Blob Özetlerini Depolamak için Yönetilen Uygulama Oluşturma

Önkoşullar

• Azure Depolama Hesabı
• Azure CLI (isteğe bağlı)
• Python için Azure SDK tarafından desteklenen Python sürümü (isteğe bağlı)

Genel bakış

Gizli Kayıt Defteri Tarafından Yedeklenen Blob Depolama Özet Uygulaması, blob kapsayıcısı içindeki bloblara güvenildiğini ve değiştirilmediğini garanti etmek için kullanılabilir. Bir depolama hesabına bağlandıktan sonra uygulama, özetleri hesaplayıp Azure Gizli Kayıt Defteri'nde depolamanın yanı sıra depolama hesabındaki her kapsayıcıya eklenen tüm blobları gerçek zamanlı olarak izler. Blobların geçerliliğini denetlemek ve blob kapsayıcısıyla oynanmadığından emin olmak için istediğiniz zaman denetimler gerçekleştirilebilir.

Yönetilen uygulamayı dağıtma

Yönetilen Uygulama şu Azure Market bulunabilir: Gizli Kayıt Defteri tarafından Desteklenen Blob Depolama Özetleri (önizleme).

Oluşturulacak kaynaklar

Gerekli alanlar doldurulduktan ve uygulama dağıtıldıktan sonra Yönetilen Kaynak Grubu altında aşağıdaki kaynaklar oluşturulur:

• Gizli Kayıt Defteri
• Oturumların etkin olduğu Service Bus Kuyruğu
• Depolama Hesabı (Özet mantığını ve denetim geçmişini depolamak için kullanılan Yayımcıya ait depolama hesabı)
• İşlev Uygulaması
• Application Insights

Yönetilen uygulamaya depolama hesabı Bağlan

Yönetilen Uygulama oluşturulduktan sonra, Blob Kapsayıcısı özetlerini işlemeye ve Azure Gizli Kayıt Defteri'ne kaydetmeye başlamak için Yönetilen Uygulamayı Depolama Hesabınıza bağlayabilirsiniz.

Depolama hesabı için konu ve olay aboneliği oluşturma

Yönetilen Uygulama, tüm Blob Oluşturma olaylarını izlemek ve kaydetmek için bir Azure Service Bus Kuyruğu kullanır. Yönetilen Uygulama tarafından Yönetilen Kaynak Grubu'nda oluşturulan Kuyruğu kullanacak ve blob oluşturduğunuz tüm depolama hesapları için Olay Abonesi olarak ekleyeceksiniz.

Azure portalı

Azure portalında blob özetleri oluşturmaya başlamak istediğiniz depolama hesabına gidebilir ve dikey pencereye Events gidebilirsiniz. Burada bir Olay Aboneliği oluşturabilir ve bunu Azure Service Bus Kuyruğu Uç Noktasına bağlayabilirsiniz.

Kuyruk, birden çok depolama hesabı arasında sıralamayı sürdürmek için oturumları kullanır, bu nedenle sekmeye Delivery Properties gitmeniz ve bu olay aboneliği için benzersiz bir oturum kimliği girmeniz gerekir.

CLI

Olay Konusu Oluşturma:

az eventgrid system-topic create \
--resource-group {resource_group} \
--name {sample_topic_name} \
--location {location} \
--topic-type microsoft.storage.storageaccounts \
--source /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

resource-group - Konu Başlığının oluşturulması gereken Kaynak Grubu

name - Oluşturulacak Konunun Adı

location - Oluşturulacak Konunun Konumu

source - Konu başlığı oluşturulacak depolama hesabının kaynak kimliği

Olay Aboneliği Oluşturma:

