企業(yè)越來越多地采用公共云來實(shí)現(xiàn)其敏捷和靈活性。他們利用云的優(yōu)勢來創(chuàng)造收入并優(yōu)化業(yè)務(wù)的資源使用。 Microsoft Azure提供了眾多服務(wù)和功能，企業(yè)可以像構(gòu)建塊一樣組裝這些服務(wù)和功能，以滿足各種工作負(fù)載和應(yīng)用程序的需求。

決定使用Microsoft Azure只是實(shí)現(xiàn)云優(yōu)勢的第一步。第二步是了解企業(yè)如何有效地使用Azure并確定需要采用的基線功能來解決以下問題：

• “我擔(dān)心數(shù)據(jù)主權(quán);我如何確保我的數(shù)據(jù)和系統(tǒng)符合我們的監(jiān)管要求？”

• “我怎么知道每個(gè)資源都支持什么，所以我可以解釋它并準(zhǔn)確地收回它？”

• “我想確保我們在公共云中部署或執(zhí)行的所有操作始于安全思維，我該如何幫助實(shí)現(xiàn)這一目標(biāo)？”

沒有護(hù)軌的空訂閱前景令人生畏。此空白空間可能會妨礙您遷移到Azure。

本文為技術(shù)專業(yè)人員提供了一個(gè)起點(diǎn)，以滿足治理需求并使其與敏捷性需求保持平衡。它引入了企業(yè)支架的概念，該架構(gòu)可指導(dǎo)組織以安全的方式實(shí)施和管理其Azure環(huán)境。它提供了開發(fā)有效和高效控制的框架。

需要治理

遷移到Azure時(shí)，您必須盡早解決治理主題，以確保在企業(yè)內(nèi)成功使用云。不幸的是，創(chuàng)建綜合治理系統(tǒng)的時(shí)間和官僚作風(fēng)意味著一些業(yè)務(wù)團(tuán)隊(duì)直接轉(zhuǎn)向提供商而不涉及企業(yè)IT。如果資源未得到妥善管理，這種方法可能會使企業(yè)受到損害。公共云的特征 - 敏捷性，靈活性和基于消費(fèi)的定價(jià) - 對于需要快速滿足客戶（內(nèi)部和外部）需求的業(yè)務(wù)團(tuán)隊(duì)而言非常重要。但是，企業(yè)IT需要確保數(shù)據(jù)和系統(tǒng)得到有效保護(hù)。

在創(chuàng)建建筑物時(shí)，腳手架用于創(chuàng)建結(jié)構(gòu)的基礎(chǔ)。腳手架引導(dǎo)大致輪廓并為要安裝的更永久的系統(tǒng)提供錨點(diǎn)。企業(yè)架構(gòu)是相同的：一組靈活的控件和Azure功能，為環(huán)境提供結(jié)構(gòu)，以及在公共云上構(gòu)建的服務(wù)的錨點(diǎn)。它為構(gòu)建者（IT和業(yè)務(wù)組）提供了創(chuàng)建和附加新服務(wù)的基礎(chǔ)，從而保持了交付速度。

腳手架基于我們從與各種規(guī)模的客戶的許多交往中收集的實(shí)踐。這些客戶包括從開發(fā)云解決方案的小型組織到大型跨國企業(yè)以及正在遷移工作負(fù)載和開發(fā)云原生解決方案的獨(dú)立軟件供應(yīng)商。企業(yè)架構(gòu)是“專門構(gòu)建的”，可以靈活地支持傳統(tǒng)的IT工作負(fù)載和敏捷的工作負(fù)載;例如，開發(fā)人員基于Azure平臺功能創(chuàng)建軟件即服務(wù)（SaaS）應(yīng)用程序。

企業(yè)支架旨在成為Azure中每個(gè)新訂閱的基礎(chǔ)。它使管理員能夠確保工作負(fù)載滿足組織的最低治理要求，而不會阻止業(yè)務(wù)組和開發(fā)人員快速實(shí)現(xiàn)自己的目標(biāo)。我們的經(jīng)驗(yàn)表明，這極大地加速了而不是阻礙了公共云的增長。

注意

Microsoft已發(fā)布一項(xiàng)名為Azure Blueprints的新功能，該功能使您能夠跨訂閱和管理組打包，管理和部署常見映像，模板，策略和腳本。此功能是腳手架作為參考模型的目的與將該模型部署到組織之間的橋梁。

下圖顯示了支架的組件。 該基礎(chǔ)依賴于管理層次結(jié)構(gòu)和訂閱的可靠計(jì)劃。 支柱包括資源管理器策略和強(qiáng)大的命名標(biāo)準(zhǔn)。 腳手架的其余部分是核心Azure功能和功能，可以啟用和連接安全且可管理的環(huán)境。

定義層次結(jié)構(gòu)

scaffold的基礎(chǔ)是Azure企業(yè)注冊到訂閱和資源組的層次結(jié)構(gòu)和關(guān)系。 企業(yè)注冊從合同的角度定義了公司內(nèi)Azure服務(wù)的形狀和用途。 在企業(yè)協(xié)議中，您可以進(jìn)一步將環(huán)境細(xì)分為部門，帳戶，最后是訂閱和資源組，以匹配組織的結(jié)構(gòu)。

Azure訂閱是包含所有資源的基本單元。 它還定義了Azure中的若干限制，例如核心數(shù)，虛擬網(wǎng)絡(luò)和其他資源。 Azure資源組用于進(jìn)一步優(yōu)化訂閱模型并實(shí)現(xiàn)更自然的資源分組。

每個(gè)企業(yè)都是不同的，上圖中的層次結(jié)構(gòu)允許在公司內(nèi)部組織Azure的方式具有很大的靈活性。 建模層次結(jié)構(gòu)以反映公司對計(jì)費(fèi)，資源管理和資源訪問的需求是您在公共云中啟動時(shí)做出的第一個(gè) - 也是最重要的 - 決策。

