Создание групп действий и управление ими на портале Azure

Если данные Azure Monitor указывают на то, что в инфраструктуре или приложении может возникнуть проблема, активируется оповещение. Затем Azure Monitor, Работоспособность служб Azure и Помощник по Azure используют группы действий для уведомления пользователей об оповещении и принятия действий. Группа действий — это коллекция параметров уведомлений, которые определены владельцем подписки Azure.

В этой статье показано, как создавать группы действий и управлять ими на портале Azure. В зависимости от требований можно выполнить настройку таким образом, чтобы оповещения использовали одну и ту же группу действий или разные группы действий.

Каждое действие состоит из следующих свойств:

  • Тип — отправленное уведомление или выполненное действие. Примеры: исходящий голосовой звонок, SMS или электронное письмо. Вы также можете активировать различные типы автоматических действий. Подробные сведения о типах уведомлений и действий см. в разделе Сведения о конкретных действиях далее в этой статье.
  • Name (Имя). уникальный идентификатор в группе действий.
  • Details (Сведения). Соответствующие сведения, которые зависят от типа.

Дополнительные сведения о настройке групп действий с помощью шаблонов Azure Resource Manager см. в статье Создание группы действий с помощью шаблона Resource Manager.

Группа действий — глобальная служба, поэтому никакой зависимости от конкретного региона Azure у нее нет. Запросы от клиентов могут обрабатываться службами групп действий в любом регионе. Например, если один регион службы группы действий отключен, трафик автоматически направляется и обрабатывается другими регионами. Как глобальная служба, группа действий помогает предоставить решение для аварийного восстановления.

Создание группы действий с помощью портала Azure

  1. Перейдите на портал Azure.

  2. Найдите и выберите Monitor. В области Монитор объединены все параметры мониторинга и данные.

  3. Выберите Оповещения, а затем Группы действий.

    Снимок экрана: страница

  4. Нажмите кнопку создания.

    Снимок экрана: страница

  5. Введите сведения, как описано в следующих разделах.

Настройка основных параметров группы действий

  1. В окне Сведения о проекте:

    • Выберите значения для параметров Подписка и Группа ресурсов.

    • Выберите регион

      Параметр Поведение
      Глобальный Служба групп действий решает, где хранить группу действий. Группа действий сохраняется как минимум в двух регионах для обеспечения региональной устойчивости. Обработка действий может выполняться в любом географическом регионе.

      Действия "Голосовой звонок", "SMS" и "Электронное письмо", выполняемые в результате оповещений о работоспособности службы, устойчивы к инцидентам на действующих сайтах Azure.
      Региональные Группа действий сохраняется в выбранном регионе. Группа действий является избыточной между зонами. Обработка действий выполняется в пределах региона.

      Используйте этот параметр, если вы хотите, чтобы обработка группы действий выполнялась в пределах определенной географической границы.

    Группа действий сохраняется в выбранной подписке, регионе и группе ресурсов.

  2. В разделе Сведения об экземпляре введите значения для параметров Имени группы действий и Отображаемое имя. Отображаемое имя используется вместо полного имени группы действий, если эта группа используется для отправки уведомлений.

    Снимок экрана: диалоговое окно

Настройка уведомлений

  1. Чтобы открыть вкладку Уведомления, выберите Далее: уведомления или в верхней части страницы выберите вкладку Уведомления.

  2. Определите список уведомлений для отправки при срабатывании оповещения. Для каждого уведомления укажите следующую информацию:

    • Тип уведомления. Выберите тип уведомления, которое требуется отправить. Доступны следующие параметры:

      • Роль электронной почты Azure Resource Manager. Отправка сообщения электронной почты пользователям, которым назначены определенные роли Azure Resource Manager на уровне подписки.
      • Сообщение электронной почты, SMS, push-уведомление или голосовое сообщение. Отправка различных типов уведомлений конкретным получателям.
    • Имя. Введите уникальное имя уведомления.

