Envanter ve görünürlükle ilgili dikkat edilmesi gerekenler
Kuruluşunuz bulut ortamınızı tasarlayıp uygularken, platform yönetimi ve platform hizmetleri izlemenizin temeli önemli bir noktadır. Bulut benimsemesinin başarılı olmasını sağlamak için, ortamınız ölçeklendikçe bu hizmetleri kuruluşunuzun gereksinimlerini karşılayacak şekilde yapılandırmanız gerekir.
Erken planlama aşamalarında yaptığınız bulut işletim modeli kararları, yönetim işlemlerinin giriş bölgelerinizin bir parçası olarak nasıl teslim edilir doğrudan etkiler. Yönetimin platformunuz için merkezi hale getirilma derecesi önemli bir örnektir.
Bulut ortamınızda envantere ve görünürlüğe nasıl yaklaşmanız gerektiğini göz önünde bulundurmak için bu makaledeki kılavuzu kullanın.
Temel envanter konuları
- Azure İzleyici Log Analytics çalışma alanı gibi araçları yönetim sınırları olarak kullanmayı göz önünde bulundurun.
- Hangi ekiplerin platformdan sistem tarafından oluşturulan günlükleri kullanması gerektiğini ve bu günlüklere kimin erişmesi gerektiğini belirleyin.
Harmanlamak ve kullanmak isteyebileceğiniz veri türlerini bildirmek için günlük verileriyle ilgili aşağıdaki öğeleri göz önünde bulundurun.
Kapsam | Bağlam |
---|---|
Uygulama merkezli platform izleme |
Ölçümler ve günlükler için sırasıyla hem sık hem de soğuk telemetri yollarını ekleyin. Performans sayaçları ve özel ölçümler gibi işletim sistemi ölçümleri. İşletim sistemi günlükleri, örneğin:
|
Güvenlik denetimi günlüğü | Kuruluşunuzun tüm Azure varlığında yatay bir güvenlik merceği elde etmeyi hedefleyin.
|
Azure veri saklama eşikleri ve arşivleme gereksinimleri |
|
operasyonel gereksinimler |
|
Görünürlükle ilgili dikkat edilmesi gerekenler
- Hangi ekiplerin uyarı bildirimleri alması gerekiyor?
- Birden çok takıma bildirilmesi gereken hizmet gruplarınız var mı?
- Uyarı göndermeniz gereken mevcut Hizmet Yönetimi araçlarınız var mı?
- hangi hizmetler iş açısından kritik olarak kabul edilir ve sorunların yüksek öncelikli bildirimlerini gerektirir?
Envanter ve görünürlük önerileri
Azure rol tabanlı erişim denetimi (Azure RBAC), veri hakimiyeti gereksinimleri ve veri saklama ilkelerinin ayrı çalışma alanlarını zorunlu tutması dışında platformları merkezi olarak yönetmek için tek bir izleyici günlükleri çalışma alanı kullanın. Merkezi günlüğe kaydetme, işlem yönetimi ekiplerinin gerektirdiği görünürlük açısından kritik öneme sahiptir ve değişiklik yönetimi, hizmet durumu, yapılandırma ve BT işlemlerinin diğer çoğu yönüyle ilgili raporları yönetir. Merkezi bir çalışma alanı modeline odaklanmak, yönetim çalışmalarını ve gözlemlenebilirlik boşluklarının olasılığını azaltır.
Günlük saklama gereksinimleriniz yedi yılı aşarsa günlükleri Azure Depolama dışarı aktarın. Verileri kullanıcı tarafından belirtilen bir aralıkta silinemez ve değiştirilemez hale getirmek için bir kez yazma, çok okuma ilkesiyle sabit depolama kullanın.
Erişim denetimi ve uyumluluk raporlaması için Azure İlkesi kullanın. Azure İlkesi, tutarlı ilkeye bağlılığı ve hızlı ihlal algılamasını sağlamak için kuruluş genelinde ayarları zorunlu kılmanıza olanak tanır. Daha fazla bilgi için bkz. Azure İlkesi etkilerini anlama.
