Azure Kurumsal iskelesi: Öngörücü abonelik idaresiAzure enterprise scaffold: Prescriptive subscription governance

Kuruluşlar, esneklik ve Çeviklik için genel bulut giderek artıyor.Enterprises are increasingly adopting the public cloud for its agility and flexibility. Bunlar, bulutun gücü, gelir ve iş için kaynak kullanımını en iyi duruma bağlıdır.They rely on the cloud's strengths to generate revenue and optimize resource usage for the business. Microsoft Azure Hizmetleri ve Özellikler kuruluşların iş yüklerini ve uygulamaları geniş bir yelpazede yönelik yapı taşları gibi birleştirin çok sayıda sağlar.Microsoft Azure provides a multitude of services and capabilities that enterprises assemble like building blocks to address a wide array of workloads and applications.

Microsoft Azure'ı kullanmaya karar vermeden bulut avantajlarını elde etmek için yalnızca ilk adımdır.Deciding to use Microsoft Azure is only the first step to achieving the benefit of the cloud. İkinci adım, nasıl Kurumsal etkili bir şekilde Azure kullanabilir ve gibi soruları için yapılması gereken temel yetenekleri belirle anlamaktır:The second step is understanding how the enterprise can effectively use Azure and identify the baseline capabilities that need to be in place to address questions like:

  • "Veri özerkliğiyle endişe istiyorum; nasıl veri ve sistemleri bizim Mevzuat gereksinimlerini karşıladığından emin?""I'm concerned about data sovereignty; how can I ensure that my data and systems meet our regulatory requirements?"
  • "Nasıl miyim ve doğru bir şekilde geri fatura için hesap için hangi kaynakların destekleyen bilebilirim?""How do I know what each resource is supporting so I can account for it and bill it back accurately?"
  • "Her şeyi dağıtın veya genel bulutta yapmak güvenlik'ın anlayış ile ilk olarak, bunu kolaylaştırır nasıl yardımcı başladığından emin olmak istiyorum?""I want to make sure that everything we deploy or do in the public cloud starts with the mindset of security first, how do I help facilitate that?"

Aday müşteri hiçbir guardrails ile boş bir aboneliğin göz korkutucu.The prospect of an empty subscription with no guardrails is daunting. Bu boşluk azure'a geçişinizi engel olabilir.This blank space can hamper your move to Azure.

Bu makalede İdaresi için gereken adres ve çeviklik gerek dengelemek teknik uzmanlar için bir başlangıç noktası sağlar.This article provides a starting point for technical professionals to address the need for governance and balance it with the need for agility. Bu, kuruluşların uygulama ve güvenli bir şekilde Azure ortamlarını yönetme yönlendiren bir kurumsal iskelesi kavramını sunar.It introduces the concept of an enterprise scaffold that guides organizations in implementing and managing their Azure environments in a secure way. Bu, etkili ve verimli denetimleri geliştirmek için bir çerçeve sunar.It provides the framework to develop effective and efficient controls.

İdare gereksinimiNeed for governance

Azure'a taşırken, kuruluş içindeki bulut kullanımını başarılı olmak için idare erken konu incelemeniz gerekir.When moving to Azure, you must address the topic of governance early to ensure the successful use of the cloud within the enterprise. Ne yazık ki, zaman kapsamlı idare sistem oluşturma geçmişi anlamına gelir ve kurumsal BT karıştırılmaksızın doğrudan sağlayıcıları için bazı iş gruplarına gidin.Unfortunately, the time and bureaucracy of creating a comprehensive governance system means some business groups go directly to providers without involving enterprise IT. Bu yaklaşım, kurumsal kaynaklar düzgün bir şekilde yönetilmeyen, tehlikeye için açık bırakabilirsiniz.This approach can leave the enterprise open to compromise if the resources are not properly managed. Genel bulut özelliklerini—çeviklik, esneklik ve tüketim tabanlı fiyatlandırma—hızla (iç ve dış) müşteri taleplerini karşılamak için gereken iş gruplarına önemlidir.The characteristics of the public cloud—agility, flexibility, and consumption-based pricing—are important to business groups that need to quickly meet the demands of customers (both internal and external). Ancak kurumsal BT veri ve sistemlere etkili bir şekilde korunduğundan emin olması gerekir.But enterprise IT needs to ensure that data and systems are effectively protected.

Bir yapı oluşturulurken yapı iskelesi bir yapının temel oluşturmak için kullanılır.When creating a building, scaffolding is used to create the basis of a structure. İskele genel anahat kılavuzları ve bağlantı noktalarını daha kalıcı sistemleri bağlanmasını sağlar.The scaffold guides the general outline and provides anchor points for more permanent systems to be mounted. Bir kurumsal iskelesi aynıdır: esnek denetimleri ve yapı ortamı ve bağlantıları üzerinde genel bulutta oluşturulan hizmetleri sağlayan Azure özellikleri kümesi.An enterprise scaffold is the same: a set of flexible controls and Azure capabilities that provide structure to the environment, and anchors for services built on the public cloud. Oluşturucular sağlar (BT ve iş gruplarının) oluşturmak ve teslim hızını göz önünde bulundurarak yeni hizmet eklemek için bir temel.It provides the builders (IT and business groups) a foundation to create and attach new services keeping speed of delivery in mind.

İskele biz birçok yaşadığımız çeşitli boyutlardaki deneyimlerden istemcilerle topladıktan uygulamaları temel alır.The scaffold is based on practices we have gathered from many engagements with clients of various sizes. Bu çözümleri çok uluslu kuruluşlara ve iş yüklerini geçirme bağımsız yazılım satıcıları bulut geliştirme ve buluta özgü çözümleri geliştirme Küçük kuruluşlarda istemciler arasındadır.Those clients range from small organizations developing solutions in the cloud to large multinational enterprises and independent software vendors who are migrating workloads and developing cloud-native solutions. Kurumsal iskelesi "hem geleneksel BT iş yüklerini ve Çevik iş yükleri; desteklemek için esnek olmak için özel olarak tasarlanmış" gibi yazılım bir hizmet (SaaS) uygulamaları oluşturan geliştiricilere, Azure platformu becerilerine dayalı.The enterprise scaffold is "purpose-built" to be flexible to support both traditional IT workloads and agile workloads; such as, developers creating software as a service (SaaS) applications based on Azure platform capabilities.

Kurumsal iskelesi temelini yeni her Azure aboneliğinde olması amaçlanmıştır.The enterprise scaffold is intended to be the foundation of each new subscription within Azure. Ancak, iş yükleri, iş grupları ve geliştiriciler hızlı bir şekilde kendi hedeflerimize dan engelleyen olmadan, bir kuruluşun en düşük idare gereksinimleri karşıladığından emin olmak yöneticileri etkinleştirir.It enables administrators to ensure workloads meet the minimum governance requirements of an organization without preventing business groups and developers from quickly meeting their own goals. Bu önemli ölçüde hızlandırır yerine yavaşlatır, genel bulut büyüme deneyimimizi gösterir.Our experience shows that this greatly speeds, rather than impedes, public cloud growth.

Not

Microsoft, yeni bir özellik adında önizleme sürümünü yayımladı Azure şemaları olanak sağlayan paket, yönetmek ve ortak görüntüleri, şablonlar, ilkeleri ve betikleri aboneliklerini ve Yönetim grupları arasında dağıtın.Microsoft has released into preview a new capability called Azure Blueprints that will enable you to package, manage, and deploy common images, templates, policies, and scripts across subscriptions and management groups. Bu özellik, başvuru modeli iskele'nın amaca ve kuruluşunuza bu modeli dağıtma arasında köprü yöneliktir.This capability is the bridge between the scaffold's purpose as reference model and deploying that model to your organization.

Aşağıdaki görüntüde, iskele bileşenleri gösterilmektedir.The following image shows the components of the scaffold. Temel yönetim hiyerarşisine ve abonelikleri için sağlam bir plan kullanır.The foundation relies on a solid plan for the management hierarchy and subscriptions. Yapı taşları, Resource Manager ilkeleri ve tanımlayıcı adlandırma standartlarına oluşur.The pillars consist of Resource Manager policies and strong naming standards. İskele geri kalanı olan temel Azure özellikleri ve özellikleri etkinleştirmek ve güvenli ve yönetilebilir bir ortama bağlanın.The rest of the scaffold are core Azure capabilities and features that enable and connect a secure and manageable environment.

Kurumsal iskelesi

Hiyerarşiniz tanımlayınDefine your hierarchy

İskele Abonelikleriniz ve kaynak gruplarınız için Azure Kurumsal kayıt ilişkisini ve hiyerarşi temelini oluşturur.The foundation of the scaffold is the hierarchy and relationship of the Azure Enterprise Enrollment through to subscriptions and resource groups. Kurumsal kayıt şirketinizdeki sözleşmeye dayalı bir açısından Azure hizmetlerini ve şekli tanımlar.The enterprise enrollment defines the shape and use of Azure services within your company from a contractual point of view. Kurumsal Anlaşma içinde Departmanlar, hesapları, abonelikleri ve kuruluşunuzun yapısı için kaynak gruplarını kullanarak ortama daha fazla alt bölümlere.Within the Enterprise Agreement, you can further subdivide the environment into departments, accounts, subscriptions, and resource groups to match your organization's structure.

hiyerarşi

Bir Azure aboneliği, tüm kaynakların bulunduğu temel birimidir.An Azure subscription is the basic unit where all resources are contained. Ayrıca, Azure, çekirdek sayısı, sanal ağlar ve diğer kaynakları gibi çeşitli sınırlarda tanımlar.It also defines several limits within Azure, such as number of cores, virtual networks and other resources. Azure kaynak grupları, daha fazla abonelik modeli geliştirmek ve kaynakların daha doğal bir gruplandırma etkinleştirmek için kullanılır.Azure Resource Groups are used to further refine the subscription model and enable a more natural grouping of resources.

Her Kurumsal farklıdır ve yukarıdaki görüntüde hiyerarşide Azure, şirket içinde nasıl düzenlendiği önemli ölçüde esneklik sağlar.Every enterprise is different and the hierarchy in the above image allows for significant flexibility in how Azure is organized within your company. Şirketinizin faturalama, kaynak yönetimi ve kaynak erişim gereksinimlerini yansıtacak şekilde hiyerarşinizi modelleme genel bulutta başlatma sırasında yaptığınız ilk ve en önemli bir karardır.Modeling your hierarchy to reflect your company's billing, resource management, and resource access needs is the first and most important decision you make when starting in the public cloud.