    • Сведения. В зависимости от выбранного типа уведомления введите адрес электронной почты, номер телефона и т. д.

    • Общая схема оповещений. Можно включить общую схему оповещений, которая дает преимущества единых расширяемых и унифицированных полезных данных оповещений во всех службах оповещений в Monitor. Дополнительные сведения об этой схеме см. в статье Общая схема оповещений.

    Снимок экрана: вкладка

  3. Нажмите кнопку "ОК".

Настройка действий

  1. Чтобы открыть вкладку Действия, нажмите кнопку Далее: действия или в верхней части страницы выберите вкладку Действия.

  2. Определите список действий, которые будут активированы при срабатывании предупреждения. Для каждого действия укажите следующую информацию:

    • Тип действия. Выберите из следующих типов действий:

      • runbook службы автоматизации Azure;
      • функция Функций Azure;
      • уведомление, отправляемое в Центры событий Azure;
      • уведомление, отправляемое средству управления ИТ-услугами (ITSM);
      • рабочий процесс Azure Logic Apps;
      • безопасный веб-перехватчик;
      • веб-перехватчик.
    • Имя. Введите уникальное имя действия.

    • Сведения. Введите соответствующие сведения для выбранного типа действия. Например, можно ввести универсальный код ресурса (URI) веб-перехватчика, имя приложения Azure, подключение ITSM или runbook службы автоматизации. Для действия ITSM также введите значения для рабочего элемента и других полей, необходимых средству ITSM.

    • Общая схема оповещений. Можно включить общую схему оповещений, которая дает преимущества единых расширяемых и унифицированных полезных данных оповещений во всех службах оповещений в Monitor. Дополнительные сведения об этой схеме см. в статье Общая схема оповещений.

    Снимок экрана: вкладка

Создание группы действий

  1. Если вы хотите назначить пару "ключ-значение" группе действий, нажмите кнопку Далее: теги или вкладку Теги. В противном случае пропустите этот шаг. С помощью тегов можно классифицировать ресурсы Azure. Теги доступны для всех ресурсов Azure, групп ресурсов и подписок.

    Снимок экрана: вкладка

  2. Чтобы проверить настройки, выберите Просмотреть и создать. Этот шаг используется для быстрой проверки входных данных, чтобы убедиться, что вы ввели все необходимые сведения. При наличии проблем здесь отобразятся сведения о них. После проверки параметров нажмите кнопку Создать, чтобы создать группу действий.

    Снимок экрана: вкладка

Примечание

Можно настроить действие для уведомления пользователя по электронной почте или SMS. Тогда этот пользователь получит подтверждение о добавлении его в группу действий.

Тестирование группы действий на портале Azure (предварительная версия)

При создании или обновлении группы действий на портале Azure можно протестировать группу действий.

  1. Определите действие, как описано в предыдущих разделах. Щелкните Просмотр и создание.

  2. На странице со списком введенных сведений выберите Тестировать группу действий.

    Снимок экрана: вкладка

  3. Выберите тип выборки, укажите типы уведомлений и действий, которые необходимо протестировать. Затем выберите Тестировать.

    Снимок экрана: страница

  4. Если закрыть окно или выбрать пункт Назад к настройке теста во время выполнения теста, тестирование будет остановлено и результаты теста не будут получены.

    Снимок экрана: страница

  5. По завершении теста появляется состояние теста — Успешно или Сбой. Если тест завершился сбоем и вы хотите получить дополнительные сведения, выберите Просмотреть сведения.

    Снимок экрана: страница

Сведения, приведенные в разделе Сведения об ошибке, позволяют понять проблему. Затем можно изменить и проверить группу действий еще раз.

При выполнении теста и выборе типа уведомления вы получите сообщение со словом "Test" в теме. Тесты предоставляют способ проверить, работает ли группа действий должным образом, прежде чем включить ее в рабочей среде. Все сведения и ссылки в уведомлениях о тестах по электронной почте представляют собой набор выборок для справки.

