Zarządzanie siecią produkcyjną platformy Azure i jej obsługa

W tym artykule opisano, jak firma Microsoft zarządza siecią produkcyjną platformy Azure i zarządza nią w celu zabezpieczenia centrów danych platformy Azure.

Monitorowanie, rejestrowanie i raport

Zarządzanie i działanie sieci produkcyjnej platformy Azure to skoordynowany wysiłek między zespołami operacyjnymi platformy Azure i usługą Azure SQL Database. Zespoły korzystają z kilku narzędzi do monitorowania wydajności systemu i aplikacji w środowisku. Ponadto używają odpowiednich narzędzi do monitorowania urządzeń sieciowych, serwerów, usług i procesów aplikacji.

Aby zapewnić bezpieczne wykonywanie usług uruchomionych w środowisku platformy Azure, zespoły operacyjne implementują wiele poziomów monitorowania, rejestrowania i raportowania, w tym następujące akcje:

• Przede wszystkim program Microsoft Monitoring Agent (MMA) zbiera informacje dotyczące monitorowania i dziennika diagnostycznego z wielu miejsc, w tym kontrolera sieci szkieletowej (FC) i głównego systemu operacyjnego (OS) oraz zapisuje je w plikach dziennika. Agent ostatecznie wypycha szyfrowany podzbiór informacji do wstępnie skonfigurowanego konta usługi Azure Storage. Ponadto bezpłatna usługa monitorowania i diagnostyki odczytuje różne dane dziennika monitorowania i diagnostyki oraz podsumowuje informacje. Usługa monitorowania i diagnostyki zapisuje informacje w zintegrowanym dzienniku. Platforma Azure korzysta z niestandardowego monitorowania zabezpieczeń platformy Azure, czyli rozszerzenia systemu monitorowania platformy Azure. Zawiera on składniki, które obserwują, analizują i zgłaszają istotne zdarzenia z różnych punktów platformy.

• Platforma Windows Fabric usługi Azure SQL Database zapewnia usługi zarządzania, wdrażania, programowania i nadzoru operacyjnego dla usługi Azure SQL Database. Platforma oferuje rozproszone, wieloetapowe usługi wdrażania, monitorowanie kondycji, automatyczne naprawy i zgodność wersji usługi. Zapewnia ona następujące usługi:

  • Możliwości modelowania usług w środowisku projektowym o wysokiej wierności (klastry centrów danych są kosztowne i ograniczone).
  • Wdrażanie jednym kliknięciem i uaktualnianie przepływów pracy na potrzeby uruchamiania i konserwacji usługi.
  • Raportowanie kondycji za pomocą zautomatyzowanych przepływów pracy naprawy w celu umożliwienia samonaprawiania.
  • Funkcje monitorowania, alertów i debugowania w czasie rzeczywistym w węzłach systemu rozproszonego.
  • Scentralizowana kolekcja danych operacyjnych i metryk na potrzeby rozproszonej analizy głównej przyczyny i szczegółowych informacji o usłudze.
  • Narzędzia operacyjne do wdrażania, zarządzania zmianami i monitorowania.
  • Platforma Windows Fabric i skrypty watchdog usługi Azure SQL Database są uruchamiane w sposób ciągły i monitorowany w czasie rzeczywistym.

Jeśli wystąpią jakiekolwiek anomalie, proces reagowania na zdarzenia, po którym następuje aktywacja zespołu klasyfikacji zdarzeń platformy Azure. Odpowiedni personel pomoc techniczna platformy Azure jest powiadamiany o reagowaniu na zdarzenie. Śledzenie i rozwiązywanie problemów są udokumentowane i zarządzane w scentralizowanym systemie biletów. Metryki czasu pracy systemu są dostępne w ramach umowy o zachowaniu poufności (NDA) i na żądanie.

Sieć firmowa i dostęp wieloskładnikowy do środowiska produkcyjnego

Baza użytkowników sieci firmowej obejmuje personel pomoc techniczna platformy Azure. Sieć firmowa obsługuje wewnętrzne funkcje firmowe i obejmuje dostęp do aplikacji wewnętrznych, które są używane do obsługi klienta platformy Azure. Sieć firmowa jest logicznie i fizycznie oddzielona od sieci produkcyjnej platformy Azure. Personel platformy Azure uzyskuje dostęp do sieci firmowej przy użyciu stacji roboczych i laptopów platformy Azure. Wszyscy użytkownicy muszą mieć konto Microsoft Entra, w tym nazwę użytkownika i hasło, aby uzyskać dostęp do zasobów sieci firmowych. Dostęp do sieci firmowej korzysta z kont Firmy Microsoft Entra, które są wydawane wszystkim pracownikom, wykonawcom i dostawcom firmy Microsoft oraz zarządzanym przez firmę Microsoft Information Technology. Unikatowe identyfikatory użytkowników rozróżniają personel w oparciu o ich status zatrudnienia w firmie Microsoft.

Dostęp do wewnętrznych aplikacji platformy Azure jest kontrolowany za pomocą uwierzytelniania za pomocą usług Active Directory Federation Services (AD FS). USŁUGI AD FS to usługa hostowana przez technologię Microsoft Information Technology, która zapewnia uwierzytelnianie użytkowników sieci firmowej za pomocą stosowania bezpiecznego tokenu i oświadczeń użytkowników. Usługi AD FS umożliwiają wewnętrznym aplikacjom platformy Azure uwierzytelnianie użytkowników w domenie firmowej usługi Active Directory firmy Microsoft. Aby uzyskać dostęp do sieci produkcyjnej ze środowiska sieciowego firmowego, użytkownicy muszą uwierzytelniać się przy użyciu uwierzytelniania wieloskładnikowego.

Następne kroki

Aby dowiedzieć się więcej o tym, co firma Microsoft robi w celu zabezpieczenia infrastruktury platformy Azure, zobacz:

• Obiekty, środowiska lokalne i zabezpieczenia fizyczne platformy Azure
• Dostępność infrastruktury platformy Azure
• Składniki i granice systemu informacyjnego platformy Azure
• Architektura sieci platformy Azure
• Sieć produkcyjna platformy Azure
• Funkcje zabezpieczeń usługi Azure SQL Database
• Monitorowanie infrastruktury platformy Azure
• Integralność infrastruktury platformy Azure
• Ochrona danych klientów platformy Azure