Поделиться через

Настройка оповещений управляемого устройства HSM

После начала использования управляемого HSM Azure для хранения рабочих ключей важно отслеживать работоспособность HSM, чтобы убедиться, что служба работает должным образом.

При запуске масштабирования службы число запросов, отправленных в HSM, увеличивается. Этот рост может увеличить задержку запросов. В крайних случаях он может привести к регулированию запросов и повлиять на производительность службы. Кроме того, необходимо знать, отправляет ли HSM необычное количество кодов ошибок, поэтому вы можете быстро справиться с любыми проблемами с политикой доступа или конфигурацией брандмауэра.

В этой статье показано, как настроить оповещения на указанных пороговых значениях, чтобы вы могли предупредить свою команду немедленно принять меры, если HSM находится в неработоспособном состоянии. Можно настроить оповещения, которые отправляют сообщение электронной почты (желательно членам команды из списка рассылки), инициируют отправку уведомлений Сетки событий Azure, звонят по номеру телефона или отправляют на него SMS-сообщение.

Типы оповещений

Вы можете выбрать один из следующих типов оповещений:

  • Статическое оповещение на основе фиксированного значения
  • Динамическое оповещение , уведомляющее вас, если отслеживаемая метрика превышает среднее ограничение HSM определенное количество раз в определенном диапазоне времени.

Внимание

Обратите внимание, что новым настроенным оповещениям может потребоваться до 10 минут, чтобы начать отправку уведомлений.

В этой статье рассматриваются оповещения управляемого устройства HSM.

Настройка группы действий

Группа действий — это настраиваемый список уведомлений и свойств. На первом этапе настройки оповещений создается группа действий и выбирается тип оповещения:

  1. Выберите ресурс HSM в портал Azure, а затем выберите "Оповещения" в разделе "Мониторинг".

    Снимок экрана: выбор оповещений в разделе

  2. Нажмите кнопку создания.

    Снимок экрана: создание нового оповещения.

  3. Выберите группу действий.

    Снимок экрана: выбор группы действий.

  4. Введите сведения о проекте и экземпляре , а затем нажмите кнопку "Далее".

    Снимок экрана: запись сведений о проекте и экземпляре.

  5. Выберите тип уведомления для группы действий. В этом примере мы создадим оповещение электронной почты и SMS. Выберите сообщение электронной почты,SMS-сообщение/push/voice.

    Снимок экрана: выбор сообщения электронной почты, SMS/Push/Voice в качестве типа уведомления.

  6. В диалоговом окне введите данные для отправки электронной почты и SMS, а затем выберите ОК.

    Снимок экрана: запись сведений электронной почты и SMS.

  7. Введите имя времени уведомления и нажмите кнопку "Далее".

    Снимок экрана: запись имени уведомления.

  8. Выберите тип действия для группы действий. В этом примере мы создадим действие Центров событий. Выберите Концентратор событий.

    Снимок экрана: выбор концентратора событий в качестве типа действия.

  9. Введите пространство имен и имя концентратора событий и нажмите кнопку "ОК".

    Снимок экрана: запись пространства имен и имени концентратора событий.

  10. Введите имя действия.

    Снимок экрана: запись имени действия.

  11. Выберите "Просмотр и создание " и нажмите кнопку "Создать".

Настройка пороговых значений оповещений

Затем создайте правило и настройте пороговые значения, которые активируют оповещение:

  1. Выберите ресурс HSM в портал Azure, а затем выберите "Оповещения" в разделе "Мониторинг".

    Снимок экрана: выбор оповещений в разделе

  2. Выберите правило генерации оповещений в разделе "Создать".

    Снимок экрана: создание нового правила генерации оповещений.

  3. Выберите область действия правила генерации оповещений. Можно выбрать один HSM или несколько HSM.

    Внимание

    При выборе нескольких HSM для области оповещений все выбранные HSM должны находиться в одном регионе. Необходимо настроить отдельные правила генерации оповещений для HSM в разных регионах.

    Снимок экрана: выбор области правила генерации оповещений.

  4. Выберите пороговые значения, определяющие логику оповещений. Вы можете просмотреть все доступные сигналы, выбрав "Просмотреть все сигналы". Команда управляемого устройства HSM рекомендует настроить следующие пороговые значения для большинства приложений, но их можно настроить в зависимости от потребностей приложения:

    • Доступность Key Vault снижается до 100 процентов (статическое пороговое значение)
    • Задержка Key Vault превышает 1000 мс (статическое пороговое значение)

    Примечание.

    Целью порогового значения 1000 мс является уведомление о том, что служба Key Vault в этом регионе имеет рабочую нагрузку выше средней. Соглашение об уровне обслуживания для операций Key Vault несколько раз выше. См. соглашение об уровне обслуживания для веб-служб для текущего соглашения об уровне обслуживания. Чтобы оповещать, когда операции Key Vault не входят в соглашение об уровне обслуживания, используйте пороговые значения из документов об уровне обслуживания.

    • Общее число кодов ошибок выше среднего (динамическое пороговое значение).

    Снимок экрана: настройка пороговых значений оповещений.

  5. Выберите действие для применения к правилу генерации оповещений. В этом примере мы добавим существующую группу действий. Выберите группу действий и нажмите кнопку "Выбрать".

    Снимок экрана: выбор группы действий для правила генерации оповещений.

  6. Введите сведения о правиле проекта и генерации оповещений, а затем нажмите кнопку "Далее".

  7. Нажмите кнопку создания.

Пример. Настройка статического порогового значения для оповещений о задержке

  1. Выберите общую задержку API службы в качестве имени сигнала и нажмите кнопку "Применить".

    Снимок экрана: выбор общей задержки API службы в качестве имени сигнала.

    1. Используйте следующие параметры конфигурации:

      • ПорогСтатический.
      • Тип агрегированияСредний.
      • ОператорБольше.
      • Пороговое значение1000.
      • Установите флажок каждые1 минуту.
      • Задайте для периода lookback значение 5 минут.

      Снимок экрана: настройка параметров для порогового значения статического оповещения.

    2. Нажмите кнопку Готово.

    Пример. Настройка оповещения Помощника По Azure

    Чтобы получить оповещение, если резервная копия не была выполнена за последние 30 дней, необходимо настроить оповещение в Помощнике.

    1. Найдите "Помощник" в портал Azure и выберите службу "Помощник".

      Снимок экрана: поиск помощника в портал Azure.

    2. Выберите оповещения в разделе "Мониторинг".

      Снимок экрана: выбор оповещений в разделе

    3. Выберите New Advisor Alert (Создать оповещение Помощника).

      Снимок экрана: создание нового оповещения Помощника.

    4. Выберите область действия правила генерации оповещений.

    5. Выберите тип рекомендации в качестве условия конфигурации.

    6. Найдите "Создать резервную копию HSM" в качестве типа рекомендации и выберите ее.

    7. Выберите группу действий. В этом примере мы будем выбирать существующую группу действий. Чтобы присоединиться к правилу генерации оповещений, можно выбрать до 5 групп действий. Выберите существующую и появится боковая панель. Выберите существующую группу действий.

      Снимок экрана: выбор существующей группы действий.

      Снимок экрана: выбор существующей группы действий на боковой панели.

    8. Присвойте правилу генерации оповещений имя и выберите группу ресурсов, к ней применяется. Затем нажмите кнопку "Создать оповещение".

      Снимок экрана: запись имени правила генерации оповещений и выбор группы ресурсов.

    Next Steps

Используйте средства, настроенные в процессе работы с этой статьей, чтобы активно отслеживать работоспособность хранилища ключей.