Поделиться через

Архитектура корпоративного мониторинга Azure Monitor

  • Статья

Мониторинг — это процесс сбора, анализа и действия с метриками, журналами и транзакциями, указывающими на работоспособность платформы, ресурсов и приложений. Эффективная среда мониторинга включает в себя весь облачный ресурс, который может включать ресурсы в нескольких облаках и локальной среде.

Эта архитектура описывает гибкую стратегию мониторинга корпоративной среды с помощью Azure Monitor. Используйте эту архитектуру в качестве отправной точки для реализации решения мониторинга, соответствующего различным требованиям вашей организации.

Архитектура

Схема корпоративного мониторинга с помощью Azure Monitor.

Рабочие процессы

Следующие рабочие процессы соответствуют приведенной выше схеме:

  • Сбор данных. Данные для Azure Monitor хранятся в рабочей области Log Analytics (журналы и метрики), рабочей области Azure Monitor (метрики Prometheus) и Azure Monitor (метрики платформы). Источники данных в разных подписках отправляют данные в рабочие области Log Analytics и рабочие области Azure Monitor в подписке управления. Метрики платформы хранятся в той же подписке, что и ресурс Azure, и отправляются в рабочую область Log Analytics, чтобы их можно было сопоставить с другими источниками данных.

  • Оповещение. Запрос журнала и правила генерации оповещений Prometheus создаются в подписке управления и получают доступ к рабочей области Log Analytics и рабочей области Azure Monitor. Каждый набор рабочих областей имеет собственный набор правил генерации оповещений, созданных в той же группе ресурсов, что и рабочие области. Правила оповещений по метрикам создаются в подписке управления и получают доступ к метрикам платформы в подписках ресурсов.

  • Интеграции. Microsoft Sentinel использует ту же рабочую область Log Analytics и агент Azure Monitor (AMA), что и Azure Monitor, поэтому эту же архитектуру можно использовать для возможностей SIEM. Интеграция ITSM выполняется в ответ на оповещения Azure Monitor с помощью соединителя ITSM в Azure Monitor. При срабатывании оповещения в системе ITSM создается заявка.

Компоненты

  • Azure Monitor — это основное решение для мониторинга Azure, предоставляющее комплексное решение для сбора, анализа и выполнения данных телеметрии из облачных и локальных сред. Помимо предоставления полного решения мониторинга стека для приложений и инфраструктуры Azure Monitor включает платформу данных и другие основные функции, которые используются другими службами в экосистеме наблюдаемости Azure.
    • Журналы Azure Monitor — это централизованная платформа для сбора, анализа и действий на основе телеметрии, собираемой Azure Monitor.
    • Управляемая служба Azure Monitor для Prometheus — это масштабируемая и высокодоступная служба Prometheus, созданная на основе Azure Monitor. Она предоставляет полностью управляемую, масштабируемую и безопасную службу, которая получает метрики Prometheus и сохраняет их в рабочей области Azure Monitor.
    • Агент Azure Monitor собирает данные мониторинга из гостевой операционной системы и рабочих нагрузок виртуальных машин и отправляет его в Azure Monitor. Он также используется кластерами Kubernetes для сбора журналов контейнеров и метрик Prometheus.
    • Application Insights — это расширяемая служба управления производительностью приложений (APM) для веб-приложений на нескольких платформах. Он автоматически обнаруживает аномалии производительности и включает мощные средства аналитики, которые помогут вам диагностировать проблемы и понять, что пользователи на самом деле делают с приложением.
    • API приема журналов позволяет отправлять данные в рабочую область Log Analytics с помощью вызова REST API или клиентских библиотек. Это полезно для отправки данных из пользовательских приложений или других решений.
    • Рабочие тетради в Azure Monitor предоставляют гибкий холст для анализа данных и создания расширенных визуальных отчетов на портале Azure. Они получают доступ к данным из платформы данных Azure Monitor.
  • Azure Arc расширяет платформу Azure для управления инфраструктурой и приложениями в локальных, многооблачных и пограничных средах. Он позволяет управлять гибридными ресурсами вместе с облачными ресурсами из одной плоскости управления. Используйте Azure Arc, чтобы сделать гибридные виртуальные машины и кластеры доступными для Azure Monitor.
  • Microsoft Sentinel — это облачная информация о безопасности и управление событиями (SIEM), которая использует данные телеметрии из служб Azure и других ресурсов, включая Microsoft Defender. Он предоставляет интеллектуальное и комплексное решение для SIEM и оркестрации безопасности, автоматизации и реагирования (SOAR). Он использует ту же рабочую область Log Analytics и агент Azure Monitor, что и Azure Monitor.
  • Microsoft Defender XDR состоит из ряда Защитников, предназначенных для защиты различных частей цифрового имущества. Они сопоставляют данные телеметрии и используют ИИ/ML, чтобы определить, необходимы ли исследования или принять меры при возникновении известных плохих действий. Он использует ту же рабочую область логической аналитики и агент Azure Monitor, как и Azure Monitor.
  • Служба Azure Managed Grafana полностью управляется службой Azure, которая предоставляет платформу визуализации данных, созданную на основе программного обеспечения Grafana grafana Labs.
  • Key Vault — это облачная служба для безопасного хранения и доступа к секретам. Используйте Key Vault для хранения секретов, таких как строки подключения, пароли и сертификаты, используемые приложениями и службами.

