Onderdelen van Azure-platformlandingszone bewaken

Bewaak de onderdelen van uw Azure-platformlandingszone om beschikbaarheid, betrouwbaarheid, beveiliging en schaalbaarheid te garanderen. Door uw onderdelen te bewaken, kan uw organisatie het volgende doen:

• Problemen onmiddellijk detecteren en oplossen, resourcegebruik optimaliseren en proactief beveiligingsrisico's aanpakken.
• Bewaak continu de prestaties en status, waarmee uw organisatie downtime kan minimaliseren, de kosten optimaliseert en een efficiënte werking garandeert.
• Faciliteer capaciteitsplanning, waardoor uw organisatie kan anticiperen op resourcebehoeften en het platform dienovereenkomstig kan schalen.

Bewaak de platformlandingszoneservices om een stabiele en veilige omgeving te onderhouden, de prestaties te maximaliseren en effectief te voldoen aan de veranderende behoeften van uw bedrijf.

In de volgende video wordt de oplossing besproken die in dit artikel wordt beschreven en hoe u Azure Monitor implementeert.

Richtlijnen voor bewaking van Azure-landingszones

Waarschuwingen voor metrische basislijngegevens, activiteitenlogboeken en logboekquery's zijn beschikbaar voor platformonderdelen voor landingszones en andere geselecteerde onderdelen van de landingszone. Deze waarschuwingen zorgen voor consistente waarschuwingen en bewaking voor uw Azure-landingszone. Ze zijn gebaseerd op door Microsoft aanbevolen procedures voor proactieve bewaking, zoals het instellen van waarschuwingen, drempelwaarden en meldingen voor tijdige detectie en reactie van problemen. Gebruik de volgende richtlijnen om realtime inzicht te krijgen in de prestaties, het gebruik en de beveiliging van de implementatie van uw platformlandingszone. Los proactief problemen op, optimaliseer resourcetoewijzing en zorg voor een betrouwbare en veilige omgeving.

Diagram met de initiatieven die worden toegepast op de platformbeheergroepen, connectiviteit, identiteit en beheer terwijl het landingszoneinitiatief wordt toegepast op de beheergroep landingszones. Het initiatief voor servicestatus en meldingen van assets wordt toegepast in de tussenliggende hoofdbeheergroep, zodat deze wordt toegepast op alle abonnementen.

Download een Visio-bestand van deze architectuur.

Voor de volgende subsets van Azure-onderdelen zijn een of meer waarschuwingen gedefinieerd:

• Azure ExpressRoute
• Azure Firewall
• Azure Virtual Network
• Azure Virtual WAN
• Azure Monitor Log Analytics-werkruimte
• Privé-DNS-zone van Azure
• Azure Key Vault
• Virtuele Azure-machine
• Azure Storage-account

Zie waarschuwingsdetailsvoor meer informatie.

Om ervoor te zorgen dat de resources van uw organisatie goed worden bewaakt en beveiligd, moet u ook waarschuwingen correct configureren en de juiste processen implementeren om te reageren op waarschuwingen. Configureer actiegroepen met de juiste meldingskanalen en test de waarschuwingen om ervoor te zorgen dat ze werken zoals verwacht. Configureer in overeenstemming met het Cloud Adoption Framework-principe van de democratisering van abonnementen ten minste één actiegroep voor elk abonnement, zodat relevante medewerkers op de hoogte worden gesteld van waarschuwingen. Als minimale vorm van meldingen moet de actiegroep een e-mailmeldingskanaal bevatten. Als u Azure Monitor-waarschuwingsverwerkingsregels gebruikt om waarschuwingen naar een of meer actiegroepen te routeren, moet u er rekening mee houden dat servicestatuswaarschuwingen geen ondersteuning bieden voor waarschuwingsverwerkingsregels. Configureer servicestatuswaarschuwingen rechtstreeks met de actiegroep.

In overeenstemming met azure-landingszoneprincipes voor beleidsgestuurde governance, is er een raamwerkoplossing beschikbaar die een eenvoudige manier biedt om met behulp van Azure Policy waarschuwingen te schalen. Deze beleidsregels gebruiken de DeployIfNotExists effect om relevante waarschuwingsregels, waarschuwingsverwerkingsregels en actiegroepen te implementeren wanneer u een resource maakt in uw Azure-landingszoneomgeving, in zowel platformservices als landingszones.