部門和賬戶

Azure注冊的三種常見模式是：

功能模式

業(yè)務(wù)單元模式

地理格局

盡管這些模式中的每一種都有其自身的地位，但由于其在組織成本模型建模方面的靈活性以及反映控制范圍，因此越來越多地采用業(yè)務(wù)單元模式。 Microsoft Core Engineering and Operations小組創(chuàng)建了一個(gè)非常有效的業(yè)務(wù)單元模式子集，以聯(lián)邦，州和本地為模型。 （有關(guān)更多信息，請參閱組織企業(yè)中的訂閱和資源組。）

管理組

Microsoft最近發(fā)布了一種新的層次結(jié)構(gòu)建模方法：Azure管理組。管理組比部門和帳戶更靈活，可以嵌套多達(dá)六個(gè)級別。管理組允許您創(chuàng)建與計(jì)費(fèi)層次結(jié)構(gòu)分離的層次結(jié)構(gòu)，僅用于有效管理資源。管理組可以鏡像您的結(jié)算層次結(jié)構(gòu)，通常企業(yè)也會這樣開始。但是，管理組的強(qiáng)大功能在于，當(dāng)您使用它們?yōu)榻M織建模時(shí)，相關(guān)訂閱 - 無論它們在計(jì)費(fèi)層次結(jié)構(gòu)中的哪個(gè)位置 - 都組合在一起，需要分配共同角色以及策略和計(jì)劃。幾個(gè)例子：

生產(chǎn)/非生產(chǎn)。一些企業(yè)創(chuàng)建管理組以識別其生產(chǎn)和非生產(chǎn)訂閱。管理組允許這些客戶更輕松地管理角色和策略，例如：非生產(chǎn)訂閱可能允許開發(fā)人員“貢獻(xiàn)者”訪問，但在生產(chǎn)中，他們只有“讀者”訪問權(quán)限。

內(nèi)部服務(wù)/外部服務(wù)。與生產(chǎn)/非生產(chǎn)非常相似，企業(yè)通常對內(nèi)部服務(wù)與外部（面向客戶）服務(wù)有不同的要求，政策和角色。

經(jīng)過深思熟慮的管理團(tuán)隊(duì)以及Azure策略和計(jì)劃是Azure有效治理的支柱。

訂閱

在決定部門和帳戶（或管理組）時(shí)，您主要關(guān)注的是如何劃分Azure環(huán)境以匹配您的組織。但是，訂閱是實(shí)際工作發(fā)生的地方，您的決策會影響安全性，可擴(kuò)展性和計(jì)費(fèi)。許多組織將以下模式視為指南：

申請/服務(wù)：訂閱代表應(yīng)用程序或服務(wù)（應(yīng)用程序組合）

生命周期：訂閱代表服務(wù)的生命周期，例如生產(chǎn)或開發(fā)。

部門：訂閱代表組織中的部門。

前兩種模式是最常用的模式，強(qiáng)烈建議使用這兩種模式。生命周期方法適用于大多數(shù)組織。在這種情況下，一般建議是使用兩個(gè)基本訂閱。 “生產(chǎn)”和“非生產(chǎn)”，然后使用資源組進(jìn)一步打破環(huán)境。

資源組

Azure Resource Manager使您可以將資源放入有意義的組中，以實(shí)現(xiàn)管理，計(jì)費(fèi)或自然關(guān)聯(lián)。資源組是具有共同生命周期或共享諸如“所有SQL服務(wù)器”或“應(yīng)用程序A”之類的屬性的資源的容器。

資源組不能嵌套，資源只能屬于一個(gè)資源組。某些操作可以對資源組中的所有資源執(zhí)行操作。例如，刪除資源組會刪除資源組中的所有資源。與訂閱一樣，創(chuàng)建資源組時(shí)也存在常見模式，從“傳統(tǒng)IT”工作負(fù)載到“敏捷IT”工作負(fù)載會有所不同：

“傳統(tǒng)IT”工作負(fù)載通常按同一生命周期內(nèi)的項(xiàng)目（例如應(yīng)用程序）進(jìn)行分組。按應(yīng)用程序分組允許單獨(dú)的應(yīng)用程序管理。

“敏捷IT”工作負(fù)載傾向于關(guān)注面向外部客戶的云應(yīng)用程序。資源組通常反映部署層（例如Web Tier，App Tier）和管理層。

注意

了解您的工作負(fù)載可幫助您制定資源組策略。這些模式可以混合和匹配。例如，與“Agile”資源組在同一訂閱中的共享服務(wù)資源組。

命名標(biāo)準(zhǔn)

支架的第一個(gè)支柱是一致的命名標(biāo)準(zhǔn)。精心設(shè)計(jì)的命名標(biāo)準(zhǔn)使您能夠識別門戶，賬單和腳本中的資源。您可能已經(jīng)擁有本地基礎(chǔ)結(jié)構(gòu)的現(xiàn)有命名標(biāo)準(zhǔn)。將Azure添加到您的環(huán)境時(shí)，您應(yīng)該將這些命名標(biāo)準(zhǔn)擴(kuò)展到Azure資源。

技巧

對于命名約定：

在可能的情況下審查并采用模式和實(shí)踐指南。本指南可幫助您確定有意義的命名標(biāo)準(zhǔn)并提供大量示例。

使用資源管理器策略來幫助實(shí)施命名標(biāo)準(zhǔn)

請記住，以后更改名稱很困難，所以現(xiàn)在幾分鐘就可以為您節(jié)省麻煩。

將您的命名標(biāo)準(zhǔn)集中在那些更常用和搜索的資源上。例如，為清晰起見，所有資源組都應(yīng)遵循強(qiáng)有力的標(biāo)準(zhǔn)。

