Observability in Azure Enclave

يوفر Azure Enclave ميزات مراقبة مدمجة لدعم المراقبة الآمنة والقابلة للتوسع والمركزية للبيئات الحرجة. تساعد هذه القدرات مديري المجتمعات ومالكي المجمعات على فرض الامتثال، والتحقيق في الشذوذات، وضمان الصحة التشغيلية عبر أحمال العمل المعزولة.

ما يلي مفعل افتراضيا لموارد Azure Enclave:

  • يتم نشر Log Analytics Workspace بشكل افتراضي في مجموعة الموارد المدارة المجتمعية
  • (اختياري) يتم نشر Log Analytics Workspace في مجموعة الموارد المدارة في ال enclave
  • يتم نشر حساب التخزين في مجموعة الموارد المدارة في إنكليف
  • يتم تفعيل سجلات تدفق Virtual Network لكل enclave، وتوجيهها إلى حساب تخزين enclave، ويتم توجيهها إلى Community و/أو Enclave Log Analytics workspace
  • يتم تفعيل إعدادات التشخيص على الموارد الموزعة في مجموعات الموارد المدارة في المجتمع ومجموعات الموارد المدارة في Enclave

قابلية الرصد المركزية والمعزولة

تم بناء Observability في Azure Enclave على نموذج تسجيل مزدوج المستوى يدعم كل من السجل التشخيصي المركزي والمعزول في الكونكليفز باستخدام Azure Monitor وLog Analytics وStorage Accounts.

قابلية الملاحظة على مستوى المجتمع

كل مجتمع يتم إنشاؤه في Azure Enclave يتضمن مساحة عمل مركزية لLog Analytics. تم تصميم هذا المجال ل:

  • اجمع التشخيصات والمقاييس من جميع المناطق داخل المجتمع.
  • توفير لوح زجاجي واحد للمراقبة والاستعلام عن التشخيصات وسجلات التدفق.
  • ادعم تحليلات الجيوب المشتركة، والتنبيه، وتتبع الامتثال.

عند إنشاء المجتمع، يتم إنشاء مساحة العمل تلقائيا. يمكن اختيار مساحة العمل كوجهة تشخيصية من قبل مالكي الجيوب أو عبء العمل أثناء عمليات النشر أو التحديث. الوصول العام معطل لمساحة عمل Log-A المجتمع، لكنه ليس معزولا بالشبكة بشكل افتراضي. لتكوين الوصول العام أو عزل الشبكة، فكر في إضافة أمان الروابط الخاصة.

ملحوظة

يمكن تكوين إعدادات التشخيص من موارد ال enclave (مثل أعباء العمل، عناوين IP العامة، أو بوابات التطبيقات) لإرسال السجلات إلى مساحة العمل المركزية لدعم المراقبة الموحدة.

قابلية الرصد على مستوى الجيب

بالإضافة إلى مساحة عمل المجتمع، يتم تزويد كل Enclaveبمساحة عمل Log Analytics معزولة مخصصة خصيصا لذلك الجيب. تم تحسين هذه المساحة لحالات استخدام تسجيل السجلات على مستوى الحصن وتشمل الخصائص التالية:

  • التخزين الافتراضي لسجلات تدفق Virtual Network، والتي يتم تفعيلها تلقائيا لكل منطقة (encclave).
  • إعدادات تشخيصية اختيارية للموارد المحددة بنطاق الإنكليف، مثل أعباء العمل الداخلية ومكونات الشبكات.
  • صمم لتلبية متطلبات العزل أو اللوائح التي تمنع تجميع السجلات عبر الجيب.

يمكن للمسؤولين اختيار الحفاظ على خصوصية تشخيصات ال enclave عن طريق إرسال السجلات فقط إلى هذا المجال المعزول.

