Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется к этой рекомендации контрольного списка Azure Well-Architected Framework для операционного превосходства:
| OE:08 | Создайте четкий структурированный процесс управления инцидентами с определенными ролями, документируемыми процедурами и архитектурой, предназначенными для быстрого обнаружения, диагностики и восстановления. |
|---|
При возникновении инцидентов группа по управлению нагрузкой должна быть готова с чёткими и структурированными процедурами.
Существует два ключевых аспекта реагирования на инциденты. Первым является архитектура, сосредоточенная на разработке систем, которые поддерживают эффективные процедуры реагирования и предотвращают каскадные сбои между компонентами. Второй аспект — это процедурный процесс, охватывающий обнаружение, сдерживание и быстрое управление проблемами, за которым следует анализ первопричин и разбор после инцидента, чтобы предотвратить повторение. Регулярные учения помогают поддерживать готовность и обеспечивать эффективное выполнение плана.
В этой статье описаны проверенные стратегии разработки архитектуры, которая помогает в ответе и план, который держит команду спокойной, согласованной и в контроле. Подробные рекомендации по реализации, включая пошаговые процессы и сборники схем, см. в статье о создании эффективного плана управления инцидентами для управления нарушениями.
Определения
| Срок | Definition |
|---|---|
| Инженерия хаоса | Преднамеренное внедрение сбоев или неблагоприятных условий в систему для проверки ее устойчивости и процедур восстановления. |
| Сдерживание | Ограничение влияния инцидента, чтобы предотвратить его влияние на другие компоненты или системы. |
| Обнаружение | Определение того, что инцидент произошел или происходит. |
| безобвинительное рассмотрение аварийной ситуации; | Структурированный, необвинительный обзор инцидента с участием всех соответствующих команд, извлечение извлеченных уроков и определение применимых улучшений процессов, инструментов и систем. |
| RCA (анализ первопричин) | Исследование и идентификация основных причин инцидента, включая факторы, влияющие на повторение. |
| Цель точки восстановления (RPO - Recovery Point Objective) | Максимальный допустимый объем потери данных, измеряемый во времени. |
| RTO (цель времени восстановления) | Максимально допустимое время, когда система или служба могут быть отключены после инцидента, прежде чем вызвать неприемлемое влияние. |
| Триаж | Оценка и приоритет инцидентов для определения соответствующего ответа. |
Документируйте план реагирования на инциденты
Инцидент может относиться к проблемам с развертыванием, безопасностью или производительностью. Независимо от того, создайте основной план реагирования на инциденты, охватывающий весь процесс. Определите дополнительные процедуры для каждого типа инцидента, описывающего различные методы обнаружения, действия сдерживания и восстановления, заинтересованные стороны, относящиеся к этому типу инцидента. Например, план инцидентов безопасности может иметь процессы, связанные с участием Центра управления безопасностью (SOC), которые не будут применимы к инциденту развертывания.
План реагирования на инциденты должен определять ключевые роли , участвующие в управлении инцидентом и обязанностями каждого из них. Четкое определение ответственности снижает путаницу и гарантирует, что действия координируются от обнаружения до разрешения. Определение ролей, таких как менеджер инцидентов, технический руководитель и связь, приводят к созданию подотчетности и поддержке согласованного принятия решений.
План должен включать структуру коммуникации и эскалации , которая описывает, как сообщаются инциденты, кто уведомляется и через какие каналы. Это гарантирует, что информация быстро перемещается на нужных людей и предотвращает пробелы или дублирование во время критических моментов.
План также должен включать основные процедуры , которые команда будет выполнять во время обнаружения, сортировки, хранения и восстановления. Эти шаги предоставляют прогнозируемую платформу для реагирования и помогают поддерживать стабильность работы. Регулярные проверки этих процедур сохраняют план в соответствии с системными изменениями и уроками, извлеченными из предыдущих инцидентов.
Компромиссное решение. Чрезмерно агрессивная стратегия реагирования может вызвать ложные тревоги или ненужные эскалации.