資源標(biāo)簽

資源標(biāo)簽與命名標(biāo)準(zhǔn)緊密結(jié)合。隨著資源被添加到訂閱中，對它們進(jìn)行邏輯分類以用于計(jì)費(fèi)，管理和操作目的變得越來越重要。有關(guān)更多信息，請參閱使用標(biāo)記來組織Azure資源。

重要

標(biāo)簽可能包含個(gè)人信息，可能屬于GDPR的規(guī)定。計(jì)劃仔細(xì)管理您的標(biāo)簽。如果您正在尋找有關(guān)GDPR的一般信息，請參閱服務(wù)信任門戶的GDPR部分。

除了計(jì)費(fèi)和管理之外，標(biāo)簽還以多種方式使用。它們通常用作自動化的一部分（參見后面的部分）。如果不事先考慮，這可能會導(dǎo)致沖突。建議的做法是識別企業(yè)級別的所有常用標(biāo)記（例如ApplicationOwner，CostCenter），并在使用自動化部署資源時(shí)一致地應(yīng)用它們。

Azure政策和倡議

腳手架的第二個(gè)支柱涉及使用Azure策略和計(jì)劃通過對訂閱中的資源和服務(wù)實(shí)施規(guī)則（帶效果）來管理風(fēng)險(xiǎn)。 Azure Initiatives是旨在實(shí)現(xiàn)單一目標(biāo)的策略集合。然后，將Azure策略和計(jì)劃分配到資源范圍，以開始實(shí)施特定策略。

與前面提到的管理組一起使用時(shí)，Azure策略和計(jì)劃更加強(qiáng)大。管理組可以將計(jì)劃或策略分配給整個(gè)訂閱集。

資源管理器策略的常見用法

Azure策略和計(jì)劃是Azure工具包中的強(qiáng)大工具。策略允許公司為“傳統(tǒng)IT”工作負(fù)載提供控制，以實(shí)現(xiàn)LOB應(yīng)用程序所需的穩(wěn)定性，同時(shí)還允許“敏捷”工作負(fù)載;例如，開發(fā)客戶應(yīng)用程序而不會使企業(yè)面臨額外風(fēng)險(xiǎn)。我們在政策中看到的最常見模式是：

• 地理合規(guī)/數(shù)據(jù)主權(quán)。 Azure在全球范圍內(nèi)的地區(qū)名單越來越多。企業(yè)通常需要確保特定范圍內(nèi)的資源保留在地理區(qū)域以滿足法規(guī)要求。

• 避免公開暴露服務(wù)器。 Azure策略可以禁止部署某些資源類型。常見的用途是創(chuàng)建一個(gè)策略來拒絕在特定范圍內(nèi)創(chuàng)建公共IP，從而避免服務(wù)器無意中暴露于互聯(lián)網(wǎng)。

• 成本管理和元數(shù)據(jù)。資源標(biāo)記通常用于將重要的計(jì)費(fèi)數(shù)據(jù)添加到資源和資源組，例如CostCenter，所有者等。這些標(biāo)簽對于準(zhǔn)確計(jì)費(fèi)和管理資源非常有用。策略可以強(qiáng)制將資源標(biāo)記應(yīng)用于所有已部署的資源，從而使其更易于管理。

倡議的共同用途

引入計(jì)劃為企業(yè)提供了一種將邏輯策略組合在一起并整體跟蹤的方法。倡議進(jìn)一步支持企業(yè)滿足“敏捷”和“傳統(tǒng)”工作負(fù)載的需求。我們已經(jīng)看到了非常有創(chuàng)意的舉措用途，但我們通常會看到：

在Azure安全中心中啟用監(jiān)視。這是Azure策略中的默認(rèn)計(jì)劃，也是計(jì)劃的一個(gè)很好的示例。它支持識別未加密的SQL數(shù)據(jù)庫，VM漏洞和更常見的安全相關(guān)需求的策略。

監(jiān)管具體舉措。企業(yè)通常將監(jiān)管要求共同的政策（例如HIPAA）分組，以便有效地跟蹤對這些控制的控制和合規(guī)性。

資源類型和SKU。創(chuàng)建限制可以部署的資源類型以及可以部署的SKU的計(jì)劃可以幫助控制成本并確保您的組織僅部署您的團(tuán)隊(duì)擁有支持的技能組和過程的資源。

技巧

我們建議您始終使用主動定義而不是策略定義。將主動權(quán)分配給范圍（例如訂閱或管理組）后，您可以輕松地向主動添加另一個(gè)策略，而無需更改任何分配。這使得理解應(yīng)用的內(nèi)容和跟蹤合規(guī)性變得更加容易。

政策和倡議任務(wù)

創(chuàng)建策略并將其分組為邏輯計(jì)劃后，必須將策略分配給作用域，無論是管理組，訂閱還是資源組。通過分配，您還可以從策略分配中排除子范圍。例如，如果您拒絕在訂閱中創(chuàng)建公共IP，則可以為連接到受保護(hù)DMZ的資源組創(chuàng)建一個(gè)排除項(xiàng)。

您將找到幾個(gè)策略示例，說明如何在此GitHub存儲庫中將策略和計(jì)劃應(yīng)用于Azure中的各種資源。

身份和訪問管理

在開始使用公共云時(shí)，您首先要問自己的第一個(gè)也是最關(guān)鍵的問題之一是“誰應(yīng)該有權(quán)訪問資源？” 和“我該如何控制這種訪問？” 允許或禁止訪問Azure門戶以及控制對門戶中資源的訪問權(quán)限對于資產(chǎn)在云中的長期成功和安全至關(guān)重要。

