzie umieścić inspekcję sieci wychodzącej, aby zapewnić maksymalne bezpieczeństwo. Aby uzyskać więcej informacji, zobacz Topologia sieci w skali przedsiębiorstwa i łączność dla usługi Azure VMware Solution.

  Użyj wyspecjalizowanych usług zapory, urządzenia WUS i wirtualnej sieci rozległej (Virtual WAN) na potrzeby wychodzącej łączności internetowej zamiast polegać na domyślnej łączności internetowej rozwiązania Azure VMware Solution. Aby uzyskać więcej informacji i zaleceń dotyczących projektowania, zobacz Inspekcja ruchu usługi Azure VMware Solution za pomocą wirtualnego urządzenia sieciowego w usłudze Azure Virtual Network.

  Użyj tagów usług, takich jak Virtual Network i w pełni kwalifikowana nazwa domeny (FQDN), aby zidentyfikować podczas filtrowania ruchu wychodzącego za pomocą usługi Azure Firewall. Użyj podobnej możliwości dla innych urządzeń WUS.

• Centralnie zarządzane bezpieczne kopie zapasowe: użyj kontroli dostępu opartej na rolach i opóźnionych możliwości usuwania, aby zapobiec celowemu lub przypadkowemu usunięciu danych kopii zapasowej potrzebnych do odzyskania środowiska. Użyj usługi Azure Key Vault do zarządzania kluczami szyfrowania i ogranicz dostęp do lokalizacji magazynu danych kopii zapasowej, aby zminimalizować ryzyko usunięcia.

  Użyj usługi Azure Backup lub innej technologii kopii zapasowej zweryfikowanej dla usługi Azure VMware Solution, która zapewnia szyfrowanie podczas przesyłania i przechowywania. W przypadku korzystania z magazynów usługi Azure Recovery Services użyj blokad zasobów i funkcji usuwania nietrwałego, aby chronić przed przypadkowym lub zamierzonym usunięciem kopii zapasowej. Aby uzyskać więcej informacji, zobacz Ciągłość działania i odzyskiwanie po awarii w skali przedsiębiorstwa dla rozwiązania Azure VMware Solution.

Zabezpieczenia aplikacji gościa i maszyny wirtualnej

• Zaawansowane wykrywanie zagrożeń: aby zapobiec różnym zagrożeniom bezpieczeństwa i naruszeniom danych, należy użyć programu Endpoint Security Protection, konfiguracji alertów zabezpieczeń, procesów kontroli zmian i ocen luk w zabezpieczeniach. Można użyć Microsoft Defender dla Chmury do zarządzania zagrożeniami, ochrony punktu końcowego, alertów zabezpieczeń, stosowania poprawek systemu operacyjnego i scentralizowanego wglądu w wymuszanie zgodności z przepisami. Aby uzyskać więcej informacji, zobacz Integrowanie Microsoft Defender dla Chmury z usługą Azure VMware Solution.

  Dołączanie maszyn wirtualnych gościa przy użyciu usługi Azure Arc dla serwerów. Po dołączeniu użyj usługi Azure Log Analytics, usługi Azure Monitor i Microsoft Defender dla Chmury, aby zbierać dzienniki i metryki oraz tworzyć pulpity nawigacyjne i alerty. Użyj Centrum zabezpieczeń usługi Microsoft Defender, aby chronić i ostrzegać o zagrożeniach skojarzonych z gośćmi maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Integrowanie i wdrażanie usług natywnych platformy Azure w rozwiązaniu Azure VMware Solution.

  Przed rozpoczęciem migracji wdróż agenta usługi Log Analytics na maszynach wirtualnych VMware vSphere lub podczas wdrażania nowych maszyn wirtualnych gościa. Skonfiguruj agenta MMA, aby wysyłał metryki i dzienniki do obszaru roboczego usługi Azure Log Analytics. Po migracji sprawdź, czy maszyna wirtualna usługi Azure VMware Solution zgłasza alerty w usłudze Azure Monitor i Microsoft Defender dla Chmury.

  Alternatywnie użyj rozwiązania od certyfikowanego partnera usługi Azure VMware Solution, aby ocenić stan zabezpieczeń maszyny wirtualnej i zapewnić zgodność z przepisami zgodnie z wymaganiami centrum zabezpieczeń internetowych (CIS).