Требования к участникам роли в Azure Resource Manager

В следующей таблице описаны требования к участникам роли для использования функциональных возможностей тестовых действий.

Наличие роли пользователя Существующая группа действий Существующая группа ресурсов и новая группа действий Новая группа ресурсов и новая группа действий
Участник подписки Поддерживается Поддерживается Поддерживается
Участник группы ресурсов Поддерживается Поддерживается Неприменимо
Участник ресурса группы действий Поддерживается Неприменимо Неприменимо
Участник Azure Monitor Поддерживается Поддерживается Неприменимо
Настраиваемая роль Поддерживается Поддерживается Неприменимо

Примечание

Вы можете выполнять ограниченное количество тестов в течение определенного периода времени. Чтобы проверить, какие ограничения применяются к вашей ситуации, ознакомьтесь с ограничением частоты отправки для голосовых сообщений, SMS-сообщений, сообщений электронной почты, push-уведомлений приложений Azure и записей веб-перехватчиков.

При настройке группы действий на портале вы можете согласиться на стандартную схему оповещений или отказаться от нее.

Управление группами действий

После создания группы действий ее можно просмотреть на портале:

  1. На странице Монитор выберите Оповещения.

  2. Выберите Управление действиями.

  3. Выберите группу действий, которой необходимо управлять: Вы можете:

    • добавлять, изменять или удалять действия;
    • удалить группу действий.

Сведения о конкретных действиях

В следующих разделах содержатся сведения о различных действиях и уведомлениях, которые можно настроить в группе действий.

Примечание

Числовые значения ограничений для каждого типа действия или уведомления см. в разделе Ограничения Azure Monitor.

Runbook автоматизации

Числовые значения ограничений для каждого полезных данных runbook службы автоматизации, см. в разделе Ограничения службы автоматизации.

В группе действий может быть ограниченное число действий runbook.

Push-уведомления приложения Azure

Чтобы включить push-уведомления в мобильном приложении Azure, укажите адрес электронной почты, который вы используете в качестве идентификатора учетной записи при настройке мобильного приложения Azure. Дополнительные сведения о мобильном приложении Azure см. на странице Получите мобильное приложение Azure.

В группе действий может быть ограниченное число действий приложения Azure.

Адрес электронной почты

Убедитесь, что фильтрация электронной почты и все службы защиты от вредоносных программ и спама настроены соответствующим образом. Электронная почта будет отправляться на следующие адреса:

  • azure-noreply@microsoft.com
  • azureemail-noreply@microsoft.com
  • alerts-noreply@mail.windowsazure.com

В группе действий может быть ограниченное число действий электронной почты. Сведения об ограничениях скорости см. в статье Ограничение частоты отправки для голосовых сообщений, SMS-сообщений, сообщений электронной почты, push-уведомлений приложений Azure и записей веб-перехватчиков.

Отправка электронных сообщений роли Azure Resource Manager

При использовании этого типа уведомлений вы можете отправлять сообщения электронной почты членам роли подписки. Электронное сообщение будет отправлено только пользователям Azure Active Directory (Azure AD), являющимся членами роли. Сообщение не будет отправлено группам или субъектам-службам Azure AD.

Сообщение электронной почты с уведомлением отправляется только на основной адрес электронной почты.

Если основной адрес электронной почты не получает уведомлений, выполните приведенные ниже действия.

  1. На портале Azure перейдите в Active Directory

  2. Слева выберите Все пользователи. Справа появится список пользователей.

  3. Выберите пользователя, основной адрес электронной почты которого вы хотите просмотреть.

    Снимок экрана: страница

  4. В профиле пользователя просмотрите контактные данные для адреса электронной почты. Если поле пусто, выполните приведенные ниже действия.

    1. В верхней части страницы выберите Изменить.
    2. Введите адрес электронной почты.
    3. В верхней части страницы щелкните Сохранить.