az eventgrid system-topic event-subscription create \
--name {sample_subscription_name} \
--system-topic-name {sample_topic_name} \
--resource-group {resource_group} \
--event-delivery-schema EventGridSchema \
--included-event-types Microsoft.Storage.BlobCreated \
--delivery-attribute-mapping sessionId static {sample_session_id} false \
--endpoint-type servicebusqueue \
--endpoint /subscriptions/{subscription}/resourceGroups/{managed_resource_group}/providers/Microsoft.ServiceBus/namespaces/{service_bus_namespace}/queues/{service_bus_queue}

name - Oluşturulacak Aboneliğin Adı

system-topic-name - Aboneliğin oluşturulduğu Konunun Adı (Yeni oluşturulan konu ile aynı olmalıdır)

resource-group - Aboneliğin oluşturulması gereken Kaynak Grubu

delivery-attribute-mapping - Gerekli sessionId alanı için eşleme. Benzersiz bir sessionId girin

endpoint - Depolama hesabına abone olan service bus kuyruğunun Kaynak Kimliği Konusu

Depolama hesabına gerekli rolü ekleme

Yönetilen Uygulama, rolün Storage Blob Data Owner her blob için karmaları okumasını ve oluşturmasını gerektirir ve özetin doğru hesaplanması için bu rolün eklenmesi gerekir.

Azure portalı

CLI

az role assignment create \
--role "Storage Blob Data Owner" \
--assignee-object-id {function_oid} \
--assignee-principal-type ServicePrincipal\
--scope /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

assignee-object-id - Yönetilen Uygulama ile oluşturulan Azure İşlevinin OID'i. 'Kimlik' dikey penceresinin altında bulunabilir

scope - Rolünün oluşturulacağı depolama hesabının kaynak kimliği

Not

Tek bir Yönetilen Uygulama örneğine birden çok depolama hesabı bağlanabilir. Şu anda yüksek kullanım blob kapsayıcıları içeren en fazla 10 depolama hesabı öneririz.

Blob ekleme ve özet oluşturma

Depolama hesabı Yönetilen Uygulamaya düzgün bir şekilde bağlandıktan sonra bloblar depolama hesabı içindeki kapsayıcılara eklemeye başlayabilir. Bloblar gerçek zamanlı olarak izlenir ve özetler hesaplanıp Azure Gizli Kayıt Defteri'nde depolanır.

İşlem ve blok tabloları

Tüm blob oluşturma olayları Yönetilen Uygulama içinde depolanan iç tablolarda izlenir.

İşlem tablosu, blobun meta verilerinin ve/ veya içeriğinin bir bileşimi kullanılarak oluşturulan her blob ve benzersiz karma hakkında bilgi içerir.

Blok tablosu, blob kapsayıcısı için oluşturulan her özetle ilgili bilgileri içerir ve özetle ilişkili işlem kimliği Azure Gizli Kayıt Defteri'nde depolanır.

Özet ayarları

Yönetilen uygulama oluşturulurken seçilebilen birkaç özet ayarı vardır. veya SHA256olsunMD5, özetleri oluşturmak için kullanılan öğesini seçebilirsinizHashing Algorithm. Ayrıca, her özet veya Digest Sizeiçinde yer alan blob sayısını seçebilirsiniz. Özet Boyutu, her blok içinde birlikte karma olarak oluşturulacak blobların sayısı ve arasında değişir 1-16 . Son olarak, her özet oluşturulurken ve karmalarının ne olacağını seçebilirsiniz Hash Contents . Bu her blobun File Contents + Metadata veya yalnızca öğesinin File Contentsolabilir.

Azure Gizli Kayıt Defteri'nin özetini görüntüleme

Dikey pencereye giderek Ledger Explorer doğrudan Azure Gizli Kayıt Defteri'nde depolanan özetleri görüntüleyebilirsiniz.