• Analiza zabezpieczeń: użyj spójnych zdarzeń zabezpieczeń, korelacji i analizy z maszyn wirtualnych usługi Azure VMware Solution i innych źródeł, aby wykrywać ataki cybernetyczne. Użyj Microsoft Defender dla Chmury jako źródła danych dla usługi Microsoft Sentinel. Skonfiguruj usługę Microsoft Defender for Storage, usługę Azure Resource Manager, system nazw domen (DNS) i inne usługi platformy Azure związane z wdrożeniem rozwiązania Azure VMware Solution. Rozważ użycie łącznika danych usługi Azure VMware Solution od certyfikowanego partnera.

• Szyfrowanie maszyn wirtualnych gościa: rozwiązanie Azure VMware Solution zapewnia szyfrowanie danych magazynowanych dla bazowej platformy magazynu vSAN. Niektóre obciążenia i środowiska z dostępem do systemu plików mogą wymagać większego szyfrowania w celu ochrony danych. W takich sytuacjach należy rozważyć włączenie szyfrowania systemu operacyjnego i danych maszyny wirtualnej gościa. Użyj natywnych narzędzi szyfrowania systemu operacyjnego gościa do szyfrowania maszyn wirtualnych gościa. Użyj usługi Azure Key Vault do przechowywania i ochrony kluczy szyfrowania.

• Monitorowanie szyfrowania i aktywności bazy danych: Szyfrowanie bazy danych SQL i innych baz danych w rozwiązaniu Azure VMware Solution w celu zapobiegania łatwemu dostępowi do danych w przypadku naruszenia zabezpieczeń danych. W przypadku obciążeń baz danych użyj metod szyfrowania magazynowanych, takich jak transparent data encryption (TDE) lub równoważna natywna funkcja bazy danych. Upewnij się, że obciążenia korzystają z zaszyfrowanych dysków i że poufne wpisy tajne są przechowywane w magazynie kluczy przeznaczonym dla grupy zasobów.

  Użyj usługi Azure Key Vault dla kluczy zarządzanych przez klienta w scenariuszach byOK (bring-your-own-key), takich jak BYOK dla funkcji Transparent Data Encryption (TDE) usługi Azure SQL Database. W miarę możliwości należy oddzielić obowiązki zarządzania kluczami i zarządzania danymi. Aby zapoznać się z przykładem użycia usługi Key Vault w programie SQL Server 2019, zobacz Używanie usługi Azure Key Vault z funkcją Always Encrypted z bezpiecznymi enklawami.

  Monitoruj nietypowe działania bazy danych, aby zmniejszyć ryzyko ataku wewnętrznego. Użyj natywnego monitorowania bazy danych, takiego jak Monitor aktywności lub certyfikowane rozwiązanie partnerskie usługi Azure VMware Solution. Rozważ użycie usług bazy danych platformy Azure na potrzeby rozszerzonych kontrolek inspekcji.

• Rozszerzone klucze aktualizacji zabezpieczeń (ESU): podaj i skonfiguruj klucze ESU do wypychania i instalowania aktualizacji zabezpieczeń na maszynach wirtualnych rozwiązania VMware Solution platformy Azure. Użyj Narzędzie do zarządzania aktywacją zbiorczą do konfigurowania kluczy ESU dla klastra usługi Azure VMware Solution. Aby uzyskać więcej informacji, zobacz Uzyskiwanie Aktualizacje zabezpieczeń rozszerzonych dla kwalifikujących się urządzeń z systemem Windows.

• Zabezpieczenia kodu: zaimplementuj miarę zabezpieczeń w przepływach pracy DevOps, aby zapobiec lukom w zabezpieczeniach obciążeń usługi Azure VMware Solution. Używaj nowoczesnych przepływów pracy uwierzytelniania i autoryzacji, takich jak Open Authorization (OAuth) i OpenID Połączenie.

  Użyj usługi GitHub Enterprise Server w usłudze Azure VMware Solution dla repozytorium w wersji, które zapewnia integralność bazy kodu. Wdrażanie agentów kompilacji i uruchamiania ich w rozwiązaniu Azure VMware Solution lub w bezpiecznym środowisku platformy Azure.