Аналогичным образом автоматические действия, такие как масштабирование или самовосстановление, инициируемые нарушением пороговых значений, могут привести к дополнительным затратам и эксплуатационным издержкам. Так как оптимальные пороговые значения могут быть не очевидны, проверьте их с помощью тестирования в более низких средах и тщательно отслеживайте производственные пробные версии, чтобы соответствовать вашим фактическим требованиям.
Выделение достаточных ресурсов для инфраструктуры реагирования на инциденты, процессов и персонала
Запланируйте достаточно ресурсов для одновременной работы по крайней мере двух конфигураций рабочих нагрузок, если требуется резервный вариант, чтобы избежать прерывания работы службы. Команды рабочей нагрузки должны быть подготовлены для поддержки обеих конфигураций в рабочей среде при необходимости. Это может включать рефакторинг рабочих нагрузок, таких как разключение компонентов или обновление моделей данных.
С точки зрения человеческих ресурсов команда должна сбалансировать свои регулярные обязанности с работой реагирования на инциденты. Возможно, потребуется увеличить численность или привлечь внешние ресурсы. Они могут быть поддержкой платформы от Azure, сторонних поставщиков или центральных ИТ-групп, которые специализируются на управлении инцидентами и имеют активные контракты на поддержку. План реагирования на инциденты должен четко документировать, что каждая сторона охватывает, исключения, процедуры эскалации и ожидаемое время реагирования.
Замечание
Обратитесь к вашей организации, чтобы заранее подготовить эти контракты на поддержку, чтобы они были легко доступны во время инцидента.
Даже при использовании этих внешних зависимостей некоторые члены команды будут работать непосредственно с поставщиками, а другие продолжают внутреннюю работу и исправление.
Сохраняйте контактные данные для внутренних сотрудников и сотрудников поставщиков в актуальном состоянии. Создайте безопасные и простые процедуры проверки подлинности и авторизации внешнего или гостевого доступа с соответствующими разрешениями для журналов и рабочих сред.
Возможность искусственного интеллекта. Перед переходом на поддержку внешних поставщиков ИИ может играть роль в качестве команды поставщика, используя только документацию, сборники схем, модели работоспособности и пути эскалации, предоставляемые поставщиком. Он проверяет исторические инциденты, чтобы выявить пробелы, такие как отсутствие знаний о системах или неправильно настроенных пороговых значениях, или зависимость от племенных знаний. Это позволяет командам заранее устранять пробелы, обеспечивая гладкую передачу.
Построение контейнирования и изоляции в архитектуре
Инциденты неизбежны, поэтому проектируйте архитектуру, чтобы ограничить сбои и ограничить радиус взрыва. Убедитесь, что при сбое компонента влияние изолировано и не каскадируется в другие части системы.
Это можно сделать с помощью таких методов, как сегментирование ресурсов, разделение компонентов с микрослужбами и использование шаблонов проектирования, таких как противопереборки или издатель/подписчик в дизайне. Также рекомендуется использовать внешние ресурсы, где это применимо. Например, вместо жесткого определения значений конфигурации внутри приложения используйте внешнее хранилище конфигураций для управления параметрами за пределами кода приложения или пакета развертывания.
Создание возможностей мониторинга для быстрого обнаружения
Надежный план реагирования на инциденты зависит от хорошо разработанного стека мониторинга. Такие возможности, как структурированное ведение журнала, целевые панели мониторинга и интерактивные оповещения, помогают командам быстро реагировать, свести к минимуму шум и избежать усталости оповещений.
Риск: Чрезмерно агрессивная стратегия реагирования или автоматизации, например активация оповещений, эскалаций или автоматического масштабирования слишком часто может привести к ложным оповещениям, ненужным рабочим сбоям, увеличению затрат из-за плохо определенных пороговых значений.
Устранение рисков путем тщательного тестирования в более низких средах и контролируемых рабочих сценариях для уточнения пороговых значений оповещений и масштабирования.
Эффективный мониторинг имеет два ключевых измерения. Во-первых, процесс реагирования должен получать своевременное уведомление от Azure критически важных индикаторов, таких как работоспособность служб, состояние зависимостей, нарушения безопасности и целостность данных. Во-вторых, само решение должно выдавать богатые, структурированные данные телеметрии, журналы, метрики и трассировки, которые обеспечивают глубокий анализ, триаж и идентификацию первопричин.