要完成保護(hù)資源訪問的任務(wù)，首先要配置身份提供程序，然后配置角色和訪問權(quán)限。 Azure Active Directory（Azure AD）連接到本地Active Directory，是Azure Identity的基礎(chǔ)。 也就是說，Azure AD不是Active Directory，了解Azure AD租戶是什么以及它與Azure注冊的關(guān)系非常重要。 查看可用信息以獲得Azure AD和AD的堅(jiān)實(shí)基礎(chǔ)。 若要將Active Directory連接并同步到Azure AD，請?jiān)诒镜匕惭b和配置AD Connect工具。

最初發(fā)布Azure時(shí)，對訂閱的訪問控制是基本的：管理員或共同管理員。訪問Classic模型中的訂閱意味著可以訪問門戶中的所有資源。缺乏細(xì)粒度控制導(dǎo)致訂閱數(shù)量激增，為Azure注冊提供了一定程度的合理訪問控制。不再需要這種訂閱的激增。使用基于角色的訪問控制（RBAC），您可以將用戶分配給提供公共訪問的標(biāo)準(zhǔn)角色，例如“所有者”，“貢獻(xiàn)者”或“讀者”，甚至可以創(chuàng)建自己的角色

在實(shí)施基于角色的訪問時(shí)，強(qiáng)烈建議以下內(nèi)容：

• 控制訂閱的管理員/共同管理員，因?yàn)檫@些角色具有廣泛的權(quán)限。如果需要管理Azure Classic部署，則只需將訂閱所有者添加為共同管理員。

• 使用管理組為多個(gè)訂閱分配角色，并減少在訂閱級別管理角色的負(fù)擔(dān)。

• 將Azure用戶添加到Active Directory中的組（例如，Application X Owners）。使用同步組為組成員提供管理包含應(yīng)用程序的資源組的適當(dāng)權(quán)限。

• 遵循授予執(zhí)行預(yù)期工作所需的最小權(quán)限的原則。

重要

考慮使用Azure AD特權(quán)身份管理，Azure多重身份驗(yàn)證和條件訪問功能，以便為Azure訂閱中的管理操作提供更好的安全性和更高的可見性。這些功能來自有效的Azure AD Premium許可證（取決于功能），以進(jìn)一步保護(hù)和管理您的身份。 Azure AD PIM通過批準(zhǔn)工作流實(shí)現(xiàn)“即時(shí)”管理訪問，并對管理員激活和活動進(jìn)行全面審核。 Azure MFA是另一項(xiàng)關(guān)鍵功能，可以通過兩步驗(yàn)證登錄Azure門戶。與條件訪問控制相結(jié)合，您可以有效地管理您的妥協(xié)風(fēng)險(xiǎn)。

規(guī)劃和準(zhǔn)備您的身份和訪問控制以及遵循Azure身份管理最佳實(shí)踐（鏈接）是您可以采用的最佳風(fēng)險(xiǎn)緩解策略之一，并且應(yīng)該被視為每個(gè)部署的強(qiáng)制策略。

安全

云計(jì)算采用的最大阻礙之一傳統(tǒng)上一直是對安全性的擔(dān)憂。 IT風(fēng)險(xiǎn)經(jīng)理和安全部門需要確保默認(rèn)情況下Azure中的資源受到保護(hù)和安全。 Azure提供了許多功能，您可以利用這些功能來保護(hù)資源并檢測/防止針對這些資源的威脅。

Azure安全中心

除了高級威脅防護(hù)之外，Azure安全中心還提供整個(gè)環(huán)境中資源安全狀態(tài)的統(tǒng)一視圖。 Azure安全中心是一個(gè)開放式平臺，使Microsoft合作伙伴能夠創(chuàng)建插入并增強(qiáng)其功能的軟件。 Azure安全中心（免費(fèi)套餐）的基準(zhǔn)功能提供評估和建議，可以增強(qiáng)您的安全狀況。其付費(fèi)層可實(shí)現(xiàn)額外且有價(jià)值的功能，例如Just In Time管理員訪問和自適應(yīng)應(yīng)用程序控制（白名單）。

技巧

Azure安全中心是一個(gè)非常強(qiáng)大的工具，不斷得到增強(qiáng)，并集成了可用于檢測威脅和保護(hù)企業(yè)的新功能。強(qiáng)烈建議始終啟用ASC。

Azure資源鎖定

隨著您的組織向訂閱添加核心服務(wù)，避免業(yè)務(wù)中斷變得越來越重要。我們經(jīng)常看到的一種類型的中斷是針對Azure訂閱的腳本和工具的意外后果，錯(cuò)誤地刪除了資源。資源鎖使您可以限制對高價(jià)值資源的操作，而修改或刪除它們會產(chǎn)生重大影響。鎖定應(yīng)用于訂閱，資源組甚至單個(gè)資源。常見用例是將鎖應(yīng)用于基礎(chǔ)資源，例如虛擬網(wǎng)絡(luò)，網(wǎng)關(guān)，網(wǎng)絡(luò)安全組和密鑰存儲帳戶。

安全的DevOps工具包

“Azure的安全DevOps工具包”（AzSK）是最初由Microsoft自己的IT團(tuán)隊(duì)創(chuàng)建并通過Github（鏈接）在OpenSource中發(fā)布的腳本，工具，擴(kuò)展，自動化等的集合。 AzSK迎合了結(jié)束Azure訂閱和資源安全需求的團(tuán)隊(duì)使用廣泛的自動化并將安全性平穩(wěn)地集成到本地開發(fā)工作流程中，幫助實(shí)現(xiàn)這6個(gè)重點(diǎn)領(lǐng)域的安全開發(fā)：

• 保護(hù)訂閱

• 實(shí)現(xiàn)安全開發(fā)

