監視是收集、分析及處理指標、記錄和交易的過程,以指示平臺、資源和應用程式的健康情況。 有效的監視環境包含整個雲端資產,其中可能包含跨多個雲端和內部部署的資源。
此架構描述使用 Azure 監視器監視企業環境的彈性策略。 使用此架構作為實作符合組織各種獨特需求的監視解決方案的起點。
建築
工作流程
下列工作流程會對應至上圖:
數據採集。 Azure 監視器的數據會儲存在 Log Analytics 工作區 (記錄和計量)、 Azure 監視器工作區 (Prometheus 計量)和 Azure 監視器 計量(平臺計量)。 不同訂用帳戶中的數據源會將數據傳送至管理訂用帳戶中的 Log Analytics 工作區和 Azure 監視器工作區。 平臺計量會儲存在與 Azure 資源相同的訂用帳戶中,並傳送至 Log Analytics 工作區,以便與其他數據源相互關聯。
警示。 會在管理訂用帳戶中建立記錄查詢和 Prometheus 警示規則,並存取 Log Analytics 工作區和 Azure 監視器工作區。 每個工作區集都有自己的警示規則集,建立於與工作區相同的資源群組中。 會在管理訂用帳戶中建立計量警示規則,並存取資源訂用帳戶中的平台計量。
集成。 Microsoft Sentinel 使用與 Azure 監視器相同的 Log Analytics 工作區和 Azure 監視器代理程式 (AMA),因此您可以針對 SIEM 功能利用這個相同的架構。 ITSM 整合是在 Azure 監視器中使用 ITSM 連接器回應 Azure 監視器警示時執行的。 產生警示時,會在 ITSM 系統中建立票證。
元件
- Azure 監視器 是 Azure 的主要監視解決方案,提供完整的解決方案,可從您的雲端和內部部署環境收集、分析和處理遙測。 除了為應用程式和基礎結構提供完整的堆疊監視解決方案之外,Azure 監視器還包含 Azure 可觀察性生態系統中其他服務運用的數據平臺和其他核心功能。
- Azure 監視器記錄 是一個集中式平臺,可用來收集、分析及處理 Azure 監視器所收集的遙測。
- 適用於 Prometheus 的 Azure 監視器受控服務 是建置在 Azure 監視器上且可調整且高可用性的 Prometheus 服務。 它提供完全受控、可調整且安全的服務,可內嵌 Prometheus 計量,並將其儲存在 Azure 監視器工作區中。
- Azure 監視器代理程式 會從客體作系統和虛擬機的工作負載收集監視數據,並將其傳送至 Azure 監視器。 Kubernetes 叢集也會使用它來收集容器記錄和 Prometheus 計量。
- Application Insights 是多個平臺上 Web 應用程式的可延伸應用程式效能管理 (APM) 服務。 它會自動偵測效能異常,並包含功能強大的分析工具,可協助您診斷問題,並瞭解用戶實際使用應用程式的功能。
- 記錄擷取 API 可讓您使用 REST API 呼叫或用戶端連結庫將數據傳送至 Log Analytics 工作區。 這適用於從自定義應用程式或其他解決方案傳送數據。
- 在 Azure Monitor 中,Workbooks 提供一個彈性的畫布,以便在 Azure 入口網站中進行資料分析及建立豐富的視覺化報告。 他們會從 Azure 監視器數據平臺存取數據。
- Azure Arc 可擴充 Azure 平臺,以管理內部部署、多雲端和邊緣環境的基礎結構和應用程式。 它可讓您從單一控制平面管理混合式資源與雲端資源。 使用 Azure Arc 讓混合式虛擬機和叢集可供 Azure 監視器使用。
- Microsoft Sentinel 是雲端原生安全性資訊和事件管理 (SIEM),可從 Azure 服務和其他資源擷取遙測數據,包括 Microsoft Defender。 它為 SIEM 和安全性協調流程、自動化和回應 (SOAR) 提供智慧且全面的解決方案。 它會利用與 Azure 監視器相同的 Log Analytics 工作區和 Azure 監視器代理程式。
- Microsoft Defender XDR 是由一些 Defender 所組成,旨在保護數位資產的各種部分。 它們會將遙測相互關聯,並使用 AI/ML 來判斷調查是否必要,或在已知不良行為發生時採取動作。 它會利用與 Azure 監視器相同的 Log Analytics 工作區和 Azure 監視器代理程式。
