有关监视 Azure 工作负荷的主权选择

主权要求通常不仅适用于用作云工作负荷一部分的应用程序和基础结构服务，还适用于在该工作负荷的操作和管理中使用的管理解决方案。

必须满足严格主权要求的组织应确定满足运营和合规要求的监视解决方案。 这可确保计划工作负荷迁移的团队使用工作负荷监视的设计模式。

在本文中，您将了解监视的不同目标和最佳做法，并比较云原生和自带的解决方案方法。

了解记录和监视目标

了解部署在云中的资源的行为对于提供可靠的解决方案至关重要。 监视通常作为云工作负荷的一个组成部分，但了解监视的实施往往出于不同原因，有利于不同的利益干系人，这很重要。

如果组织要在云中设计整体监视解决方案，那么突出组织经常遇到的不同目标会很有用。

监视性能

监视工作负荷的性能可以采取多种形式，包括监视应用程序服务的运行状况、解决方案组件的可用性以及解决方案的速度和响应能力。 这种类型的监视近乎实时地执行，以尽快发现系统问题并避免停机。

另外还可以收集和聚合此类监视的指标来分析性能趋势。 这种类型的监视及其产生的数据通常由管理资源的应用程序和基础结构团队以及响应事件和事故的运营和支持团队使用。

监视安全性

实施监视通常是为了向组织提供帮助管理风险的检测控制。 监视安全事件可以帮助组织快速响应并最大程度地减少威胁的影响。 威胁监视可以查找与已知攻击技术相对应的模式，随着时间的推移维护事件数据可以让组织进行取证调查并执行根本原因分析。

从安全监视收集的数据通常由安全团队使用，包括运营分析师和威胁追踪人员以及 IT 运营、保障和审计团队。

监视服务管理

除了查看工作负荷行为的性能和安全监视之外，组织还可以实施额外的监视来了解工作负荷的状态。 这种类型的监视通常用于验证 IT 服务管理目标是否得到满足。 服务管理领域（如配置管理、更改控制和软件版本货币）通常需要监视资源的版本或配置，以验证处于已知良好状态的部署。

IT 运营团队、应用程序和基础结构团队以及安全团队经常使用这种监视来识别未经授权的更改。

使用监视和诊断的最佳做法

当组织计划监视解决方案时，回顾一些为部署在 Azure 中的解决方案实施云原生监视的最佳做法非常有用。 以下文章包含设计基于云的监视解决方案的建议：

• 监控和诊断最佳实践
• Well Architected Framework 监控建议

云原生监视与自带解决方案

很多组织已经有成熟的监视解决方案来监视本地系统，计划云迁移时的常见选择是采用云原生监视解决方案还是调整现有解决方案以在云中使用。

这两种方法都有其优点和缺点，因此我们建议组织评估这两种方法，确保与运营和主权要求保持一致。

将记录和监视用作服务

Azure 提供了一系列云原生服务，组织可以使用这些服务来创建整体监视解决方案：

• Azure Monitor 是 Azure 的 IT 和应用程序监控托管解决方案。 Azure Monitor 提供一系列 IT 监视工具和分析功能，包括：
  • Log Analytics - 用于针对收集的日志数据创建和运行查询的图形界面。
  • 见解 - 即用型监控体验，具有预配置的数据输入、查询、警报和可视化效果，由 Microsoft 策划。
  • Application Insights - 为客户编写的代码提供应用程序性能管理功能。
• Microsoft Sentinel 可与 Azure Monitor 一起使用，以实现安全编排、自动化和回复（SOAR）。
• Microsoft Defender for Cloud 是一个云原生应用程序保护平台（CNAPP），它与 Azure Monitor 配合使用，保护基于云的应用程序免受威胁。

组织可以选择从头开发监视方法，但很多组织可以从 Azure Monitor 和 Microsoft Defender for Cloud 等服务的精心设计的体验中受益。

在选择数据驻留位置时，这些服务可能无法提供相同级别的粒度，因此，如果组织选择将非区域服务纳入监视策略，则应了解数据的存储位置和方式。

• 在 Azure 中了解有关 Data Residency 的更多信息

将本地监视解决方案扩展到 Azure

组织可以通过多种方式继续利用本地监视解决方案来处理具有高度敏感数据且无法使用 PaaS 监视解决方案进行监视的应用程序。

• 对于 IaaS 工作负荷，基于代理的监视解决方案可以继续包含在虚拟机映像中。
• 应用程序性能监视解决方案可以继续使用客户开发的代码进行编译。
• 可以使用虚拟机在 Azure 中部署日志记录服务器，以最大程度地减少 WAN 链接上的客户端流量。
• 日志可以发送到存储帐户、使用事件中心进行流式传输或通过 API 访问。

所有这些方法都可以帮助组织将运营模型转换到云，同时为本地监视系统保持更高级别的运营主权。 但是，这些方法同时有可能增加额外的成本，因为旧监视解决方案会消耗虚拟机和云存储等云资源。

另一种可以帮助组织将运营迁移到云的方法是将监视数据从 Azure Monitor 流式传输到 Azure Monitor 合作伙伴提供的本地解决方案。

• 了解有关从 Azure Monitor 流式传输日志数据的更多信息
• 查看第三方 Azure Monitor 合作伙伴列表

选择 Azure 工作负荷的监视解决方案

以下场景重点介绍了组织可用于监视工作负荷（包括具有严格主权要求的工作负荷）的一些监视解决方案：

使用区域和非区域服务监视 Azure 资源

• 数据源和检测： 使用 Azure Monitor 本机收集平台和活动日志。 使用 Azure Monitor 代理从 IaaS 资源收集日志。 使用 Application Insights 从自定义应用程序收集运行时遥测数据。
• 收集和存储： 聚合 Log Analytics 工作区中单个工作负载的日志数据。 通过使用事件中心流式传输日志，在 Azure Data Lake 中聚合整个企业的日志数据。
• 分析和诊断： 使用 Azure Monitor 和 Defender for Cloud 中的特选监视体验生成见解。 使用 Log Analytics 或 Azure 数据资源管理器分析日志。 使用 Microsoft Sentinel 自动化和安排安全响应。

仅使用区域服务监视 Azure 资源

• 数据源和检测： 使用 Azure Monitor 收集平台和活动日志。 使用 Application Insights 从自定义应用程序收集运行时遥测数据。
• 收集和存储： 在所需区域中部署的 Log Analytics 工作区 中聚合单个工作负载的日志数据。 使用事件中心将日志数据流式传输到所需订阅中的数据湖。
• 分析诊断： 使用 Log Analytics 或 Azure Data Explorer 分析日志。

使用本地解决方案监视 Azure 资源

• 数据源和检测： 使用 Azure Monitor 捕获日志，并使用存储帐户、事件中心或 API 导出到本地解决方案。 使用第三方代理直接捕获日志。
• 收集和存储： 本地聚合和归档日志数据。
• 分析诊断： 使用现有的本地解决方案进行分析和诊断。

相关资源

• 查看 Azure Monitor Fundamentals 学习路径，了解有关使用 Azure Monitor 监视应用程序和基础结构的培训课程。