• 將安全性集成到CICD中

• 持續(xù)保證

• 警報(bào)和監(jiān)控

• 云風(fēng)險(xiǎn)治理

AzSK是一套豐富的工具，腳本和信息，是完整Azure治理計(jì)劃的重要組成部分，并將其整合到您的支架中對于支持您的組織風(fēng)險(xiǎn)管理目標(biāo)至關(guān)重要

Azure更新管理

您可以采取的保護(hù)環(huán)境安全的關(guān)鍵任務(wù)之一是確保使用最新更新修補(bǔ)服務(wù)器。雖然有許多工具可以實(shí)現(xiàn)這一目標(biāo)，但Azure提供了Azure更新管理解決方案，以解決關(guān)鍵操作系統(tǒng)補(bǔ)丁的識別和部署問題。它使用Azure自動化（本指南后面的“自動化”部分對此進(jìn)行了介紹。

監(jiān)控和警報(bào)

收集和分析遙測，提供您在所有Azure訂閱中使用的服務(wù)的活動，性能指標(biāo)，運(yùn)行狀況和可用性的視線，對于主動管理您的應(yīng)用程序和基礎(chǔ)架構(gòu)至關(guān)重要，并且是每個(gè)Azure訂閱的基本需求。每個(gè)Azure服務(wù)都以活動日志，度量標(biāo)準(zhǔn)和診斷日志的形式發(fā)出遙測。

• 活動日志描述對訂閱中的資源執(zhí)行的所有操作

• 度量標(biāo)準(zhǔn)是從資源中發(fā)出的描述資源性能和運(yùn)行狀況的數(shù)字信息

• 診斷日志由Azure服務(wù)發(fā)出，并提供有關(guān)該服務(wù)操作的豐富，頻繁的數(shù)據(jù)。

可以在多個(gè)級別查看和處理此信息，并不斷改進(jìn)。 Azure通過下圖中列出的服務(wù)提供Azure資源的共享，核心和深層監(jiān)視功能。

共享功能

• 警報(bào)：您可以從Azure資源收集每個(gè)日志，事件和指標(biāo)，但無法獲得關(guān)鍵條件和行為的通知，此數(shù)據(jù)僅對歷史目的和取證有用。 Azure警報(bào)會主動通知您在所有應(yīng)用程序和基礎(chǔ)架構(gòu)中定義的條件。您可以在使用操作組通知收件人集的日志，事件和指標(biāo)之間創(chuàng)建警報(bào)規(guī)則。操作組還提供使用外部操作（如webhooks）自動執(zhí)行修復(fù)以運(yùn)行Azure自動化Runbook和Azure功能的功能。

• 儀表板：儀表板使您可以聚合監(jiān)視視圖并跨資源和訂閱組合數(shù)據(jù)，從而為您提供企業(yè)范圍內(nèi)的Azure資源遙測視圖。您可以創(chuàng)建和配置自己的視圖并與他人共享。例如，您可以創(chuàng)建一個(gè)由DBA的各種磁貼組成的儀表板，以提供跨所有Azure數(shù)據(jù)庫服務(wù)的信息，包括Azure SQL DB，用于PostgreSQL的Azure DB和用于MySQL的Azure DB。

• 度量資源管理器：度量標(biāo)準(zhǔn)是由Azure資源生成的數(shù)值（例如％CPU，磁盤I / O，可提供對資源的操作和性能的深入了解。通過使用Metrics Explorer，您可以定義并發(fā)送您感興趣的度量標(biāo)準(zhǔn)。 Log Analytics用于聚合和分析。

核心監(jiān)測

• Azure監(jiān)視器：Azure監(jiān)視器是核心平臺服務(wù)，它提供用于監(jiān)視Azure資源的單一源。 Azure Monitor的Azure門戶界面為Azure中的所有監(jiān)控功能提供了集中的跳轉(zhuǎn)點(diǎn)，包括Application Insights，Log Analytics，網(wǎng)絡(luò)監(jiān)控，管理解決方案和服務(wù)映射的深層監(jiān)控功能。使用Azure Monitor，您可以對整個(gè)云環(huán)境中來自Azure資源的指標(biāo)和日志進(jìn)行可視化，查詢，路由，歸檔和操作。除門戶外，您還可以通過Monitor PowerShell Cmdlet，跨平臺CLI或Azure Monitor REST API檢索數(shù)據(jù)。

• Azure Advisor：Azure Advisor持續(xù)監(jiān)控您的訂閱和環(huán)境中的遙測，并提供有關(guān)如何優(yōu)化Azure資源的最佳實(shí)踐建議，以節(jié)省資金并提高構(gòu)成應(yīng)用程序的資源的性能，安全性和可用性。

• 服務(wù)運(yùn)行狀況：Azure服務(wù)運(yùn)行狀況可識別可能影響應(yīng)用程序的Azure服務(wù)的任何問題，并幫助您規(guī)劃計(jì)劃的維護(hù)時(shí)段。

• 活動日志：活動日志描述訂閱中資源的所有操作。它提供了一個(gè)審計(jì)跟蹤，以確定對資源的任何創(chuàng)建，更新，刪除操作的“什么”，“誰”和“何時(shí)”。活動日志事件存儲在平臺中，可供查詢90天。您可以將活動日志提取到Log Analytics中，以實(shí)現(xiàn)更長的保留期，并跨多個(gè)資源進(jìn)行更深入的查詢和分析。

深度應(yīng)用監(jiān)控

• 應(yīng)用程序洞察：Application Insights使您能夠收集特定于應(yīng)用程序的遙測并監(jiān)視云或內(nèi)部部署中應(yīng)用程序的性能，可用性和使用情況。通過使用支持的SDK為多種語言設(shè)置應(yīng)用程序，包括.NET，JavaScript，JAVA，Node.js，Ruby和Python。 Application Insights事件被提取到支持基礎(chǔ)架構(gòu)和安全監(jiān)視的同一Log Analytics數(shù)據(jù)存儲中，使您能夠通過豐富的查詢語言隨時(shí)間關(guān)聯(lián)和聚合事件。

