共用方式為

用於監視 Azure 工作負載的主權選項

  • 發行項

主權需求通常不僅適用於用作雲端工作負載一部分的應用程式和基礎結構服務,還適用於在該工作負載的作業與管理中使用的管理解決方案。

需要符合嚴格主權需求的組織必須找出同時滿足營運和合規性需求的監控解決方案。 這可確保規劃工作負載移轉的團隊使用的是工作負載監視設計模式。

在本文中,您將了解監視的不同目標和最佳做法,並比較雲端原生與自備解決方案方法。

了解記錄和監視的目標

了解雲端中所部署資源的行為對於提供可靠的解決方案至關重要。 雖然監視功能通常當做雲端工作負載的元件納入考量,但重要的是要了解監視功能通常基於不同的原因以及為了不同利害關係人的利益而實作。

如果組織要在雲端設計整體監視解決方案,則特別指出該組織經常遇到的不同目標會很有幫助。

效能監視器

監視工作負載的效能可以有多種形式,包括監視應用程式服務的健康狀態、解決方案元件的可用性以及解決方案的速度和回應能力。 系統會近即時執行這種類型的監視,盡快找出系統問題並避免停機。

您也可以收集並彙總此類型監視的計量來分析效能趨勢。 此類型監視及其產生的資料通常由管理資源的應用程式和基礎結構團隊以及回應事件與事故的營運和支援團隊所使用。

安全性監視器

實作監視功能通常是為了向組織提供有助於管理風險的偵測控制項。 監視安全性事件可以協助組織快速回應,並將威脅的影響減少至最低。 威脅監視可以尋找與已知攻擊技術相對應的模式,而長期維護事件資料可以讓企業進行取證調查並執行根本原因分析。

透過安全性監視收集到的資料通常由安全性團隊 (包括營運分析師和威脅搜捕者) 以及 IT 營運、保障和稽核團隊所使用。

服務管理監視器

除了查看工作負載行為的效能和安全監視之外,組織還可以實作額外的監視功能來查看工作負載的狀態。 此類型的監視通常用於驗證是否滿足 IT 服務管理目標。 設定管理、變更控制和軟體版本貨幣等服務管理範圍通常需要監視資源的版本或設定,以便驗證部署是否處於已知的良好狀態。

IT 營運團隊、應用程式和基礎結構團隊和安全性團隊經常使用這種監視功能來識別未經授權的變更。

使用最佳做法進行監視和診斷

當組織規劃其監視解決方案時,檢閱一些實作 Azure 中已部署解決方案之雲端原生監視功能的最佳做法會很有幫助。 下列文章包含對設計雲端式監視解決方案的建議:

雲端原生監視與自備解決方案

許多組織已經擁有成熟的監視解決方案來監視內部部署系統,規劃雲端移轉時的常用方法選擇的是採用雲端原生監視解決方案,還是調整現有解決方案以便在雲端中使用。

這些方法各有其優缺點,因此建議組織評估這兩種方法,以確保確切符合其營運和主權需求。

將記錄與監視當做為一項服務來使用

Azure 提供一系列雲端原生服務,組織可用來建立整體監視解決方案:

  • Azure 監視器是用於 IT 和應用程式監視的 Azure 受管理的解決方案。 Azure 監視器提供許多 IT 監視工具和分析功能,包括:
    • Log Analytics - 用於建立和執行對收集的記錄資料進行查詢的圖形介面。
    • 深入解析 - 即用型監視體驗,提供 Microsoft 精選的預先設定資料輸入、查詢、警示和視覺效果。
    • Application Insights - 為客戶撰寫的程式碼提供應用程式效能管理功能。
  • Microsoft Sentinel 可與 Azure Monitor 搭配使用,以實現安全性協調流程、自動化和回應 (SOAR)。
  • 適用於雲端的 Microsoft Defender 是一個雲端原生應用程式保護平台 (CNAPP),可與 Azure 監視器搭配使用以保護雲端式應用程式免受威脅。

雖然組織可以選擇從頭開始開發其監視方法,但許多組織可以從服務 (例如 Azure 監視器和適用於雲端的 Microsoft Defender) 的精選體驗中受益。

在選擇資料落地位置方面,這些服務可能無法提供相同等級的細微性,因此組織在選擇將非區域服務納入監視策略時,應了解其資料的儲存位置和方式。

將內部部署監視解決方案延伸至 Azure

組織有多種方式可以繼續利用內部部署監視解決方案來處理包含無法使用 PaaS 監視解決方案監視之高敏感性資料的應用程式。

  • 對於 IaaS 工作負載,以專員為主的監視解決方案可以繼續包含在虛擬機器映像中。
  • 應用程式效能監視解決方案可以繼續使用客戶開發的程式碼進行編譯。
  • 您可以使用虛擬機器在 Azure 中部署記錄伺服器,盡量減少 WAN 連結上的用戶端流量。
  • 記錄可以傳送至儲存體帳戶、使用事件中樞進行串流,或透過 API 存取。

所有這些方法都可以協助組織將其營運模型轉換至雲端,同時在其內部部署監視系統中維持較高等級的營運主權。 不過,這些方法還可能會增加額外成本,因為舊版監視解決方案會消耗虛擬機器和雲端儲存空間等雲端資源。

另一種可協助組織將其作業轉換至雲端的方法是,將監視資料從 Azure 監視器串流到 Azure 監視器合作夥伴提供的內部部署解決方案。

選取 Azure 工作負載的監視解決方案

下列案例重點介紹一些可供組織用於監視工作負載 (包括具有嚴格主權需求的工作負載) 的監視解決方案:

使用區域和非區域服務監視 Azure 資源

  • 資料來源和檢測設備:使用 Azure 監視器原生收集平台和活動記錄。 使用 Azure 監視器代理程式從 IaaS 資源收集記錄。 使用 Application Insights 從自訂應用程式收集執行階段遙測資料。
  • 收集和儲存:彙總 Log Analytics 工作區中個別工作負載的記錄資料。 使用事件中樞串流記錄,在 Azure Data Lake 中彙總整個企業的記錄資料。
  • 分析和診斷:使用 Azure 監視器和適用於雲端的 Defender 中精選的監視體驗來產生見解。 使用 Log Analytics 或 Azure 資料總管來分析記錄。 使用 Microsoft Sentinel 自動化並協調安全性回應。

僅使用區域服務監視 Azure 資源

  • 資料來源和檢測設備:使用 Azure 監視器收集平台和活動記錄。 使用 Application Insights 從自訂應用程式收集執行階段遙測資料。
  • 收集和儲存:彙總所需區域所部署之 Log Analytics 工作區中個別工作負載的記錄資料。 使用事件中樞將記錄資料串流至所需訂閱中的資料湖。
  • 分析和診斷:使用 Log Analytics 或 Azure 資料資料總管來分析記錄。

使用內部部署解決方案監視 Azure 資源

  • 資料來源和檢測設施:使用 Azure 監視器擷取記錄,並使用儲存體帳戶、事件中樞或 API 匯出至內部部署解決方案。 使用第三方代理程式直接擷取記錄。
  • 收集和儲存:在內部彙總並封存記錄資料。
  • 分析和診斷:使用現有的內部部署解決方案進行分析和診斷。