Departmanlar ve hesaplarDepartments and Accounts

Azure kayıtları için üç genel düzen vardır:The three common patterns for Azure Enrollments are:

  • İşlevsel Desen:The functional pattern:

    İşlevsel deseni

  • Departman Desen:The business unit pattern:

    İş birimi deseni

  • Coğrafi Desen:The geographic pattern:

    Coğrafi deseni

Her yanı sıra bu modellerin onun yerine içermese departman deseni giderek benimsenen modeli hem de aralık denetiminin yansıtan bir kuruluş modelleme esnek maliyet.Though each of these patterns has its place, the business unit pattern is increasingly being adopted for its flexibility in modeling an organization's cost model as well as reflecting span of control. Microsoft Core mühendislik ve işlemler grup, etkin bir alt kümesini oluşturdu departman deseni modellenmiş üzerinde Federal, durumu, ve Yerel.Microsoft Core Engineering and Operations group has created an effective subset of the business unit pattern modeled on Federal, State, and Local. Daha fazla bilgi için Abonelikleriniz ve kaynak gruplarınız kuruluş içinde düzenleme.For more information, see Organizing subscriptions and resource groups within the Enterprise.

Azure yönetim gruplarıAzure management groups

Microsoft, artık hiyerarşinizin modellemek için başka bir yol sağlar: Azure Yönetim grupları.Microsoft now provides another way to model your hierarchy: Azure management groups. Yönetim grupları Departmanlar ve hesapları çok daha esnek ve en fazla altı düzeyinde yuvalanabilir.Management groups are much more flexible than departments and accounts, and they can be nested up to six levels. Yönetim grupları, fatura hiyerarşiniz, yalnızca için kaynakların verimli yönetim sunucusundan ayrı bir hiyerarşisi oluşturmanızı sağlar.Management groups let you create a hierarchy that is separate from your billing hierarchy, solely for efficient management of resources. Yönetim grupları fatura hiyerarşinizi yansıtabilirsiniz ve genellikle kuruluşların bu şekilde başlatın.Management groups can mirror your billing hierarchy and often enterprises start that way. Yönetim grupları gücünü ancak bunları kuruluşunuz, ilgili abonelik (konumlarından fatura hiyerarşideki) gruplama yoluyla ve ortak rolleri, ilkeleri ve girişimler atama modeli kullandığınız durumdur.However, the power of management groups is when you use them to model your organization, grouping together related subscriptions (regardless of their location in the billing hierarchy) and assigning common roles, policies, and initiatives. Bazı örnekler:Some examples include:

  • Üretim dışı ve üretim.Production vs. nonproduction. Bazı kuruluşlar, üretim ve üretim dışı aboneliklerini tanımlamak için Yönetim grupları oluşturun.Some enterprises create management groups to identify their production and nonproduction subscriptions. Yönetim grupları, bu müşteriler daha kolayca rolleri ve ilkeleri yönetmenize izin verin.Management groups allow these customers to more easily manage roles and policies. Örneğin, üretim dışı abonelik geliştiriciler "katılımcı" erişilmesine izin verebilir ancak üretimde yalnızca "okuyucu" erişimine sahiptirler.For example, nonproduction subscription may allow developers "contributor" access, but in production, they have only "reader" access.
  • Dış hizmetler ve dahili Hizmet.Internal services vs. external services. Kuruluşların, genellikle farklı gereksinimleri, ilkeleri ve müşterilere yönelik hizmetler ve dahili hizmetler için roller vardır.Enterprises often have different requirements, policies, and roles for internal services versus customer-facing services.

İyi tasarlanmış bir yönetim, bunların Azure İlkesi ile bu girişimler grubu, Azure verimli İdaresi temel gruplardır.Well-designed management groups are, along with Azure Policy and Initiatives, the backbone of efficient governance of Azure.

SubscriptionsSubscriptions

Bölümler ve hesapları (veya Yönetim grupları) karar verirken, öncelikle kuruluşunuz eşleştirmek için Azure ortamınızı ayarlamaya nasıl bölme en arıyoruz.When deciding on your Departments and Accounts (or management groups), you are primarily looking at how you're dividing up your Azure environment to match your organization. Abonelikler, ancak burada gerçek iş olur ve güvenlik, ölçeklenebilirlik ve faturalandırma kararlarınızı burada etkileyen değildir.Subscriptions, however, are where the real work happens and your decisions here affect security, scalability, and billing. Çoğu kuruluş, kılavuz olarak aşağıdaki desenle bakın:Many organizations look at the following patterns as their guides:

  • Uygulama/hizmet: Bir uygulamayı veya hizmeti (Portföy uygulamaların) abonelikleri temsil ederApplication/service: Subscriptions represent an application or a service (portfolio of applications)
  • Yaşam döngüsü: Abonelikleri, üretim veya geliştirme gibi bir hizmet ömrünün temsil eder.Lifecycle: Subscriptions represent a lifecycle of a service, such as Production or Development.
  • Bölüm: Abonelikler, kuruluşunuzdaki departmanları gösterir.Department: Subscriptions represent departments in the organization.

İlk iki deseni en yaygın olarak kullanılır ve her ikisi de özellikle önerilir.The first two patterns are the most commonly used, and both are highly recommended. Yaşam döngüsü yaklaşım, çoğu kuruluş için uygundur.The Lifecycle approach is appropriate for most organizations. Bu durumda, iki temel abonelik kullanılacak genel kullanılması önerilir.In this case, the general recommendation is to use two base subscriptions. "Üretim" ve "Üretim" ve ardından daha fazla ortamları ayırmak için kaynak gruplarını kullanın."Production" and "Nonproduction," and then use resource groups to break out the environments further.

Kaynak gruplarıResource groups

Azure Resource Manager, yönetim, faturalama veya doğal benzeşimi anlamlı gruplara kaynakları yerleştirilmesine olanak sağlar.Azure Resource Manager enables you to put resources into meaningful groups for management, billing, or natural affinity. Kaynak grupları, ortak bir yaşam veya "tüm SQL sunucuları" gibi bir özniteliği paylaşan kaynakların kapsayıcılardır veya "Uygulama A".Resource groups are containers of resources that have a common lifecycle or share an attribute such as "all SQL servers" or "Application A".

Kaynak grupları iç içe geçirilemez ve kaynakları yalnızca bir kaynak grubuna ait olabilir.Resource groups can't be nested, and resources can only belong to one resource group. Bazı Eylemler, bir kaynak grubundaki tüm kaynaklar üzerinde işlem yapabileceğiniz.Some actions can act on all resources in a resource group. Örneğin, bir kaynak grubunun silinmesi, kaynak grubu içindeki tüm kaynaklar kaldırır.For example, deleting a resource group removes all resources within the resource group. Abonelikleri gibi ortak desenler kaynak grupları oluştururken bulunur ve "Geleneksel BT" İş "Çevik BT" iş yükleri için farklılık gösterir:Like subscriptions, there are common patterns when creating resource groups and will vary from "Traditional IT" workloads to "Agile IT" workloads:

  • "Geleneksel BT" iş yükleri en yaygın bir uygulama gibi aynı yaşam döngüsü içinde öğeler tarafından gruplandırılır."Traditional IT" workloads are most commonly grouped by items within the same lifecycle, such as an application. Uygulama tarafından gruplandırma için tek tek uygulama yönetimi sağlar.Grouping by application allows for individual application management.
  • "Çevik BT" iş yükleri eğilimli dış müşterilere yönelik bulut uygulamaları üzerinde odaklanabilirsiniz."Agile IT" workloads tend to focus on external customer-facing cloud applications. Kaynak grupları, katmanları (örneğin, bir web katmanı veya uygulama katmanı) dağıtımı ve Yönetimi genellikle yansıtır.The resource groups often reflect the layers of deployment (such as a web tier or app tier) and management.

Not

İş yükünüz anlama, bir kaynak grubu stratejisi geliştirmenize yardımcı olur.Understanding your workload helps you develop a resource group strategy. Bu düzenleri karışık ve eşleşti.These patterns can be mixed and matched. Örneğin, bir paylaşılan hizmetler kaynak grubunda "Çevik" kaynak grupları aynı abonelik.For example, a shared services resource group in the same subscription as "Agile" resource groups.

Adlandırma standartlarıNaming standards

Birinci unsuru iskele, tutarlı bir adlandırma standardı ' dir.The first pillar of the scaffold is a consistent naming standard. İyi tasarlanmış bir adlandırma standartlarına portalında, fatura ve komut dosyaları içindeki kaynakları belirlemek üzere etkinleştirin.Well-designed naming standards enable you to identify resources in the portal, on a bill, and within scripts. Büyük olasılıkla zaten şirket içi altyapı için varolan adlandırma standartlarına vardır.You likely already have existing naming standards for on-premises infrastructure. Ortamınıza Azure'ı eklerken bu adlandırma standartlarını Azure kaynaklarınızı kapsayacak şekilde genişletmelisiniz.When adding Azure to your environment, you should extend those naming standards to your Azure resources.

İpucu

Adlandırma kuralları için:For naming conventions:

  • Desenler ve Uygulamalar yönergelerini gözden geçirin ve mümkün olduğunca benimseyin.Review and adopt where possible the Patterns and Practices guidance. Bu kılavuz, anlamlı bir adlandırma standardı üzerinde karar vermenize yardımcı olur ve kapsamlı örnekler sağlar.This guidance helps you decide on a meaningful naming standard and provides extensive examples.
  • Adlandırma standartlarına uygulanmasına yardımcı olmak için Resource Manager ilkeleri kullanarak.Using Resource Manager Policies to help enforce naming standards.

Adları daha sonra değiştirmek zordur, artık bu nedenle işlem birkaç dakika kaydedin, daha sonra sorun unutmayın.Remember that it's difficult to change names later, so a few minutes now will save you trouble later.

Bu kaynaklar daha yaygın olarak kullanılan ve aradığınız adlandırma standartlarınıza yoğunlaşır.Concentrate your naming standards on those resources that are more commonly used and searched for. Örneğin, tüm kaynak grupları açıklık için güçlü bir standart izlemeniz.For example, all resource groups should follow a strong standard for clarity.

