Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Enclave, görev açısından kritik ortamların güvenli, ölçeklenebilir ve merkezi izlenmesini desteklemek için yerleşik gözlemlenebilirlik özellikleri sağlar. Bu özellikler, Topluluk Yöneticileri ve Enclave sahiplerinin uyumluluğun uygulanmasını sağlamasına, anomalileri araştırmasına ve yalıtılmış iş yükleri genelinde operasyonel sağlığı güvence altına almasına yardımcı olur.
Azure Kapanım kaynakları için varsayılan olarak aşağıdakiler etkinleştirilir:
- Log Analytics Çalışma Alanı varsayılan olarak Topluluk Tarafından Yönetilen Kaynak Grubuna dağıtılır
- (İsteğe bağlı) Log Analytics çalışma alanı, yalıtılmış ortamın Yönetilen Kaynak Grubuna dağıtılır
- Depolama Hesabı, Enclave Yönetilen Kaynak Grubuna dağıtıldı
- Her yalıtılmış ağ bölgesi için Sanal Ağ Akış Günlükleri etkinleştirilir, yalıtılmış ağ bölgesinin Depolama Hesabına yönlendirilir ve Topluluk ve/veya Yalıtılmış Ağ Bölgesi Log Analytics çalışma alanına iletilir
- Tanılama Ayarları hem Topluluk hem de Enclave yönetilen Kaynak Gruplarına dağıtılan kaynaklarda etkinleştirilir
Merkezi ve yalıtılmış gözlemlenebilirlik
Azure Enclave’de gözlemlenebilirlik, Azure İzleyici, Log Analytics ve Depolama Hesapları kullanılarak hem merkezi hem de enclave’e yalıtılmış tanılama günlüklerini destekleyen iki katmanlı bir günlükleme modeli üzerine kuruludur.
Topluluk düzeyinde gözlemlenebilirlik
Azure Enclave'ta oluşturulan her Topluluk, merkezi bir Log Analytics çalışma alanı içerir. Bu çalışma alanı şu şekilde tasarlanmıştır:
- Topluluk içindeki tüm enklavlardan tanılama verilerini ve metrikleri topla.
- Tanılama ve akış günlüklerini izlemek ve sorgulamak için tek bir cam bölme sağlayın.
- Enklavlar arası analitik, uyarılar ve uyumluluk izlemeyi destekler.
Topluluk oluşturulduğunda, çalışma alanı otomatik olarak oluşturulur. Çalışma alanı, dağıtım veya güncelleştirme işlemleri sırasında enklav veya iş yükü sahipleri tarafından tanılama hedefi olarak seçilebilir. Topluluk Log-A çalışma alanı için genel erişim devre dışıdır, ancak varsayılan olarak ağdan yalıtılmış değildir. Genel erişimi veya ağ yalıtımını yapılandırmak için özel bağlantı güvenliği eklemeyi göz önünde bulundurun.
Note
Enklev kaynaklarındaki (iş yükleri, genel IP adresleri veya Uygulama Ağ Geçitleri gibi) tanılama ayarları, birleşik izlemeyi desteklemek için günlükleri merkezi çalışma alanına göndermek üzere yapılandırılabilir.
Kapanım düzeyinde gözlemlenebilirlik
Topluluk çalışma alanına ek olarak, her Enclave için yalnızca o kapsama ayrılmış yalıtılmış bir Log Analytics çalışma alanı tahsis edilir. Bu çalışma alanı, enclave düzeyinde günlük kaydı senaryoları için en iyi duruma getirilmiştir ve aşağıdaki özellikleri içerir:
- Her enklav için otomatik olarak etkinleştirilen Sanal Ağ akış günlüklerinin varsayılan depolaması.
- İç iş yükleri ve ağ oluşturma bileşenleri gibi enclave kapsamındaki kaynaklar için isteğe bağlı tanılama ayarları.
- Çapraz kapanım günlüğü toplamayı engelleyen yalıtım veya mevzuat gereksinimlerini karşılamak için tasarlanmıştır.
Yöneticiler, günlükleri yalnızca bu yalıtılmış çalışma alanına göndererek güvenli bölge tanılama verilerini özel tutabilir.
