Bakım Modu

Bakım modu, topluluk veya kapanım sahiplerinin geçici olarak topluluklarını veya kuşatmalarını değişikliklere izin verilen "bakım modu" durumuna yerleştirmelerine olanak tanıyan bir özelliktir. Bu mod, ayrıcalıklı kullanıcıların normalde Reddetme Atamaları tarafından korunan temeldeki yönetilen kaynaklar üzerinde belirli değişiklikler yapmasına izin verir. Bu, topluluk ve enklav yalıtımının ve ağ sınırının korunmasına yardımcı olur.

Bakım modu seçenekleri

  • Off - Azure Enclave tarafından oluşturulan reddetme atamaları, bir enclave veya topluluk için altyapıdaki yönetilen kaynak gruplarını korumak üzere bulunur.
  • General Allow Dataplane Actions- Azure tarafından oluşturulan reddetme ataması, ayrıcalıklı kullanıcıların yalnızca temel alınan yönetilen kaynaklarda var olan belirli kaynakları değiştirmesine olanak tanır. Bir enklav için bu işlemler, kaynakların enklav sanal ağına katılmasını ve Özel DNS Bölgesi kayıtlarının oluşturulmasını içerir. Bir topluluk için bu işlemler, Sanal WAN kaynaklarda değişiklik yapmayı içerir. Varsayılan olarak, topluluklar ve enklavlar Off modunda dağıtılır; ancak oluşturma sırasında General modunu seçin ve korunan kaynaklarda değişiklik yapılmasına izin vermek için uygun Microsoft Entra ID kimliklerini sağlayın.
  • Advanced- Azure tarafından oluşturulan reddetme ataması, ayrıcalıklı kullanıcıların temel alınan yönetilen kaynaklarda yükseltilmiş değişiklikler yapmasına izin vermek için geçici olarak kaldırılır.

Hizalama seçenekleri

  • Ağ iletişimi - Yönetilen kaynaklarda ayrıcalıklı veya özel değişikliklerin yönetimi.
  • Yönetişim - Günlüğe kaydetme, ilke veya yönetişimle ilgili diğer değişiklikleri yönetme.
  • Kapalı - Bakım modu artık gerekli değildir.

Topluluk Bakım Modu

Topluluk Bakımı modu, Azure vWAN, Azure Güvenlik Duvarı, Güvenlik Duvarı İlkesi ve Log Analytics Çalışma Alanı dahil olmak üzere Topluluğu oluşturan yönetilen kaynakları korumayı kullanır. Reddetme atamaları, bu kaynaklar üzerinde yetkisiz eylemleri önlemek için kullanılır. Bakım modu etkinleştirildiğinde, belirtilen sorumlulara ayrıcalıklı RBAC eylemleri gerçekleştirmek için reddetme atamalarından dışlamalar verilir.

Topluluk Bakım Modu Senaryoları

Topluluk Bakım Modu için yaygın senaryolar şunlardır:

  • Karmaşık ağ yapılandırmalarını desteklemek için sanal hub yönlendirme tablolarını oluşturma/değiştirme.
  • Community vWAN içinde özel sanal hub'lar oluşturma/değiştirme
  • Belirli Azure hizmetleri için gereken tek tek ağ güvenlik grubu kurallarını oluşturma/değiştirme
  • Özel ağ iletişimini etkinleştirmek için Enclave yönetilen kaynak grubunda kaynaklar oluşturma (ör. Özel DNS Bölgeleri, Özel Bağlantılar vb.)

Topluluk - Genel Bakım Modu

**Topluluk ** kaynağında bakım modu etkinleştirildiğindeGeneral, bakım modu principals (örneğin, kullanıcılar veya gruplar) Deny All reddetme atamasının dışında tutulur.

Bu, bakım modunda tanımlanan kullanıcıların normalde Deny All reddetme ataması tarafından engellenecek bu eylemleri gerçekleştirmesine olanak tanır. Reddetme Allow Dataplane Actions atamaları tüm sorumlular (bakım modu sorumluları dahil) için hala etkindir. Bir kullanıcı yine de kendisine atanan roller tarafından sınırlandırılabilir.

Genel ana kaynak modu etkinleştirildiğinde Topluluk tarafından yönetilen kaynak grubu üzerinde aşağıdaki izinlere izin verilir.

