Azure Kurumsal iskelesi: Öngörücü abonelik idaresiAzure enterprise scaffold: Prescriptive subscription governance

Kuruluşlar, esneklik ve Çeviklik için genel bulut giderek artıyor.Enterprises are increasingly adopting the public cloud for its agility and flexibility. Bunlar, bulutun gücü, gelir ve iş için kaynak kullanımını iyileştirmek için kullanır.They utilize the cloud's strengths to generate revenue and optimize resource usage for the business. Microsoft Azure Hizmetleri ve Özellikler kuruluşların iş yüklerini ve uygulamaları geniş bir yelpazede yönelik yapı taşları gibi birleştirin çok sayıda sağlar.Microsoft Azure provides a multitude of services and capabilities that enterprises assemble like building blocks to address a wide array of workloads and applications.

Microsoft Azure'ı kullanmaya karar vermeden bulut avantajlarını elde etmek için yalnızca ilk adımdır.Deciding to use Microsoft Azure is only the first step to achieving the benefit of the cloud. İkinci adım, nasıl Kurumsal etkili bir şekilde Azure kullanabilir ve gibi soruları için yapılması gereken temel yetenekleri belirle anlamaktır:The second step is understanding how the enterprise can effectively use Azure and identify the baseline capabilities that need to be in place to address questions like:

  • "Veri özerkliğiyle endişe istiyorum; nasıl veri ve sistemleri bizim Mevzuat gereksinimlerini karşıladığından emin?""I'm concerned about data sovereignty; how can I ensure that my data and systems meet our regulatory requirements?"
  • "Nasıl miyim ve doğru bir şekilde geri fatura için hesap için hangi her kaynak destekleyen bilebilirim?""How do I know what every resource is supporting so I can account for it and bill it back accurately?"
  • "Her şeyi dağıtın veya genel bulutta yapmak güvenlik'ın anlayış ile ilk olarak, bunu kolaylaştırır nasıl yardımcı başladığından emin olmak istiyorum?""I want to make sure that everything we deploy or do in the public cloud starts with the mindset of security first, how do I help facilitate that?"

Hiçbir koruma rails ile boş bir aboneliğin Aday müşteri göz korkutucu.The prospect of an empty subscription with no guard rails is daunting. Bu boşluk azure'a geçişinizi engel olabilir.This blank space can hamper your move to Azure.

Bu makalede İdaresi için gereken adres ve çeviklik gerek dengelemek teknik uzmanlar için bir başlangıç noktası sağlar.This article provides a starting point for technical professionals to address the need for governance and balance it with the need for agility. Bu, kuruluşların uygulama ve güvenli bir şekilde Azure ortamlarını yönetme yönlendiren bir kurumsal iskelesi kavramını sunar.It introduces the concept of an enterprise scaffold that guides organizations in implementing and managing their Azure environments in a secure way. Bu, etkili ve verimli denetimleri geliştirmek için bir çerçeve sunar.It provides the framework to develop effective and efficient controls.

İdare gereksinimiNeed for governance

Azure'a taşırken, kuruluş içindeki bulut kullanımını başarılı olmak için idare erken konu incelemeniz gerekir.When moving to Azure, you must address the topic of governance early to ensure the successful use of the cloud within the enterprise. Ne yazık ki, zaman kapsamlı idare sistem oluşturma geçmişi anlamına gelir ve kurumsal BT karıştırılmaksızın doğrudan sağlayıcıları için bazı iş gruplarına gidin.Unfortunately, the time and bureaucracy of creating a comprehensive governance system means some business groups go directly to providers without involving enterprise IT. Bu yaklaşım, kurumsal kaynaklar düzgün bir şekilde yönetilmeyen, tehlikeye için açık bırakabilirsiniz.This approach can leave the enterprise open to compromise if the resources are not properly managed. -Çeviklik, esneklik ve tüketim tabanlı fiyatlandırma - genel bulut özelliklerini (iç ve dış) müşteri taleplerini karşılamak için hızla gereken iş gruplarına önemlidir.The characteristics of the public cloud - agility, flexibility, and consumption-based pricing - are important to business groups that need to quickly meet the demands of customers (both internal and external). Ancak, kurumsal BT veri ve sistemlere etkili bir şekilde korunduğundan emin olması gerekir.But, enterprise IT needs to ensure that data and systems are effectively protected.

Bir yapı oluşturulurken yapı iskelesi bir yapının temel oluşturmak için kullanılır.When creating a building, scaffolding is used to create the basis of a structure. İskele genel anahat kılavuzları ve bağlantı noktalarını daha kalıcı sistemleri bağlanmasını sağlar.The scaffold guides the general outline and provides anchor points for more permanent systems to be mounted. Bir kurumsal iskelesi aynıdır: esnek denetimleri ve yapı ortamı ve bağlantıları üzerinde genel bulutta oluşturulan hizmetleri sağlayan Azure özellikleri kümesi.An enterprise scaffold is the same: a set of flexible controls and Azure capabilities that provide structure to the environment, and anchors for services built on the public cloud. Oluşturucular sağlar (BT ve iş gruplarının) oluşturmak ve teslim hızını göz önünde bulundurarak yeni hizmet eklemek için bir temel.It provides the builders (IT and business groups) a foundation to create and attach new services keeping speed of delivery in mind.