Ład korporacyjny

Podczas planowania ładu środowiska i maszyny wirtualnej gościa należy rozważyć wdrożenie poniższych zaleceń.

Nadzór nad środowiskiem

• Miejsce do magazynowania oprogramowania vSAN: Niewystarczająca ilość miejsca do magazynowania vSAN może mieć wpływ na gwarancje umowy SLA. Przejrzyj i poznaj obowiązki klientów i partnerów w umowie SLA dla usługi Azure VMware Solution. Przypisz odpowiednie priorytety i właścicieli dla alertów dotyczących metryki Procentowe użycie dysku magazynu danych. Aby uzyskać więcej informacji i wskazówek, zobacz Konfigurowanie alertów i praca z metrykami w usłudze Azure VMware Solution.

• Zasady magazynu szablonów maszyn wirtualnych: domyślne zasady magazynu o zagęszczonej aprowizowaniu mogą spowodować rezerwowanie zbyt dużej ilości magazynu vSAN. Tworzenie szablonów maszyn wirtualnych korzystających z zasad magazynu alokowanego elastycznie, w których rezerwacje miejsca nie są wymagane. Maszyny wirtualne, które nie rezerwują z góry pełnej ilości miejsca do magazynowania, umożliwiają bardziej wydajne zasoby magazynu.

• Zarządzanie limitami przydziału hosta: Niewystarczające limity przydziału hostów mogą prowadzić do 5–7-dniowych opóźnień w uzyskaniu większej pojemności hosta na potrzeby wzrostu lub odzyskiwania po awarii. Wymagania dotyczące wzrostu czynników i odzyskiwania po awarii w projekcie rozwiązania podczas żądania limitu przydziału hosta oraz okresowe przeglądy wzrostu i maksymalnej liczby środowisk w celu zapewnienia odpowiedniego czasu realizacji żądań rozszerzenia. Jeśli na przykład klaster usługi Azure VMware Solution z trzema węzłami potrzebuje kolejnych trzech węzłów na potrzeby odzyskiwania po awarii, zażądaj limitu przydziału hosta sześciu węzłów. Żądania przydziału hosta nie generują dodatkowych kosztów.

• Brak tolerowania ładu (FTT): ustanów ustawienia FTT proporcjonalnie do rozmiaru klastra, aby zachować umowę SLA dla usługi Azure VMware Solution. Dostosuj zasady magazynu sieci vSAN do odpowiedniego ustawienia FTT podczas zmiany rozmiaru klastra, aby zapewnić zgodność z umową SLA.

• Dostęp ESXi: dostęp do hostów usługi Azure VMware Solution ESXi jest ograniczony. Oprogramowanie innych firm, które wymaga dostępu do hosta ESXi, może nie działać. Zidentyfikuj dowolne oprogramowanie innych firm obsługiwane przez rozwiązanie Azure VMware w środowisku źródłowym, które wymaga dostępu do hosta ESXi. Zapoznaj się z procesem żądania pomocy technicznej rozwiązania Azure VMware Solution i korzystaj z niego w witrynie Azure Portal w sytuacjach wymagających dostępu do hosta ESXi.

• Gęstość i wydajność hosta ESXi: aby uzyskać dobry zwrot z inwestycji (ROI), zapoznaj się z wykorzystaniem hosta ESXi. Zdefiniuj zdrową gęstość maszyn wirtualnych gościa, aby zmaksymalizować inwestycje w rozwiązanie Azure VMware Solution i monitorować ogólne wykorzystanie węzłów względem tego progu. Zmień rozmiar środowiska usługi Azure VMware Solution podczas monitorowania i zezwól na wystarczający czas realizacji dla dodawania węzłów.

• Monitorowanie sieci: Monitorowanie ruchu w sieci wewnętrznej pod kątem złośliwego lub nieznanego ruchu lub sieci, których bezpieczeństwo jest naruszone. Zaimplementuj vRealize Network Insight (vRNI) i vRealize Operations (vROps) w celu uzyskania szczegółowych informacji na temat operacji sieciowych usługi Azure VMware Solution.