Ключевые бизнес-процессы должны быть прослеживаемыми от начала до конца, чтобы инциденты можно было точно восстановить. Например, в системе обработки заказов команды должны иметь возможность отслеживать время получения заказа, когда была предпринята попытка авторизации оплаты и где произошел сбой. Проектирование компонентов для упрощения отладки с помощью настраиваемой детализации журналов, дампов памяти и безопасного совместного использования диагностических данных в разных средах. Эти возможности обеспечивают видимость и контекст, необходимые для быстрого эффективного реагирования на инциденты.
Содействие с использованием диагностических данных и практик
Создайте решение для ускорения диагностики и устранения проблем, сделав процесс более надежным. Подход заключается в интеграции возможностей отладки и наблюдаемости в проект системы.
Это начинается с правильного сбора всех соответствующих диагностических данных, таких как сбои и дампы памяти. Убедитесь, что необходимые средства используются для безопасного сбора, хранения и совместного использования этих данных для эффективной корреляции и анализа. Средства, такие как сетевые трассировщики и серверы символов, должны быть интегрированы для поддержки более глубоких возможностей отладки. Наконец, убедитесь, что все диагностические данные защищены от изменения с помощью безопасного хранилища, ограниченного доступа и надлежащего управления данными.
Система также должна включать встроенные хуки и переключатели, поддерживающие управление инцидентами. Эти механизмы полезны при отключении или изоляции отказоустойчивых компонентов в режиме реального времени без повторного развертывания. Кроме того, вышедшие из строя ресурсы следует сохранять в карантинном состоянии для судебного анализа, а не сразу удалять.
Визуализация данных инцидентов на одной панели стекла
Создайте централизованную панель мониторинга управления инцидентами или портал для обновления состояния в режиме реального времени, видимости и обмена знаниями. Панель мониторинга должна выступать в качестве общего источника истины, сохраняя соответствие всех по приоритетам, текущим действиям и зависимостям. Инциденты являются стрессовыми ситуациями для команд, и имея достаточную информацию для удержания концентрации и помощи в своевременном принятии решений. Она также усиливает культуру подотчетности и непрерывного обучения.
Ключевые компоненты должны включать данные о наблюдаемости, временные шкалы, сведения о владельцах и индикаторы серьезности. Видимость должна быть определенной для роли, с соответствующими элементами управления безопасностью, такими как RBAC, чтобы пользователи имели доступ к информации, необходимой им, без раскрытия конфиденциальных или клиентских данных. Включите ссылки на соответствующие ресурсы и четкие инструкции для руководства пользователей по следующим шагам и их обязанностям. При необходимости поддержка подписок по запросу или оповещений для уведомления заинтересованных лиц о изменении состояния инцидентов.
Сбор и хранение следов аудита
Разработка решения с аудитом в качестве основного требования для поддержки реагирования на инциденты. Хотя следы аудита часто рассматриваются главным образом как мера безопасности, они одинаково важны для оперативного анализа. Система должна записывать подробные записи об изменениях конфигурации, административных действиях и операционных процедурах, таких как развертывания, резервные копии и действия по настройке.
Тестирование плана
Регулярно тестируйте процессы реагирования на инциденты с помощью сухих запусков или учений по хаос-инжинирингу. Имитируйте реалистичные инциденты для проверки возможности восстановления, подтверждения целевых показателей RTO и RPO и обеспечения функционирования планов взаимодействия и эскалации под давлением.
Без этих тестов небольшие сбои могут быстро перерасти в продолжительные простои или значительные потери данных, оставляя команды в панике, а деятельность компании под угрозой. Тестирование дает возможность выявлять пробелы до возникновения реальных инцидентов, улучшить координацию.
Преобразование результатов RCA в улучшения системы
После каждого инцидента провести тщательный RCA для выявления основных причин и факторов, влияющих на них. Следуйте за этим проведением беспроблемного разбора во главе с беспристрастным ведущим, где каждая команда делится наблюдениями, успехами и возможностями для улучшения.
Непрерывное предоставление уроков в систему снижает вероятность повторных инцидентов. Не забудьте записать и классифицировать практические элементы в трех областях: уточнение плана реагирования на инциденты, улучшение наблюдаемости для обнаружения аналогичных проблем ранее и улучшения структуры рабочей нагрузки.