    Снимок экрана: страница профиля пользователя на портале Azure. Выделены кнопка

В группе действий может быть ограниченное число действий электронной почты. Чтобы проверить, какие ограничения применяются к вашей ситуации, ознакомьтесь с ограничением частоты отправки для голосовых сообщений, SMS-сообщений, сообщений электронной почты, push-уведомлений приложений Azure и записей веб-перехватчиков.

При настройке роли Azure Resource Manager:

  1. Назначьте роли сущность типа Пользователь.
  2. Добавьте назначение роли на уровне подписки.
  3. Убедитесь, что адрес электронной почты настроен для пользователя в его профиле Azure AD.

Примечание

Чтобы клиент начал получать уведомления после добавления новой роли Azure Resource Manager в подписку, может потребоваться до 24 часов.

Центры событий

Действие Центров событий публикует уведомления в Центрах событий. Дополнительные сведения о Центрах событий см. в статье Центры событий Azure — платформа потоковой передачи больших данных и служба приема событий. Вы можете подписаться на потоковую передачу предупреждающих уведомлений из приемника событий.

Функции

Действие, использующее Функции, вызывает существующую конечную точку триггера HTTP в Функциях. Дополнительные сведения о Функциях см. статье Функции Azure. Для обработки запроса конечная точка должна обрабатывать команду HTTP POST.

При определении действия функции конечная точка триггера HTTP и ключ доступа функции сохраняются в определении действия, например https://azfunctionurl.azurewebsites.net/api/httptrigger?code=<access_key>. При изменении ключа доступа для функции потребуется удалить и повторно создать действие функции в группе действий.

В группе действий может быть ограниченное число действий функций.

ITSM

Действие ITSM требует подключения ITSM. Чтобы узнать, как создать подключение ITSM, ознакомьтесь с интеграцией ITSM.

В группе действий может быть ограниченное число действий ITSM.

Logic Apps

В группе действий может быть ограниченное число действий приложения логики.

Безопасный веб-перехватчик

При использовании безопасного действия веб-перехватчика необходимо использовать Azure AD для защиты подключения между группой действий и защищенным веб-API, который является конечной точкой веб-перехватчика.

Действие безопасного веб-перехватчика выполняет проверку подлинности в защищенном API с помощью экземпляра субъекта-службы в клиенте AD приложения AAD "Веб-перехватчик AAD" НАЖВ. Чтобы группа действий работала, субъект-службу веб-перехватчика AAD необходимо добавить в качестве члена роли в целевом приложении AAD, которое предоставляет доступ к целевой конечной точке.

Общие сведения о приложениях и субъектах-службах Azure AD см. в статье Общие сведения о платформе удостоверений Майкрософт версии 2.0. Выполните следующие действия, чтобы воспользоваться преимуществами функций безопасного веб-перехватчика.

Примечание

Обычная проверка подлинности не поддерживается для SecureWebhook. Для использования обычной проверки подлинности необходимо использовать веб-перехватчик.

Примечание

Если вы используете действие веб-перехватчика, конечная точка целевого веб-перехватчика должна иметь возможность обрабатывать различные полезные данные JSON, которые выдают разные источники оповещений. Если конечная точка веб-перехватчика ожидает определенную схему оповещений (например, схему Microsoft Teams), используйте действие приложения логики для преобразования схемы оповещений в соответствии с ожиданиями целевого веб-перехватчика.

  1. Создайте приложение Azure AD для защищенного веб-API. Подробные сведения см. в статье Защищенный веб-API: регистрация приложения. Настройте защищенный API для вызова управляющей программой и предоставьте разрешения приложения, а не делегированные разрешения. Дополнительные сведения об этих разрешениях см. в статье Если веб-API вызывается службой или управляющим приложением.

    Примечание

    Настройте защищенный веб-API так, чтобы принимались маркеры доступа версии 2.0. Подробные сведения об этом параметре см. в статье Манифесте приложения Azure Active Directory.

