Руководство по развертыванию визуализатора управления Azure

Организации могут использовать визуализатор управления Azure для сбора соответствующих сведений об управлении клиентами Azure. Средство фиксирует:

• Иерархия групп управления.
• Сведения о политике, такие как определения настраиваемых политик, потерянные определения настраиваемых политик и назначения политик.
• Сведения об управлении доступом на основе ролей (RBAC), такие как определения пользовательских ролей, определения пользовательских ролей и назначения ролей.
• Анализ безопасности и рекомендаций Azure.
• Аналитика идентификатора Microsoft Entra.

Визуализатор управления Azure должен быть автоматизирован с помощью рабочих процессов GitHub. Визуализатор выводит сводку в виде HTML, MD и CSV-файлов. В идеале созданный HTML-отчет легко доступен авторизованным пользователям в организации. В этой статье показано, как автоматизировать запуск визуализатора системы управления Azure и безопасно размещать выходные данные отчетов и эффективно использовать функцию веб-приложения службы приложение Azure.

Пример реализации доступен на сайте GitHub в акселераторе визуализатора управления Azure.

Архитектура

Скачайте файл Visio для этой архитектуры.

Поток данных

Архитектура решения реализует следующий рабочий процесс:

1. Таймер активирует поток действий GitHub.
2. Поток выполняет подключение OpenID Connect к Azure. Затем он запускает средство визуализатора управления Azure. Средство собирает необходимые аналитические сведения в виде отчетов HTML, MD и CSV.
3. Отчеты отправляются в репозиторий GitHub.
4. Выходные данные HTML средства визуализатора управления Azure публикуются в Служба приложений.

Поток пользователя

В этом потоке объясняется, как пользователь может использовать средство:

1. Пользователь переходит к URL-адресу Служба приложений для доступа к HTML-отчету визуализатора. Пользователь должен пройти проверку подлинности с помощью авторизации идентификатора Microsoft Entra.
2. Пользователь может просмотреть аналитические сведения, предоставляемые визуализатором.

Компоненты

Автоматизация, представленная в этом сценарии, состоит из следующих компонентов:

• Идентификатор Microsoft Entra — это корпоративная служба удостоверений, которая предоставляет единый вход, многофакторную проверку подлинности и условный доступ. В этой архитектуре используется для обеспечения безопасной проверки подлинности и авторизации в веб-приложении визуализатора управления Azure для определенной группы идентификаторов Entra.
• Служба приложений Azure — это полностью управляемая платформа для создания и развертывания облачных приложений. Он позволяет определить набор вычислительных ресурсов для запуска, развертывания веб-приложений и настройки слотов развертывания. В этой архитектуре используется для размещения выходных данных визуализатора управления Azure для обеспечения безопасного и плавного доступа в организации.
• GitHub — это популярное предложение SaaS от Корпорации Майкрософт, которое часто используется разработчиками для создания, отправки и обслуживания своих проектов программного обеспечения. В этой архитектуре используется для размещения кода инфраструктуры как кода для решения и действий GitHub, используемых для развертывания и обслуживания.
• GitHub Actions — это платформа непрерывной интеграции и непрерывной доставки (CI/CD), которая позволяет автоматизировать конвейер сборки, тестирования и развертывания. В этой архитектуре она предоставляет возможности непрерывной интеграции и непрерывного развертывания для развертывания и обновления визуализатора управления Azure.

Альтернативные варианты

• Визуализатор управления Azure — это скрипт PowerShell, который можно запускать непосредственно на локальном компьютере. Визуализатор можно настроить для запуска в рамках GitHub Actions, чтобы получать актуальные сведения о вашей среде. Визуализатор создает вики-сайт в качестве выходных данных, которые можно опубликовать в GitHub или Azure DevOps.

• Визуализатор также можно разместить на любой другой платформе размещения, которая является безопасной и экономичной, например Статические веб-приложения Azure.