• Alerty dotyczące zabezpieczeń, planowanej konserwacji i kondycji usługi Service Health: Opis i wyświetlanie kondycji usługi w celu odpowiedniego planowania awarii i reagowania na awarie i problemy. Konfigurowanie alertów usługi Service Health dla problemów z usługą Azure VMware Solution, planowanej konserwacji, porad dotyczących kondycji i porad dotyczących zabezpieczeń. Planowanie i planowanie działań związanych z obciążeniami rozwiązania Azure VMware Solution poza sugerowanym przez firmę Microsoft oknami obsługi.

• Zarządzanie kosztami: monitorowanie kosztów pod kątem dobrej odpowiedzialności finansowej i alokacji budżetu. Użyj rozwiązania do zarządzania kosztami na potrzeby śledzenia kosztów, alokacji kosztów, tworzenia budżetu, alertów kosztów i dobrego ładu finansowego. W przypadku opłat za platformę Azure użyj narzędzi Azure Cost Management + Billing , aby tworzyć budżety, generować alerty, przydzielać koszty i tworzyć raporty dla osób biorących udział w projekcie finansowym.

• Integracja usług platformy Azure: unikaj korzystania z publicznego punktu końcowego platformy Azure jako usługi (PaaS), co może prowadzić do opuszczenia żądanych granic sieci. Aby upewnić się, że ruch pozostaje w ramach zdefiniowanej granicy sieci wirtualnej, użyj prywatnego punktu końcowego, aby uzyskać dostęp do usług platformy Azure, takich jak Azure SQL Database i Azure Blob Storage.

Zarządzanie aplikacjami obciążeń i maszynami wirtualnymi

Świadomość stanu zabezpieczeń dla maszyn wirtualnych obciążeń usługi Azure VMware Solution pomaga zrozumieć gotowość i reagowanie na cyberbezpieczeństwo oraz zapewnić pełne pokrycie zabezpieczeń dla maszyn wirtualnych gościa i aplikacji.

• Włącz Microsoft Defender dla Chmury na potrzeby uruchamiania usług platformy Azure i obciążeń maszyn wirtualnych aplikacji usługi Azure VMware Solution.

• Użyj serwerów z obsługą usługi Azure Arc, aby zarządzać maszynami wirtualnymi gościa usługi Azure VMware Solution za pomocą narzędzi replikujących natywne narzędzia zasobów platformy Azure, w tym:

  • Usługa Azure Policy do zarządzania, raportowania i inspekcji konfiguracji i ustawień gościa
  • Usługa Azure Automation State Configuration i obsługiwane rozszerzenia upraszczające wdrożenia
  • Rozwiązanie Update Management w celu zarządzania aktualizacjami maszyn wirtualnych aplikacji usługi Azure VMware Solution
  • Tagi do zarządzania spisem maszyn wirtualnych aplikacji usługi Azure VMware Solution i organizowania ich

  Aby uzyskać więcej informacji, zobacz Omówienie serwerów z obsługą usługi Azure Arc.

• Zarządzanie domeną maszyny wirtualnej obciążenia: aby uniknąć procesów ręcznych podatnych na błędy, użyj rozszerzeń, takich jak JsonADDomainExtension lub równoważne opcje automatyzacji, aby umożliwić maszynom wirtualnym gościa usługi Azure VMware Solution automatyczne dołączanie do domeny usługi Active Directory.

• Rejestrowanie i monitorowanie maszyn wirtualnych obciążeń: włącz metryki diagnostyczne i rejestrowanie na maszynach wirtualnych obciążeń, aby łatwiej debugować problemy z systemem operacyjnym i aplikacją. Zaimplementuj możliwości zbierania dzienników i wykonywania zapytań, które zapewniają krótki czas odpowiedzi na potrzeby debugowania i rozwiązywania problemów. Włącz szczegółowe informacje o maszynach wirtualnych obciążeń niemal w czasie rzeczywistym w celu uzyskania szybkiego wykrywania wąskich gardeł wydajności i problemów operacyjnych. Konfigurowanie alertów dzienników w celu przechwytywania warunków granic dla maszyn wirtualnych obciążeń.

  Wdróż agenta usługi Log Analytics (MMA) na maszynach wirtualnych obciążeń VMware vSphere przed migracją lub podczas wdrażania nowych maszyn wirtualnych obciążeń w środowisku rozwiązania Azure VMware Solution. Skonfiguruj mma z obszarem roboczym usługi Azure Log Analytics i połącz obszar roboczy usługi Azure Log Analytics z usługą Azure Automation. Sprawdź stan wszystkich agentów MMA maszyny wirtualnej obciążenia wdrożonych przed migracją za pomocą usługi Azure Monitor po migracji.