Yapılandırılabilir günlük kaydı hedefleri
Azure Enclave, kaynak sahiplerinin aşağıdakiler arasında seçim yapmasına olanak tanıyan esnek günlükleme yapılandırmalarını destekler:
| Günlüğe Kaydetme Hedefi | Purpose | Varsayılan Kullanım |
|---|---|---|
| Topluluk Log Analytics çalışma alanı | Merkezi izleme ve enklavlar arası analitiği etkinleştirir | Optional |
| Enclave Log Analytics çalışma alanı | Kapanım düzeyinde yalıtımı ve veri hakimiyetini korur | Sanal ağ Akış Günlükleri için varsayılan |
Tanılama ayarlarını dağıtım sırasında veya sonrasında Azure portalı, CLI veya Bicep/ARM şablonları aracılığıyla yapılandırabilirsiniz.
Important
Sanal Ağ Akış Günlükleri, yalıtılmış ortamlarda bile ağ düzeyindeki görünürlüğün korunması için varsayılan olarak yalıtıma özel çalışma alanına her zaman gönderilir.
Yaygın gözlemlenebilirlik senaryoları
| Scenario | Günlükleme Stratejisi |
|---|---|
| Enclave'ler arası sağlık panosu | Tüm enclave'lerden merkezi Community Log Analytics çalışma alanına tanılama verilerini gönderme |
| Sıkı veri kontrollerine sahip, düzenlemelere tabi izole ortam | Tanılamayı enklava özgü Log Analytics çalışma alanında tutun |
| Denetim amacıyla uzun süreli saklama | İlke denetimli saklama ayarlarıyla günlükleri Depolama Hesabına gönderme |
| Ağ araştırması veya tehdit avcılığı | Varsayılan sanal ağ akış günlüklerini analiz etmek için yalıtılmış çalışma alanını kullanma |
Ağ İzleyicisi kaynak gruplarını yapılandırma
Sanal ağ akış günlüğü oluşturmayla ilgili olası sorunları önlemek için kaynak grubunu önceden el ile ayarlayın NetworkWatcherRG ve uygulamaya Mission Enclave bu kaynak grubundaki rolü atayın Owner veya abonelikte ilk kapanımınızı oluşturmadan önce kurulum ve rol atamasının otomatik olarak gerçekleştiğini doğrulayın.
Bu olası sorunu azaltmak için, her abonelikte, yeni abonelikler için NetworkWatcherRG adlı NetworkWatcher kaynak grubunu el ile oluşturun ve ardından NetworkWatcherRG üzerinde Mission Enclave Azure Enclave App Owner rolünü atayın:
NetworkWatcherRGkaynak grubunu seçin,Access control (IAM)seçin, ardındanAddveAdd role assignmentseçin.
Privileged administrator rolesöğesini seçin,owneröğesini seçin, ardındanNextöğesini seçin.
Select membersöğesini seçin, arama kutusunaMission Enclaveyazın veMission Enclaveuygulamasını seçin,Selectöğesini, ardındanNextöğesini seçin.
Aboneliğiniz bir koşul gerektiriyorsa
Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended)öğesini seçin, ardındanReview + assignöğesini seçin.
Güncelleştirme tamamlandıktan sonra Azure Kapanım kaynaklarını dağıtmaya başlayabilirsiniz.
Bir topluluk veya kapanım oluşturulduğunda, Azure Enclave aşağıdaki adımları dener:
- öğesinin
NetworkWatcherRGmevcut olup olmadığını denetleyin. Aksi takdirde, bu kaynak grubunu oluşturmayı deneme. -
NetworkWatcherRGüzerindeMission EnclaveUygulaması için kalıcı birOwneratama olup olmadığını denetleyin. Aksi takdirde,Mission EnclaveuygulamayıOwnerkalıcı bir atama olarak atamaya çalışınNetworkWatcherRG. DevralınanOwnerbir izin olsa bile, kalıcıOwnerbir atama oluşturulmaya çalışılır. - Herhangi bir adım başarısız olursa, sanal ağ akış günlükleri oluşturmaya çalışılırken enklav dağıtımları başarısız olabilir.