深基礎(chǔ)設(shè)施監(jiān)控

• 日志分析：日志分析通過從各種來源收集遙測數(shù)據(jù)和其他數(shù)據(jù)，并提供查詢語言和分析引擎，讓您深入了解應(yīng)用程序和資源的運(yùn)行情況，從而在Azure監(jiān)控中發(fā)揮核心作用。您可以通過高性能的日志搜索和視圖直接與Log Analytics數(shù)據(jù)進(jìn)行交互，也可以在其他Azure服務(wù)中使用分析工具將其數(shù)據(jù)存儲在Log Analytics中，例如Application Insights或Azure安全中心。

• 網(wǎng)絡(luò)監(jiān)控：Azure的網(wǎng)絡(luò)監(jiān)控服務(wù)使您能夠深入了解網(wǎng)絡(luò)流量，性能，安全性，連接性和瓶頸。精心規(guī)劃的網(wǎng)絡(luò)設(shè)計(jì)應(yīng)包括配置Azure網(wǎng)絡(luò)監(jiān)控服務(wù)，如Network Watcher和Expre***oute Monitor。

• 管理解決方案：管理解決方案是針對應(yīng)用程序或服務(wù)的打包邏輯，見解和預(yù)定義Log Analytics查詢集。他們依靠Log Analytics作為存儲和分析事件數(shù)據(jù)的基礎(chǔ)。樣本管理解決方案包括監(jiān)視容器和Azure SQL數(shù)據(jù)庫分析。

• 服務(wù)地圖：服務(wù)地圖提供了基礎(chǔ)架構(gòu)組件，其流程以及其他計(jì)算機(jī)和外部流程之間相互依賴關(guān)系的圖形視圖。它在Log Analytics中集成了事件，性能數(shù)據(jù)和管理解決方案。

技巧

在創(chuàng)建單個(gè)警報(bào)之前，請創(chuàng)建并維護(hù)一組可在Azure警報(bào)中使用的共享操作組。這將使您能夠集中維護(hù)收件人列表的生命周期，通知傳遞方法（電子郵件，SMS電話號碼）和Webhook到外部操作（Azure自動化Runbook，Azure功能/邏輯應(yīng)用程序，ITSM）。

成本管理

當(dāng)您從本地云遷移到公共云時(shí)，您將面臨的主要變化之一是從資本支出（購買硬件）轉(zhuǎn)換為運(yùn)營支出（在使用時(shí)支付服務(wù)費(fèi)用）。從CAPEX到OPEX的這種轉(zhuǎn)換也需要更仔細(xì)地管理您的成本。云的好處在于，只需在不需要時(shí)將其關(guān)閉（或調(diào)整大?。?，就可以從根本上積極地影響您使用的服務(wù)的成本。故意在云中管理您的成本是一種推薦的做法，也是成熟客戶每天所做的一種做法。

Microsoft提供了多種工具，使您能夠可視化，跟蹤和管理成本。我們還提供了一整套API，使您能夠自定義成本并將成本管理集成到您自己的工具和儀表板中。這些工具大致分為：Azure門戶功能和外部功能

Azure門戶功能

這些工具可為您提供有關(guān)成本的即時(shí)信息以及采取措施的能力

• 訂閱資源成本：Azure成本分析視圖位于門戶中，可快速查看有關(guān)資源或資源組每日支出的成本和信息。

• Azure成本管理：此產(chǎn)品是Microsoft購買Cloudyn的結(jié)果，它允許您管理和分析Azure支出以及您在其他公共云提供商上的支出。有免費(fèi)和付費(fèi)層，具有豐富的功能，如概述中所示。

• Azure預(yù)算和行動小組直到最近才知道某些事情的成本并采取了一些措施更多的是手動練習(xí)。隨著Azure預(yù)算及其API的引入，現(xiàn)在可以在成本達(dá)到閾值時(shí)創(chuàng)建操作（如本例所示）。例如，在達(dá)到預(yù)算的100％時(shí)關(guān)閉“測試”資源組，或者[另一個(gè)例子]。

• Azure顧問知道什么是成本只是成功的一半;另一半是知道如何處理這些信息。 Azure Advisor為您提供有關(guān)為節(jié)省資金，提高可靠性甚至提高安全性而采取的措施的建議。

外部成本管理工具

• PowerBI Azure消費(fèi)洞察。您想為您的組織創(chuàng)建自己的可視化嗎？如果是這樣，那么PowerBI的Azure Consumer Insights內(nèi)容包是您的首選工具。使用此內(nèi)容包和PowerBI，您可以創(chuàng)建自定義可視化來代表您的組織，對成本進(jìn)行更深入的分析，并添加其他數(shù)據(jù)源以進(jìn)一步豐富。

• 消費(fèi)API。除了有關(guān)預(yù)算，預(yù)留實(shí)例和市場費(fèi)用的信息之外，使用API還可以以編程方式訪問成本和使用數(shù)據(jù)。這些API僅適用于Enterprise Enrollments和一些Web Direct訂閱，但是它們使您能夠?qū)⒊杀緮?shù)據(jù)集成到您自己的工具和數(shù)據(jù)倉庫中。您還可以使用Azure CLI訪問這些API，如此處所示。