وجهات تسجيل قابلة للتكوين

يدعم Azure Enclave تكوينات تسجيل مرنة تتيح لمالكي الموارد الاختيار بين:

وجهة قطع الأشجار الغرض الاستخدام الافتراضي
مساحة عمل Community Log Analytics تمكين المراقبة المركزية والتحليلات عبر المناطق اختياري
Enclave Log Analytics workspace يحافظ على عزل على مستوى الجيب وسيادة البيانات الافتراضي لسجلات تدفق الشبكة الافتراضية

يمكنك إعداد إعدادات التشخيص من خلال بوابة Azure أو CLI أو قوالب Bicep/ARM أثناء أو بعد النشر.

مهم

يتم دائما إرسال سجلات تدفق Virtual Network إلى مساحة العمل الخاصة بكل منطقة بشكل افتراضي لضمان الحفاظ على رؤية مستوى الشبكة، حتى في البيئات المعزولة.

سيناريوهات الملاحظة الشائعة

السيناريو استراتيجية القطع
لوحة معلومات الصحة عبر المناطق المحيطة أرسل التشخيصات من جميع المناطق إلى مساحة العمل المركزية Community Log Analytics
منطقة منظمة مع ضوابط بيانات صارمة احتفظ بالتشخيصات ضمن مساحة Log Analytics الخاصة ب enclave
الاحتفاظ طويل الأمد لأغراض التدقيق إرسال السجلات إلى حساب تخزين يحتوي على إعدادات الاحتفاظ التي تتحكم بها السياسات
التحقيق الشبكي أو البحث عن التهديدات استخدم مساحة عمل enclave لتحليل سجلات تدفق الشبكة الافتراضية الافتراضية

تكوين مجموعات موارد Network Watcher

لتجنب المشاكل المحتملة في إنشاء سجل تدفق الشبكة الافتراضية ، قم بإعداد NetworkWatcherRG مجموعة الموارد يدويا مسبقا وخصص Mission Enclave للتطبيق Owner الدور في تلك المجموعة، أو تحقق من أن الإعداد وتعيين الأدوار تم تلقائيا قبل إنشاء أول enclave في الاشتراك.

لتقليل هذه المشكلة المحتملة، لكل اشتراك، قم يدويا بإنشاء مجموعة موارد NetworkWatcher التي تم استدعاؤها NetworkWatcherRG للاشتراكات الجديدة، ثم امنح Mission Enclave تطبيق Owner Azure Enclave على NetworkWatcherRG:

  1. اختر NetworkWatcherRG مجموعة الموارد، ثم اختر Access control (IAM)Add و Add role assignment.

    لقطة شاشة تظهر مجموعة الموارد التي تضيف اختيار الأدوار في البوابة.

  2. اختر Privileged administrator roles، ثم اختر ownerNext.

    لقطة شاشة تظهر عرض اختيار دور المالك الإضافي في البوابة.

  3. اختر Select members، واكتب Mission Enclave في البحث واختر Mission Enclave التطبيق، ثم اختر Select، ثم Next.

    لقطة شاشة توضح كيفية اختيار تطبيق Mission Enclave في البوابة.

  4. إذا كان اشتراكك يتطلب شرطا، اختر Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended)، ثم اختر Review + assign.

    لقطة شاشة تظهر عرض إضافة الحالة إذا كان اشتراكك يتطلب ذلك.

  5. بمجرد اكتمال التحديث، يمكنك البدء في نشر موارد Azure Enclave.

عند إنشاء مجتمع أو جيب، يحاول Azure Enclave الخطوات التالية:

  1. تحقق مما إذا كان موجودا NetworkWatcherRG . إذا لم يكن كذلك، حاول إنشاء مجموعة الموارد تلك.
  2. تحقق مما إذا كان التطبيق Mission Enclave يحتوي على مهمة دائمة Owner على NetworkWatcherRG. إذا لم يكن كذلك، حاول تعيين التطبيق Mission Enclave كتعيين دائم Owner على NetworkWatcherRG. حتى إذا وجد إذن موروث Owner ، يتم محاولة إنشاء تعيين دائم Owner .
  3. إذا فشلت أي خطوة، قد تفشل عمليات نشر الشبكة عند محاولة إنشاء سجلات تدفق الشبكة الافتراضية.