İskele biz birçok yaşadığımız çeşitli boyutlardaki deneyimlerden istemcilerle topladıktan uygulamaları temel alır.The scaffold is based on practices we have gathered from many engagements with clients of various sizes. Bu büyük çok uluslu kuruluşlara ve iş yüklerini geçirme bağımsız yazılım satıcıları bulut çözümleri geliştirme ve buluta özgü çözümleri geliştirme Küçük kuruluşlarda istemciler arasındadır.Those clients range from small organizations developing solutions in the cloud to large multi-national enterprises and independent software vendors who are migrating workloads and developing cloud-native solutions. Kurumsal iskelesi "hem geleneksel BT iş yüklerini ve Çevik iş yükleri; desteklemek için esnek olmak için özel olarak tasarlanmış" gibi hizmet olarak yazılım-a-(SaaS) uygulama oluşturan geliştiricilere, Azure platformu becerilerine dayalı.The enterprise scaffold is "purpose-built" to be flexible to support both traditional IT workloads and agile workloads; such as, developers creating software-as-a-service (SaaS) applications based on Azure platform capabilities.

Kurumsal iskelesi temelini yeni her Azure aboneliğinde olması amaçlanmıştır.The enterprise scaffold is intended to be the foundation of each new subscription within Azure. Ancak, iş yükleri, iş grupları ve geliştiriciler hızlı bir şekilde kendi hedeflerimize dan engelleyen olmadan, bir kuruluşun en düşük idare gereksinimleri karşıladığından emin olmak yöneticileri etkinleştirir.It enables administrators to ensure workloads meet the minimum governance requirements of an organization without preventing business groups and developers from quickly meeting their own goals. Bu önemli ölçüde hızlandırır yerine yavaşlatır, genel bulut büyüme deneyimimizi gösterir.Our experience shows that this greatly speeds, rather than impedes, public cloud growth.

Not

Microsoft, yeni bir özellik adında önizleme sürümünü yayımladı Azure şemaları olanak sağlayan paket, yönetmek ve ortak görüntüleri, şablonlar, ilkeleri ve betikleri aboneliklerini ve Yönetim grupları arasında dağıtın.Microsoft has released into preview a new capability called Azure Blueprints that will enable you to package, manage, and deploy common images, templates, policies, and scripts across subscriptions and management groups. Bu özellik, başvuru modeli iskele'nın amaca ve kuruluşunuza bu modeli dağıtma arasında köprü yöneliktir.This capability is the bridge between the scaffold's purpose as reference model and deploying that model to your organization.

Aşağıdaki görüntüde, iskele bileşenleri gösterilmektedir.The following image shows the components of the scaffold. Temel yönetim hiyerarşisine ve abonelikleri için sağlam bir plan kullanır.The foundation relies on a solid plan for the management hierarchy and subscriptions. Yapı taşları, Resource Manager ilkeleri ve tanımlayıcı adlandırma standartlarına oluşur.The pillars consist of Resource Manager policies and strong naming standards. İskele geri kalanı olan temel Azure özellikleri ve özellikleri etkinleştirmek ve güvenli ve yönetilebilir bir ortama bağlanın.The rest of the scaffold are core Azure capabilities and features that enable and connect a secure and manageable environment.

Kurumsal iskelesi

Hiyerarşiniz tanımlayınDefine your hierarchy

İskele Abonelikleriniz ve kaynak gruplarınız için Azure Kurumsal kayıt ilişkisini ve hiyerarşi temelini oluşturur.The foundation of the scaffold is the hierarchy and relationship of the Azure Enterprise Enrollment through to subscriptions and resource groups. Kurumsal kayıt şirketinizdeki sözleşmeye dayalı bir açısından Azure hizmetlerini ve şekli tanımlar.The enterprise enrollment defines the shape and use of Azure services within your company from a contractual point of view. Kurumsal Anlaşma içinde Departmanlar, hesaplar, ortama daha fazla alt bölümlere ve son olarak, abonelikler ve kaynak grupları, kuruluşunuzun yapısını eşleştirilecek.Within the enterprise agreement, you can further subdivide the environment into departments, accounts, and finally, subscriptions and resource groups to match your organization's structure.

hiyerarşi

Bir Azure aboneliği, tüm kaynakların bulunduğu temel birimidir.An Azure subscription is the basic unit where all resources are contained. Ayrıca, Azure, çekirdek sayısı, sanal ağlar ve diğer kaynakları gibi çeşitli sınırlarda tanımlar.It also defines several limits within Azure, such as number of cores, virtual networks and other resources. Azure kaynak grupları, daha fazla abonelik modeli geliştirmek ve kaynakların daha doğal bir gruplandırma etkinleştirmek için kullanılır.Azure Resource Groups are used to further refine the subscription model and enable a more natural grouping of resources.