• Zarządzanie aktualizacjami maszyn wirtualnych obciążeń: opóźnione lub niekompletne aktualizacje lub poprawki są głównymi wektorami ataków, które mogą spowodować ujawnienie lub naruszenie obciążenia maszyn wirtualnych i aplikacji usługi Azure VMware Solution. Upewnij się, że instalacje aktualizacji są aktualizowane na maszynach wirtualnych gościa.

• Zarządzanie kopiami zapasowymi maszyn wirtualnych obciążeń: zaplanuj regularne kopie zapasowe, aby zapobiec nieodebranym kopiom zapasowym lub polegać na starych kopiach zapasowych, które mogą prowadzić do utraty danych. Użyj rozwiązania do tworzenia kopii zapasowych, które może wykonywać zaplanowane kopie zapasowe i monitorować powodzenie tworzenia kopii zapasowej. Monitoruj zdarzenia kopii zapasowej i alerty, aby upewnić się, że zaplanowane kopie zapasowe zostały pomyślnie uruchomione.

• Zarządzanie odzyskiwaniem po awarii maszyny wirtualnej obciążenia: Nieudokumentowany cel punktu odzyskiwania (RPO) i wymagania celu czasu odzyskiwania (RTO) mogą powodować słabe środowiska klienta i niezaspokojone cele operacyjne podczas zdarzeń ciągłości działania i odzyskiwania po awarii (BCDR). Zaimplementuj orkiestrację odzyskiwania po awarii, aby zapobiec opóźnieniom w ciągłości działania firmy.

  Użyj rozwiązania odzyskiwania po awarii dla rozwiązania Azure VMware Solution, które zapewnia orkiestrację odzyskiwania po awarii i wykrywa i zgłasza wszelkie błędy lub problemy z pomyślną ciągłą replikacją do lokacji odzyskiwania po awarii. Dokumentowanie wymagań dotyczących celu punktu odzyskiwania i celu punktu odzyskiwania dla aplikacji działających na platformie Azure i w usłudze Azure VMware Solution. Wybierz projekt rozwiązania odzyskiwania po awarii i ciągłości działania, który spełnia weryfikowalne wymagania celu punktu odzyskiwania i celu odzyskiwania za pośrednictwem aranżacji.

Zgodność

Podczas planowania środowiska usługi Azure VMware Solution i zgodności obciążeń maszyn wirtualnych należy wziąć pod uwagę i wdrożyć następujące zalecenia.

• monitorowanie Microsoft Defender dla Chmury: Użyj widoku zgodności z przepisami w Defender dla Chmury, aby monitorować zgodność z testami porównawczymi zabezpieczeń i przepisami. Skonfiguruj automatyzację przepływu pracy Defender dla Chmury, aby śledzić wszelkie odchylenia od oczekiwanego stanu zgodności. Aby uzyskać więcej informacji, zobacz Microsoft Defender dla Chmury omówienie.

• Zgodność odzyskiwania po awarii maszyn wirtualnych maszyn wirtualnych z obciążeniem maszyn wirtualnych z odzyskiwaniem po awarii maszyn wirtualnych maszyn wirtualnych z odzyskiwaniem po awarii: śledzenie zgodności konfiguracji odzyskiwania po awarii dla maszyn wirtualnych usługi Azure VMware Solution w celu zapewnienia, że ich aplikacje o krytycznym znaczeniu pozostają dostępne. Użyj usługi Azure Site Recovery lub certyfikowanego rozwiązania BCDR rozwiązania Azure VMware Solution, które zapewnia aprowizację replikacji na dużą skalę, monitorowanie stanu niezgodności i automatyczne korygowanie.

• Zgodność kopii zapasowych maszyn wirtualnych obciążenia: śledzenie i monitorowanie zgodności kopii zapasowych maszyn wirtualnych usługi Azure VMware Solution w celu zapewnienia, że kopie zapasowe maszyn wirtualnych są tworzone. Użyj certyfikowanego rozwiązania partnerskiego usługi Azure VMware Solution, które zapewnia perspektywę na dużą skalę, analizę przechodzenia do szczegółów i interfejs umożliwiający podejmowanie działań na potrzeby śledzenia i monitorowania kopii zapasowej maszyny wirtualnej obciążenia.