- Azure 受控 Grafana 是一項完全由 Azure 管理的服務,提供了由 Grafana Labs 基於 Grafana 軟體構建的數據可視化平台。
- Key Vault 是一項雲端服務,可安全地儲存和存取秘密。 使用 Key Vault 來儲存秘密,例如您的應用程式和服務所使用的連接字串、密碼和憑證。
替代選擇
此架構遵循 適用於 Azure 的雲端採用架構的指導原則。 如需每個登陸區域的詳細數據,請參閱 Azure 登陸區域設計原則 。
訂閱。 遵循訂用帳戶民主化的設計原則,會針對管理元件建立個別的訂用帳戶。 這包括 Log Analytics 工作區、Azure 監視器工作區、支持診斷和稽核的記憶體帳戶,以及警示規則。
工作區。 Log Analytics 工作區和 Azure 監視器工作區提供 Azure 監視器的數據平臺。 Log Analytics 工作區會儲存記錄和追蹤數據,而 Azure 監視器工作區則會儲存 Prometheus 計量。 平臺計量會儲存在訂用帳戶層級的 Azure 監視器中,因此此數據的設計需求最低。 每個工作區的數目和區域將取決於您的特定需求。 如需特定設計準則,請參閱 設計Log Analytics工作區架構 和 Azure 監視器工作區 。 如果您在特定區域中的Log Analytics工作區中產生足夠的數據,請將它們連結至專用叢集,以利用成本獎勵和其他功能,如 在 Azure 監視器記錄中建立和管理專用叢集中所述。
可視化。 Azure 監視器收集的數據可以透過 Azure 監視器中的活頁簿或 Azure 管理型 Grafana 進行視覺化呈現。 這兩者都包含在此架構中,不過您可以選擇使用其中一個或另一個。 由於沒有額外的元件可安裝,而且不需要額外的成本,因此活頁簿一律可作為視覺效果選項使用。 Azure 運營 Grafana 有額外的成本,因此,如果您已經在 Grafana 上有投資,建議您使用它。
案例詳細資料
企業環境有不同的工作負載,例如 Web 應用程式、虛擬機、數據服務、身分識別型工作負載和容器。 這些工作負載可以在 Azure、其他雲端提供者或內部部署中執行,讓雲端式監視變得複雜。 要瞭解您工作負載的健康狀況和效能,以及在問題出現時獲得通知,監控是必需的。 除了支援安全性監視、稽核和成本管理之外,以 Azure 監視器為基礎的解決方案還提供這些需求。
潛在應用情境
此解決方案可協助處理下列使用案例:
- 使用 Azure 監視器合併監視不同雲端和內部部署工作負載的健康情況和效能。
- 使用 Microsoft Sentinel 和 Microsoft Defender XDR 進行安全性監視和威脅偵測的平臺。
- 將監視環境與 ITSM 系統整合。
- 集中式可視化,數據依資源型訪問控制進行篩選。
建議
下列建議適用於大部分案例。 除非您有取代這些建議的特定需求,否則請遵循這些建議。
- 利用 Azure 原則防止大部分使用者建立工作區,以維持工作區策略。 這可防止數據意外分散,並可能導致監視成本增加。
- 使用 Azure 原則來設定基礎結構資源的診斷設定(例如網路、PIP、Express Route 線路),以一律將資源記錄傳送至集中式 Log Analytics 工作區。
- 將 Log Analytics 工作區的權限限制給監視解決方案管理員。 所有其他角色都應該使用資源型訪問控制。
- 定期檢閱中央企業監視架構周圍的治理原則,對於適應不斷演進的技術格局至關重要。
考慮事項
這些考慮會實作 Azure Well-Architected Framework 的要素,這是一組可用來改善工作負載質量的指導原則。 如需這些原則的詳細資訊,請參閱 Microsoft Azure Well-Architected Framework。
如需實作 Azure 監視器的特定考慮,請參閱下列最佳做法文章:
- 可靠性 - 確保您的應用程式可以符合您對客戶所做的承諾。
- 安全性 - 提供針對蓄意攻擊和濫用寶貴數據和系統的保證。
- 成本優化 - 查看減少不必要的費用並改善營運效率的方法。
- 卓越營運 - 涵蓋部署應用程式的作業程式,並讓它在生產環境中執行。
- 效能效率 - 工作負載的能力可以調整規模,以有效率的方式滿足使用者的需求。