  2. Чтобы группа действий могла использовать ваше приложение Azure AD, используйте сценарий PowerShell, следующий за этой процедурой.

    Примечание

    Для выполнения этого сценария у вас должна быть роль администратора приложения Azure AD.

    1. Измените вызов Connect-AzureAD в сценарии PowerShell, чтобы использовать свой идентификатор арендатора Azure AD.
    2. Измените переменную $myAzureADApplicationObjectId в скрипте PowerShell, чтобы использовать свой идентификатор объекта приложения Azure AD.
    3. Запустите измененный сценарий.

    Примечание

    Чтобы иметь возможность создавать или изменять действие "Безопасный веб-перехватчик" в группе действий, e субъекта-службы должен быть роль владельца приложения Azure AD.

  3. Настройте действие безопасного веб-перехватчика.

    1. Скопируйте значение $myApp.ObjectId, которое находится в сценарии.
    2. В определении действия веб-перехватчика в поле Идентификатор объекта введите скопированное значение.

    Снимок экрана: диалоговое окно

Сценарий PowerShell безопасного веб-перехватчика

Connect-AzureAD -TenantId "<provide your Azure AD tenant ID here>"

# Define your Azure AD application's ObjectId.
$myAzureADApplicationObjectId = "<the Object ID of your Azure AD Application>"

# Define the action group Azure AD AppId.
$actionGroupsAppId = "461e8683-5575-4561-ac7f-899cc907d62a"

# Define the name of the new role that gets added to your Azure AD application.
$actionGroupRoleName = "ActionGroupsSecureWebhook"

# Create an application role with the given name and description.
Function CreateAppRole([string] $Name, [string] $Description)
{
    $appRole = New-Object Microsoft.Open.AzureAD.Model.AppRole
    $appRole.AllowedMemberTypes = New-Object System.Collections.Generic.List[string]
    $appRole.AllowedMemberTypes.Add("Application");
    $appRole.DisplayName = $Name
    $appRole.Id = New-Guid
    $appRole.IsEnabled = $true
    $appRole.Description = $Description
    $appRole.Value = $Name;
    return $appRole
}

# Get your Azure AD application, its roles, and its service principal.
$myApp = Get-AzureADApplication -ObjectId $myAzureADApplicationObjectId
$myAppRoles = $myApp.AppRoles
$actionGroupsSP = Get-AzureADServicePrincipal -Filter ("appId eq '" + $actionGroupsAppId + "'")

Write-Host "App Roles before addition of new role.."
Write-Host $myAppRoles

# Create the role if it doesn't exist.
if ($myAppRoles -match "ActionGroupsSecureWebhook")
{
    Write-Host "The Action Group role is already defined.`n"
}
else
{
    $myServicePrincipal = Get-AzureADServicePrincipal -Filter ("appId eq '" + $myApp.AppId + "'")

    # Add the new role to the Azure AD application.
    $newRole = CreateAppRole -Name $actionGroupRoleName -Description "This is a role for Action Group to join"
    $myAppRoles.Add($newRole)
    Set-AzureADApplication -ObjectId $myApp.ObjectId -AppRoles $myAppRoles
}

# Create the service principal if it doesn't exist.
if ($actionGroupsSP -match "AzNS AAD Webhook")
{
    Write-Host "The Service principal is already defined.`n"
}
else
{
    # Create a service principal for the action group Azure AD application and add it to the role.
    $actionGroupsSP = New-AzureADServicePrincipal -AppId $actionGroupsAppId
}

New-AzureADServiceAppRoleAssignment -Id $myApp.AppRoles[0].Id -ResourceId $myServicePrincipal.ObjectId -ObjectId $actionGroupsSP.ObjectId -PrincipalId $actionGroupsSP.ObjectId

Write-Host "My Azure AD Application (ObjectId): " + $myApp.ObjectId
Write-Host "My Azure AD Application's Roles"
Write-Host $myApp.AppRoles

SMS

Сведения об ограничениях скорости см. в статье Ограничение частоты отправки для голосовых сообщений, SMS-сообщений, сообщений электронной почты, push-уведомлений приложений Azure и записей веб-перехватчиков.