Her Kurumsal farklıdır ve yukarıdaki görüntüde hiyerarşide Azure, şirket içinde nasıl düzenlendiği önemli ölçüde esneklik sağlar.Every enterprise is different and the hierarchy in the above image allows for significant flexibility in how Azure is organized within your company. Faturalandırma, kaynak yönetimi için şirketinizin ihtiyaçlarını yansıtmak hiyerarşinize modelleme ve kaynak erişimi olan ilk — ve en önemli — genel bulutta başlatma sırasında yaptığınız karar.Modeling your hierarchy to reflect the needs of your company for billing, resource management, and resource access is the first — and most important — decision you make when starting in the public cloud.

Departmanlar ve hesaplarDepartments and Accounts

Azure kayıtları için üç genel düzen vardır:The three common patterns for Azure Enrollments are:

  • İşlevsel düzeniThe functional pattern

    işlev

  • Departman düzeniThe business unit pattern

    başlar

  • Coğrafi düzeniThe geographic pattern

    coğrafi

Her yanı sıra bu modellerin onun yerine içermese departman deseni giderek benimsenen modeli hem de aralık denetiminin yansıtan bir kuruluş modelleme esnek maliyet.Though each of these patterns has its place, the business unit pattern is increasingly being adopted for its flexibility in modeling an organization's cost model as well as reflecting span of control. Microsoft Core mühendislik ve işlemler grubu bir alt kümesini oluşturdu departman çok etkili modeli modellenmiş üzerinde Federal, durumuve Yerel.Microsoft Core Engineering and Operations group has created a sub-set of the business unit pattern that is very effective, modeled on Federal, State, and Local. (Daha fazla bilgi için Abonelikleriniz ve kaynak gruplarınız kuruluş içinde düzenleme.)(For more information, see Organizing subscriptions and resource groups within the Enterprise.)

Yönetim GruplarıManagement Groups

Microsoft kısa süre önce hiyerarşiniz modelleme yeni bir yolunu kullanıma sundu: Azure Yönetim grupları.Microsoft has recently released a new way of modeling your hierarchy: Azure management groups. Yönetim grupları Departmanlar ve hesapları çok daha esnektir ve en fazla altı düzeyinde yuvalanabilir.Management groups are much more flexible than departments and accounts and can be nested up to six levels. Yönetim grupları fatura hiyerarşiniz, yalnızca için kaynakların verimli yönetim sunucusundan ayrı bir hiyerarşisi oluşturmanızı sağlar.Management groups allow you to create a hierarchy that is separate from your billing hierarchy, solely for efficient management of resources. Yönetim grupları fatura hiyerarşinizi yansıtabilirsiniz ve genellikle kuruluşların bu şekilde başlatın.Management groups can mirror your billing hierarchy and often enterprises start that way. Bunları, kuruluşunuzun modeli kullandığınız zaman ancak yönetim gruplarının güçtür burada ilişkili abonelikleri — fatura hiyerarşi içinde bulunduğu bakılmaksızın — birlikte gruplanır ve sık kullanılan rolleri atanmış gerekir yanı ilke ve girişim.However, the power of management groups is when you use them to model your organization where related subscriptions — regardless where they are in the billing hierarchy — are grouped together and need common roles assigned as well as policies and initiatives. Birkaç örnek:A few examples:

  • Üretim ortamlarında/üretim dışı.Production/Non-Production. Bazı kuruluşlar kendi üretim ve üretim dışı abonelikleri tanımlamak için Yönetim grupları oluşturun.Some enterprises create management groups to identify their production and non-production subscriptions. Yönetim gruplarına izin Bu müşteriler daha kolayca yönetin rolleri ve ilkeleri, örneğin: üretim dışı abonelik geliştiriciler "katılımcı" erişim izin, ancak üretim ortamında, yalnızca "okuyucu" erişimine sahiptirler.Management groups allow these customers to more easily manage roles and policies, for example: non-production subscription may allow developers "contributor" access, but in production, they have only "reader" access.
  • İç Hizmetleri/dış Hizmetler.Internal Services/External Services. İç Hizmetleri vs dış (müşteri karşılıklı) Hizmetleri için çok üretim/üretim dışı gibi kuruluşların genellikle farklı gereksinimleri, ilkeleri ve roller vardır.Much like Production/Non-Production, enterprises often have different requirements, policies and roles for internal services vs external (customer facing) services.

Yönetim gruplarının düşündüğünüz iyi olan Azure ilke ve girişim birlikte verimli idare Azure omurga.Well thought out management groups are, along with Azure Policy and Initiatives the backbone of efficient governance of Azure.

AboneliklerSubscriptions

Bölümler ve hesapları (veya Yönetim grupları) karar verirken, öncelikle kuruluşunuz eşleştirmek için Azure ortamınızı ayarlamaya nasıl bölme en arıyoruz.When deciding on your Departments and Accounts (or management groups), you are primarily looking at how you're dividing up your Azure environment to match your organization. Abonelikler, ancak burada gerçek iş olur ve güvenlik, ölçeklenebilirlik ve faturalandırma burada kararlarınızı etkileyebilir değildir.Subscriptions, however, are where the real work happens and your decisions here impact security, scalability and billing. Çoğu kuruluş, kılavuz olarak aşağıdaki desenle bakın:Many organizations look at the following patterns as their guides:

  • Uygulama/hizmet: Bir uygulamayı veya hizmeti (Portföy uygulamaların) abonelikleri temsil ederApplication/Service: Subscriptions represent an application or a service (portfolio of applications)
  • Yaşam döngüsü: Abonelikleri, üretim veya geliştirme gibi bir hizmet ömrünün temsil eder.Lifecycle: Subscriptions represent a lifecycle of a service, such as Production or Development.
  • Departman: Abonelikler, kuruluşunuzdaki departmanları gösterir.Department: Subscriptions represent departments in the organization.

