監視雲端環境
您需要雲端環境的可觀察性,以確保工作負載順利執行,無論您是企業主、平台擁有者或應用程式擁有者。 您必須知道:
- 您的應用程式可供使用,以及它們是否對客戶的期望執行。
- 您有任何需要調查的安全性威脅。
- 您的耗用量成本在預期的範圍內。
監視 是收集、分析及處理遙測的程式,指出平臺、資源和應用程式的健康情況。 有效的監視環境包含整個雲端資產,其中可能包含跨多個雲端和內部部署環境的資源。
可檢視性 是系統的屬性,可測量其內部狀態如何從其外部輸出推斷。 您必須部署服務和程式來監視雲端環境。 而且您必須能夠觀察及瞭解在雲端中執行之服務的行為。
監視的優點
投資您的監視環境,以在雲端的多個層面取得下列優點:
可用性和效能: 監視資源,以協助確保您的雲端服務和應用程式可供使用,並如預期般執行。 若要在影響使用者之前找出並回應問題,請追蹤關鍵計量並設定警示規則。
成本優化: 使用監視來追蹤資源使用量,並根據需求調整資源。 這種方法有助於防止過度布建和未使用的資源,以將成本優化。 監視也可以識別並警示您任何成本超支或使用量非預期的尖峰。
合規性: 使用監視來維護活動的記錄和記錄,這有助於確保雲端服務符合原則和法規。 使用此數據的報告可協助進行定期稽核和合規性檢查。
安全性: 實作持續監視,以協助偵測安全性威脅和弱點,讓您可以立即採取行動來保護數據和資源。 您也可以分析所收集的數據,以進行威脅偵測和回應。
監視平台
有效的監視策略包含計算環境中的所有平臺。 除了 Azure 之外,您可能還有內部部署、多重雲端和邊緣資源。 每個資源都需要相同的監視層級。 請遵循 azure 指引的 雲端採用架構,並將監視納入統一作業策略中。 在此策略中,主要雲端會裝載您的監視工具和其他管理工具。 監視工具會監視所有平臺的所有資源。
監視類型
監視是多方面的專業領域,需要工具、程式和實務的組合。 下表細分各種監視類型。 不同的服務和功能可能會提供這些監視類型的不同組合。 但是,完整的監視環境包含計算環境中每個平臺的所有這些監視類型。
| 類型 | 描述 |
|---|---|
| 基礎結構 | 基礎結構監視包括雲端資源的效能和可用性,例如虛擬機、記憶體資源和網路。 這種類型的監視有助於確保基礎結構以最佳方式運作,這有助於維護依賴基礎結構的應用程式的可用性和效能。 |
| 應用程式效能監視 (APM) | APM 會監視在雲端中執行之應用程式的效能和可用性。 它會追蹤計量,例如回應時間、錯誤率和交易量。 APM 會識別效能瓶頸,並協助確保應用程式符合使用者的期望。 |
| Database | 資料庫監視會追蹤雲端資料庫的效能、可用性和資源耗用量。 關鍵計量包括查詢效能、索引使用量和鎖定狀態。 |
| 網路 | 網路監視會追蹤雲端環境中網路元件的效能和可用性。 計量包括頻寬使用量、延遲和封包遺失。 |
| 安全性 | 安全性監視會追蹤和分析雲端環境內的安全性事件和弱點,包括未經授權的存取、惡意代碼和合規性違規。 有效的安全性監視可協助保護敏感數據、確保符合法規需求,以及防止成本高昂的安全性缺口。 |
| 法規遵循 | 合規性監視有助於確保雲端環境遵守法規和業界標準。 它會追蹤設定、訪問控制和數據處理做法,以協助確保符合相關法規。 |
| 成本 | 成本監視會追蹤雲端支出和資源使用量,以找出節省成本的機會,並防止預算超支。 它會監視資源使用量、識別未使用的資源,以及優化資源組態,以協助降低成本。 |
共同責任
在內部部署環境中,您必須負責監視的所有層面,因為您擁有和管理所有運算資源。 在雲端中,您會與雲端提供者共用此責任。 根據您選擇的部署模型類型,監視各種雲端堆疊層的責任可能會從您傳輸到雲端提供者。
在基礎結構即服務 (IaaS) 部署中,雲端提供者會監視基礎雲端平臺,例如實體基礎結構和虛擬化層。 您可以監視部署至雲端平臺之虛擬機上執行的作業系統、應用程式和數據。 當部署模型向上移動堆疊時,雲端提供者會承擔更多責任來監視環境。 此責任最終導致軟體即服務部署(SaaS)部署,因為您會將監視責任傳輸到整個堆疊的雲端提供者,包括應用程式和數據。
您可以使用雲端提供者的監視工具來監視堆疊的層級,但您必須負責設定這些工具和分析其收集的數據。 您必須授與組織各種成員的存取權,並建立儀錶板和警示,以協助他們區分重要資訊。 您可能也需要將這些元件與組織使用的其他工具和票證系統整合。
雲端提供者必須針對您提供給內部客戶的堆疊層級執行相同類型的服務。 他們必須持續監視他們與您合約之平臺的健康情況和效能。 它們會提供儀錶板和警示,以主動通知您任何服務問題。 和內部客戶一樣,您不需要瞭解雲端提供者如何監視其平臺的複雜性,而只需要他們符合您與他們簽訂的服務等級協定。
角色和責任
大部分的企業組織都有集中式作業小組,可監視雲端環境的整體健康情況和效能。
此小組通常:
- 設定整體公司的策略。
- 執行監視環境的集中式設定。
- 將許可權委派給組織中需要存取與其應用程式和服務相關之監視數據的項目關係人。
組織具有多個角色,可維護監視環境,且需要存取監視數據以執行其作業功能。 每個角色都有不同的需求,可根據其特定責任來監視數據。 視組織的大小而定,您可能會有多個人員填滿每個角色,或者您可能有一個填滿多個角色的個人。