Kaynak EtiketleriResource Tags

Kaynak etiketleri sıkı bir şekilde standartları adlandırma ile hizalanır.Resource tags are tightly aligned with naming standards. Kaynak abonelik eklendikçe faturalama, yönetim ve işlemsel amaçlar için mantıksal olarak kategorilere giderek önemli hale gelir.As resources are added to subscriptions, it becomes increasingly important to logically categorize them for billing, management, and operational purposes. Daha fazla bilgi için Azure kaynaklarınızı düzenlemek için etiketleri kullanma.For more information, see Use tags to organize your Azure resources.

Önemli

Etiketler, kişisel bilgiler içerebilir ve GDPR düzenlemelere altında kalan.Tags can contain personal information and may fall under the regulations of GDPR. Etiketlerinizi yönetimi için dikkatle planlayın.Plan for management of your tags carefully. GDPR hakkında genel bilgiler arıyorsanız, GDPR bölümüne bakın. hizmet güveni portalı.If you're looking for general information about GDPR, see the GDPR section of the Service Trust Portal.

Etiketler, faturalandırma ve yönetim ötesinde birçok şekilde kullanılır.Tags are used in many ways beyond billing and management. Bunlar genellikle Otomasyon bir parçası olarak kullanılır (sonraki bölüme bakın).They are often used as part of automation (see later section). Bu çakışmaları neden olabilir değilse Önden kabul.This can cause conflicts if not considered up front. (Örneğin, ApplicationOwner ve CostCenter) Kurumsal düzeydeki tüm ortak etiketleri tanımlamak ve bunları Otomasyon kullanarak kaynakları dağıtırken tutarlı bir şekilde uygulamak için önerilen yöntemdir bakın.The recommended practice is to identify all the common tags at the enterprise level (such as ApplicationOwner and CostCenter) and apply them consistently when deploying resources using automation.

Azure İlkesi ve girişimler--Azure Policy and Initiatives

Yapı iskelesi, ikinci sütun kullanılmasına Azure ilke ve girişim kaynaklarını ve Hizmetleri aboneliklerinizdeki üzerinden kurallarıyla (etkiler) zorunlu tutarak riski yönetmek için.The second pillar of the scaffold involves using Azure Policy and initiatives to manage risk by enforcing rules (with effects) over the resources and services in your subscriptions. Azure girişimler tek bir hedefe ulaşmak için tasarlanmış ilkeler koleksiyonlarıdır.Azure Initiatives are collections of policies that are designed to achieve a single goal. İlke ve girişim zorlama bu ilkelerin başlamak için bir kaynak kapsamına atanır.Policies and initiatives are then assigned to a resource scope to begin enforcement of those policies.

İlke ve girişim daha önce bahsedilen yönetim gruplarıyla kullanıldığında daha güçlü.Policies and initiatives are even more powerful when used with the management groups mentioned earlier. Yönetim grupları için abonelikler kümesinin tamamını bir girişim veya atamasını etkinleştirin.Management groups enable the assignment of an initiative or policy to an entire set of subscriptions.

Resource Manager İlkeleri'nın yaygın kullanımlarıCommon uses of Resource Manager policies

İlke ve girişim Azure araç setinde bulunan güçlü bir araç olan.Policies and initiatives are a powerful tool in the Azure toolkit. İlkeleri da "Çevik" iş yüklerine olanak tanıyan satır iş kolu uygulamaları için gerekli kararlılık etkinleştir "Geleneksel BT" iş yükleri için denetimi sağlamak şirketlerin izin verir; ek risk kuruluşa sokmadan gibi müşteri uygulamaları geliştirme.Policies allow companies to provide controls for "Traditional IT" workloads that enable the stability that is needed for line-of-business applications while also allowing "Agile" workloads; such as, developing customer applications without exposing the enterprise to additional risk. İlkeleri için en yaygın düzenlerden şunlardır:The most common patterns for policies are:

  • Coğrafi uyumluluk ve veri egemenliği.Geo compliance and data sovereignty. Azure dünya genelindeki bir büyüyen bölge listesine sahiptir.Azure has an ever-growing list of regions across the world. Kuruluşlar genellikle belirli bir kapsam dahilindeki kaynaklar Mevzuat gereksinimlerini karşılamak için bir coğrafi bölge içinde kalmasını sağlamak gerekir.Enterprises often need to ensure that resources in a specific scope remain in a geographic region to address regulatory requirements.
  • Sunucuları genel olarak kullanıma sunma kaçının.Avoid exposing servers publicly. Azure İlkesi, belirli kaynak türlerine dağıtımını engelliyor.Azure Policy can prohibit the deployment of certain resource types. İnternet sunucusu istenmeyen Etkilenme önleme genel bir IP belirli bir kapsam içindeki oluşturulmasını engellemek için bir ilke oluşturmak için yaygındır.It's common to create a policy to deny the creation of a public IP within a specific scope, avoiding unintended exposure of a server to the internet.
  • Maliyet yönetimi ve meta verileri.Cost management and metadata. Kaynak etiketleri, genellikle kaynaklarını ve kaynak gruplarını CostCenter, sahibi ve diğer önemli faturalama verileri eklemek için kullanılır.Resource tags are often used to add important billing data to resources and resource groups such as CostCenter, Owner, and more. Bu etiketler doğru faturalama ve kaynak yönetimi için her.These tags are invaluable for accurate billing and management of resources. İlkelerini yönetmeyi kolaylaştıran tüm dağıtılan kaynağın kaynak etiketler uygulamaya uygulayabilir.Policies can enforce the application of resources tags to all deployed resource, making it easier to manage.

Girişimler'ın yaygın kullanımlarıCommon uses of initiatives

Girişimler kuruluşların mantıksal ilkeleri grup ve bunları tek bir varlık olarak izleme olanağı sağlar.Initiatives provide enterprises the ability to group logical policies and track them as a single entity. Girişimler, Kurumsal Çevik ve geleneksel iş yüklerinin gereksinimlerine yardımcı olur.Initiatives help the enterprise address the needs of both agile and traditional workloads. Girişimler'ın yaygın kullanımları şunlardır:Common uses of initiatives include:

  • Azure Güvenlik Merkezi'nde izlemeyi etkinleştirin.Enable monitoring in Azure Security Center. Bu, Azure İlkesi ve girişimler nelerdir mükemmel örneği varsayılan girişimidir.This is a default initiative in the Azure Policy and an excellent example of what initiatives are. Şifrelenmemiş SQL veritabanlarını, sanal makine (VM) güvenlik açıkları, tanımlamak ilkeleri sağlar ve daha fazla ortak güvenlikle ilgili gerekiyor.It enables policies that identify unencrypted SQL databases, virtual machine (VM) vulnerabilities, and more common security-related needs.
  • Yasal özgü girişim.Regulatory-specific initiative. Denetim ve uyumluluk için bu denetimleri etkili bir şekilde izlenir böylece kuruluşlar genellikle ilkeleri (HIPAA gibi) yasal bir gereksinim için ortak gruplandırın.Enterprises often group policies common to a regulatory requirement (such as HIPAA) so that controls and compliancy to those controls are tracked efficiently.
  • Kaynak türleri ve SKU'ları.Resource types and SKUs. Dağıtılabilir SKU yanı sıra dağıtılabilecek kaynak türleri kısıtlayan bir girişim oluşturma maliyetleri denetleme ve kuruluşunuz yalnızca takımınız desteklemek için yordamları ve beceri kümesi olan kaynakları dağıtma emin olmak için yardımcı olabilir.Creating an initiative that restricts the types of resources that can be deployed as well as the SKUs that can be deployed can help to control costs and ensure your organization is only deploying resources that your team have the skillset and procedures to support.

İpucu

Her zaman ilke tanımları yerine girişim tanımlarını kullanmanızı öneririz.We recommend you always use initiative definitions instead of policy definitions. Abonelik veya yönetim grubu gibi bir kapsam için girişim atadıktan sonra kolayca başka bir ilke için girişim atamaları değiştirmek zorunda kalmadan ekleyebilirsiniz.After assigning an initiative to a scope, such as subscription or management group, you can easily add another policy to the initiative without having to change any assignments. Bu, hangi uygulanan anlama ve çok daha kolay uyumluluk izleme sağlar.This makes understanding what is applied and tracking compliance far easier.

İlke ve girişim atamalarıPolicy and Initiative assignments

İlkeleri ve mantıksal girişimler gruplandırarak oluşturulduktan sonra bir yönetim grubu, bir abonelik veya kaynak grubu olup olmadığını bir kapsam için ilke atamalısınız.After the creation of policies and grouping them into logical initiatives you must assign the policy to a scope, whether it is a management group, a subscription or even a resource group. Atamalar, ayrıca bir atamasından ilke atamasının dışında olanak tanır.Assignments allow you to also exclude a subscope from the assignment of a policy. Örneğin, bir Abonelikteki genel IP'ler oluşturulmasını reddederse, korumalı DMZ'NİZDE bağlı bir kaynak grubu için bir dışlama ile bir atama oluşturabilirsiniz.For example, if you deny the creation of public IPs within a subscription, you could create an assignment with an exclusion for a resource group connected to your protected DMZ.

Nasıl ilke ve girişim çeşitli Azure içinde kaynaklar bu uygulanabilir gösteren birkaç ilke örnekler bulabilirsiniz GitHub depo.You will find several Policy examples that show how Policy and Initiatives can be applied to various resources within Azure on this GitHub repository.

Kimlik ve erişim yönetimiIdentity and access management

"Kullanan kaynaklara erişimi kullanmalı mı?" ile genel bulut başlatılırken kendinize sorun ilk ve en önemli sorulardan biriniOne of the first, and most crucial, questions you ask yourself when starting with the public cloud is "who should have access to resources?" ve "Bu erişimi nasıl denetlerim?"and "how do I control this access?" Azure portalı ve portaldaki kaynaklara erişimi denetlemek için varlıklarınızı bulutta uzun süreli güvenlik kritik öneme sahiptir.Controlling access to the Azure portal and resources in the portal is critical to the long-term safety of your assets in the cloud.