İlk iki deseni en yaygın olarak kullanılır ve her ikisi de özellikle önerilir.The first two patterns are the most commonly used, and both are highly recommended. Yaşam döngüsü yaklaşım, çoğu kuruluş için uygundur.The Lifecycle approach is appropriate for most organizations. Bu durumda, iki temel abonelik kullanılacak genel kullanılması önerilir.In this case, the general recommendation is to use two base subscriptions. "Üretim" ve "Üretim dışı" ve ardından daha fazla ortamları ayırmak için kaynak gruplarını kullanın."Production" and "Non-Production," and then use resource groups to break out the environments further.

Kaynak gruplarıResource groups

Azure Resource Manager, yönetim, faturalama veya doğal benzeşimi anlamlı gruplara kaynakları yerleştirilmesine olanak sağlar.Azure Resource Manager enables you to put resources into meaningful groups for management, billing, or natural affinity. Kaynak grupları, ortak bir yaşam döngüsü veya "tüm SQL sunucuları" gibi bir özniteliği paylaşan kaynakların kapsayıcılardır veya "Uygulama A".Resource groups are containers of resources that have a common life cycle or share an attribute such as "all SQL servers" or "Application A".

Kaynak grupları iç içe geçirilemez ve kaynakları yalnızca bir kaynak grubuna ait olabilir.Resource groups can't be nested, and resources can only belong to one resource group. Bazı Eylemler, bir kaynak grubundaki tüm kaynaklar üzerinde işlem yapabileceğiniz.Some actions can act on all resources in a resource group. Örneğin, bir kaynak grubunun silinmesi, kaynak grubu içindeki tüm kaynaklar kaldırır.For example, deleting a resource group removes all resources within the resource group. Abonelikleri gibi ortak desenler kaynak grupları oluştururken bulunur ve "Geleneksel BT" İş "Çevik BT" iş yükleri için farklılık gösterir:Like subscriptions, there are common patterns when creating resource groups and will vary from "Traditional IT" workloads to "Agile IT" workloads:

  • "Geleneksel BT" iş yükleri en yaygın olarak gruplandırılır öğeleri göre bir uygulama gibi aynı yaşam döngüsü içinde."Traditional IT" workloads are most commonly grouped by items within the same life cycle, such as an application. Uygulama tarafından gruplandırma için tek tek uygulama yönetimi sağlar.Grouping by application allows for individual application management.
  • "Çevik BT" iş yükleri eğilimli dış müşterilere yönelik bulut uygulamaları üzerinde odaklanabilirsiniz."Agile IT" workloads tend to focus on external customer-facing cloud applications. Kaynak grupları (örneğin, Web katmanı, uygulama katmanı) dağıtım katmanlarını genellikle yansıtır ve yönetim.The resource groups often reflect the layers of deployment (such as Web Tier, App Tier) and management.

Not

İş yükünüz anlama, bir kaynak grubu stratejisi geliştirmenize yardımcı olur.Understanding your workload helps you develop a resource group strategy. Bu düzenleri karışık ve eşleşti.These patterns can be mixed and matched. Örneğin, bir paylaşılan hizmetler kaynak grubunda "Çevik" kaynak grupları aynı abonelik.For example, a shared services resource group in the same subscription as "Agile" resource groups.

Adlandırma standartlarınaNaming standards

Birinci unsuru iskele, tutarlı bir adlandırma standardı ' dir.The first pillar of the scaffold is a consistent naming standard. İyi tasarlanmış bir adlandırma standartlarına portalında, fatura ve komut dosyaları içindeki kaynakları belirlemek üzere etkinleştirin.Well-designed naming standards enable you to identify resources in the portal, on a bill, and within scripts. Büyük olasılıkla zaten şirket içi altyapı için varolan adlandırma standartlarına vardır.You likely already have existing naming standards for on-premises infrastructure. Azure ortamınıza eklerken, bu adlandırma standartlarına Azure kaynaklarınıza genişletmelidir.When adding Azure to your environment, you should extend those naming standards to your Azure resources.

İpucu

Adlandırma kuralları için:For naming conventions:

  • Gözden geçirin ve mümkün olduğunda benimseyin desenler ve uygulamalar Kılavuzu.Review and adopt where possible the Patterns and Practices guidance. Bu kılavuz, anlamlı bir adlandırma standardı üzerinde karar vermenize yardımcı olur ve kapsamlı örnekler sağlar.This guidance helps you decide on a meaningful naming standard and provides extensive examples.
  • Adlandırma standartlarına uygulanmasına yardımcı olmak için Resource Manager ilkeleri kullanmaUsing Resource Manager Policies to help enforce naming standards

Adları daha sonra değiştirmek zordur, artık bu nedenle işlem birkaç dakika kaydedin, daha sonra sorun unutmayın.Remember that it's difficult to change names later, so a few minutes now will save you trouble later.

