Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Enclave har inbyggda observerbarhetsfunktioner som stöder säker, skalbar och centraliserad övervakning av verksamhetskritiska miljöer. De här funktionerna hjälper communityansvariga och enklaverägare att upprätthålla efterlevnad, undersöka avvikelser och säkerställa driftshälsa för isolerade arbetsbelastningar.
Följande är aktiverade som standard för Azure Enklaverresurser:
- Log Analytics Workspace distribueras som standard till den communityhanterade resursgruppen
- (Valfritt) Log Analytics-arbetsytan distribueras till enklavens hanterade resursgrupp
- Lagringskonto distribueras till den enklavhanterade resursgruppen
- Virtual Network-flödesloggar för varje enklav är aktiverade, pekar mot enklavens lagringskonto och vidarebefordras till Communitys och/eller Enclaves Log Analytics-arbetsyta
- Diagnostikinställningar aktiveras för resurser som distribueras till både community- och enklaverhanterade resursgrupper
Centraliserad och isolerad observerbarhet
Övervakning i Azure Enclave bygger på en loggningsmodell i två nivåer som stöder både centraliserad diagnostisk loggning och diagnostisk loggning som är isolerad till enklaven med hjälp av Azure Monitor, Log Analytics och lagringskonton.
Observerbarhet på gemenskapsnivå
Varje Community som skapas i Azure Enclave omfattar en centraliserad Log Analytics-arbetsyta. Den här arbetsytan är utformad för att:
- Aggregera diagnostik och mått från alla enklaver i communityn.
- Ange en enda fönsterruta för övervakning och frågekörning av diagnostik- och flödesloggar.
- Stöd för analys, aviseringar och efterlevnadsspårning mellan enklaver.
När communityn skapas skapas arbetsytan automatiskt. Arbetsytan kan väljas som diagnostikmål av enklav- eller arbetsbelastningsägare under distributions- eller uppdateringsåtgärder. Offentlig åtkomst är inaktiverad för arbetsytan Community Log-A, men den är inte nätverksisolerad som standard. Om du vill konfigurera offentlig åtkomst eller nätverksisolering kan du överväga att lägga till säkerhet för privata länkar.
Note
Diagnostikinställningar från enklaverresurser (till exempel arbetsbelastningar, offentliga IP-adresser eller Application Gateways) kan konfigureras för att skicka loggar till den centraliserade arbetsytan för att stödja enhetlig övervakning.
Observerbarhet på enklavernivå
Utöver Community-arbetsytan har varje enklav tilldelats en isolerad Log Analytics-arbetsyta som är specifikt avgränsad till den enklaven. Den här arbetsytan är optimerad för loggningsscenarier på enklavnivå och har följande egenskaper:
- Standardlagring av Virtual Network flödesloggar, som aktiveras automatiskt för varje enklav.
- Valfria diagnostikinställningar för enklaveromfångsresurser, till exempel interna arbetsbelastningar och nätverkskomponenter.
- Utformad för att uppfylla isolerings- eller regelkrav som förhindrar loggaggregering mellan enklaver.
Administratörer kan välja att hålla enklavdiagnostik privat genom att endast skicka loggar till den här isolerade arbetsytan.
Konfigurerbara loggningsmål
Azure Enclave har stöd för flexibla loggningskonfigurationer som gör att resursägare kan välja mellan:
| Loggningsplats | Purpose | Standardanvändning |
|---|---|---|
| Community Log Analytics workspace | Möjliggör centraliserad övervakning och analys mellan enklaver | Optional |
| Enklaver Log Analytics arbetsyta | Upprätthåller isolering på enklavnivå och datasuveränitet | Standard för flödesloggar för virtuella nätverk |
Du kan konfigurera diagnostikinställningar via Azure-portalen, CLI eller Bicep/ARM-mallar under eller efter distributionen.
Important
Virtual Network-flödesloggar skickas alltid som standard till den enklavsspecifika arbetsytan för att säkerställa att synlighet på nätverksnivå bevaras, även i isolerade miljöer.
Vanliga scenarier för observerbarhet
| Scenario | Loggningsstrategi |
|---|---|
| Enklavövergripande hälsoöversikt | Skicka diagnostik från alla enklaver till den centraliserade arbetsytan Community Log Analytics |
| Reglerad enklaver med strikta datakontroller | Håll diagnostiken inom den enklavens specifika Log Analytics arbetsyta |
| Långsiktig kvarhållning i granskningssyfte | Skicka loggar till ett lagringskonto med principstyrda kvarhållningsinställningar |
| Nätverksundersökning eller hotjakt | Använda enklavens arbetsyta för att analysera standardflödesloggar för virtuella nätverk |
Konfigurera Network Watcher resursgrupper
För att undvika potentiella problem med skapande av flödesloggarNetworkWatcherRG för virtuella nätverk konfigurerar du resursgruppen manuellt i förväg och tilldelar Mission Enclave appen rollen för resursgruppen Owner , eller kontrollerar att konfigurationen och rolltilldelningen sker automatiskt innan du skapar din första enklaver i prenumerationen.
För att mildra det här potentiella problemet skapar du manuellt resursgruppen NetworkWatcher med namnet NetworkWatcherRG i nya prenumerationer för varje prenumeration och ger sedan Azure Enclave-appen Mission EnclaveOwner åtkomst till NetworkWatcherRG:
Välj resursgruppen
NetworkWatcherRG, väljAccess control (IAM)och välj sedanAddochAdd role assignment.
Välj
Privileged administrator roles, väljowneroch väljNextsedan .
Välj
Select members, skrivMission Enclavei sökfältet och välj appenMission Enclave, väljSelectoch sedanNext.
Om prenumerationen kräver ett villkor väljer du
Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended)och väljerReview + assignsedan .
När uppdateringen är klar kan du börja distribuera Azure Enklaverresurser.
När en community eller en enklav skapas gör Azure Enklaver följande steg:
- Kontrollera om det
NetworkWatcherRGfinns. Om inte, försök att skapa den resursgruppen. - Kontrollera om
Mission Enclave-appen har en permanentOwner-tilldelning påNetworkWatcherRG. Om inte, försök att tilldelaMission Enclaveappen som en permanentOwner-tilldelning påNetworkWatcherRG. Även om det finns en ärvdOwnerbehörighet försöker systemet skapa en permanentOwnertilldelning. - Om något steg misslyckas kan distributioner av enklaver misslyckas vid försök att skapa flödesloggar för virtuella nätverk.