Kaynaklarınıza erişimi güvenli hale getirmek için önce kimlik sağlayıcınız yapılandıracak ve ardından, rolleri ve erişim yapılandırın.To secure access to your resources you will first configure your identity provider and then configure Roles and access. Azure Active Directory (Azure AD), şirket içi Active Directory'ye bağlı Azure kimlik temelidir.Azure Active Directory (Azure AD), connected to your on-premises Active Directory, is the foundation of Azure Identity. Söz konusu, Azure AD olduğunu değil aynı Active Directory ve onun ne olduğunu anlamak için Azure AD kiracısı olan ve Azure kaydınıza ilişkisini önemli şirket.That said, Azure AD is not the same as on-premises Active Directory, and it's important to understand what an Azure AD tenant is and how it relates to your Azure enrollment. Kullanılabilir gözden bilgi Azure AD üzerinde sağlam bir temel sağlamaya ve şirket içi Active Directory.Review the available information to gain a solid foundation on Azure AD and on-premises Active Directory. Bağlanmak ve Active Directory'nizi Azure ad ile eşitlemek için yükleme ve yapılandırma Azure AD Connect aracını şirket içi.To connect and synchronize your Active Directory to Azure AD, install and configure the Azure AD Connect tool on-premises.

arch.PNG

Azure başlangıçta yayımlandığında, bir aboneliğe erişim denetimleri temel: Yöneticisi veya ortak yönetici.When Azure was initially released, access controls to a subscription were basic: Administrator or Co-Administrator. Bir abonelikte Klasik modeli örtük erişim Portalı'nda tüm kaynaklara erişim sağlar.Access to a subscription in the Classic model implied access to all the resources in the portal. Bu ayrıntılı denetim eksikliği abonelikleri çoğalan için bir Azure kaydı için makul bir erişim denetimi düzeyini sağlamak için gerektiriyordu.This lack of fine-grained control led to the proliferation of subscriptions to provide a level of reasonable access control for an Azure Enrollment. Bu abonelikler yaygınlaşmasının artık gerekli değildir.This proliferation of subscriptions is no longer needed. Rol tabanlı erişim denetimi (RBAC) ile kullanıcılara "sahip", "katılımcı" veya "okuyucu" gibi genel erişim sağlayan veya kendi rollerinizi oluşturmanız da standart roller atayabilirsiniz.With role-based access control (RBAC), you can assign users to standard roles that provide common access such as "owner", "contributor" or "reader" or even create your own roles.

Rol tabanlı erişim uygularken aşağıdaki özellikle önerilir:When implementing role-based access, the following are highly recommended:

  • Bu rolleri kapsamlı izinlere sahip yönetici/ortak yönetici aboneliğin denetler.Control the Administrator/Co-Administrator of a subscription as these roles have extensive permissions. Yalnızca yönetilen Azure Klasik dağıtımlar için ihtiyaç duydukları, abonelik sahibi ortak yönetici olarak eklemeniz gerekir.You only need to add the Subscription Owner as a Co-administrator if they need to managed Azure Classic deployments.
  • Yönetim gruplarına atamak için kullanın rolleri birden çok aboneliğe ve bunları abonelik düzeyinde yönetme yükü azaltın.Use management groups to assign roles across multiple subscriptions and reduce the burden of managing them at the subscription level.
  • Azure kullanıcıları, Active Directory'de bir grup (örneğin, uygulama X sahipleri) ekleyin.Add Azure users to a group (for example, Application X Owners) in Active Directory. Grup üyelerini uygulamayı içeren kaynak grubunu yönetmek için uygun haklara sağlamak için eşitlenmiş grubu kullanın.Use the synced group to provide group members the appropriate rights to manage the resource group containing the application.
  • Verme İlkesi izleyin en az ayrıcalık beklenen iş yapmak için gereklidir.Follow the principle of granting the least privilege required to do the expected work.

Önemli

Kullanmayı Azure AD Privileged Identity Management, Azure multi-Factor Authentication ve koşullu erişim daha iyi güvenliği sağlamak için özellikleri ve Azure aboneliğiniz üzerinden yönetim eylemleri için daha fazla görünürlük sağlar.Consider using Azure AD Privileged Identity Management, Azure Multi-Factor Authentication and Conditional Access capabilities to provide better security and more visibility to administrative actions across your Azure subscriptions. Bu özellikler daha fazla güvenli ve kimlik bilgilerinizi yönetmek için geçerli bir Azure AD Premium lisansı (özellik) bağlı olarak gelir.These capabilities come from a valid Azure AD Premium license (depending on the feature) to further secure and manage your identity. Azure AD PIM, tam bir Denetim Yöneticisi etkinleştirmeleri ve etkinliklerin yanı sıra, onay iş akışı ile "Tam zamanında" yönetimsel erişimi sağlar.Azure AD PIM enables "Just-in-Time" administrative access with approval workflow, as well as a full audit of administrator activations and activities. Azure multi-Factor Authentication, başka bir önemli bir özelliktir ve Azure portalında oturum açma için iki aşamalı doğrulamayı etkinleştirir.Azure Multi-Factor Authentication is another critical capability and enables two-step verification for login to the Azure portal. Koşullu erişim denetimleri ile birleştirildiğinde, etkili bir şekilde tehlike riskini yönetebilirsiniz.When combined with Conditional Access Controls you can effectively manage your risk of compromise.

Planlama ve hazırlama için kimlik ve erişim denetimleri ve Azure Kimlik Yönetimi en iyi takip (bağlantı) dağıtabileceklerinizle ve zorunlu olarak düşünülmelidir en iyi risk azaltma stratejisi biri her Dağıtım.Planning and preparing for your identity and access controls and following Azure Identity Management best practice (link) is one of the best risk mitigation strategies that you can employ and should be considered mandatory for every deployment.

GüvenlikSecurity

Geleneksel olarak Bulutu benimseme için büyük engelleyicileri birini kaygıları güvenliğine olmuştur.One of the biggest blockers to cloud adoption traditionally has been concerns over security. BT risk yöneticileri ve güvenlik Departmanlar azure'daki kaynakları korunur ve varsayılan olarak güvenli emin olmalısınız.IT risk managers and security departments need to ensure that resources in Azure are protected and secure by default. Azure, algılama ve bu kaynakları tehditleri ortadan kaynakları korumak için kullanabileceğiniz özellikler sunar.Azure provides capabilities you can use to protect resources while detecting and eliminating threats against those resources.

Azure Güvenlik MerkeziAzure Security Center

Azure Güvenlik Merkezi ortamınızı Gelişmiş tehdit koruması yanı sıra arasında kaynakların güvenlik durumu birleşik bir görünümünü sağlar.The Azure Security Center provides a unified view of the security status of resources across your environment in addition to advanced threat protection. Azure Güvenlik Merkezi olarak takılan yazılım oluşturmak Microsoft iş ortaklarının sağlayan açık bir platformdur ve onun özelliklerini iyileştirme.Azure Security Center is an open platform that enables Microsoft partners to create software that plugs into and enhance its capabilities. Azure Güvenlik Merkezi (ücretsiz katman) temel özelliklerini değerlendirmesi ve güvenlik duruşunuzu geliştirecek öneriler sağlar.The baseline capabilities of Azure Security Center (free tier) provide assessment and recommendations that will enhance your security posture. Tam zamanında yönetim erişimi ve Uyarlamalı uygulama denetimleri (beyaz) gibi ek ve değerli özellikler, ücretli katmanlarda etkinleştirin.Its paid tiers enable additional and valuable capabilities such as just-in-time admin access and adaptive application controls (whitelisting).

İpucu

Azure Güvenlik Merkezi, tehditleri algılamak ve kuruluşunuzu korumak için kullanabileceğiniz yeni özellikleriyle düzenli olarak artırıldı güçlü bir araçtır.Azure Security Center is a powerful tool that is regularly improved with new capabilities you can use to detect threats and protect your enterprise. Her zaman Azure Güvenlik Merkezi'ni etkinleştirmeyi önemle tavsiye edilir.It is highly recommended to always enable Azure Security Center.

Azure kaynak kilitleriAzure resource locks

Kuruluşunuzun abonelikleri için Çekirdek Hizmetleri ekler gibi iş kesintileri önlemek giderek daha önemli hale gelir.As your organization adds core services to subscriptions, it becomes increasingly important to avoid business disruption. Bir sık bakın kesintisi betikleri ve araçları, kaynakları yanlışlıkla silme bir Azure aboneliği karşı çalışan istenmeyen sonuçları türüdür.One type of disruption that we often see is unintended consequences of scripts and tools working against an Azure subscription deleting resources mistakenly. Kaynak kilitleri burada değiştirilmesini veya silinmesini haritamın önemli bir etkisi yüksek değerli kaynaklar üzerinde işlemleri kısıtlamak olanak sağlar.Resource Locks enable you to restrict operations on high-value resources where modifying or deleting them would have a significant impact. Kilitleri, bir abonelik, kaynak grubuna ya da tek tek kaynaklar için uygulanır.Locks are applied to a subscription, resource group, or even individual resources. Genel kullanım örneği, sanal ağlar, ağ geçitleri, ağ güvenlik grupları ve anahtar depolama hesapları gibi temel kaynaklara kilitleri uygulamaktır.The common use case is to apply locks to foundational resources such as virtual networks, gateways, network security groups, and key storage accounts.

Güvenli DevOps Araç SetiSecure DevOps Toolkit

Azure (AzSK) için güvenli DevOps Seti'ni betikleri, Araçlar, uzantılar, otomasyonları, Microsoft'un kendi özgün olarak oluşturulan vb. oluşan bir koleksiyondur BT ekibi ve GitHub aracılığıyla açık kaynak olarak yayımlanan.The Secure DevOps Kit for Azure (AzSK) is a collection of scripts, tools, extensions, automations, etc. originally created by Microsoft's own IT team and released as open source via GitHub. Uçtan uca Azure abonelik ve kaynak güvenlik gereksinimlerini karşılayacak şekilde kapsamlı otomasyonu kullanarak ve bu altı odak alanları için güvenli DevOps gerçekleştirmenize yardımcı olacak yerel DevOps iş akışları halinde güvenlik ile sorunsuz tümleştirme takımlar için AzSK oluşturabilmesine olanak sağlar:AzSK caters to the end-to-end Azure subscription and resource security needs for teams using extensive automation and smoothly integrating security into native DevOps workflows helping accomplish secure DevOps with these six focus areas:

  • Abonelik güvenliğini sağlamaSecure the subscription
  • Güvenli geliştirme etkinleştirEnable secure development
  • Önemli CICD güvenlik tümleştirinIntegrate security into CICD
  • Sürekli güvencesiContinuous assurance
  • Uyarı ve izlemeAlerting and monitoring
  • Bulutta risk yönetimiCloud risk governance

Azure DevOps Araç Seti

AzSK zengin Araçlar, komut dosyaları ve bilgileri tam Azure idare planının önemli bir parçası olan ve bu, yapı iskelesi ekleme, kuruluşların risk yönetimi hedeflerinizi desteklemek için çok önemlidir.The AzSK is a rich set of tools, scripts, and information that are an important part of a full Azure governance plan and incorporating this into your scaffold is crucial to supporting your organizations risk management goals.