Ağ İzleyicisi NSG akış günlükleri v2 aracılığıyla trafik akışlarını proaktif olarak izlemek için Ağ İzleyicisi kullanın. Traffic Analytics , sanal ağlar içindeki IP trafiği hakkında derin içgörüler toplamak için NSG akış günlüklerini analiz eder. Ayrıca, etkili yönetim ve izleme için ihtiyacınız olan kritik bilgileri de sağlar, örneğin:
- En çok iletişim yapan konaklar ve uygulama protokolleri
- En yakınsanan konak çiftleri
- İzin verilen veya engellenen trafik
- Gelen ve giden trafik
- İnternet bağlantı noktalarını açma
- Çoğu engelleme kuralı
- Azure veri merkezi başına trafik dağıtımı
- Sanal ağ
- Alt ağlar
- Sahte ağlar
Kritik paylaşılan hizmetlerin yanlışlıkla silinmesini önlemek için kaynak kilitlerini kullanın.
Azure rol atamalarını desteklemek için reddetme ilkelerini kullanın. reddetme ilkeleri, isteklerin kaynak sağlayıcılarına gönderilmesini engelleyerek tanımlı standartları karşılamayan kaynak dağıtımlarının ve yapılandırmalarının önlenmesine yardımcı olur. Reddetme ilkelerini ve Azure rol atamalarını birleştirmek, kaynakları kimlerin dağıtabileceğini ve yapılandırabileceğini ve hangi kaynakları dağıtıp yapılandırabileceğini denetlemek için uygun korumalara sahip olduğunuzdan emin olur.
Genel platform izleme çözümünüzün bir parçası olarak hizmet ve kaynak durumu olaylarını dahil edin. Hizmet ve kaynak durumunu platform perspektifinden izlemek, Azure'da kaynak yönetiminin önemli bir bileşenidir.
Ham günlük girdilerini şirket içi izleme sistemlerine geri göndermeyin. Bunun yerine, Azure'da doğan verilerin Azure'da kalması ilkesini benimseyin. Şirket içi SIEM tümleştirmesi gerekiyorsa, günlükler yerine kritik uyarılar gönderin.
Azure giriş bölgesi hızlandırıcısı ve yönetimi
Azure giriş bölgesi hızlandırıcısı, kuruluşunuzun hızla ölçeklendirilmesine ve olgunlaşabilmesine yardımcı olan önemli Azure yönetim özelliklerini dağıtmak için fikirlendirilmiş yapılandırma içerir.
Azure giriş bölgesi hızlandırıcısı dağıtımı aşağıdakiler gibi anahtar yönetimi ve izleme araçlarını içerir:
- Log Analytics çalışma alanı ve Otomasyon hesabı
- Bulut için Microsoft Defender izleme
- Log Analytics'e gönderilen etkinlik günlükleri, sanal makineler ve hizmet olarak platform (PaaS) kaynakları için tanılama ayarları
Azure giriş bölgesi hızlandırıcısında merkezi günlüğe kaydetme
Azure giriş bölgesi hızlandırıcısı bağlamında, merkezi günlüğe kaydetme öncelikli olarak platform işlemleriyle ilgilidir.
Bu vurgu, VM tabanlı uygulama günlüğü için aynı çalışma alanının kullanılmasını engellemez. Kaynak merkezli erişim denetimi modunda yapılandırılan bir çalışma alanında, uygulama ekiplerinizin yalnızca kaynaklarından günlüklere erişmesini sağlayan ayrıntılı Azure RBAC uygulanır.
Bu modelde uygulama ekipleri, yönetim ek yüklerini azalttığı için mevcut platform altyapısının kullanımından yararlanır.
Web uygulamaları veya Azure Cosmos DB veritabanları gibi işlem dışı kaynaklar için uygulama ekipleriniz kendi Log Analytics çalışma alanlarını kullanabilir. Daha sonra tanılamaları ve ölçümleri bu çalışma alanlarına yönlendirebilirler.
Sonraki adım
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin