관리 및 모니터링Management and monitoring

플랫폼 관리 및 모니터링 계획Plan platform management and monitoring

이 섹션에서는 플랫폼 수준에서 중앙 집중식 관리 및 모니터링을 사용 하 여 Azure 엔터프라이즈 공간을 운영상 유지 관리 하는 방법을 살펴봅니다.This section explores how to operationally maintain an Azure enterprise estate with centralized management and monitoring at a platform level. 구체적으로 말하자면 대규모 Azure 플랫폼 내에서 운영 가시성을 유지 하기 위한 중앙 팀의 주요 권장 사항을 제공 합니다.More specifically, it presents key recommendations for central teams to maintain operational visibility within a large-scale Azure platform.

관리 및 모니터링을 보여 주는 다이어그램입니다.

그림 1: 플랫폼 관리 및 모니터링Figure 1: Platform management and monitoring.

디자인 고려 사항:Design considerations:

  • Azure Monitor Log Analytics 작업 영역을 관리 경계로 사용 합니다.Use an Azure Monitor Log Analytics workspace as an administrative boundary.

  • 메트릭 및 로그에 대해 핫 및 콜드 원격 분석 경로를 모두 가져오는 응용 프로그램 중심 플랫폼 모니터링.Application-centric platform monitoring, encompassing both hot and cold telemetry paths for metrics and logs, respectively:

    • 운영 체제 메트릭 예: 성능 카운터 및 사용자 지정 메트릭Operating system metrics; for example, performance counters and custom metrics
    • 운영 체제 로그 예: 인터넷 정보 서비스, ETW(Windows용 이벤트 추적) 및 syslogOperating system logs; for example, Internet Information Services, Event Tracing for Windows, and syslogs
    • 리소스 상태 이벤트Resource health events
  • 보안 감사는 조직의 전체 Azure 공간에서 수평 보안 렌즈를 기록 하 고 달성 합니다.Security audit logging and achieving a horizontal security lens across your organization's entire Azure estate:

    • ServiceNow, ArcSight 또는 Onapsis 보안 플랫폼과 같은 온-프레미스 SIEM (보안 정보 및 이벤트 관리) 시스템과의 잠재적 통합Potential integration with on-premises security information and event management (SIEM) systems such as ServiceNow, ArcSight, or the Onapsis security platform
    • Azure 활동 로그Azure activity logs
    • Azure Active Directory (Azure AD) 감사 보고서Azure Active Directory (Azure AD) audit reports
    • Azure 진단 서비스, 로그 및 메트릭 감사 이벤트를 Azure Key Vault 합니다. NSG (네트워크 보안 그룹) 흐름 로그 및 이벤트 로그Azure diagnostic services, logs, and metrics; Azure Key Vault audit events; network security group (NSG) flow logs; and event logs
    • Azure Monitor, Azure Network Watcher, Azure Security Center 및 Azure 센티널Azure Monitor, Azure Network Watcher, Azure Security Center, and Azure Sentinel
  • Azure 데이터 보존 임계값 및 보관 요구 사항:Azure data retention thresholds and archiving requirements:

    • Azure Monitor 로그의 기본 보존 기간은 30 일 이며, 최대 2 년입니다.The default retention period for Azure Monitor Logs is 30 days, with a maximum of two years.
    • Azure AD 보고서 (프리미엄)의 기본 보존 기간은 30 일입니다.The default retention period for Azure AD reports (premium) is 30 days.
    • Azure 진단 서비스의 기본 보존 기간은 90 일입니다.The default retention period for the Azure diagnostic service is 90 days.
  • 운영 요구 사항:Operational requirements:

    • Azure Monitor 로그 또는 타사 도구와 같은 네이티브 도구를 사용 하는 운영 대시보드Operational dashboards with native tools such as Azure Monitor Logs or third-party tooling
    • 중앙 집중식 역할을 사용 하 여 권한 있는 작업 제어Controlling privileged activities with centralized roles
    • Azure 서비스에 액세스 하기 위한 azure 리소스에 대 한 관리 idManaged identities for Azure resources for access to Azure services
    • 리소스 편집 및 삭제를 보호 하기 위한 리소스 잠금Resource locks to protect editing and deleting resources

디자인 권장 사항:Design recommendations:

  • Azure 역할 기반 access control (Azure RBAC), 데이터 주권 요구 사항 및 데이터 보존 정책에서 별도의 작업 영역을 사용 하는 경우를 제외 하 고 단일 모니터 로그 작업 영역 을 사용 하 여 플랫폼을 중앙에서 관리Use a single monitor logs workspace to manage platforms centrally except where Azure role-based access control (Azure RBAC), data sovereignty requirements and data retention policies mandate separate workspaces. 중앙 집중식 로깅은 운영 관리 팀에 필요한 가시성에 매우 중요 합니다.Centralized logging is critical to the visibility required by operations management teams. 중앙 집중화 된 서비스는 변경 관리, 서비스 상태, 구성 및 IT 운영의 기타 기타 측면에 대 한 보고서를 보고 합니다.Logging centralization drives reports about change management, service health, configuration, and most other aspects of IT operations. 중앙화 된 작업 영역 모델에서 수렴 하면 관리 작업이 줄어들고 관찰성의 격차를 줄일 가능성이 줄어듭니다.Converging on a centralized workspace model reduces administrative effort and the chances for gaps in observability.

    엔터프라이즈 규모 아키텍처 컨텍스트에서 중앙 집중식 로깅은 주로 플랫폼 작업과 관련됩니다.In the context of the enterprise-scale architecture, centralized logging is primarily concerned with platform operations. 이러한 강조는 VM 기반 응용 프로그램 로깅에 동일한 작업 영역을 사용 하는 것을 방지 하지 않습니다.This emphasis doesn't prevent the use of the same workspace for VM-based application logging. 리소스 중심 액세스 제어 모드로 구성 된 작업 영역을 사용 하는 경우 응용 프로그램 팀이 해당 리소스의 로그에만 액세스할 수 있도록 세분화 된 Azure RBAC가 적용 됩니다.With a workspace configured in resource-centric access control mode, granular Azure RBAC is enforced to ensure application teams will only have access to the logs from their resources. 이 모델에서 애플리케이션 팀은 기존 플랫폼 인프라를 사용하여 관리 오버헤드를 줄이는 이점을 누릴 수 있습니다.In this model, application teams benefit from the use of existing platform infrastructure by reducing their management overhead. 웹 앱 또는 Azure Cosmos DB 데이터베이스와 같은 비 계산 리소스의 경우 응용 프로그램 팀은 자신의 Log Analytics 작업 영역을 사용 하 고 여기에서 라우팅되는 진단 및 메트릭을 구성할 수 있습니다.For any non-compute resources such as web apps or Azure Cosmos DB databases, application teams can use their own Log Analytics workspaces and configure diagnostics and metrics to be routed here.

  • 로그 보존 요구 사항이 2 년을 초과 하는 경우 로그를 Azure Storage으로 내보냅니다.Export logs to Azure Storage if log retention requirements exceed two years. 한 번 쓰기, 읽기 전용 정책을 사용 하 여 변경할 수 없는 저장소를 사용 하 여 사용자 지정 간격에 대해 데이터를 erasable 수정할 수 없게 합니다.Use immutable storage with a write-once, read-many policy to make data non-erasable and non-modifiable for a user-specified interval.
  • 액세스 제어 및 규정 준수 보고를 위해 Azure Policy를 사용 합니다.Use Azure Policy for access control and compliance reporting. Azure Policy은 일관 된 정책 준수 및 빠른 위반 검색을 보장 하기 위해 조직 차원의 설정을 적용 하는 기능을 제공 합니다.Azure Policy provides the ability to enforce organization-wide settings to ensure consistent policy adherence and fast violation detection. 자세한 내용은 Azure Policy 효과 이해를 참조 하세요.For more information, see Understand Azure Policy effects.
  • Azure Policy를 사용 하 여 게스트 VM (가상 머신) 구성 드리프트를 모니터링 합니다.Monitor in-guest virtual machine (VM) configuration drift using Azure Policy. 정책을 통해 게스트 구성 감사 기능을 사용 하도록 설정 하면 응용 프로그램 팀 워크 로드에서 약간의 노력으로 기능 기능을 즉시 사용할 수 있습니다.Enabling guest configuration audit capabilities through policy helps application team workloads to immediately consume feature capabilities with little effort.
  • Windows 및 Linux Vm 모두에 대 한 장기 패치 메커니즘으로 Azure Automation에서 업데이트 관리 를 사용 합니다.Use Update Management in Azure Automation as a long-term patching mechanism for both Windows and Linux VMs. Azure Policy를 통해 업데이트 관리 구성을 적용 하면 모든 Vm이 patch Management 조절에 포함 되 고 응용 프로그램 팀에서 Vm에 대 한 패치 배포를 관리 하는 기능을 제공 합니다.Enforcing Update Management configurations via Azure Policy ensures that all VMs are included in the patch management regimen and provides application teams with the ability to manage patch deployment for their VMs. 또한 모든 Vm에서 중앙 IT 팀에 가시성 및 적용 기능을 제공 합니다.It also provides visibility and enforcement capabilities to the central IT team across all VMs.
  • Network Watcher를 사용 하 여 Network Watcher NSG 흐름 로그 v2를 통해 트래픽 흐름을 사전에 모니터링할 수 있습니다.Use Network Watcher to proactively monitor traffic flows via Network Watcher NSG flow logs v2. 트래픽 분석 nsg 흐름 로그를 분석 하 여 가상 네트워크 내의 IP 트래픽에 대 한 심층 통찰력을 수집 하 고 효과적인 관리 및 모니터링에 대 한 중요 한 정보를 제공 합니다.Traffic Analytics analyzes NSG flow logs to gather deep insights about IP traffic within a virtual network and provides critical information for effective management and monitoring. 가장 많은 통신 호스트와 응용 프로그램 프로토콜, 허용 되거나 차단 된 트래픽, 인바운드 및 아웃 바운드 트래픽, 오픈 인터넷 포트, 대부분의 차단 규칙, Azure 데이터 센터에 대 한 트래픽 분산, 가상 네트워크, 서브넷 또는 rogue 네트워크와 같은 정보를 제공 하는 트래픽 분석.Traffic Analytics provide information such as most communicating hosts and application protocols, most conversing host pairs, allowed or blocked traffic, inbound and outbound traffic, open internet ports, most blocking rules, traffic distribution per an Azure datacenter, virtual network, subnets, or rogue networks.
  • 리소스 잠금을 사용 하 여 중요 한 공유 서비스의 실수로 인 한 삭제를 방지 합니다.Use resource locks to prevent accidental deletion of critical shared services.
  • Azure 역할 할당을 보완 하려면 거부 정책을 사용 합니다.Use deny policies to supplement Azure role assignments. 거부 정책은 리소스 공급자에 게 요청이 전송 되지 않도록 하 여 정의 된 표준과 일치 하지 않는 리소스의 배포 및 구성을 방지 하는 데 사용 됩니다.Deny policies are used to prevent deploying and configuring resources that don't match defined standards by preventing the request from being sent to the resource provider. 거부 정책 및 Azure 역할 할당을 조합 하 여 리소스를 배포 하 고 구성할 수 있는 사용자 와 배포 및 구성할 수 있는 리소스를 적용 하는 적절 한 guardrails를 보장 합니다.The combination of deny policies and Azure role assignments ensures the appropriate guardrails are in place to enforce who can deploy and configure resources and what resources they can deploy and configure.
  • 서비스리소스 상태 이벤트를 전체 플랫폼 모니터링 솔루션의 일부로 포함 합니다.Include service and resource health events as part of the overall platform monitoring solution. 플랫폼 관점에서 추적 서비스 및 리소스 상태는 Azure에서 리소스 관리의 중요 한 구성 요소입니다.Tracking service and resource health from the platform perspective is an important component of resource management in Azure.
  • 원시 로그 항목을 온-프레미스 모니터링 시스템으로 다시 보내지 않습니다.Don't send raw log entries back to on-premises monitoring systems. 대신 Azure에서 데이터를 도입 하는 원칙은 azure에 유지 됩니다.Instead, adopt a principle that data born in Azure stays in Azure. 온-프레미스 SIEM 통합이 필요한 경우 로그 대신 중요 한 알림을 보냅니다 .If on-premises SIEM integration is required, then send critical alerts instead of logs.

응용 프로그램 관리 및 모니터링 계획Plan for application management and monitoring

이전 섹션을 확장 하기 위해이 섹션에서는 페더레이션된 모델을 고려 하 고 응용 프로그램 팀이 이러한 워크 로드를 운영상 유지 관리 하는 방법을 설명 합니다.To expand on the previous section, this section will consider a federated model and explain how application teams can operationally maintain these workloads.

디자인 고려 사항:Design considerations:

  • 응용 프로그램 모니터링은 전용 Log Analytics 작업 영역을 사용할 수 있습니다.Application monitoring can use dedicated Log Analytics workspaces.
  • 가상 컴퓨터에 배포 되는 응용 프로그램의 경우 플랫폼 관점에서 전용 Log Analytics 작업 영역에 로그를 중앙에 저장 해야 합니다.For applications that are deployed to virtual machines, logs should be stored centrally to the dedicated Log Analytics workspace from a platform perspective. 응용 프로그램 팀은 응용 프로그램 또는 가상 머신에 있는 Azure RBAC에 따라 로그에 액세스할 수 있습니다.Application teams can access the logs subject to the Azure RBAC they have on their applications or virtual machines.
  • IaaS (infrastructure as a service) 및 PaaS (platform as a service) 리소스 모두에 대 한 응용 프로그램 성능 및 상태 모니터링.Application performance and health monitoring for both infrastructure as a service (IaaS) and platform as a service (PaaS) resources.
  • 모든 응용 프로그램 구성 요소에서 데이터 집계.Data aggregation across all application components.
  • 상태 모델링 및 운영 화:Health modeling and operationalization:
    • 작업 및 하위 시스템의 상태를 측정 하는 방법How to measure the health of the workload and its subsystems
    • 상태를 나타내는 트래픽 광원 모델A traffic-light model to represent health
    • 응용 프로그램 구성 요소에서 오류에 응답 하는 방법How to respond to failures across application components

디자인 권장 사항:Design recommendations:

  • 중앙 집중식 Azure Monitor Log Analytics 작업 영역을 사용 하 여 IaaS 및 PaaS 응용 프로그램 리소스에서 로그 및 메트릭을 수집 하 고 AZURE RBAC를 사용 하 여 로그 액세스를 제어합니다.Use a centralized Azure Monitor Log Analytics workspace to collect logs and metrics from IaaS and PaaS application resources and control log access with Azure RBAC.
  • 시간이 중요 한 분석에 Azure Monitor 메트릭을 사용 합니다.Use Azure Monitor metrics for time-sensitive analysis. Azure Monitor 메트릭은 타임 스탬프 데이터를 분석 하기 위해 최적화 된 시계열 데이터베이스에 저장 됩니다.Metrics in Azure Monitor are stored in a time-series database optimized to analyze time-stamped data. 이러한 메트릭은 경고에 적합 하 고 문제를 빠르게 검색 하는 데 적합 합니다.These metrics are well suited for alerts and detecting issues quickly. 또한 시스템이 수행 하는 방식을 알 수 있습니다.They can also tell you how your system is performing. 문제의 근본 원인을 파악 하기 위해 일반적으로 로그와 결합 해야 합니다.They typically need to be combined with logs to identify the root cause of issues.
  • 정보 및 보고를 위해 Azure Monitor 로그 를 사용 합니다.Use Azure Monitor Logs for insights and reporting. 로그에는 서로 다른 속성 집합을 사용 하 여 레코드로 구성 된 다양 한 형식의 데이터가 포함 되어 있습니다.Logs contain different types of data that's organized into records with different sets of properties. 성능 데이터, 이벤트 및 추적과 같은 다양 한 원본에서 복잡 한 데이터를 분석 하는 데 유용 합니다.They're useful for analyzing complex data from a range of sources, such as performance data, events, and traces.
  • 필요한 경우 Azure 진단 확장 로그 저장소에 대 한 방문 영역 내에서 공유 저장소 계정을 사용 합니다.When necessary, use shared storage accounts within the landing zone for Azure diagnostic extension log storage.
  • 작업 경고 생성에 Azure Monitor 경고 를 사용 합니다.Use Azure Monitor alerts for the generation of operational alerts. Azure Monitor 경고는 메트릭 및 로그에 대 한 경고를 통합 하 고 고급 관리 및 수정 용도로 작업 및 스마트 그룹과 같은 기능을 사용 합니다.Azure Monitor alerts unify alerts for metrics and logs and use features such as action and smart groups for advanced management and remediation purposes.