Azure güncelleştirme yönetimiAzure Update Management

Ortamınızın güvenliğini korumak için yapabileceğiniz ilişkin önemli görevlerde sunucularınızın en son güncelleştirmeleri ile düzeltme eki olun biridir.One of the key tasks you can do to keep your environment safe is ensure that your servers are patched with the latest updates. Bunu yapmak için birçok araç olsa da, Azure sağlar Azure güncelleştirme yönetimi tanımlama ve kritik işletim sistemi düzeltme ekleri piyasaya ele almak için çözüm.While there are many tools to accomplish this, Azure provides the Azure Update Management solution to address the identification and rollout of critical OS patches. Azure Otomasyonu, ele kullanan otomatikleştirme bu kılavuzun devamında bölümü.It uses Azure Automation, covered in the Automate section later in this guide.

İzleme ve uyarılarMonitor and alerts

Toplama ve analiz etme etkinlikleri, performans ölçümleri, sistem durumu ve kullanmakta olduğunuz Azure aboneliklerinizde hizmetlerin kullanılabilirliğini görebilmesi sağlayan telemetri uygulamalarınızı proaktif bir şekilde yönetmek için kritik ve Altyapı ve her Azure aboneliğinin bir temel gerekli değildir.Collecting and analyzing telemetry that provides line of sight into the activities, performance metrics, health, and availability of the services you are using across your Azure subscriptions is critical to proactively manage your applications and infrastructure and is a foundational need of every Azure subscription. Her bir Azure hizmetinde etkinlik günlükleri, Ölçümler ve tanılama günlükleri biçiminde telemetri yayar.Every Azure service emits telemetry in the form of activity logs, metrics, and diagnostic logs.

  • Etkinlik günlükleri aboneliklerinizdeki kaynakları üzerinde gerçekleştirilen tüm işlemler açıklanmaktadır.Activity logs describe all operations performed on resources in your subscriptions.
  • Ölçümleri performans ve kaynak durumunu açıklayan bir kaynak tarafından yayılan sayısal bilgilerdir.Metrics are numerical information emitted by a resource that describe the performance and health of a resource.
  • Tanılama günlükleri bir Azure hizmeti tarafından gönderilir ve bu hizmetin işleyişini hakkında zengin, sık kullanılan veriler sağlar.Diagnostic logs are emitted by an Azure service and provide rich, frequent data about the operation of that service.

Bu bilgiler görüntülenebilir ve birden çok düzeyde etkilediği ve sürekli olarak geliştirilen.This information can be viewed and acted on at multiple levels and are continually being improved. Azure sağlar paylaşılan, çekirdek, ve derin yeteneklerini aşağıdaki diyagramda özetlendiği Hizmetleri aracılığıyla Azure kaynaklarını izleme.Azure provides shared, core, and deep monitoring capabilities of Azure resources through the services outlined in the diagram below. İzlememonitoring

Paylaşılan özelliklerShared capabilities

  • Uyarılar: Azure kaynaklarından, ancak kritik koşulları bildirilmesi ve işlem yapma olanağı her günlük, olay ve ölçüm toplayabilir, bu verileri yalnızca tarihsel amaçlar ve adli tıp için kullanışlıdır.Alerts: You can collect every log, event, and metric from Azure resources, but without the ability to be notified of critical conditions and act, this data is only useful for historic purposes and forensics. Azure uyarıları proaktif olarak tüm uygulamalarınızın ve altyapınızın tanımladığınız koşulların bildirin.Azure Alerts proactively notify you of conditions you define across all your applications and infrastructure. Günlükleri, olaylar ve alıcıları kümesi bildirmek için eylem gruplarını kullanma ölçümler arasında uyarı kuralları oluşturun.You create alert rules across logs, events, and metrics that use action groups to notify sets of recipients. Eylem grupları, Azure Otomasyonu runbook'ları ve Azure işlevleri'ni çalıştırmak için Web kancaları gibi dış eylemleri kullanarak düzeltme otomatikleştirme olanağı da sağlar.Action groups also provide the ability to automate remediation using external actions such as webhooks to run Azure Automation runbooks and Azure Functions.

  • Panolar: Panolar izleme görünümleriyle toplamak ve kaynaklar ve Azure kaynaklarının telemetri bir kuruluş genelindeki görünüme sağlamak için abonelikler arasında veri birleştirmek etkinleştirin.Dashboards: Dashboards enable you to aggregate monitoring views and combine data across resources and subscriptions to give you an enterprise-wide view into the telemetry of Azure resources. Oluşturun ve kendi görünümlerinizi yapılandırabilir ve bunları başkalarıyla paylaşın.You can create and configure your own views and share them with others. Örneğin, tüm Azure veritabanı hizmetlerinde, Azure SQL DB, PostgreSQL için Azure DB ve MySQL için Azure DB dahil olmak üzere bilgi sağlamak Dba'lar için çeşitli kutucuklar içeren Pano oluşturabilirsiniz.For example, you could create a dashboard consisting of various tiles for DBAs to provide information across all Azure database services, including Azure SQL DB, Azure DB for PostgreSQL and Azure DB for MySQL.

  • Ölçüm Gezgini: Sayısal değerleri işlem ve kaynaklarınızın performansını öngörü sağlayan Azure kaynaklarını (örneğin, % CPU veya Disk g/ç) tarafından oluşturulan ölçümleridir.Metrics Explorer: Metrics are numerical values generated by Azure resources (such as % CPU or Disk I/O) that provide insight into the operation and performance of your resources. Ölçüm Gezgini kullanarak tanımlayabilir ve ilginizi çeken Log Analytics'e toplama ve analiz için ölçümlerin gönderin.Using Metrics Explorer, you can define and send the metrics that interest you to Log Analytics for aggregation and analysis.

Temel izlemeCore monitoring

  • Azure İzleyici: Azure İzleyici, Azure kaynaklarını izlemeye yönelik tek bir kaynak sağlayan çekirdek platform hizmetidir.Azure Monitor: Azure Monitor is the core platform service that provides a single source for monitoring Azure resources. Azure İzleyici Azure portal arabirimi merkezi bir bağlantı noktası kapalı ayrıntılı izleme özellikleri Application ınsights, Log Analytics, ağ izleme, yönetim çözümleri dahil olmak üzere Azure genelinde için tüm izleme özelliklerini sağlar ve Hizmet eşlemeleri.The Azure portal interface of Azure Monitor provides a centralized jump off point for all the monitoring features across Azure including the deep monitoring capabilities of Application Insights, Log Analytics, Network Monitoring, Management Solutions and Service Maps. Azure görselleştirebilir, İzleyici sorgusu, rota, arşiv ve ölçüm ve günlükleri, tüm bulut Emlak arasında Azure kaynaklarından gelen üzerinde işlem.With Azure Monitor you can visualize, query, route, archive, and act on the metrics and logs coming from Azure resources across your entire cloud estate. Ek olarak portalı İzleyici PowerShell cmdlet'leri, Çapraz Platform CLI veya Azure İzleyici REST API'leri aracılığıyla veri alabilir.In addition to the portal you can retrieve data through the Monitor PowerShell Cmdlets, Cross Platform CLI, or the Azure Monitor REST APIs.

  • Azure Danışmanı: Azure Danışmanı sürekli olarak, abonelikleri ve ortamlarındaki telemetri izler ve en iyi uygulamalar paradan tasarruf etmenize ve performans, güvenlik ve kaynakların kullanılabilirliğini artırmak için Azure kaynaklarınızı en iyi duruma getirme hakkında öneriler sağlar. uygulamalarınızı oluşturan.Azure Advisor: Azure Advisor constantly monitors telemetry across your subscriptions and environments and provides recommendations on best practices on how to optimize your Azure resources to save money and improve performance, security, and availability of the resources that make up your applications.

  • Hizmet durumu: Azure hizmet durumu, uygulamalarınızı etkileyebilir yanı sıra, zamanlanmış bakım pencereleri planlamada yardımcı olur. Azure Hizmetleri ile ilgili sorunları tanımlar.Service Health: Azure Service Health identifies any issues with Azure Services that may affect your applications as well as assists you in planning for scheduled maintenance windows.

  • Etkinlik günlüğü: Etkinlik günlüğü aboneliklerinizdeki kaynakları tüm işlemleri açıklar.Activity log: The activity log describes all operations on resources in your subscriptions. 'Ne', belirlemek için bir denetim kaydı sağlar 'olan' ve 'olduğunda' herhangi oluşturma, güncelleştirme ve silme işlemi kaynaklar.It provides an audit trail to determine the 'what', 'who', and 'when' of any create, update, delete operation on resources. Etkinlik günlüğü olayları platform depolanır ve 90 gün boyunca sorgulamak kullanılabilir.Activity log events are stored in the platform and are available to query for 90 days. Etkinlik günlüklerini Log Analytics'e uzun saklama süreleri ve daha derin sorgulama ve analiz için birden fazla kaynak arasında alabilen.You can ingest activity logs into Log Analytics for longer retention periods and deeper querying and analysis across multiple resources.