Подробности сценария

Визуализатор управления Azure — это скрипт на основе PowerShell, который выполняет итерацию иерархии группы управления клиента Azure до уровня подписки. Он записывает наиболее важные возможности управления Azure, такие как Политика Azure, RBAC, идентификатор Microsoft Entra и схемы. Из собранных данных визуализатор управления Azure визуализирует все эти сведения в простом html-отчете.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

Ограничение HTML отчетов только тем пользователям, авторизованным для просмотра этих данных, важно. Эти данные являются золотой шахтой для внутренних и внешних угроз, так как она предоставляет ландшафт Azure, включая элементы управления безопасностью.

• Используйте проверку подлинности Microsoft Entra, чтобы ограничить доступ авторизованных лиц. Рекомендуется использовать проверку подлинности веб-приложения для предоставления этой службы. Код развертывания в GitHub настраивает веб-приложения и активно проверяет, включена ли проверка подлинности перед развертыванием.

• Рассмотрите возможность применения элементов управления безопасностью сети для предоставления сайта вашей команде только через частную конечную точку. Чтобы ограничить трафик, рассмотрите возможность использования ограничений IP-адресов веб-приложения.

• Включите ведение журнала доступа в веб-приложении Azure, чтобы иметь возможность аудита доступа. Настройте веб-приложение Azure для отправки этих журналов в рабочую область Log Analytics.

• Убедитесь, что в веб-приложении Azure включен безопасный обмен данными. Разрешены только протоколы HTTPS и FTPs, а минимальная версия TLS настроена как 1.2.

• Рассмотрите возможность использования Microsoft Defender Microsoft Defender для облака для Служба приложений.

• Используйте последние версии стека среды выполнения веб-приложения Azure.

• Не забудьте регулярно повернуть секрет этого субъекта-службы и отслеживать его активность. Для сбора всех необходимых сведений развернутый визуализатор зависит от субъекта-службы с разрешениями идентификатора Microsoft Entra.

Дополнительные сведения об элементах управления безопасностью см. в разделе "Базовые показатели безопасности Azure" для Служба приложений.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

• Уровень B1 (Базовый) используется для развернутого веб-приложения Azure в Служба приложений. Служба приложений размещает выходные данные HTML средства визуализатора управления Azure, чтобы упростить его.

• Используйте калькулятор цен Azure для просмотра оценки цен для этого решения.

• Пример в GitHub развертывает только один экземпляр Служба приложений, но при необходимости можно выбрать развертывание.

Эффективность работы

Оперативное превосходство охватывает процессы операций, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".

• Решение состоит в основном из веб-приложения Azure, в котором размещены выходные данные HTML средства визуализатора. Мы рекомендуем включить параметры диагностики веб-приложения для мониторинга трафика, доступа к журналам аудита, метрикам и т. д.

• Важно отслеживать производительность веб-приложения. Это помогает определить, нужно ли масштабировать или масштабировать в зависимости от объема использования визуализатора.

• Также важно всегда запускать последние версии стека среды выполнения веб-приложения Azure.

• Визуализатор управления Azure регулярно обновляет версии с новыми функциями, исправлениями ошибок или улучшениями. В репозитории GitHub выделенный рабочий процесс GitHub обрабатывает процесс обновления. Существует настраиваемый параметр для автоматического обновления кода визуализатора или вручную, просто открыв запрос на вытягивание с изменениями, которые можно просмотреть и объединить.

• Ускоренный код может обновляться с новыми параметрами кода bicep Служба приложений или новыми инструкциями для предварительных требований визуализатора. В репозитории GitHub выделенный рабочий процесс GitHub обрабатывает этот процесс обновления. Существует настраиваемый параметр для автоматического обновления кода визуализатора или вручную, просто открыв запрос на вытягивание с изменениями, которые можно просмотреть и объединить.

Развертывание этого сценария

Сведения о развертывании этого сценария см. в репозитории ускорителя визуализатора управления Azure GitHub.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участниками.

Основные авторы:

• Seif Bassem | Архитектор облачных решений

Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.

Следующие шаги

• Репозиторий GitHub для визуализатора управления Azure
• Проект визуализатора управления Azure с открытым исходным кодом

Связанные ресурсы

• Целевые зоны Azure — рекомендации по проектированию модулей Bicep
• Обзор целевой зоны Azure