Поделиться через

Настройка оповещений Azure Key Vault

После начала использования Azure Key Vault для хранения рабочих секретов важно отслеживать работоспособность хранилища ключей, чтобы убедиться, что служба работает должным образом.

По мере масштабирования службы число запросов, отправленных в хранилище ключей, увеличится. Этот рост может увеличить задержку запросов. В крайних случаях он может привести к регулированию запросов и повлиять на производительность службы. Кроме того, необходимо знать, отправляет ли хранилище ключей необычное количество кодов ошибок, поэтому вы можете быстро справиться с любыми проблемами с политикой доступа или конфигурацией брандмауэра.

В этой статье показано, как настроить оповещения на указанных пороговых значениях, чтобы вы могли немедленно принять меры, если хранилище ключей находится в неработоспособном состоянии. Можно настроить оповещения, которые отправляют сообщение электронной почты (желательно членам команды из списка рассылки), инициируют отправку уведомлений Сетки событий Azure, звонят по номеру телефона или отправляют на него SMS-сообщение.

Вы можете выбрать один из следующих типов оповещений:

  • Статическое оповещение на основе фиксированного значения
  • Динамическое оповещение, которое уведомляет вас, если отслеживаемая метрика превышает среднее ограничение хранилища ключей определенное количество раз в определенный диапазон времени.

Это важно

Обратите внимание, что новым настроенным оповещениям может потребоваться до 10 минут, чтобы начать отправку уведомлений.

В этой статье рассматриваются оповещения для Key Vault. Сведения о аналитике Key Vault, которая объединяет журналы и метрики для предоставления глобального решения для мониторинга, см. в статье "Мониторинг хранилища ключей с помощью аналитики Key Vault".

Настройка группы действий

Группа действий — это настраиваемый список уведомлений и свойств. На первом этапе настройки оповещений создается группа действий и выбирается тип оповещения:

  1. Войдите на портал Azure.

  2. Найдите оповещения в поле поиска.

  3. Выберите "Управление действиями".

    Снимок экрана: кнопка

  4. Выберите +Добавить группу действий.

    Снимок экрана: кнопка добавления группы действий.

  5. Выберите значение типа действия для группы действий. В этом примере мы создадим оповещение электронной почты и SMS. Выберите email/SMS/Push/Voice.

    Снимок экрана, на котором выделены выбранные элементы для добавления группы действий.

  6. В диалоговом окне введите данные для отправки электронной почты и SMS, а затем выберите ОК.

    Снимок экрана: выбор для добавления оповещения электронной почты и сообщения S S.

Настройка пороговых значений оповещений

Затем создайте правило и настройте пороговые значения, которые будут активировать оповещение:

  1. Выберите ресурс хранилища ключей на портале Azure и выберите "Оповещения " в разделе "Мониторинг".

    Снимок экрана: пункт меню

  2. Выберите Новое правило генерации оповещений.

    Снимок экрана: кнопка добавления нового правила генерации оповещений.

  3. Выберите область действия правила генерации оповещений. Можно выбрать одно хранилище или несколько хранилищ.

    Это важно

    При выборе нескольких хранилищ для области оповещений все выбранные хранилища должны находиться в одном регионе. Необходимо настроить отдельные правила оповещений для хранилищ в разных регионах.

    Снимок экрана, показывающий, как выбрать хранилище.

  4. Выберите пороговые значения, определяющие логику оповещений, а затем нажмите кнопку "Добавить". Команда Key Vault рекомендует настроить следующие пороговые значения для большинства приложений, но их можно настроить в зависимости от потребностей приложения:

    • Доступность Key Vault снижается до 100 процентов (статическое пороговое значение)

    Это важно

    Это оповещение в настоящее время неправильно включает длительные операции и сообщает о них, как служба недоступна. Вы можете отслеживать журналы Key Vault, чтобы узнать, возникают ли сбои операций из-за недоступности службы.

    • Задержка Key Vault превышает 1000 мс (статическое пороговое значение)

    Замечание

    Целью порогового значения 1000 мс является уведомление о том, что служба Key Vault в этом регионе имеет рабочую нагрузку выше средней. Соглашение об уровне обслуживания для операций Key Vault несколько раз выше, см. соглашение об уровне обслуживания для веб-служб для текущего соглашения об уровне обслуживания. Чтобы оповещать, когда операции Key Vault не входят в соглашение об уровне обслуживания, используйте пороговые значения из документов об уровне обслуживания.

    • Общая насыщенность хранилища превышает 75 процентов (статическое пороговое значение)
    • Общая насыщенность хранилища превышает среднее (динамическое пороговое значение)
    • Общее число кодов ошибок выше среднего (динамическое пороговое значение)

    Снимок экрана: место выбора условий для оповещений.