Bu kaynaklar daha yaygın olarak kullanılan ve aradığınız adlandırma standartlarınıza yoğunlaşır.Concentrate your naming standards on those resources that are more commonly used and searched for. Örneğin, tüm kaynak grupları açıklık için güçlü bir standart izlemeniz.For example, all resource groups should follow a strong standard for clarity.

Kaynak EtiketleriResource Tags

Kaynak etiketleri sıkı bir şekilde standartları adlandırma ile hizalanır.Resource tags are tightly aligned with naming standards. Kaynak abonelik eklendikçe faturalama, yönetim ve işlemsel amaçlar için mantıksal olarak kategorilere giderek önemli hale gelir.As resources are added to subscriptions, it becomes increasingly important to logically categorize them for billing, management, and operational purposes. Daha fazla bilgi için Azure kaynağınıza düzenlemek için etiketleri kullanma.For more information, see Use tags to organize your Azure Resource.

Önemli

Etiketler, kişisel bilgiler içerebilir ve GDPR düzenlemelere altında kalan.Tags can contain personal information and may fall under the regulations of GDPR. Etiketlerinizi yönetimi için dikkatle planlayın.Plan for management of your tags carefully. GDPR bölümünü GDPR hakkında genel bilgiler arıyorsanız bkz hizmet güveni portalı.If you're looking for general info about GDPR, see the GDPR section of the Service Trust Portal.

Etiketler, faturalandırma ve yönetim ötesinde birçok şekilde kullanılır.Tags are used in many ways beyond billing and management. Bunlar genellikle Otomasyon bir parçası olarak kullanılır (sonraki bölüme bakın).They are often used as part of automation (see later section). Bu çakışmaları neden olabilir değilse Önden kabul.This can cause conflicts if not considered up front. (ApplicationOwner CostCenter gibi gibi) Kurumsal düzeydeki tüm ortak etiketleri tanımlamak ve bunları Otomasyon kullanarak kaynakları dağıtırken tutarlı bir şekilde uygulamak için önerilen yöntemdir bakın.The recommended practice is to identify all the common tags at the enterprise level (such as ApplicationOwner, CostCenter) and apply them consistently when deploying resources using automation.

Azure İlkesi ve girişimler--Azure Policy and Initiatives

Yapı iskelesi, ikinci sütun kullanılmasına Azure ilke ve girişim kaynaklarını ve Hizmetleri aboneliklerinizdeki üzerinden kurallarıyla (etkiler) zorunlu tutarak riski yönetmek için.The second pillar of the scaffold involves using Azure Policy and Initiatives to manage risk by enforcing rules (with effects) over the resources and services in your subscriptions. Azure girişimler tek bir hedefe ulaşmak için tasarlanmış ilkeler koleksiyonlarıdır.Azure Initiatives are collections of policies that are designed to achieve a single goal. Azure İlkesi ve girişimler belirli ilke zorlama başlamak için bir kaynak kapsamına atanır.Azure policy and initiatives are then assigned to a resource scope to begin enforcement of the particular policies.

Azure İlkesi ve girişimler daha önce bahsedilen yönetim gruplarıyla kullanıldığında daha güçlü.Azure Policy and Initiatives are even more powerful when used with the management groups mentioned earlier. Yönetim grupları için abonelikler kümesinin tamamını bir girişim veya atamasını etkinleştirin.Management groups enable the assignment of an initiative or policy to an entire set of subscriptions.

Resource Manager İlkeleri'nın yaygın kullanımlarıCommon uses of Resource Manager policies

Azure ilkeleri ve girişimler--Azure araç setinde bulunan güçlü bir araç olan.Azure policies and initiatives are a powerful tool in the Azure toolkit. İlkeleri da "Çevik" iş yüklerine olanak tanıyan LOB uygulamaları için gerekli kararlılık etkinleştir "Geleneksel BT" iş yükleri için denetimi sağlamak şirketlerin izin verir; Müşteri uygulamaları gibi kuruluş ek risk açmaya gerek kalmadan geliştirme.Policies allow companies to provide controls for "Traditional IT" workloads that enable the stability that is needed for LOB applications while also allowing "Agile" workloads; such as, developing customer applications without opening up the enterprise to additional risk. En yaygın düzenlerden ilkelerini görüyoruz şunlardır:The most common patterns we see for policies are:

