Surveiller les composants de la zone d'atterrissage de la plateforme Azure
Surveiller les composants de la zone d'atterrissage de votre plateforme Azure pour garantir la disponibilité, la fiabilité, la sécurité et la scalabilité. La surveillance de vos composants permet à votre organisation de :
- Détecter et résoudre rapidement les problèmes, optimiser l'utilisation des ressources et traiter de manière proactive les menaces à la sécurité.
- Surveillez en permanence les performances et l'état de santé, ce qui aide votre organisation à minimiser les temps d'arrêt, à optimiser les coûts et à garantir un fonctionnement efficace.
- Faciliter la planification de la capacité, ce qui permet à votre organisation d'anticiper les besoins en ressources et d'adapter la plateforme en conséquence.
Surveiller les services de la zone d'atterrissage de la plateforme pour maintenir un environnement stable et sécurisé, maximiser les performances et répondre efficacement aux besoins évolutifs de votre entreprise.
La vidéo suivante présente la solution décrite dans cet article et montre comment déployer Azure Monitor.
Conseils de surveillance des zones d’atterrissage Azure
Des alertes concernant les mesures de référence, les journaux d'activité et les requêtes de journaux sont disponibles pour les composants de la plateforme de la zone d'atterrissage et d'autres composants sélectionnés de la zone d'atterrissage. Ces alertes garantissent la cohérence des alertes et de la surveillance de votre zone d'atterrissage Azure. Elles sont basées sur les pratiques recommandées par Microsoft en matière de surveillance proactive, telles que la mise en place d'alertes, de seuils et de notifications pour la détection et la résolution des problèmes en temps voulu. Utilisez les conseils suivants pour obtenir une visibilité en temps réel des performances, de l'utilisation et de la sécurité de la mise en œuvre de la zone d'atterrissage de votre plate-forme. Traiter les problèmes de manière proactive, optimiser l'allocation des ressources et garantir un environnement fiable et sécurisé.
Téléchargez un fichier Visio de cette architecture.
Les sous-ensembles suivants de composants Azure ont une ou plusieurs alertes définies :
- Azure ExpressRoute
- Pare-feu Azure
- Réseau virtuel Azure
- Azure Virtual WAN
- Espace de travail Log Analytics Azure Monitor
- Zone de DNS privé Azure
- Azure Key Vault
- Machine virtuelle Azure
- Compte de Stockage Azure
Pour plus d'informations, consultez les détails de l’alerte.
Pour garantir que les ressources de votre organisation sont correctement surveillées et sécurisées, vous devez également configurer correctement les alertes et mettre en œuvre des processus appropriés pour répondre aux alertes. Configurez les groupes d'action avec les canaux de notification appropriés et testez les alertes pour vous assurer qu'elles fonctionnent comme prévu. Conformément au principe de démocratisation des abonnements de Cloud Adoption Framework, configurez au moins un groupe d'action pour chaque abonnement afin que le personnel concerné soit informé des alertes. Le groupe d'action doit au minimum prévoir un canal de notification par e-mail. Si vous utilisez les règles de traitement des alertes Azure Monitor pour acheminer les alertes vers un ou plusieurs groupes d'action, notez que les alertes de santé des services ne prennent pas en charge les règles de traitement des alertes. Configurez les alertes de santé des services directement avec le groupe d'action.
Conformément aux principes de zone d’atterrissage Azure pour la gouvernance basée sur des stratégies, une solution d’infrastructure est disponible pour faciliter la mise à l’échelle des alertes en utilisant Azure Policy. Ces stratégies utilisent l’effet DeployIfNotExists pour déployer des règles d’alerte pertinentes, des règles de traitement des alertes et des groupes d’actions lorsque vous créez une ressource dans votre environnement de zone d’atterrissage Azure, dans les services de plateforme et les zones d’atterrissage.