Пример. Настройка статического порогового значения для оповещений о задержке

  1. Выберите общую задержку API службы в качестве имени сигнала.

    Снимок экрана: выбор имени сигнала.

  2. Используйте следующие параметры конфигурации:

    • ПорогСтатический.
    • Установите Оператор на значение Больше.
    • Тип агрегированияСредний.
    • Пороговое значение1000.
    • Задайте для агрегирования степень детализации (период) значение 5 минут.
    • Задайте частоту вычислениякаждые 1 минуту.

    Снимок экрана: настроенная логика для порогового значения статического оповещения.

  3. Нажмите кнопку Готово.

Пример: Настройка динамического порогового значения оповещения для насыщенности хранилища

При использовании динамического оповещения вы сможете просмотреть исторические данные выбранного хранилища ключей. Голубая область показывает среднее использование вашего хранилища ключей. Красная область показывает пики, которые активировали бы оповещение, если были выполнены другие критерии в конфигурации оповещения. Красные точки показывают случаи нарушений, в которых критерии оповещения были соблюдены в течение суммарного периода времени.

Снимок экрана, показывающий график заполненности хранилища.

Вы можете настроить оповещение, чтобы оно срабатывало после определенного количества нарушений в течение заданного времени. Если вы не хотите включать прошлые данные, есть возможность исключить его в расширенных параметрах.

  1. Используйте следующие параметры конфигурации:

    • Установите Имя измерения на Тип транзакции и Значения измерения на vaultoperation.
    • Установите порог на Dynamic.
    • Установите Оператор на больше чем.
    • Тип агрегированияСредний.
    • Установите пороговую чувствительность на средний уровень.
    • Задайте для агрегирования степень детализации (период) значение 5 минут.
    • Задайте частоту оценкикаждые 5 минут.
    • Настройка дополнительных параметров (необязательно).

    Снимок экрана: настроенная логика для динамического порога оповещений.

  2. Нажмите кнопку Готово.

  3. Нажмите кнопку "Добавить ", чтобы добавить настроенную группу действий.

    Снимок экрана: кнопка добавления группы действий.

  4. В сведениях об оповещении включите оповещение и назначьте серьезность.

    Снимок экрана, на котором показано, где включить оповещение и назначить серьезность.

  5. Создайте оповещение.

Пример оповещения электронной почты

Если вы выполнили все описанные выше действия, вы получите оповещения по электронной почте, когда хранилище ключей соответствует заданным условиям оповещения. Примером является следующее оповещение электронной почты.

Снимок экрана: сведения, необходимые для настройки оповещения электронной почты.

Пример: предупреждение об истечении срока действия сертификатов в запросе журнала

Вы можете настроить оповещение, чтобы уведомить вас о сертификатах, срок действия которых истекает.

Замечание

События, связанные с истечением срока действия сертификатов, регистрируются за 30 дней до этого.

  1. Перейдите в журналы и вставьте приведенный ниже запрос в окне запроса

    AzureDiagnostics
| where OperationName =~ 'CertificateNearExpiryEventGridNotification'
| extend CertExpire = unixtime_seconds_todatetime(eventGridEventProperties_data_EXP_d)
| extend DaysTillExpire = datetime_diff("Day", CertExpire, now())
| project ResourceId, CertName = eventGridEventProperties_subject_s, DaysTillExpire, CertExpire

  2. Выбор нового правила генерации оповещений

    Снимок экрана: окно запроса с выбранным новым правилом генерации оповещений.

  3. На вкладке "Условие" используется следующая конфигурация:

    • В разделе Измерения установите Агрегированная детализация на 1 день
    • В разделе "Разделение по измерениям " задайте для столбца идентификатора ресурса значениеResourceId.
    • Задайте CertName и DayTillExpire в качестве измерений.
    • В логике генерации оповещенийзадано пороговое значение0 и частота оценки до 1 дня.

    Снимок экрана: конфигурация условия генерации оповещений.

  4. На вкладке "Действия" настройка оповещения для отправки сообщения электронной почты

    1. Выберите команду "Создать группу действий"

      Снимок экрана: создание группы действий.

    2. Настройка создания группы действий

      Снимок экрана: настройка группы действий.

    3. Настройка уведомлений для отправки сообщения электронной почты

      Снимок экрана, на котором показано, как настроить уведомление.

    4. Настройка сведений для активации предупреждения

      Снимок экрана: настройка сведений о уведомлении.

    5. Нажмите Проверить и создать.

Дальнейшие шаги

Используйте средства, настроенные в этой статье, чтобы активно отслеживать работоспособность вашего хранилища ключей.