  • Coğrafi-uyumluluk/veri hakimiyeti.Geo-compliance/data sovereignty. Azure dünya genelindeki bir büyüyen bölge listesine sahiptir.Azure has an ever-growing list of regions across the world. Kuruluşlar genellikle belirli bir kapsam dahilindeki kaynaklar Mevzuat gereksinimlerini karşılamak için bir coğrafi bölge içinde kalmasını sağlamak gerekir.Enterprises often need to ensure that resources in a particular scope remain in a geographic region to address regulatory requirements.
  • Sunucuları herkese açık şekilde kullanılmasını önlemek.Avoid exposing servers publicly. Azure İlkesi, belirli kaynak türlerine dağıtımını engelliyor.Azure policy can prohibit the deployment of certain resources types. Bir ortak beklemediğiniz hedeflenen riskini bir sunucu İnternet'e önleme genel bir IP belirli bir kapsam içinde oluşturulmasını engellemek için bir ilke oluşturmak için kullanılır.A common use is to create a policy to deny the creation of a public IP within a particular scope, avoiding un-intended exposure of a server to the internet.
  • Maliyet yönetimi ve meta verileri.Cost Management and Metadata. Kaynak etiketleri, genellikle kaynaklarını ve kaynak gruplarını CostCenter, sahibi ve diğer önemli faturalama verileri eklemek için kullanılır.Resource tags are often used to add important billing data to resources and resource groups such as CostCenter, Owner and more. Bu etiketler doğru faturalama ve kaynak yönetimi için her.These tags are invaluable for accurate billing and management of resources. İlkelerini yönetmeyi kolaylaştıran tüm dağıtılan kaynağın kaynak etiketler uygulamaya uygulayabilir.Policies can enforce the application of resources tags to all deployed resource, making it easier to manage.

Girişimler'ın yaygın kullanımlarıCommon uses of initiatives

Girişimler sunulmasıyla kuruluşların mantıksal ilkeleri gruplamak ve bir bütün olarak izlemek için bir yol sağlanır.The introduction of initiatives provided enterprises a way to group logical policies together and track as a whole. Daha fazla girişimler "Çevik" ve "Geleneksel" iş yüklerinin gereksinimlerini ele almak için Kurumsal destekler.Initiatives further support the enterprise to address the needs of both "agile" and "traditional" workloads. Girişimler çok yaratıcı kullanımları gördük, ancak genellikle görürüz:We have seen very creative uses of initiatives, but commonly we see:

  • Azure Güvenlik Merkezi'nde izlemeyi etkinleştir.Enable monitoring in Azure Security Center. Bu, Azure İlkesi ve hangi girişimi olan mükemmel örneği varsayılan girişimidir.This is a default initiative in the Azure Policy and an excellent example of what initiative are. Şifrelenmemiş SQL veritabanlarını tanımlamak ilkeleri sağlayan VM güvenlik açıklarını ve daha yaygın güvenlik ilgili gereksinimleri.It enables policies that identify un-encrypted SQL databases, VM vulnerabilities and more common security related needs.
  • Belirli yasal girişim.Regulatory specific initiative. Denetim ve uyumluluk için bu denetimleri etkili bir şekilde izlenir böylece kuruluşlar genellikle ilkeleri (HIPAA gibi) yasal bir gereksinim için ortak gruplandırın.Enterprises often group policies common to a regulatory requirement (such as HIPAA) so that controls and compliancy to those controls are tracked efficiently.
  • Kaynak türleri ve SKU'ları.Resource Types & SKUs. Dağıtılabilir SKU yanı sıra dağıtılabilecek kaynak türleri kısıtlayan bir girişim oluşturma maliyetleri denetleme ve kuruluşunuz yalnızca takımınız desteklemek için yordamları ve beceri kümesi olan kaynakları dağıtma emin olmak için yardımcı olabilir.Creating an initiative that restricts the types of resources that can be deployed as well as the SKUs that can be deployed can help to control costs and ensure your organization is only deploying resources that your team have the skillset and procedures to support.

İpucu

Her zaman ilke tanımları yerine girişim tanımlarını kullanmanızı öneririz.We recommend you always use initiative definitions instead of policy definitions. Abonelik veya yönetim grubu gibi bir kapsam için girişim atadıktan sonra kolayca başka bir ilke için girişim atamaları değiştirmek zorunda kalmadan ekleyebilirsiniz.After assigning an initiative to a scope, such as subscription or management group, you can easily add another policy to the initiative without having to change any assignments. Bu, hangi uygulanan anlama ve çok daha kolay uyumluluk izleme sağlar.This makes understanding what is applied and tracking compliance far easier.

İlke ve girişim atamalarıPolicy and Initiative assignments

İlkeleri ve mantıksal girişimler gruplandırarak oluşturulduktan sonra bir yönetim grubu, bir abonelik veya kaynak grubu olup olmadığını bir kapsam için ilke atamalısınız.After the creation of policies and grouping them into logical initiatives you must assign the policy to a scope, whether it is a management group, a subscription or even a resource group. Atamaları da bir alt kapsamı ilke atamasından dışlama izin verir.Assignments allow you to also exclude a sub-scope from the assignment of a policy. Örneğin, bir Abonelikteki genel IP'ler oluşturulmasını reddederse, korumalı DMZ'NİZDE bağlı bir kaynak grubu için bir dışlama ile bir atama oluşturabilirsiniz.For example, if you deny the creation of public IPs within a subscription, you could create an assignment with an exclusion for a resource group connected to your protected DMZ.