Topluluk Reddetme Ataması: Deny All

Operation Eylem Türü Explanation
* Action Bu tabloda belirtilenler dışında tüm eylemleri reddet
*/read NotAction İzin veriliyor Tüm kaynaklarda "okuma" eylemlerine izin ver
Microsoft.Resources/tags/* NotAction Tüm kaynaklarda "etiketler" eylemlerine izin ver

Topluluk - Gelişmiş Bakım Modu

gelişmiş bakım modu etkinleştirildiğinde, topluluk tarafından yönetilen kaynak grubu üzerinde aşağıdaki izinlere izin verilir.

Topluluk Reddetme Ataması: Allow Dataplane Actions

Operation Eylem Türü Explanation
* Action Bu tabloda belirtilenler dışında tüm eylemleri reddet
*/read NotAction Tüm kaynaklarda "okuma" eylemlerine izin ver
Microsoft.Insights/alertRules/* NotAction "alertRules" üzerindeki tüm eylemlere izin ver
Microsoft.Support/* NotAction "Destek" üzerindeki tüm eylemlere izin ver
Microsoft.Resources/tags/* NotAction Tüm kaynaklarda "etiketler" eylemlerine izin ver
Microsoft.Network/azureFirewalls/networkRuleCollections/write NotAction networkRuleCollections üzerinde "yazma" eylemlerine izin ver
Microsoft.Network/azureFirewalls/applicationRuleCollections/write NotAction applicationRuleCollections üzerinde "yazma" eylemlerine izin ver
Microsoft.Network/azureFirewalls/natRuleCollections/yaz NotAction natRuleCollections üzerinde "yazma" eylemlerine izin ver
Microsoft.Network/firewallPolicies/ruleGroups/write NotAction ruleGroups üzerinde "yazma" eylemlerine izin ver
Microsoft.Network/virtualHubs/write NotAction virtualHub'larda "yazma" eylemlerine izin ver
Microsoft.Network/virtualWans/virtualHubs/read NotAction VirtualHub'larda "okuma" eylemlerine izin verme
Microsoft.Network/virtualWans/join/action NotAction virtualWan'larda "birleştirme" eylemlerine izin ver
Microsoft.Network/virtualHubs/routeTables/write NotAction Sanal hub yönlendirme tabloları üzerinden "yazma" eylemlerine izin verme

Kapanım Bakım Modu

Enclave Bakım modu, Azure sanal ağı, ağ güvenlik grupları ve Log Analytics çalışma alanı dahil olmak üzere Enclave’i oluşturan yönetilen kaynakları korumak için kullanılır. Reddetme atamaları, bu kaynaklar üzerinde yetkisiz eylemleri önlemek için kullanılır. Bakım modu etkinleştirildiğinde, belirtilen güvenlik sorumluları, enclave tarafından yönetilen kaynak grubu üzerinde ayrıcalıklı RBAC eylemleri gerçekleştirebilmeleri için ret atamalarından muaf tutulur.

Enclave Bakım Modu Senaryoları

Enclave bakım modunun kullanımına yönelik yaygın senaryolar şunlardır:

  • İş yükü dağıtımları sırasında alt ağ/sanal ağ birleştirme işlemleri gerçekleştirme
  • Belirli Azure hizmetleri için gereken tek tek ağ güvenlik grubu kurallarını oluşturma/değiştirme
  • Özel ağ iletişimini etkinleştirmek için enclave tarafından yönetilen kaynak grubu içinde kaynaklar oluşturma (ör. Özel DNS Bölgeleri, Özel Bağlantılar vb.)

Enclave - Genel Bakım Modu

General Bir enclave kaynağında bakım modu etkinleştirildiğinde, bakım modu principals sorumluları (kullanıcılar, gruplar veya hizmet sorumluları), enclave tarafından yönetilen kaynak grubu için Deny All engelleme atamasının dışında tutulur. Bu, bakım modunda tanımlanan kullanıcıların normalde Deny All reddetme ataması tarafından engellenecek bu eylemleri gerçekleştirmesine olanak tanır. Reddetme Allow Dataplane Actions atamaları tüm sorumlular (bakım modu sorumluları dahil) için hala etkindir. Bir kullanıcı yine de kendisine atanan roller tarafından sınırlandırılabilir.

genel bakım modu etkinleştirildiğinde, enclave tarafından yönetilen kaynak grubu üzerinde aşağıdaki izinlere izin verilir.

