Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
À medida que sua organização projeta e implementa seu ambiente de nuvem, a base para o monitoramento de serviços de plataforma e gerenciamento de plataforma é uma consideração fundamental. Para garantir uma adoção bem-sucedida da nuvem, você deve estruturar esses serviços para atender às necessidades da sua organização conforme seu ambiente é dimensionado.
As decisões do modelo operacional de nuvem tomadas em fases iniciais de planejamento influenciam diretamente como as operações de gerenciamento são entregues como parte de suas zonas de destino. O grau em que o gerenciamento é centralizado para sua plataforma é um exemplo chave.
Use as diretrizes neste artigo para considerar como você deve abordar o inventário e a visibilidade em seu ambiente de nuvem.
Considerações básicas sobre inventário
- Considere usar ferramentas, como um workspace de Log Analytics do Azure Monitor, como limites administrativos.
- Determine quais equipes devem usar os logs gerados pelo sistema da plataforma e quem precisa de acesso a esses logs.
Considere os itens a seguir relacionados ao registro de dados em log para informar quais tipos de dados você pode querer agrupar e usar.
| Escopo | Contexto |
|---|---|
| Monitoramento da plataforma centrada no aplicativo |
Inclua caminhos de telemetria quentes e frios para métricas e logs, respectivamente. Métricas do sistema operacional, como contadores de desempenho e métricas personalizadas. Logs do sistema operacional, como:
|
| Log de auditoria de segurança | Pretenda obter uma lente de segurança horizontal em toda a propriedade do Azure da sua organização.
|
| Limites de retenção de dados do Azure e requisitos de arquivamento |
|
| Requisitos operacionais |
|
Considerações sobre visibilidade
- Quais equipes precisam receber notificações de alerta?
- Você tem grupos de serviços que precisam de várias equipes para serem notificados?
- Você tem as ferramentas existentes de Gerenciamento de Serviços para as quais precisa enviar alertas?
- Quais serviços são considerados críticos para os negócios e exigem notificações de problemas de alta prioridade?
Recomendações de inventário e visibilidade
Use um único workspace de logs de monitor para gerenciar plataformas de forma centralizada, exceto quando o controle de acesso baseado em função do Azure (Azure RBAC), os requisitos de soberania de dados e as políticas de retenção de dados exigirem workspaces separados. O registro em log centralizado é fundamental para a visibilidade exigida pelas equipes de gerenciamento de operações e conduz relatórios sobre gerenciamento de alterações, integridade do serviço, configuração e a maioria dos outros aspectos das operações de TI. O foco em um modelo de espaço de trabalho centralizado reduz o esforço da administração e as chances de lacunas na observabilidade.
- As equipes de aplicativos podem implantar seus próprios Workspaces do Log Analytics em suas próprias assinaturas, além do workspace da equipe central de plataforma ao qual podem ter acesso limitado, para armazenar logs e métricas específicas de suas necessidades de trabalho.
Exporte logs para o Armazenamento do Azure se seus requisitos de retenção de log excederem sete anos. Use o armazenamento imutável com uma política de gravação uma vez, leitura-muitos para tornar os dados não apagáveis e não modificáveis para um intervalo especificado pelo usuário.
Use o Azure Policy para relatórios de controle de acesso e conformidade. O Azure Policy permite impor configurações em toda a organização para garantir a conformidade de política consistente e a detecção rápida de violação. Para obter mais informações, consulte Entenda os efeitos do Azure Policy.
Use o Observador de Rede para monitorar proativamente os fluxos de tráfego por meio dos logs de fluxo do NSG v2. A Análise de Tráfego analisa os logs de fluxo do NSG para coletar insights profundos sobre o tráfego de IP em redes virtuais. Ele também fornece informações críticas necessárias para o gerenciamento e o monitoramento eficazes, como:
- A maioria dos hosts e protocolos de aplicativo de comunicação
- A maioria dos pares de host em comunicação
- Tráfego permitido ou bloqueado
- Tráfego de entrada e de saída
- Portas abertas da Internet
- A maioria das regras de bloqueio
- Distribuição de tráfego por um datacenter do Azure
- Rede virtual
- Sub-redes
- Redes não autorizadas
Use bloqueios de recursos para evitar a exclusão acidental de serviços compartilhados críticos.
Use políticas de negação para complementar atribuições de função do Azure. As políticas de negação ajudam a impedir que implantações e configurações de recursos que não atendam aos padrões definidos bloqueando o envio de solicitações para provedores de recursos. A combinação de políticas de negação e atribuições de função do Azure garante que você tenha diretrizes apropriadas em vigor para controlar quem pode implantar e configurar recursos e quais recursos eles podem implantar e configurar.
Inclua eventos de serviço e de integridade de recursos como parte da solução de monitoramento geral da plataforma. Acompanhar o serviço e a integridade de recursos da perspectiva da plataforma é um componente importante do gerenciamento de recursos no Azure.
Não envie entradas de log brutas de volta para sistemas de monitoramento locais. Em vez disso, adote o princípio de que os dados nascidos no Azure permanecem no Azure. Se você precisar de integração SIEM local, envie alertas críticos em vez de logs.
Acelerador de zona de destino do Azure e gerenciamento
O acelerador de zona inicial do Azure inclui uma configuração predefinida e recomendada para implantar os principais recursos de gerenciamento do Azure que ajudam sua organização a escalar e amadurecer rapidamente.
A implantação do acelerador de zona de aterrissagem do Azure inclui ferramentas principais de gerenciamento e monitoramento, como:
- Um workspace do Log Analytics
- Monitoramento do Microsoft Defender para Nuvem
- Configurações de diagnóstico para logs de atividades, máquinas virtuais e recursos de PaaS (plataforma como serviço) enviados ao Log Analytics
Registro centralizado no acelerador da zona de aterrissagem do Azure
No contexto do acelerador de zona de aterrissagem do Azure, o foco do registro centralizado está nas operações de plataforma.
Essa ênfase não impede o uso do mesmo workspace para log de aplicativos baseados em VM. Em um workspace configurado no modo de controle de acesso centrado em recursos, o RBAC granular do Azure é imposto, o que garante que suas equipes de aplicativos tenham acesso apenas aos logs de seus recursos.
Nesse modelo, as equipes de aplicativos se beneficiam do uso da infraestrutura de plataforma existente, pois reduz a sobrecarga de gerenciamento.
Para recursos não computados, como aplicativos Web ou bancos de dados do Azure Cosmos DB, suas equipes de aplicativos podem usar seus próprios workspaces do Log Analytics. Em seguida, eles podem rotear diagnósticos e métricas para esses espaços de trabalho.
As equipes de aplicativos também podem decidir duplicar alguns dos logs que estão disponíveis no Espaço de Trabalho do Log Analytics da equipe da plataforma central para obter eficiências operacionais em sua equipe. Essa também é uma abordagem com suporte na arquitetura e diretrizes da zona de destino do Azure.
Próxima etapa
Monitorar os componentes da zona de aterrissagem da plataforma Azure