Ayrıntılı uygulama izlemeDeep application monitoring

  • Application Insights: Application Insights, uygulamaya özgü telemetri toplama ve performans, kullanılabilirlik ve bulutta veya şirket içi uygulamalarının kullanımını izlemenize olanak sağlar.Application Insights: Application Insights enables you to collect application-specific telemetry and monitor the performance, availability, and usage of applications in the cloud or on-premises. Uygulamanızı .NET, JavaScript, JAVA, Node.js, Ruby ve Python dahil olmak üzere birden çok dil için desteklenen Sdk'leri ile izleyerek.By instrumenting your application with supported SDKs for multiple languages including .NET, JavaScript, JAVA, Node.js, Ruby, and Python. Application Insights olayları, zengin bir sorgu dili yoluyla zaman içindeki altyapı ve bağıntısını kurmanızı etkinleştirmek için güvenlik izleme ve toplama olayları destekler Log Analytics veri deposu içine alınan.Application Insights events are ingested into the same Log Analytics data store that supports infrastructure and security monitoring to enable you to correlate and aggregate events over time through a rich query language.

Ayrıntılı altyapı izlemeDeep infrastructure monitoring

  • Log Analytics: Log Analytics, çeşitli kaynaklardan telemetri ve diğer veri toplama ve uygulamalarınızın ve kaynaklarınızın çalışmasını öngörülerin bir sorgu dili ve analiz altyapısı sağlayarak, Azure izleme, merkezi bir rol oynar.Log Analytics: Log Analytics plays a central role in Azure monitoring by collecting telemetry and other data from a variety of sources and providing a query language and analytics engine that gives you insights into the operation of your applications and resources. Ya da yüksek performanslı günlük aramaları ve görünümleri yoluyla Log Analytics verileriyle ile doğrudan etkileşim kurabilen veya Application ınsights'ı veya Azure Güvenlik Merkezi gibi Log analytics'te verilerini depolayan diğer Azure hizmetlerinde analiz araçlarını kullanabilirsiniz.You can either interact directly with Log Analytics data through highly performant log searches and views, or you may use analysis tools in other Azure services that store their data in Log Analytics such as Application Insights or Azure Security Center.

  • Ağ izleme: Azure'nın ağ izleme Hizmetleri ağ trafiği akışını, performans, güvenlik, bağlantı ve performans sorunlarını kavramanıza olanak sağlar.Network monitoring: Azure's network monitoring services enable you to gain insight into network traffic flow, performance, security, connectivity, and bottlenecks. Azure Ağ Hizmetleri Ağ İzleyicisi ve ExpressRoute İzleyicisi gibi izleme yapılandırma iyi planlanmış bir ağ tasarımı içermelidir.A well-planned network design should include configuring Azure network monitoring services such as Network Watcher and ExpressRoute Monitor.

  • Yönetim çözümleri: Yönetim çözümleri paketlenmiş mantık, Öngörüler ve bir uygulama veya hizmet için önceden tanımlı Log Analytics sorguları kümeleridir.Management solutions: Management solutions are packaged sets of logic, insights, and predefined Log Analytics queries for an application or service. Bunlar, Log Analytics temelinde olay verileri depolama ve çözümleme için temel olarak kullanır.They rely on Log Analytics as the foundation to store and analyze event data. Örnek yönetim çözümleri, kapsayıcıları ve Azure SQL veritabanı analizi izleme içerir.Sample management solutions include monitoring containers and Azure SQL Database analytics.

  • Hizmet eşlemesi: Hizmet eşlemesi, diğer bilgisayarlar ve dış işlemlere, altyapı bileşenleri, işlemler ve bağımlılıklarını bir grafik görünümü sağlar.Service Map: Service Map provides a graphical view into your infrastructure components, their processes, and interdependencies on other computers and external processes. Log Analytics’te olayları, performans verilerini ve yönetim çözümlerini tümleştirir.It integrates events, performance data, and management solutions in Log Analytics.

İpucu

Belirli uyarıları oluşturmadan önce oluşturun ve Azure Uyarıları'arasında kullanılabilir paylaşılan Eylem grupları kümesini güncelleştirin.Before creating individual alerts, create and maintain a set of shared Action Groups that can be used across Azure Alerts. Bu, alıcı listelerini, bildirim teslim yöntemleri (e-posta, SMS telefon numaraları) ve dış eylemleri için Web kancaları yaşam döngüsü merkezi olarak korumak sağlayacaktır (Azure Otomasyonu runbook'ları, Azure işlevleri / Logic Apps, ITSM).This will enable you to centrally maintain the lifecycle of your recipient lists, notification delivery methods (email, SMS phone numbers) and webhooks to external actions (Azure Automation runbooks, Azure Functions / Logic Apps, ITSM).

Maliyet yönetimiCost management

Şirket içi buluttan genel buluta taşıdığınızda, karşılaşır önemli değişikliklerden biri sermaye harcamalarını (donanım satın almadan) işletim Harcamaları (hizmet için ödeme yapmak kullanmanız gibi) için anahtardır.One of the major changes that you will face when you move from on-premises cloud to the public cloud is the switch from capital expenditure (buying hardware) to operating expenditure (paying for service as you use it). Bu anahtar da maliyetlerinizi daha dikkatli Yönetimi gerektirir.This switch also requires more careful management of your costs. Bulutun yalnızca kapatmaktan veya gerekli olmadığı, yeniden boyutlandırma kullandığınız hizmetinin maliyetine temelde ve olumlu etkileyebilir avantajdır.The benefit of the cloud is that you can fundamentally and positively affect the cost of a service you use by merely shutting down or resizing it when it's not needed. Kasıtlı olarak maliyetlerinizi bulutta yönetme, önerilen bir uygulamadır ve günlük olgun müşteriler yapan bir içindir.Deliberately managing your costs in the cloud is a recommended practice and one that mature customers do daily.

Microsoft, görselleştirin, izleyin ve maliyetlerinizi yönetin yapabilmek çeşitli araçlar sağlar.Microsoft provides several tools for you to be able to visualize, track, and manage your costs. Ayrıca API'ler, özelleştirme ve maliyet Yönetimi kendi araçlarını ve panolar tümleştirme sağlamak için tam bir dizi sunuyoruz.We also provide a full set of APIs to enable you to customize and integrate cost management into your own tools and dashboards. Bu araçlar, gevşek ve dış özellikleri Azure portal özellikler gruplandırılır.These tools are loosely grouped into Azure portal capabilities and external capabilities.

Azure portal özellikleriAzure portal capabilities

Eylemleri olanağı yanı sıra maliyeti hakkında anında bilgi sağlamak için araçları şunlardır.These are tools to provide you instant information on cost as well as the ability to take actions.

  • Abonelik kaynak maliyeti: Portalı'nda bulunan Azure maliyet analizi görünümü maliyetlerinizi hızlı bir bakış sağlar ve günlük hakkında bilgi, kaynak veya kaynak grubu tarafından ayırabilirsiniz.Subscription resource cost: Located in the portal, the Azure Cost Analysis view provides a quick look at your costs and information on daily spend by resource or resource group.
  • Azure maliyet Yönetimi: Bu ürün Microsoft tarafından Cloudyn satın sonucudur ve yönetmek ve Azure diğer genel bulut sağlayıcılarında harcama yanı sıra harcamalarınızı çözümlemek sağlar.Azure Cost Management: This product is the result of the purchase of Cloudyn by Microsoft and allows you to manage and analyze your Azure spending as well as what you spend on other public cloud providers. Görüldüğü gibi hem ücretsiz hem de harika oluşturmanız zengin özellikler ile Ücretli Katmanlar vardır genel bakış.There are both free and paid tiers, with a great wealth of capabilities as seen in the overview.
  • Azure bütçe ve Eylem grupları: Ne maliyetleri ve bunun yapılması bir şey bilmek kadar kısa bir süre önce ilgili bir sorun daha fazla el ile alıştırma olmuştur.Azure budgets and action groups: Knowing what something costs and doing something about it until recently has been more of a manual exercise. Azure bütçe ve API'lerini sunulmasıyla birlikte, artık eylem oluşturmak mümkündür (görüldüğü Bu örnek) bir eşiği maliyetleri isabet edildiğinde.With the introduction of Azure Budgets and its APIs, it's now possible to create actions (as seen in this example) when costs hit a threshold. Örneğin, %100 bütçe ya da [başka bir örnek] ulaştığında bir "test" kaynak grubunu kapatılıyor.For example, shutting down a "test" resource group when it hits 100% of its budget, or [another example].
  • Azure Danışmanı bir şey maliyetleri bilerek yalnızca yarı Savaşı; diğer yarısı bu bilgileri kullanarak yapmanız gerekenler bilmektir.Azure Advisor Knowing what something costs is only half the battle; the other half is knowing what to do with that information. Azure Danışmanı paradan tasarruf, güvenilirliği artırmak veya hatta güvenliğini artırmak için gerçekleştirilecek eylemler hakkında öneriler sağlar.Azure Advisor provides you recommendations on actions to take to save money, improve reliability or even increase security.

Dış maliyet yönetimi araçlarıExternal cost management tools

  • Power BI Azure tüketim öngörüleri'ı seçin: Kuruluşunuz için kendi görselleştirmelerinizi oluşturmak istiyor musunuz?Power BI Azure Consumption Insights: Do you want to create your own visualizations for your organization? Bu durumda, ardından Power BI için Azure Consumption Insights içerik paketi, seçtiğiniz aracıdır.If so, then the Azure Consumption Insights content pack for Power BI is your tool of choice. Bu içerik paketi ve kuruluşunuzun temsil etmek için özel görselleştirmeler oluşturabileceğiniz Power BI kullanarak maliyetleri daha ayrıntılı analiz yapmak ve diğer veri kaynakları için daha fazla zenginleştirme ekleyin.Using this content pack and Power BI you can create custom visualizations to represent your organization, do deeper analysis on costs and add in other data sources for further enrichment.

  • API tüketimi: Tüketim API'leri bütçeleri, ayrılmış örnekleri ve Market ücretlerini bilgilerine ek olarak Maliyet ve kullanım verileri programlı erişim verin.Consumption API: The consumption APIs give you programmatic access to cost and usage data in addition to information on budgets, reserved instances, and marketplace charges. Bu API'leri yalnızca Kurumsal kayıtları ve bazı Web Direct aboneliklerindeki erişilebilir ancak size kendi araçlarını ve veri ambarları, maliyet verileri tümleştirme olanağı sağlar.These APIs are accessible only for Enterprise Enrollments and some Web Direct subscriptions however they give you the ability to integrate your cost data into your own tools and data warehouses. Ayrıca Azure CLI aracılığıyla bu API'lere erişme.You can also access these APIs via the Azure CLI.

Uzun vadeli ve olgun bulut kullanıcıları müşterileri bazı yüksek oranda önerilen yöntemleri uygulayın:Customers who are long-term and mature cloud users follow some highly recommended practices:

  • Maliyetleri etkin bir şekilde izleyin.Actively monitor costs. Sürekli olgun bir Azure kullanıcısı olan kuruluşlar, maliyetleri izleyin ve gerektiğinde eyleme geçin.Organizations that are mature Azure users constantly monitor costs and take actions when needed. Bazı kuruluşlar bile analizlerini ve kullanım için değişiklik önermek kişilere atayın ve ay boyunca çalıştıran kullanılmayan bir HDInsight kümesi buldukları ilk kez, kendileri için birden fazla bu kişilerin ödeyin.Some organizations even dedicate people to do analysis and suggest changes to usage, and these people more than pay for themselves the first time they find an unused HDInsight cluster that's been running for months.
  • Ayrılmış VM örnekleri kullanın.Use Reserved VM Instances. Bulut maliyetlerini yönetmek için başka bir anahtar uyarlamanız, iş için doğru aracı kullanmaktır.Another key tenet for managing costs in the cloud is to use the right tool for the job. Ayrılmış VM örneği kullanarak, 24 x 7'de kalması bir Iaas VM varsa, önemli maliyet tasarrufu sağlayacak.If you have an IaaS VM that must stay on 24x7, then using a Reserved VM Instance will save you significant money. Sanal makinelerin kapatma otomatikleştirme ve ayrılmış VM örnekleri kullanılarak arasında doğru dengeyi bulmak deneyimi ve analiz yer alır.Finding the right balance between automating the shutdown of VMs and using Reserved VM Instances takes experience and analysis.
  • Otomasyon etkili bir şekilde kullanın.Use automation effectively. Birçok iş yükleri, her gün çalıştırmanız gerekmez.Many workloads don't need to run every day. VM dört saat boyunca her gün kapatma %15 maliyetlerinizi kaydedebilirsiniz.Turning off a VM for a four-hour period every day can save you 15% of your cost. Otomasyon kendisi için hızlı bir şekilde ödeme yaparsınız.Automation will pay for itself quickly.
  • Kaynak etiketleri görünürlük için kullanın.Use resource tags for visibility. Başka bir yerde bu belgede belirtildiği gibi kaynak etiketleri kullanarak maliyetleri daha iyi analize izin verir.As mentioned elsewhere in this document, using resource tags will allow for better analysis of costs.

Çekirdeği etkili ve verimli bir genel bulut çalışan bir uzmanlık alanı maliyet yönetimidir.Cost management is a discipline that is core to the effective and efficient running of a public cloud. Başarı elde kuruluşlar, maliyetleri denetim ve bunları gerçek, isteğe bağlı olarak eşleştirmek yerine overbuying ve isteğe bağlı umarak gelir.Enterprises that achieve success can control their costs and match them to their actual demand, rather than overbuying and hoping demand comes.

OtomatikleştirAutomate

Bulut sağlayıcıları kullanan kuruluşlar, vade ayırır çok sayıda özellik dahil Otomasyon düzeyini biridir.One of the many capabilities that differentiates the maturity of organizations using cloud providers is the level of automation that they have incorporated. Otomasyon olur bir işlemdir ve kaynakları ve yapı zamanında yatırım yapmaya gerek herhangi bir alan olduğu gibi kuruluşunuz buluta taşır.Automation is a never-ending process and as your organization moves to the cloud it is any area that you need to invest resources and time in building. Otomasyon, sorunları düzeltmeyi için (burada doğrudan başka bir çekirdek iskele kavrama, şablonları ve DevOps bağlar) kaynakları tutarlı dağıtımı dahil olmak üzere pek çok amaca hizmet eder.Automation serves many purposes including consistent rollout of resources (where it ties directly to another core scaffold concept, templates and DevOps) to the remediation of issues. Otomasyon Azure yapı iskelesi, "bağlaçlar dokulu" olan ve her alan birbirine bağlar.Automation is the "connective tissue" of the Azure scaffold and links each area together.

Bazı araçlar, bu özellik, Azure Otomasyonu, Event Grid ve Azure CLI gibi birinci taraf araçlarından Terraform, Jenkins, Chef ve Puppet gibi üçüncü taraf araçları kapsamlı bir dizi oluşturmak yardımcı olabilir.Several tools can help you build out this capability, from first-party tools such as Azure Automation, Event Grid, and the Azure CLI, to an extensive number of third-party tools such as Terraform, Jenkins, Chef, and Puppet. Azure Otomasyonu, Event Grid ve Azure Cloud Shell'i çekirdek Otomasyon araçları içerir.Core automation tools include Azure Automation, Event Grid, and the Azure Cloud Shell.

  • Azure Otomasyonu runbook'ları (PowerShell veya Python) yazmanızı sağlayan bir bulut tabanlı bir özelliktir ve işlemleri otomatik hale getirmek, kaynaklarını yapılandırmak ve hatta düzeltme ekleri uygulama sağlar.Azure Automation Is a cloud-based capability that allows you to author runbooks (in either PowerShell or Python) and allows you automate processes, configure resources, and even apply patches. Azure Otomasyonu kapsamlı bir dizi çapraz aşağıda ayrıntılı olarak ele alınacak dağıtımınıza integral ancak çok geniş platform özellikleri vardır.Azure Automation has an extensive set of cross platform capabilities that are integral to your deployment but are too extensive to be covered in depth here.
  • Event Grid Azure ortamınızdaki olaylara tepki olanak tanıyan bir tam olarak yönetilen olay yönlendirme sistemidir.Event Grid is a fully managed event routing system that allows you to react to events within your Azure environment. Azure Otomasyonu olgun bulut kuruluşların bağlaçlar dokulu olduğu gibi Event Grid iyi Otomasyon bağlaçlar dokulu olduğu.Just as Azure Automation is the connective tissue of mature cloud organizations, Event Grid is the connective tissue of good automation. Event Grid kullanarak yeni bir kaynak oluşturulduğunda, yönetici e-posta gönderin ve bu kaynak bir veritabanına günlük basit bir sunucusuz işlem oluşturabilirsiniz.Using Event Grid, you can create a simple serverless action to send an email to an administrator whenever a new resource is created and log that resource to a database. Bu aynı Event Grid, bir kaynağı sildi bildirir ve öğesi veritabanından kaldırın.That same Event Grid can notify when a resource is deleted and remove the item from the database.
  • Azure Cloud Shell etkileşimli, tarayıcı tabanlı olduğundan Kabuk Azure kaynaklarını yönetmek için.Azure Cloud Shell is an interactive, browser-based shell for managing resources in Azure. Bash veya PowerShell eksiksiz bir ortam sağlayan komut dosyalarınızı çalıştırmak üzere tutarlı bir ortam olması gerekli (ve sizin için tutulan) olarak başlatıldı.It provides a complete environment for either PowerShell or Bash that is launched as needed (and maintained for you) so that you have a consistent environment from which to run your scripts. Azure Cloud Shell, ortam dahil otomatik hale getirmek için ek anahtar araçları - yüklü--erişim sağlar. Azure CLI, Terraform ve artan birçok ek araçları kapsayıcıları, veritabanları (sqlcmd) ve daha fazlasını yönetmek için.The Azure Cloud Shell provides access to additional key tools -already installed-- to automate your environment including Azure CLI, Terraform and a growing list of additional tools to manage containers, databases (sqlcmd), and more.

Otomasyon tam zamanlı bir iş ve bunu hızlı bir şekilde bulut ekibiniz içinde işletimsel en önemli görevlerden birini hale gelir.Automation is a full-time job, and it will rapidly become one of the most important operational tasks within your cloud team. "İlk otomatikleştirmek" yaklaşımı kuruluşlar, Azure'ı kullanarak büyük başarı vardır:Organizations that take the approach of "automate first" have greater success in using Azure:

  • Maliyetleri yönetme: Etkin bir şekilde fırsatları arayan ve kaynakları, yeniden boyutlandırmak için Otomasyon oluşturma ölçeği artırın veya azaltın ve kullanılmayan kaynakları kapatın.Managing costs: Actively seeking opportunities and creating automation to resize resources, scale up or down, and turn off unused resources.
  • İşletimsel esneklik: Otomasyonla (birlikte, şablonları ve DevOps) kullanılabilirliğini artırır, güvenliği artırır ve takımınızın iş sorunlarına odaklanmanıza olanak sağlayan yinelenebilirliği düzeyini elde edin.Operational flexibility: With automation (along with templates and DevOps), you gain a level of repeatability that increases availability, increases security, and enables your team to focus on solving business problems.

Şablonlar ve DevOpsTemplates and DevOps

Vurgulanan otomatikleştirme bölümünde, bir kuruluş olarak, hedef kaynak-denetimli şablonları ve betikler aracılığıyla kaynakları sağlamak ve etkileşimli yapılandırma ortamlarınızda en aza indirmek için olmalıdır.As highlighted in the Automate section, your goal as an organization should be to provision resources through source-controlled templates and scripts and to minimize interactive configuration of your environments. "Kod olarak altyapı" sürekli dağıtım için bir disiplinli DevOps işleminin yanı sıra, bu yaklaşım, tutarlılığı sağlamak ve kaymaları ortamlarınızda azaltın.This approach of "infrastructure as code" along with a disciplined DevOps process for continuous deployment can ensure consistency and reduce drift across your environments. Neredeyse her Azure kaynağı aracılığıyla dağıtılabilir Azure Resource Manager JSON şablonları PowerShell veya Azure çapraz platform CLI ve Terraform Hashicorp gelen gibi araçları ile birlikte (birinci sınıf desteğe sahip olduğu ve Azure Cloud shell'e tümleşik).Almost every Azure resource is deployable through Azure Resource Manager JSON templates in conjunction with PowerShell or the Azure cross platform CLI and tools such as Terraform from Hashicorp (which has first class support and integrated into the Azure Cloud Shell).