Enklav reddetme ataması: Deny All

Operation Eylem Türü Explanation
* Action Bu tabloda belirtilenler dışında tüm eylemleri reddet
*/read NotAction Tüm kaynaklarda "okuma" eylemlerine izin ver
Microsoft.Resources/tags/* NotAction Tüm kaynaklarda "etiketler" eylemlerine izin ver

Enclave - Gelişmiş Bakım Modu

gelişmiş bakım modu etkinleştirildiğinde, enclave yönetilen kaynak grubu üzerinde aşağıdaki izinlere izin verilir.

Enclave reddetme ataması: Allow Dataplane Actions

Operation Eylem Türü Explanation
* Action Bu tabloda belirtilenler dışında tüm eylemleri reddet
*/read NotAction Tüm kaynaklarda "okuma" eylemlerine izin ver
Microsoft.Insights/alertRules/* NotAction "alertRules" üzerindeki tüm eylemlere izin ver
Microsoft.Resources/deployments/* NotAction "Dağıtımlar" üzerinde tüm eylemlere izin ver
Microsoft.Support/* NotAction "Destek" üzerindeki tüm eylemlere izin ver
Microsoft.Network/privateDnsZones/* NotAction "privateDnsZones" üzerindeki tüm eylemlere izin ver
Microsoft. Ağ/privateDnsOperationResults/* NotAction "privateDnsOperationResults" üzerindeki tüm eylemlere izin ver
Microsoft.Network/privateDnsOperationStatuses/* NotAction "privateDnsOperationStatuses" üzerindeki tüm eylemlere izin ver
Microsoft.Network/virtualNetworks/join/action NotAction enclave vNet üzerinden vNet'e katılma işlemlerine izin ver
Microsoft. Ağ/virtualNetworks/alt ağlar/birleştirme/eylem NotAction Enclave vNet üzerinden alt ağ ve katılma işlemlerine izin ver
Microsoft. Yetkilendirme/policyExemptions/* NotAction "policyExemptions" üzerindeki tüm eylemlere izin ver
Microsoft.Network/routeTables/routes/write NotAction Sanal Ağ yönlendirme tabloları üzerinde "yazma" eylemlerine izin ver

Bakım modunu kullanma

1. Topluluk veya enklev oluştururken bakım modunu etkinleştirin

  1. Topluluk veya enclave oluşturma formundaki Bakım modu sekmesine gidin.
  2. [Off / General / Advanced] mod seçeneğini belirleyin.
  3. Eklemek istediğiniz hizmet sorumlularını seçin.
  4. Bakım modunaOFF / NETWORKING / GOVERNANCE [] girme nedenine ilişkin gerekçeyi seçin.
  5. Topluluğu veya enklavı her zamanki gibi gözden geçirin ve oluşturun.

2. Mevcut bir topluluk veya enklav için bakım modunu etkinleştirin

  1. Bakım modunu etkinleştireceğiniz topluluğa veya enklava gidin.
  2. "Bakım modu" sekmesine gidin.
  3. [Advanced / General] mod seçeneğini belirleyin.
  4. Eklemek istediğiniz hizmet sorumlularını seçin.
  5. Bakım modunaNETWORKING / GOVERNANCE [] girme nedenine ilişkin gerekçeyi seçin.
  6. Onaylayın ve kaydedin.

3. Bakım görevlerini gerçekleştirme

  • Bakım Modu etkinleştirildikten sonra bakım görevlerinizle devam edin veya gerektiğinde karmaşık iş yükleri oluşturun.

4. Bakım modunu devre dışı bırakma

  1. Görevlerinizi tamamladıktan sonra Bakım modu sekmesine dönün.
  2. OFF Modu seçin.
  3. Onaylayın ve kaydedin.

En iyi uygulamalar

  • Kullanımı Sınırla: Bakım modunun yalnızca planlı bakım pencereleri sırasında güvenilir ayrıcalıklı kullanıcılar tarafından etkinleştirildiğinden ve Azure Enclave kaynakları üzerinde güvenlik ile yalıtımın korunduğundan emin olun.
  • Etkiyi anlama: Ayrıcalıklı kullanıcılar yaptıkları değişiklikleri tam olarak anlamalı ve bu değişiklikleri geri alma veya düzeltme adımları gerçekleştirmelidir. Bir topluluk veya kapanım bakım modundayken, altta yatan yönetilen kaynaklarda manuel değişiklikler yapmak ortamınızın ideal durumlardan istenmeyen biçimde sapmasına neden olabilir.

Daha fazla bilgi edinin