Альтернативы

Эта архитектура соответствует руководящим принципам из Cloud Adoption Framework для Azure. Дополнительные сведения о каждом из них см. в принципах проектирования целевой зоны Azure .

  • Подписки. Следуя принципу проектирования демократизации подписок, для компонентов управления создается отдельная подписка. Сюда входят рабочие области Log Analytics, рабочие области Azure Monitor, учетные записи хранения, поддерживающие диагностику и аудит, а также правила генерации оповещений.

  • Рабочие области. Рабочие области Log Analytics и рабочие области Azure Monitor предоставляют платформу данных для Azure Monitor. Рабочие области Log Analytics хранят данные журнала и трассировки, а рабочие области Azure Monitor хранят метрики Prometheus. Метрики платформы хранятся в Azure Monitor на уровне подписки, поэтому для этих данных требуется минимальное требование к проектированию. Число и регионы для каждой рабочей области будут зависеть от конкретных требований. См. статью "Разработка архитектуры рабочей области Log Analytics " и рабочей области Azure Monitor для конкретных критериев разработки. Если вы создаете достаточно данных в рабочих областях Log Analytics в определенном регионе, то свяжите их с выделенным кластером, чтобы воспользоваться преимуществами стимулов затрат и дополнительными функциями, как описано в статье "Создание выделенного кластера и управление ими в журналах Azure Monitor".

  • Визуализация. Визуализация данных, собранных с помощью Azure Monitor, может выполняться с использованием рабочих тетрадей в Azure Monitor или управляемой Grafana Azure. Оба включены в эту архитектуру, хотя вы можете использовать одну или другую. Поскольку для установки дополнительных компонентов нет никаких дополнительных затрат, рабочие книги всегда доступны как вариант визуализации. Использование сервиса Azure Managed Grafana требует дополнительных затрат, поэтому рекомендуется использовать его, если у вас уже есть вложения в Grafana.

Сведения о сценарии

Корпоративные среды имеют различные рабочие нагрузки, такие как веб-приложения, виртуальные машины, службы данных, рабочие нагрузки на основе удостоверений и контейнеры. Эти рабочие нагрузки могут выполняться в Azure, других облачных поставщиках или в локальной среде, что делает облачный мониторинг сложным. Мониторинг необходим для понимания работоспособности и производительности рабочих нагрузок и получения уведомлений о проблемах по мере их возникновения. Решение, основанное на Azure Monitor, предоставляет эти требования в дополнение к поддержке мониторинга безопасности, аудита и управления затратами.

Потенциальные варианты использования

Это решение может быть полезно в следующих вариантах использования:

  • Объединенный мониторинг работоспособности и производительности для различных облачных и локальных рабочих нагрузок с помощью Azure Monitor.
  • Платформа для мониторинга безопасности и обнаружения угроз с помощью Microsoft Sentinel и Microsoft Defender XDR.
  • Интеграция среды мониторинга с системами ITSM.
  • Централизованная визуализация с данными, отфильтрованными по управлению доступом на основе ресурсов.

Рекомендации

Следующие рекомендации применимы для большинства ситуаций. Следуйте этим рекомендациям, если они не противоречат особым требованиям для вашего случая.

  • Используйте политику Azure, чтобы отключить создание рабочей области для большинства пользователей, чтобы поддерживать стратегию рабочей области. Это позволит предотвратить случайное фрагментирование данных и потенциально привести к увеличению затрат на мониторинг.
  • Используйте политику Azure для настройки параметров диагностики ресурсов инфраструктуры (например, сети, PIP, каналов ExpressRoute), чтобы всегда отправлять журналы ресурсов в централизованную рабочую область Log Analytics.
  • Ограничение разрешений рабочей области Log Analytics администратору решения мониторинга. Все остальные роли должны использовать управление доступом на основе ресурсов.
  • Периодический обзор политики управления вокруг архитектуры центрального корпоративного мониторинга имеет решающее значение для адаптации к развивающейся технологической ландшафте.

Соображения

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая представляет собой набор руководящих принципов, которые можно использовать для повышения качества рабочей нагрузки. Дополнительные сведения об этих принципах см. в разделе Microsoft Azure Well-Architected Framework.

Конкретные рекомендации по реализации Azure Monitor см. в следующих статьях:

Дальнейшие действия