Denetim gerçekleştirme

Üzerinde oynanmadığından emin olmak için kapsayıcıya eklenen blobların geçerliliğini denetlemek isterseniz, herhangi bir zamanda bir denetim çalıştırılabilir. Denetim, her blob oluşturma olayını yeniden yürüter ve denetim sırasında kapsayıcıda depolanan bloblarla özetleri yeniden hesaplar. Daha sonra yeniden hesaplanmış özetleri Azure Gizli'de depolanan özetlerle karşılaştırır ve tüm özet karşılaştırmalarını ve blob kapsayıcısıyla oynanıp oynanmadığını gösteren bir rapor sağlar.

Denetim tetikleme

Yönetilen Uygulamanızla ilişkilendirilmiş Service Bus Kuyruğuna aşağıdaki ileti eklenerek bir denetim tetiklenebilir:

{
    "eventType": "PerformAudit",
    "storageAccount": "<storage_account_name>",
    "blobContainer": "<blob_container_name>"
}

Azure portalı

Kuyrukta oturumlar etkinleştirildiğinden bir Session ID eklediğinizden emin olun.

Python SDK'sı

import json
import uuid
from azure.servicebus import ServiceBusClient, ServiceBusMessage

SERVICE_BUS_CONNECTION_STR = "<service_bus_connection_string>"
QUEUE_NAME = "<service_bus_queue_name>"
STORAGE_ACCOUNT_NAME = "<storage_account_name>"
BLOB_CONTAINER_NAME = "<blob_container_name>"
SESSION_ID = str(uuid.uuid4())

servicebus_client = ServiceBusClient.from_connection_string(conn_str=SERVICE_BUS_CONNECTION_STR, logging_enable=True)
sender = servicebus_client.get_queue_sender(queue_name=QUEUE_NAME)

message = {
    "eventType": "PerformAudit",
    "storageAccount": STORAGE_ACCOUNT_NAME,
    "blobContainer": BLOB_CONTAINER_NAME
}

message = ServiceBusMessage(json.dumps(message), session_id=SESSION_ID)
sender.send_messages(message)

Denetim sonuçlarını görüntüleme

Bir denetim başarıyla gerçekleştirildikten sonra, denetimin sonuçları ilgili depolama hesabında bulunan adlı <managed-application-name>-audit-records kapsayıcının altında bulunabilir. Sonuçlar yeniden hesaplanmış özet, Azure Gizli Kayıt Defteri'nden alınan özet ve bloblarla oynanıp oynanmadığını içerir.

Yönetilen uygulamayı oluştururken, e-posta uyarılarını kabul ederseniz, hangi seçeneğin belirlendiğini bağlı olarak bir Audit Failure veya bir sırasında e-postanıza gönderilen bir Audit Success and Failure e-posta alırsınız.

Günlüğe kaydetme ve hatalar

Hata günlükleri ilgili depolama hesabında bulunan adlı <managed-application-name>-error-logs kapsayıcının altında bulunabilir. Blob oluşturma olayı veya denetim işlemi başarısız olursa, hatanın nedeni kaydedilir ve bu kapsayıcıda depolanır. Hata günlükleri veya uygulama işlevselliği hakkında herhangi bir soru varsa, Yönetilen Uygulama ayrıntılarında sağlanan Azure Gizli Kayıt Defteri Desteği ekibine başvurun.

Yönetilen uygulamayı temizleme

Tüm ilişkili kaynakları temizlemek ve kaldırmak için Yönetilen Uygulamayı silebilirsiniz. Yönetilen Uygulamanın silinmesi, tüm blob işlemlerinin izlenmesini ve tüm özetlerin oluşturulmasını durdurur. Denetim raporları, silinmeden önce eklenen bloblar için geçerli kalır.

Diğer kaynaklar

Yönetilen uygulamalar ve dağıtılan kaynaklar hakkında daha fazla bilgi için aşağıdaki bağlantılara bakın:

• Yönetilen Uygulamalar
• Azure Hizmet Kuyruğu Oturumları
• Azure Depolama Olayları

Sonraki adımlar

• Microsoft Azure gizli defterine genel bakış