Nasıl ilke ve girişim çeşitli Azure içinde kaynaklar bu uygulanabilir gösteren birkaç ilke örnekler bulabilirsiniz GitHub depo.You will find several Policy examples that show how Policy and Initiatives can be applied to various resources within Azure on this GitHub repository.

Kimlik ve erişim yönetimiIdentity and access management

"Kullanan kaynaklara erişimi kullanmalı mı?" ile genel bulut başlatılırken kendinize sorun ilk ve en önemli sorulardan biriniOne of the first, and most crucial, questions you ask yourself when starting with the public cloud is "who should have access to resources?" ve "Bu erişimi nasıl denetlerim?"and "how do I control this access?" İzin verme ya da Azure portalına erişim izin vermeme ve portaldaki kaynaklara erişimi denetlemek için uzun vadeli başarı ve varlıklarınızı bulut güvenliği kritik önem taşır.Allowing or disallowing access to the Azure portal, and controlling access to resources in the portal is critical to the long term success and safety of your assets in the cloud.

Kaynaklarınıza erişimi güvenli hale getirme görevi gerçekleştirmek için önce kimlik sağlayıcınız yapılandıracak ve ardından, rolleri ve erişim yapılandırın.To accomplish the task of securing access to your resources you will first configure your identity provider and then configure Roles and access. Azure Active Directory (Azure AD), şirket içi Active Directory'ye bağlı Azure kimlik temelidir.Azure Active Directory (Azure AD), connected to your on-premises Active Directory, is the foundation of Azure Identity. Söz konusu, Azure AD olduğunu değil Active Directory ya da onun ne olduğunu anlamak için Azure AD kiracısı olan ve Azure kaydınıza ilişkisini önemli.That said, Azure AD is not Active Directory and it's important to understand what an Azure AD tenant is and how it relates to your Azure enrollment. Kullanılabilir gözden bilgi azure'da sağlam bir temel elde etmek için AD ve AD.Review the available information to gain a solid foundation on Azure AD and AD. Bağlanmak ve Active Directory'nizi Azure ad ile eşitlemek için yükleme ve yapılandırma AD Connect aracı şirket içi.To connect and synchronize your Active Directory to Azure AD, install and configure the AD Connect tool on-premises.

arch.PNG

Azure başlangıçta yayımlandığında, bir aboneliğe erişim denetimleri temel: Yöneticisi veya ortak yönetici.When Azure was initially released, access controls to a subscription were basic: Administrator or Co-Administrator. Bir abonelikte Klasik modeli örtük erişim Portalı'nda tüm kaynaklara erişim sağlar.Access to a subscription in the Classic model implied access to all the resources in the portal. Bu ayrıntılı denetim eksikliği abonelikleri çoğalan için bir Azure kaydı için makul bir erişim denetimi düzeyini sağlamak için gerektiriyordu.This lack of fine-grained control led to the proliferation of subscriptions to provide a level of reasonable access control for an Azure Enrollment. Bu abonelikler yaygınlaşmasının artık gerekli değildir.This proliferation of subscriptions is no longer needed. Rol tabanlı erişim denetimi (RBAC) ile kullanıcılara "sahip", "katılımcı" veya "okuyucu" gibi genel erişim sağlayan veya kendi rollerinizi oluşturmanız da standart rolleri atayabilirsinizWith role-based access control (RBAC), you can assign users to standard roles that provide common access such as "owner", "contributor" or "reader" or even create your own roles

Rol tabanlı erişim uygularken aşağıdaki özellikle önerilir:When implementing role-based access, the following are highly recommended:

  • Bu rolleri kapsamlı izinlere sahip yönetici/ortak yönetici aboneliğin denetler.Control the Administrator/Co-Administrator of a subscription as these roles have extensive permissions. Yalnızca yönetilen Azure Klasik dağıtımlar için ihtiyaç duydukları, abonelik sahibi ortak yönetici olarak eklemeniz gerekir.You only need to add the Subscription Owner as a Co-administrator if they need to managed Azure Classic deployments.

  • Yönetim gruplarına atamak için kullanın rolleri birden çok aboneliğe ve bunları abonelik düzeyinde yönetme yükü azaltın.Use Management Groups to assign roles across multiple subscriptions and reduce the burden of managing them at the subscription level.

  • Azure kullanıcıları, Active Directory'de bir grup (örneğin, uygulama X sahipleri) ekleyin.Add Azure users to a group (for example, Application X Owners) in Active Directory. Grup üyelerini uygulamayı içeren kaynak grubunu yönetmek için uygun haklara sağlamak için eşitlenmiş grubu kullanın.Use the synced group to provide group members the appropriate rights to manage the resource group containing the application.

  • Verme İlkesi izleyin en az ayrıcalık beklenen iş yapmak için gereklidir.Follow the principle of granting the least privilege required to do the expected work.