ИИ может повысить эффективность путем автоматического создания вопросов анализа, сводки контекста инцидентов и выявления шаблонов в источниках данных. Он также может анализировать ретроспективные заметки и прошлые данные инцидентов, чтобы предложить приоритетные элементы резервной работы, уменьшая ручные усилия. Для реализации этой возможности требуется интеграция ИИ с инструментами ICM и SDLC. Оцените такие средства, как PowerAutomate и LogicApps для управления рабочими процессами.
Обеспечение гибкости и согласованности с помощью автоматизации
Включите автоматизацию в рабочий процесс реагирования на инциденты, чтобы сократить усилия вручную и ускорить реагирование. Используйте такие средства, как Azure Batch, Runbooks, Functions и Logic Apps, чтобы максимально автоматизировать обнаружение, изоляцию, оповещение и взаимодействие. Поддержка библиотеки сценариев и шаблонов инфраструктуры как кода (IaC) для восстановления, проверки, устранения неполадок и анализа первопричин. Убедитесь, что эти автоматизации документируются и доступны, чтобы команды могли надежно выполнять их во время инцидентов. Чем больше вы автоматизируете, тем более согласованным будет ответ.
агент SRE Azure — это операционный агент на базе искусственного интеллекта, который ускоряет диагностику инцидентов и автоматизирует стандартные ответы. Он поддерживает настраиваемые уровни автономии, от режима рекомендаций до автоматического реагирования в рамках определённых ограничений. Начните с режима консультирования и постепенно включайте автоматизацию по мере увеличения доверия. Для сценариев высокой серьезности реализуйте рабочие процессы утверждения и меры защиты для управления автоматическими действиями.
Обеспечение Azure
Azure Monitor — это комплексное решение для сбора, анализа и реагирования на данные мониторинга из облачных и локальных сред. Она включает надежную платформу оповещений, которую можно настроить для автоматических уведомлений и других действий, таких как автоматическое масштабирование и другие механизмы самовосстановления.
Используйте Monitor для интеграции машинного обучения. Автоматизируйте и оптимизируйте сортировку инцидентов и упреждающие меры. Дополнительные сведения см. в статье AIOps и машинное обучение в Monitor.
Log Analytics — это надежное средство аналитики, встроенное в Monitor. Вы можете использовать Log Analytics для выполнения запросов к агрегированным журналам и получения аналитических сведений о рабочей нагрузке.
Microsoft предлагает обучение готовности к инциденту, связанному с Azure. Дополнительные сведения см. в разделе Введение в готовность к инцидентам Azure и Готовность к инцидентам.
Используйте монитор подключения в Azure Network Watcher для непрерывного отслеживания сетевой связности и производительности в Azure-ресурсах. Во время чрезвычайных инцидентов пользовательские рабочие книги в мониторе подключения обеспечивают видимость в реальном времени работоспособности подключения, тенденции в задержке и состояния оповещений. Чтобы эффективно выполнить RCA и достичь быстрого разрешения, используйте средство диагностики подключения из комплекта инструментов Network Watcher.
Используйте аналитику трафика для анализа журналов потоков виртуальной сети и выявления данных, таких как заблокированный трафик, вредоносные потоки и открытые порты. Создание рабочих книг в аналитике трафика позволяет командам отслеживать поведение живого трафика, получать оповещения и использовать представления временной шкалы и топологии для быстрого определения затронутых сегментов сети и эффективного ответа.
С помощью средств ИИ и DevOps Microsoft команды могут автоматически превратить ретроспективные аналитические сведения в интерактивные элементы невыполненной работы. Рассмотрим Microsoft Foundry для операций модели ИИ, Azure DevOps для управления невыполненной работой, Power Automate или Logic Apps для автоматизации.
Связанные ссылки
- Рекомендации по проектированию и созданию платформы наблюдаемости
- Рекомендации по проектированию надежной стратегии мониторинга и оповещения
- Рекомендации по самовосстановлению и самосохранению
Контрольный список операционного превосходства
Ознакомьтесь с полным набором рекомендаций.