個別組織可能會以不同的方式分配責任。 下表顯示一般組織的角色和責任範例。
| 角色 | 描述 |
|---|---|
| 雲端架構設計師 | 雲端架構設計人員會設計和監督雲端基礎結構,以協助確保其符合組織的商務目標。 雲端架構設計人員著重於雲端架構的可靠性、安全性和延展性。 他們需要高階遙測,才能全面檢視數字資產。 此遙測包含資源使用量計量、APM 計量、成本和計費見解,以及合規性報告。 |
| 平台工程師 | 平台工程師會建置及管理開發人員用來部署其應用程式的平臺。 平台工程師可能會建立持續整合和持續傳遞 (CI/CD) 管線、管理雲端基礎結構即程式代碼 (IaC),並確保平臺的延展性和可靠性。 平台工程師需要有關平臺作業狀態的遙測數據。 此遙測包含容器效能計量、協調流程記錄、IaC 驗證和服務可用性。 |
| 系統管理員 | 系統管理員會管理和維護雲端中的伺服器、操作系統和其他基礎結構元件。 他們會執行備份、針對問題進行疑難解答,並確保系統是最新的。 系統管理員需要伺服器和OS層級遙測,包括CPU、記憶體和磁碟使用量、網路效能和系統記錄。 |
| 安全性工程師 | 安全性工程師會實作和管理安全性措施,以協助保護數據和應用程式免於威脅。 安全性工程師會處理從身分識別管理到威脅偵測和回應的所有專案。 他們會使用安全性事件的遙測數據,包括存取記錄、威脅偵測警示、弱點評估,以及合規性計量。 |
| 網路管理員 | 網路管理員會管理和維護雲端網路,以協助確保數據在伺服器、應用程式和用戶之間安全地且有效率地流動。 網路管理員會處理網路設定、監視效能,以及實作安全性措施。 它們需要以網路為中心的遙測,包括網路流量分析、延遲測量、封包遺失和防火牆記錄。 |
| 資料庫管理員 (DBA) | DBA 會管理和維護資料庫,以協助確保數據完整性、效能和可用性。 DBA 會處理資料庫備份和復原,並將查詢優化以提高效率。 他們會使用資料庫效能和完整性的相關遙測數據,包括查詢效能計量、資料庫回應時間、事務歷史記錄,以及備份或復原狀態。 |
| 開發人員 | 開發人員會設計、撰寫、測試及維護雲端平臺上執行的軟體。 開發人員會建立功能和修正 Bug,以協助確保應用程式保持安全且執行良好。 它們需要應用程式特定的遙測,包括錯誤率、延遲、回應時間、用戶行為分析,以及功能使用計量。 |
Azure 促進
Azure 有許多服務可支援雲端環境中所需的不同類型的 監視 。 每個服務都會以一或多個 角色為目標。 結合服務以提供全面監視環境所需的功能。
| Service | 描述 | 類型 | 角色 |
|---|---|---|---|
| Azure 監視器 | Azure 監視器位於 Azure 監視生態系統的中心。 這是一個全面的監視解決方案,可用來收集、分析及回應來自雲端和內部部署環境的監視數據。 Azure 監視器提供基礎結構、網路和應用程式的完整監視。 它也提供數據平臺和核心功能,例如數據分析、視覺效果,以及其他服務的警示。 | 基礎設施 資料庫 合規性 |
雲端架構師, 平台工程師, 系統管理員 DBA |
| Application Insights | Application Insights 是 Azure 監視器的一項功能,可為雲端應用程式提供 APM 監視。 | APM | 開發人員 |
| Azure 網路監看員 | 網路監看員 提供 Azure 中網路資源的監視和視覺效果功能。 使用此服務來監視、診斷和檢視計量。 您也可以啟用或停用 Azure 虛擬網路中資源的記錄。 | 網路 | 網路管理員 |
| Microsoft Sentinel | Microsoft Sentinel 是雲端原生安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案。 它會從 Azure 資源和其他元件擷取安全性遙測,以提供網路威脅偵測、調查、回應和主動搜捕。 | 安全性 | 安全性工程師 |
| Microsoft Defender XDR | Defender XDR Microsoft 包含 azure 平臺、用戶端和伺服器Microsoft操作系統原生的安全性解決方案,以及Microsoft 365 中的 Office 365、Exchange Online 和 SharePoint 等應用程式。 每個安全性解決方案都會使用 AI 和機器學習來將遙測相互關聯,並判斷是否需要調查。 當他們偵測到不可接受的行為時,他們會採取動作來防止中斷。 | 安全性 | 安全性工程師 |
| Microsoft 成本管理 | 成本管理是一套工具,可用來分析、監視及優化Microsoft雲端成本。 任何有權存取計費帳戶、訂用帳戶、資源群組或管理群組的人員都可以使用成本管理。 | 成本 | 雲端架構設計師 |
| Azure 服務健康狀態 | 服務健康狀態會提供 Azure 資源所依賴之服務的健全狀態。 它可以通知您任何服務中斷情況,並提供 Azure 服務和區域健康情況的個人化檢視。 | 基礎結構 | 雲端提供者 |