Gibi makale Azure Resource Manager şablonlarını kullanarak için en iyi yöntemler sağlamak en iyi uygulamalar ve Azure Resource Manager şablonları ile DevOpsyaklaşımıuygulamakiçinöğrenilenDerslereharikabirtartışmaAzure DevOps araç zinciri.Article such as Best practices for using Azure Resource Manager templates provide an excellent discussion of best practices and lessons learned for applying a DevOps approach to Azure Resource Manager templates with the Azure DevOps toolchain. Zaman ve çaba kuruluşunuzun gereksinimlerine özgü şablonları çekirdek kümesini geliştirme ve DevOps araç zincirlerinden (örneğin, Azure DevOps, Jenkins, Bamboo, TeamCity ve kalabalık), sürekli teslim işlem hatlarında geliştirmek için almak için özellikle, Üretim ve QA ortamları.Take the time and effort to develop a core set of templates specific to your organization's requirements, and to develop continuous delivery pipelines with DevOps toolchains (such as Azure DevOps, Jenkins, Bamboo, TeamCity, and Concourse), especially for your production and QA environments. Oluşan büyük bir kitaplık sunulmaktadır Azure hızlı başlangıç şablonları github'da şablonları için başlangıç noktası olarak kullanabilirsiniz ve Azure ile DevOps teslim bulut tabanlı işlem hatlarını hızlıca oluşturabilirsiniz.There is a large library of Azure Quickstart templates on GitHub that you can use as a starting point for templates, and you can quickly create cloud-based delivery pipelines with Azure DevOps.

Üretim Abonelikleriniz veya kaynak grupları için en iyi uygulama, amacınız RBAC güvenlik varsayılan ve tüm kaynakları sağlamak için hizmet ilkelerini temel alan otomatik sürekli teslim işlem hatları kullanarak etkileşimli kullanıcıların kullanması gerektiğini ve tüm uygulama kodu sunun.As a best practice for production subscriptions or resource groups, your goal should be using RBAC security to disallow interactive users by default and using automated continuous delivery pipelines based on service principals to provision all resources and deliver all application code. Hiçbir yönetim veya Geliştirici kaynaklarını etkileşimli olarak yapılandırmak için Azure portalını touch.No admin or developer should touch the Azure portal to interactively configure resources. Bu düzeyde DevOps verisine uyumlaştırılmış çaba alır ve kuruluşunuzun karşılayan tutarlı ve daha güvenli bir ortam sağlayan Azure iskele kavramlarını ölçeklendirmek için gereken her şeyi kullanır.This level of DevOps takes a concerted effort and uses all the concepts of the Azure scaffold, providing a consistent and more secure environment that will meet your organization's need to scale.

İpucu

Tasarlama ve geliştirme karmaşık Azure Resource Manager şablonlarını kullanarak bağlı şablonları düzenlemek ve tek parça JSON dosyalarından karmaşık kaynak ilişkilerini yeniden düzenleyin.When designing and developing complex Azure Resource Manager templates, use linked templates to organize and refactor complex resource relationships from monolithic JSON files. Bu, kaynakları ayrı ayrı yönetmek ve şablonlarınızı daha okunabilir, test edilebilir ve yeniden kullanılabilir hale getirmek sağlayacaktır.This will enable you to manage resources individually and make your templates more readable, testable, and reusable.

Azure, Hiper ölçekli bulut sağlayıcısıdır.Azure is a hyperscale cloud provider. Kuruluşunuz, şirket içi sunuculardan buluta taşımak gibi bulut sağlayıcıları ve SaaS uygulamalarını aynı kavramlar üzerinde bağlı olan kuruluşunuzun işletme ihtiyaçlarını daha verimli bir şekilde tepki kullanım yardımcı olur.As you move your organization from on-premises servers to the cloud, relying on the same concepts that cloud providers and SaaS applications use will help your organization react to the needs of the business much more efficiently.

Çekirdek AğCore network

Son Azure iskele başvuru modeli, kuruluşunuzun Azure, güvenli bir şekilde nasıl eriştiğini çekirdeğini bileşenidir.The final component of the Azure scaffold reference model is core to how your organization accesses Azure, in a secure manner. Kaynaklara erişimi (corporation'ın ağ içinde) iç veya dış (Internet) aracılığıyla olabilir.Access to resources can be either internal (within the corporation's network) or external (through the internet). Kuruluşunuzdaki kullanıcıların yanlışlıkla kaynaklar içinde yanlış yere yerleştirin ve olası kötü amaçlı erişimi açabilirsiniz kolaydır.It is easy for users in your organization to inadvertently put resources in the wrong spot, and potentially open them to malicious access. İle şirket içi cihazlar gibi kuruluşların uygun denetimleri, Azure kullanıcılarının doğru kararlar emin olmak için eklemeniz gerekir.As with on-premises devices, enterprises must add appropriate controls to ensure that Azure users make the right decisions. Abonelik İdaresi için size temel Denetim erişim sağlayan çekirdek kaynakları belirleyin.For subscription governance, we identify core resources that provide basic control of access. Çekirdek kaynakları oluşur:The core resources consist of:

  • Sanal ağlar alt ağlar için kapsayıcı nesneleridir.Virtual networks are container objects for subnets. Kesinlikle gerekli'da, iç şirket ağlarına uygulamalara bağlanırken genellikle kullanılır.Though not strictly necessary, it is often used when connecting applications to internal corporate resources.
  • Kullanıcı tanımlı yollar yönlendirme tablosunu bir alt ağ, ağ sanal Gereci aracılığıyla veya uzak bir ağ geçidi eşlenmiş sanal ağdaki trafik göndermeyi etkinleştirme değiştirmenize izin veren.User-defined routes allow you to manipulate the route table within a subnet enabling you to send traffic through a network virtual appliance or to a remote gateway on a peered virtual network.
  • Sanal Ağ eşlemesi Hizmetleri ağları paylaşılan ya da daha karmaşık bir hub ve bağlı bileşen tasarımı oluşturma iki veya daha fazla Azure sanal ağları, sorunsuz bir şekilde bağlamanıza olanak sağlar.Virtual network peering enables you to seamlessly connect two or more Azure virtual networks, creating more complex hub and spoke designs or shared services networks.
  • Hizmet uç noktaları.Service endpoints. Geçmişte, PaaS Hizmetleri sanal ağlarınıza bu kaynaklara güvenli erişim için farklı yöntemler yararlandı.In the past, PaaS services relied on different methods to secure access to those resources from your virtual networks. Hizmet uç noktaları etkinleştirilmiş PaaS hizmetlerinden güvenli erişim izin yalnızca bağlı uç noktaları, genel güvenliği artırma.Service endpoints allow you to secure access to enabled PaaS services from only connected endpoints, increasing overall security.
  • Güvenlik grupları izin ver veya Reddet/Azure kaynaklarından gelen ve giden trafiğe olanağı sağlayan kuralları kapsamlı bir dizi.Security groups are an extensive set of rules that provide the ability to allow or deny inbound and outbound traffic to/from Azure resources. Güvenlik grupları ile genişletilmiş güvenlik kuralları oluşur hizmet etiketleri (Azure anahtar kasası veya Azure SQL veritabanı gibi yaygın Azure hizmetleri tanımlayan) ve uygulama güvenlik grupları (hangi tanımlama ve uygulama yapısı, web sunucuları veya uygulama sunucuları gibi).Security groups consist of security rules that can be augmented with service tags (which define common Azure services such as Azure Key Vault or Azure SQL Database) and application security groups (which define and application structure, such as web servers or app servers).

İpucu

Hizmet etiketleri ve uygulama güvenlik grupları ağ güvenlik gruplarınızda yalnızca kurallarınızı okunabilirliğini geliştirmek için kullanın—anlama etkisi çok önemli olduğu—ancak aynı zamanda etkin microsegmentation içinde etkinleştirmek için bir genişlemesi azaltarak ve esneklik artan büyük bir alt ağ.Use service tags and application security groups in your network security groups to not only enhance the readability of your rules—which is crucial to understanding impact—but also to enable effective microsegmentation within a larger subnet, reducing sprawl and increasing flexibility.

Azure Sanal Veri MerkeziAzure Virtual Datacenter

Azure, hem iç özellikleri hem de geçerli güvenlik bir tutum sergilemek olmasını sağlayan kapsamlı iş ortağı ağımız üçüncü taraf özelliklerini sağlar.Azure provides you both internal capabilities and third-party capabilities from our extensive partner network that enable you to have an effective security stance. Microsoft, en iyi uygulamalar ve kılavuz şeklindeki daha da önemlisi, sağlar Azure sanal veri merkezi (VDC).More importantly, Microsoft provides best practices and guidance in the form of the Azure Virtual Datacenter (VDC). VDC Kılavuzu karma özellikler kullanan birden çok iş yükleri için tek bir iş yükünden taşırken, "azure'da iş yüklerinizi büyüdükçe genişleyebilecek bir esnek, ağ etkinleştirmek için tarif" ile sağlayacaktır.As you move from a single workload to multiple workloads that use hybrid capabilities, the VDC guidance will provide you with "recipes" to enable a flexible, network that will grow as your workloads in Azure grow.

Sonraki adımlarNext steps

İdare, Azure'nın başarısı için önemlidir.Governance is crucial to the success of Azure. Bu makalede teknik uygulamasını bir kurumsal iskelesi hedefler, ancak yalnızca daha geniş işlemi ve bileşenleri arasındaki ilişkiler geliştirmelere değinmektedir.This article targets the technical implementation of an enterprise scaffold but only touches on the broader process and relationships between the components. İlke yönetimi üstten aşağı akar ve hangi iş elde etmek isteyen tarafından belirlenir.Policy governance flows from the top down and is determined by what the business wants to achieve. Doğal olarak, bir yönetim modeli oluşturmak için Azure temsilcileri içerir BT, ancak daha da önemlisi güçlü iş grubu Liderleri ve güvenlik ve risk yönetimi temsilinden olmalıdır.Naturally, the creation of a governance model for Azure includes representatives from IT, but more importantly it should have strong representation from business group leaders, and security and risk management. Sonunda bir kurumsal iskelesi, kuruluşun misyonu ve hedefleri kolaylaştırmak için iş riski azaltılmasıyla ilgilidir.In the end, an enterprise scaffold is about mitigating business risk to facilitate an organization's mission and objectives.

Abonelik İdaresi hakkında bilgi edindiniz, bu uygulamada bu önerileri görmenin zamanıdır.Now that you have learned about subscription governance, it's time to see these recommendations in practice. Bkz: Azure abonelik İdaresi uygulama örnekleri.See Examples of implementing Azure subscription governance.