Azure Policy fournit une configuration de base par défaut, mais vous pouvez configurer les politiques en fonction de vos besoins. Si vous avez besoin d'alertes sur des mesures différentes de celles fournies par le référentiel, la solution fournit un cadre qui vous permet de développer vos propres politiques pour déployer des règles d'alerte. Pour plus d’informations, consultez le guide de contributeur des alertes de base Azure Monitor (AMBA) et la présentation d’un déploiement Azure Monitor. La solution est intégrée à l'expérience d'installation de la zone d'atterrissage Azure, de sorte que les nouvelles implémentations de la zone d'atterrissage Azure vous offrent la possibilité de configurer l'alerte de base au moment de l'installation.
Déployer des alertes par le biais de stratégies pour assurer la flexibilité et l'évolutivité, et pour garantir que les alertes sont déployées à l'intérieur et à l'extérieur de la zone d'atterrissage Azure. Les alertes ne sont déployées que lorsque les ressources correspondantes sont créées, ce qui évite les coûts inutiles et garantit la mise à jour des configurations d'alertes au moment du déploiement. Cette fonction coïncide avec le principe de la zone d’atterrissage Azure de gouvernance pilotée par les stratégies.
Conseils de Brownfield
Dans un scénario brownfield, votre organisation dispose d'une implémentation existante de la zone d'atterrissage Azure, ou votre organisation a implémenté Azure avant qu'une architecture de zone d'atterrissage Azure ne soit disponible.
Cette section décrit les étapes de haut niveau pour la surveillance de la ligne de base de la zone d'atterrissage Azure si vous avez une empreinte Azure existante, qu'elle soit alignée sur les zones d'atterrissage Azure ou non.
Aligné sur une zone d’atterrissage Azure
Utilisez ce processus si vous disposez d'une zone d'atterrissage Azure existante et que vous souhaitez utiliser l'approche basée sur les politiques.
- Importer les politiques et initiatives pertinentes à partir du référentiel AMBA.
- Affecter les stratégies requises dans votre environnement.
- Corriger les stratégies non conformes.
Pour plus d’informations sur les stratégies pertinentes pour votre environnement et les étapes à appliquer, consultez Déterminer la hiérarchie de votre groupe d’administration.
Non aligné sur une zone d’atterrissage Azure
Utilisez ce processus si vous disposez d'une implémentation non alignée sur la zone d'atterrissage Azure et que vous souhaitez utiliser l'approche basée sur les politiques.
- Importez les politiques et initiatives pertinentes du référentiel AMBA dans le groupe d'administration le plus élevé à partir duquel vous souhaitez assigner les politiques.
- Affecter les stratégies requises dans votre environnement.
- Corriger les stratégies non conformes.
Pour plus d’informations sur les stratégies pertinentes pour votre environnement et les étapes à appliquer, consultez Déterminer la hiérarchie de votre groupe d’administration.
Testez l’infrastructure
Testez les politiques et les alertes avant de les déployer en production afin de pouvoir :
- Veiller à ce que les ressources de votre organisation soient correctement contrôlées et sécurisées.
- Identifier les problèmes à un stade précoce pour garantir un fonctionnement correct, réduire les risques et améliorer les performances.
- Détecter et résoudre les problèmes avant qu'ils ne prennent de l'ampleur. Éviter les faux positifs ou négatifs et réduisez le risque d'erreurs coûteuses.
- Optimiser les configurations pour de meilleures performances et éviter les problèmes liés aux performances en production.
Les tests vous permettent de vous assurer que vos configurations d'alertes et de politiques répondent aux exigences de votre organisation et sont conformes aux réglementations et aux normes. La mise en place d'une réglementation vous permet d'éviter les failles de sécurité, les violations de la conformité et d'autres risques susceptibles d'avoir des conséquences pour votre organisation.
Le test est une étape essentielle dans le développement et le déploiement des configurations d'alerte et de politique, et peut vous aider à garantir la sécurité, la fiabilité et la performance des ressources de votre organisation.
Pour plus d’informations, consultez Approche de test pour les zones d’atterrissage Azure.
Remarque
Si vous mettez en œuvre l'alerte en utilisant une approche différente, comme l'infrastructure en tant que code (IaC), par exemple Azure Resource Manager, Bicep ou Terraform, ou via le portail, les conseils pour les alertes, la gravité et les seuils qui sont dans le référentiel s'appliquent toujours pour déterminer les règles d'alerte à configurer et pour les notifications.