當(dāng)我們查看長期使用云并且在使用中“成熟”的客戶時(shí)，我們會看到一些強(qiáng)烈推薦的做法

• 積極監(jiān)控成本。成熟Azure組織的組織會不斷監(jiān)控成本并在需要時(shí)采取措施。有些組織甚至致力于人們進(jìn)行分析并建議改變使用情況，而這些人在第一次找到一個(gè)已經(jīng)運(yùn)行了數(shù)月的未使用的HDInsight集群時(shí)，不僅僅為自己買單。

• 使用預(yù)留實(shí)例。管理云中成本的另一個(gè)關(guān)鍵租戶是使用正確的工具來完成工作。如果您的IaaS虛擬機(jī)必須全天候運(yùn)行，那么使用預(yù)留實(shí)例將為您節(jié)省大量資金。在自動關(guān)閉VM和使用RI之間找到適當(dāng)?shù)钠胶庑枰?jīng)驗(yàn)和分析。

• 有效地使用自動化：許多工作負(fù)載不需要每天運(yùn)行。即使每天關(guān)閉VM 4小時(shí)也可以節(jié)省15％的成本。自動化將很快收回成本。

• 使用資源標(biāo)記進(jìn)行可見性：如本文檔中其他地方所述，使用資源標(biāo)記可以更好地分析成本。

成本管理是一個(gè)有效和高效運(yùn)行公共云的核心學(xué)科。取得成功的企業(yè)將能夠控制成本并將其與實(shí)際需求相匹配，而不是過度購買和希望需求。

自動化

使用云提供商區(qū)分組織成熟度的眾多功能之一是它們所包含的自動化水平。自動化是一個(gè)永無止境的過程，隨著您的組織遷移到云，您需要投入資源和時(shí)間進(jìn)行構(gòu)建。自動化有許多用途，包括一致地推出資源（它直接與另一個(gè)核心腳手架概念，模板和DevOps相關(guān)聯(lián)）以解決問題。自動化是Azure腳手架的“結(jié)締組織”，將每個(gè)區(qū)域連接在一起。

在構(gòu)建此功能時(shí)，可以使用許多工具，從第一方工具（如Azure自動化，EventGrid和AzureCLI）到大量第三方工具（如Terraform，Jenkins，Chef和Puppet）（以此命名少數(shù)）。您的運(yùn)營團(tuán)隊(duì)自動化能力的核心是Azure自動化，事件網(wǎng)格和Azure云Shell：

• Azure自動化：是一種基于云的功能，允許您創(chuàng)建Runbook（在PowerShell或Python中），并允許您自動化流程，配置資源，甚至應(yīng)用補(bǔ)丁。 Azure自動化擁有廣泛的跨平臺功能，這些功能對于您的部署而言是不可或缺的，但這些功能過于廣泛，無法在此深入介紹。

• 事件網(wǎng)格：此服務(wù)是一個(gè)完全管理的事件路由系統(tǒng)，可讓您對Azure環(huán)境中的事件做出反應(yīng)。就像自動化是成熟云組織的結(jié)合組織一樣，Event Grid是良好自動化的結(jié)合組織。使用Event Grid，您可以創(chuàng)建一個(gè)簡單的無服務(wù)器操作，以便在創(chuàng)建新資源時(shí)向管理員發(fā)送電子郵件并將該資源記錄在數(shù)據(jù)庫中。相同的事件網(wǎng)格可以在刪除資源時(shí)通知，并從數(shù)據(jù)庫中刪除該項(xiàng)。

• Azure Cloud Shell：是一個(gè)基于瀏覽器的交互式shell，用于管理Azure中的資源。它為PowerShell或Bash提供了一個(gè)完整的環(huán)境，可以根據(jù)需要啟動（并為您維護(hù)），以便您擁有一致的環(huán)境來運(yùn)行腳本。 Azure Cloud Shell提供對已安裝的其他關(guān)鍵工具的訪問，以自動化您的環(huán)境，包括Azure CLI，Terraform以及用于管理容器，數(shù)據(jù)庫（sqlcmd）等的其他工具列表。

自動化是一項(xiàng)全職工作，它將迅速成為云團(tuán)隊(duì)中最重要的操作任務(wù)之一。采用“自動化第一”方法的組織在使用Azure方面取得了更大的成功：

• 管理成本：積極尋找機(jī)會并創(chuàng)建自動化以重新調(diào)整資源大小，擴(kuò)大/縮小和關(guān)閉未使用的資源。

• 操作靈活性：通過使用自動化（以及模板和DevOps），您可以獲得一定程度的可重復(fù)性，從而提高可用性，增強(qiáng)安全性并使您的團(tuán)隊(duì)能夠?qū)Ｗ⒂诮鉀Q業(yè)務(wù)問題。

模板和DevOps

如“自動化”部分所述，您作為組織的目標(biāo)應(yīng)該是通過源控制的模板和腳本配置資源，并最大限度地減少環(huán)境的交互配置。這種“基礎(chǔ)架構(gòu)作為代碼”的方法以及用于持續(xù)部署的嚴(yán)格的DevOps流程可以確保一致性并減少整個(gè)環(huán)境的漂移。幾乎所有Azure資源都可以通過Azure資源管理器（ARM）JSON模板與PowerShell或Azure跨平臺CLI和工具（如Hashicorp的Terraform（具有一流支持并集成到Azure Cloud Shell））進(jìn)行部署。

這篇文章對使用Azure DevOps工具鏈將DevOps方法應(yīng)用于ARM模板的最佳實(shí)踐和經(jīng)驗(yàn)教訓(xùn)進(jìn)行了很好的討論?；ㄙM(fèi)時(shí)間和精力開發(fā)特定于組織要求的核心模板集，并使用DevOps工具鏈（Azure DevOps，Jenkins，Bamboo，Teamcity，Concourse）開發(fā)持續(xù)交付管道，尤其適用于您的生產(chǎn)和QA環(huán)境。 GitHub上有一個(gè)大型的Azure Quick Start模板庫，您可以將其用作模板的起點(diǎn)，并且可以使用Azure DevOps快速創(chuàng)建基于云的交付管道。