Важные сведения об использовании SMS-уведомлений в группах действий см. в статье Поведение SMS-оповещений в группах действий.

В группе действий может быть ограниченное число действий, связанных с SMS.

Примечание

Если вы не можете выбрать код своей страны или региона на портале Azure, SMS для него не поддерживаются. Если код страны или региона недоступен, можно проголосовать за добавление вашей страны или региона на портале Поделитесь своими идеями. А пока в качестве обходного пути можно настроить группу действий так, чтобы она вызывала веб-перехватчик для стороннего поставщика услуг SMS, который поддерживает вашу страны или регион.

Сведения о ценах для поддерживаемых стран и регионов см. в разделе цен на Azure Monitor.

Страны с поддержкой SMS-уведомлений

Код страны Country
61 Австралия
43 Австрия
32 Бельгия
55 Бразилия
1 Канада
56 Чили
86 Китай
420 Чешская Республика
45 Дания
372 Эстония
358 Финляндия
33 Франция
49 Германия
852 Гонконг, САР
91 Индия
353 Ирландия
972 Израиль
39 Италия
81 Япония
352 Люксембург
60 Малайзия
52 Мексика
31 Нидерланды
64 Новая Зеландия
47 Норвегия
351 Португалия
1 Пуэрто-Рико
40 Румыния
7 Россия
65 Сингапур
27 Южно-Африканская Республика
82 Южная Корея
34 Испания
41 Швейцария
886 Тайвань
971 ОАЭ
44 Соединенное Королевство
1 США

Голосовая связь

Важные сведения об ограничениях скорости см. в статье Ограничение частоты отправки для голосовых сообщений, SMS-сообщений, сообщений электронной почты, push-уведомлений приложений Azure и записей веб-перехватчиков.

В группе действий может быть ограниченное число действий голосовой связи.

Примечание

Если вы не можете выбрать код своей страны или региона на портале Azure, голосовые звонки для него не поддерживаются. Если код страны или региона недоступен, можно проголосовать за добавление вашей страны или региона на портале Поделитесь своими идеями. А пока в качестве обходного пути можно настроить группу действий так, чтобы она вызывала веб-перехватчик для стороннего поставщика голосовой связи, который поддерживает вашу страны или регион.

Единственный код страны, для которого группы действий сейчас поддерживают голосовые уведомления, — это +1 (США).

Сведения о ценах для поддерживаемых стран и регионов см. в разделе цен на Azure Monitor.

webhook

Примечание

Если вы используете действие веб-перехватчика, конечная точка целевого веб-перехватчика должна иметь возможность обрабатывать различные полезные данные JSON, которые выдают разные источники оповещений. Если конечная точка веб-перехватчика ожидает определенную схему оповещений (например, схему Microsoft Teams), используйте действие приложения логики для преобразования схемы оповещений в соответствии с ожиданиями целевого веб-перехватчика.

Группы действий веб-перехватчика используют следующие правила:

  • вызов веб-перехватчика выполняется не более трех раз;

  • первый вызов будет ожидать ответа в течение 10 секунд;

  • вторая и третья попытки вызова будут ожидать ответа в течение 30 секунд.

  • Вызов совершается повторно, если выполняются какие-либо из следующих условий:

    • ответ не получен в течение периода ожидания;
    • возвращен один из следующих кодов состояния HTTP: 408, 429, 503 или 504;
  • если три попытки вызова веб-перехватчика завершаются ошибкой, группа действий не вызывает конечную точку в течение 15 минут.

Дополнительные сведения о диапазонах исходных IP-адресов см. в статье IP-адреса группы действий.

Дальнейшие действия