• Zgodność specyficzna dla kraju/regionu lub branży: aby uniknąć kosztownych działań prawnych i kar, upewnij się, że zgodność obciążeń usługi Azure VMware Solution z przepisami specyficznymi dla kraju/regionu i branży. Poznaj model wspólnej odpowiedzialności chmury na potrzeby zgodności z przepisami branżowymi lub regionami. Użyj portalu zaufania usług, aby wyświetlić lub pobrać raporty usługi Azure VMware Solution i Azure Audit, które obsługują całą historię zgodności.

  Zaimplementuj raportowanie inspekcji zapory dla punktów końcowych HTTP/S i innych niż HTTP/S, aby spełnić wymagania prawne.

• Zgodność z zasadami firmowymi: monitorowanie zgodności maszyn wirtualnych z obciążeniami rozwiązania VMware Platformy Azure przy użyciu zasad firmy w celu zapobiegania naruszeniom reguł i przepisów firmy. Użyj serwerów z obsługą usługi Azure Arc i usługi Azure Policy lub równoważnego rozwiązania innej firmy. Rutynowo oceniaj maszyny wirtualne i aplikacje obciążenia usługi Azure VMware Solution oraz zarządzaj nimi, aby uzyskać zgodność z przepisami obowiązującymi przepisami wewnętrznymi i zewnętrznymi.

• Wymagania dotyczące przechowywania i przechowywania danych: rozwiązanie Azure VMware Solution nie obsługuje przechowywania ani wyodrębniania danych przechowywanych w klastrach. Usunięcie klastra kończy wszystkie uruchomione obciążenia i składniki oraz niszczy wszystkie dane klastra i ustawienia konfiguracji, w tym publiczne adresy IP. Nie można odzyskać tych danych.

  Usługa Azure VMware Solution nie gwarantuje, że wszystkie metadane i dane konfiguracji na potrzeby uruchamiania usługi istnieją tylko w wdrożonym regionie geograficznym. Jeśli wymagania dotyczące rezydencji danych wymagają, aby wszystkie dane istniały w wdrożonym regionie, skontaktuj się z pomocą techniczną rozwiązania Azure VMware Solution, aby uzyskać pomoc.

• Przetwarzanie danych: przeczytaj i zapoznaj się z warunkami prawnymi podczas tworzenia konta. Zwróć uwagę na umowę przetwarzania danych VMware dla klientów usługi Microsoft Azure VMware Solution przeniesionych na pomoc techniczną L3. Jeśli problem pomocy technicznej wymaga pomocy technicznej oprogramowania VMware, firma Microsoft udostępnia dane profesjonalnej usługi i skojarzone dane osobowe z programem VMware. Od tego momentu firma Microsoft i VMware działają jako dwa niezależne procesory danych.

Następne kroki

Ten artykuł jest oparty na zasadach i wytycznych dotyczących projektowania architektury strefy docelowej w skali przedsiębiorstwa w przewodniku Cloud Adoption Framework. Aby uzyskać więcej informacji, zobacz:

• Zasady projektowania strefy docelowej platformy Azure
• Wytyczne dotyczące projektowania strefy docelowej platformy Azure

Artykuł jest częścią serii, która stosuje zasady i zalecenia dotyczące stref docelowych w skali przedsiębiorstwa do wdrożeń usługi Azure VMware Solution. Inne artykuły z serii to:

• Zarządzanie tożsamościami i dostępem w skali przedsiębiorstwa dla rozwiązania Azure VMware Solution
• Topologia i łączność sieci w skali przedsiębiorstwa dla rozwiązania Azure VMware Solution
• Automatyzacja platformy w skali przedsiębiorstwa i metodyka DevOps dla rozwiązania Azure VMware Solution
• Ciągłość działania i odzyskiwanie po awarii w skali przedsiębiorstwa dla rozwiązania Azure VMware Solution

Przeczytaj następny artykuł z serii:

Zarządzanie i monitorowanie w skali przedsiębiorstwa dla rozwiązania Azure VMware Solution