作為生產(chǎn)訂閱或資源組的最佳實(shí)踐，您的目標(biāo)應(yīng)該是利用RBAC安全性默認(rèn)禁止交互式用戶，并利用基于服務(wù)主體的自動連續(xù)交付管道來配置所有資源并提供所有應(yīng)用程序代碼。任何管理員或開發(fā)人員都不應(yīng)觸摸Azure門戶以交互式配置資源。這一級別的DevOps需要齊心協(xié)力，并利用Azure腳手架的所有概念，并提供一致且更安全的環(huán)境，以滿足您的組織規(guī)模擴(kuò)大。

技巧

在設(shè)計(jì)和開發(fā)復(fù)雜的ARM模板時(shí)，使用鏈接的模板從單個(gè)JSON文件組織和重構(gòu)復(fù)雜的資源關(guān)系。這將使您能夠單獨(dú)管理資源，使您的模板更具可讀性，可測試性和可重用性。

Azure是一個(gè)超大規(guī)模的云提供商，當(dāng)您將組織從本地服務(wù)器的世界遷移到云時(shí)，利用云提供商和SaaS應(yīng)用程序使用的相同概念將使您的組織能夠大大地響應(yīng)業(yè)務(wù)需求更有效的方式。

核心網(wǎng)絡(luò)

Azure scaffold參考模型的最后一個(gè)組件是您的組織以安全的方式訪問Azure的核心。對資源的訪問可以是內(nèi)部的（在公司的網(wǎng)絡(luò)內(nèi)），也可以是外部的（通過互聯(lián)網(wǎng)）。組織中的用戶很容易無意中將資源放在錯(cuò)誤的位置，并可能將其打開以進(jìn)行惡意訪問。與內(nèi)部部署設(shè)備一樣，企業(yè)必須添加適當(dāng)?shù)目刂拼胧?，以確保Azure用戶做出正確的決策。對于訂閱治理，我們確定了提供訪問基本控制的核心資源。核心資源包括：

• 虛擬網(wǎng)絡(luò)是子網(wǎng)的容器對象。雖然不是絕對必要，但它通常在將應(yīng)用程序連接到內(nèi)部公司資源時(shí)使用。

• 用戶定義的路由允許您操作子網(wǎng)內(nèi)的路由表，使您能夠通過網(wǎng)絡(luò)虛擬設(shè)備或?qū)Φ忍摂M網(wǎng)絡(luò)上的遠(yuǎn)程網(wǎng)關(guān)發(fā)送流量。

• 通過虛擬網(wǎng)絡(luò)對等，您可以無縫連接兩個(gè)或多個(gè)Azure虛擬網(wǎng)絡(luò)，從而創(chuàng)建更復(fù)雜的中心輻射設(shè)計(jì)或共享服務(wù)網(wǎng)絡(luò)。

• 服務(wù)端點(diǎn)。過去，PaaS服務(wù)依靠不同的方法來保護(hù)從虛擬網(wǎng)絡(luò)訪問這些資源。服務(wù)端點(diǎn)允許您從僅連接的端點(diǎn)安全訪問已啟用的PaaS服務(wù)，從而提高整體安全性。

• 安全組是一組廣泛的規(guī)則，使您能夠允許或拒絕進(jìn)出Azure資源的入站和出站流量。安全組由安全規(guī)則組成，可以使用服務(wù)標(biāo)簽（定義常見的Azure服務(wù)，如AzureKeyVault，Sql等）和應(yīng)用程序組（定義和應(yīng)用程序結(jié)構(gòu)，如WebServers，AppServer等）進(jìn)行擴(kuò)充。

技巧

在網(wǎng)絡(luò)安全組中使用服務(wù)標(biāo)簽和應(yīng)用程序組不僅可以增強(qiáng)規(guī)則的可讀性 - 這對于理解影響至關(guān)重要 - 而且還可以在更大的子網(wǎng)內(nèi)實(shí)現(xiàn)有效的微分段，從而減少擴(kuò)展并提高靈活性。

虛擬數(shù)據(jù)中心

Azure通過我們廣泛的合作伙伴網(wǎng)絡(luò)為您提供內(nèi)部功能和第三方功能，使您能夠擁有有效的安全立場。更重要的是，Microsoft以Azure虛擬數(shù)據(jù)中心的形式提供了最佳實(shí)踐和指導(dǎo)。當(dāng)您從單個(gè)工作負(fù)載轉(zhuǎn)移到利用混合功能的多個(gè)工作負(fù)載時(shí)，VDC指南將為您提供“配方”，以實(shí)現(xiàn)隨著Azure中的工作負(fù)載增長而增長的靈活網(wǎng)絡(luò)。

下一步

治理對Azure的成功至關(guān)重要。本文針對企業(yè)架構(gòu)的技術(shù)實(shí)現(xiàn)，但僅涉及組件之間更廣泛的流程和關(guān)系。政策治理從上到下流動，取決于企業(yè)想要實(shí)現(xiàn)的目標(biāo)。當(dāng)然，Azure的治理模型的創(chuàng)建包括來自IT的代表，但更重要的是，它應(yīng)該具有來自業(yè)務(wù)組領(lǐng)導(dǎo)者以及安全和風(fēng)險(xiǎn)管理的強(qiáng)有力代表。最后，企業(yè)支架旨在降低業(yè)務(wù)風(fēng)險(xiǎn)，以促進(jìn)組織的使命和目標(biāo)

現(xiàn)在您已經(jīng)了解了訂閱治理，現(xiàn)在是時(shí)候在實(shí)踐中看到這些建議了。請參閱實(shí)施Azure訂閱治理的示例。