Azure Policy biedt een standaardbasislijnconfiguratie, maar u kunt het beleid naar wens configureren. Als u waarschuwingen voor verschillende metrische gegevens nodig hebt dan wat de opslagplaats biedt, biedt de oplossing een framework voor het ontwikkelen van uw eigen beleid voor het implementeren van waarschuwingsregels. Zie de gids voor inzenders voor Azure Monitor-basislijnwaarschuwingen (AMBA) en Inleiding tot een Azure Monitor-implementatievoor meer informatie. De oplossing is geïntegreerd in de installatie-ervaring van de Azure-landingszone. Nieuwe implementaties van de Azure-landingszone bieden u de mogelijkheid om basislijnwaarschuwingen in te stellen tijdens de installatie.

Implementeer waarschuwingen via beleid om flexibiliteit en schaalbaarheid te bieden en om ervoor te zorgen dat waarschuwingen binnen en buiten het bereik van de Azure-landingszone worden geïmplementeerd. Waarschuwingen worden alleen geïmplementeerd wanneer de bijbehorende resources worden gemaakt, waardoor onnodige kosten worden vermeden en worden bijgewerkte waarschuwingsconfiguraties tijdens de implementatie gegarandeerd. Deze functie valt samen met het azure-landingszoneprincipe van beleidsgestuurde governance.

Richtlijnen voor Brownfield

In een brownfield-scenario heeft uw organisatie een bestaande implementatie van een Azure-landingszone of uw organisatie heeft Azure geïmplementeerd voordat een Architectuur van een Azure-landingszone beschikbaar was.

In deze sectie worden de stappen op hoog niveau beschreven voor bewaking van de basislijn voor Azure-landingszones als u een bestaande Azure-footprint hebt, ongeacht of deze zijn afgestemd op Azure-landingszones of niet.

Uitgelijnd op een Azure-landingszone

Gebruik dit proces als u een bestaande implementatie van een Azure-landingszone hebt en u de beleidgestuurde benadering wilt gebruiken.

1. Importeer relevante beleidsregels en initiatieven uit de AMBA-opslagplaats.
2. Wijs het vereiste beleid in uw omgeving toe.
3. Corrigeer niet-conform beleid.

Zie Uw beheergroephiërarchie bepalenvoor meer informatie over beleidsregels die relevant zijn voor uw omgeving en de stappen om deze toe te passen.

Niet uitgelijnd op een Azure-landingszone

Gebruik dit proces als u een implementatie met een niet-Azure landingszone-uitlijning hebt en de beleid-gestuurde benadering wilt gebruiken.

1. Importeer relevante beleidsregels en initiatieven uit de AMBA-opslagplaats naar de meest recente beheergroep waaruit u het beleid wilt toewijzen.
2. Wijs het vereiste beleid in uw omgeving toe.
3. Herstel niet-conforme beleidsregels.

Zie Uw beheergroephiërarchie bepalenvoor meer informatie over beleidsregels die relevant zijn voor uw omgeving en de stappen om deze toe te passen.

Het framework testen

Test beleidsregels en waarschuwingen vóór een implementatie naar productie, zodat u het volgende kunt doen:

• Zorg ervoor dat de resources van uw organisatie goed worden bewaakt en beveiligd.
• Identificeer problemen vroeg om de juiste functionaliteit te garanderen, risico's te verminderen en de prestaties te verbeteren.
• Problemen detecteren en oplossen voordat ze groter worden. Vermijd vals positieve of negatieve resultaten en verminder het risico op kostbare fouten.
• Optimaliseer configuraties voor betere prestaties en vermijd prestatieproblemen in productie.

Testen helpt u ervoor te zorgen dat uw waarschuwingen en beleidsconfiguraties voldoen aan de vereisten van uw organisatie en voldoen aan de voorschriften en standaarden. Met regelgeving kunt u beveiligingsschendingen, nalevingsschendingen en andere risico's voorkomen die gevolgen kunnen hebben voor uw organisatie.

Testen is een essentiële stap in de ontwikkeling en implementatie van waarschuwingen en beleidsconfiguraties en kan u helpen de beveiliging, betrouwbaarheid en prestaties van de resources van uw organisatie te garanderen.

Zie Testbenadering voor Azure-landingszonesvoor meer informatie.

Notitie

Als u waarschuwingen implementeert met behulp van een andere benadering, zoals infrastructuur als code (IaC), bijvoorbeeld Azure Resource Manager, Bicep of Terraform, of via de portal, zijn de richtlijnen voor waarschuwingen, ernst en drempelwaarden in de opslagplaats nog steeds van toepassing om te bepalen welke waarschuwingsregels moeten worden geconfigureerd en voor meldingen.

Volgende stappen

• Inleiding tot het implementeren van Azure Monitor-

• bedrijfscontinuïteit en herstel na noodgevallen