Önemli

Kullanmayı Azure AD Privileged Identity Management, Azure multi-Factor Authentication ve koşullu erişim daha iyi güvenliği sağlamak için özellikleri ve Azure aboneliğiniz üzerinden yönetim eylemleri için daha fazla görünürlük sağlar.Consider using Azure AD Privileged Identity Management, Azure Multi-Factor Authentication and Conditional Access capabilities to provide better security and more visibility to administrative actions across your Azure subscriptions. Bu özellikler daha fazla güvenli ve kimlik bilgilerinizi yönetmek için geçerli bir Azure AD Premium lisansı (özellik) bağlı olarak gelir.These capabilities come from a valid Azure AD Premium license (depending on the feature) to further secure and manage your identity. Azure AD PIM, tam bir Denetim Yöneticisi etkinleştirmeleri ve etkinliklerin yanı sıra, onay iş akışı ile "Tam zamanında" yönetimsel erişimi sağlar.Azure AD PIM enables "Just-in-Time" administrative access with approval workflow, as well as a full audit of administrator activations and activities. Azure MFA, başka bir önemli bir özelliktir ve Azure portalında oturum açma için iki aşamalı doğrulamayı etkinleştirir.Azure MFA is another critical capability and enables two-step verification for login to the Azure portal. Koşullu erişim denetimleri ile birleştirildiğinde, etkili bir şekilde tehlike riskini yönetebilirsiniz.When combined with Conditional Access Controls you can effectively manage your risk of compromise.

Planlama ve hazırlama için kimlik ve erişim denetimleri ve Azure Kimlik Yönetimi en iyi takip (bağlantı) dağıtabileceklerinizle ve zorunlu olarak düşünülmelidir en iyi risk azaltma stratejisi biri her Dağıtım.Planning and preparing for your identity and access controls and following Azure Identity Management best practice (link) is one of the best risk mitigation strategies that you can employ and should be considered mandatory for every deployment.

GüvenlikSecurity

Geleneksel olarak Bulutu benimseme için büyük engelleyicileri birini kaygıları güvenliğine olmuştur.One of the biggest blockers to cloud adoption traditionally has been concerns over security. BT risk yöneticileri ve güvenlik Departmanlar azure'daki kaynakları korunur ve varsayılan olarak güvenli emin olmalısınız.IT risk managers and security departments need to ensure that resources in Azure are protected and secure by default. Azure kaynaklarını koruyabilir ve bu kaynakları tehditlerini algılamak/önlemek için yararlanabileceğiniz özellikler sağlar.Azure provides a number of capabilities that you can leverage to protect resources and detect/prevent threats against those resources.

Azure Güvenlik MerkeziAzure Security Center

Azure Güvenlik Merkezi ortamınızı Gelişmiş tehdit koruması yanı sıra arasında kaynakların güvenlik durumu birleşik bir görünümünü sağlar.The Azure Security Center provides a unified view of the security status of resources across your environment in addition to advanced threat protection. Azure Güvenlik Merkezi olarak takılan yazılım oluşturmak Microsoft iş ortaklarının sağlayan açık bir platformdur ve onun özelliklerini iyileştirme.Azure Security Center is an open platform that enables Microsoft partners to create software that plugs into and enhance its capabilities. Azure Güvenlik Merkezi (ücretsiz katman) temel özelliklerini değerlendirmesi ve güvenlik duruşunuzu geliştirecek öneriler sağlar.The baseline capabilities of Azure Security Center (free tier) provides assessment and recommendations that will enhance your security posture. Tam zamanında yönetim erişimi ve Uyarlamalı uygulama denetimleri (beyaz) gibi ek ve değerli özellikler, ücretli katmanlarda etkinleştirin.Its paid tiers enable additional and valuable capabilities such as Just In Time admin access and adaptive application controls (whitelisting).

İpucu

Azure Güvenlik Merkezi sürekli olarak geliştirilir çok güçlü bir araçtır ve yeni özellikler ekleme, tehditleri algılamak ve kuruluşunuzu korumak için yararlanabilirsiniz.Azure security center is a very powerful tool that is constantly being enhanced and incorporating new capabilities you can leverage to detect threats and protect your enterprise. Her zaman ASC etkinleştirmek için önerilir.It is highly recommended to always enable ASC.

Azure kaynak kilitleriAzure resource locks

Kuruluşunuzun abonelikleri için Çekirdek Hizmetleri ekler gibi iş kesintileri önlemek giderek daha önemli hale gelir.As your organization adds core services to subscriptions it becomes increasingly important to avoid business disruption. Bir sık bakın kesintisi betikleri ve araçları, kaynakları yanlışlıkla silme bir Azure aboneliği karşı çalışan istenmeyen sonuçları türüdür.One type of disruption that we often see is unintended consequences of scripts and tools working against an Azure subscription deleting resources mistakenly. Kaynak kilitleri burada değiştirilmesini veya silinmesini haritamın önemli bir etkisi yüksek değerli kaynaklar üzerinde işlemleri kısıtlamak olanak sağlar.Resource Locks enable you to restrict operations on high-value resources where modifying or deleting them would have a significant impact. Kilitleri, bir abonelik, kaynak grubuna ya da tek tek kaynaklar için uygulanır.Locks are applied to a subscription, resource group, or even individual resources. Genel kullanım örneği, sanal ağlar, ağ geçitleri, ağ güvenlik grupları ve anahtar depolama hesapları gibi temel kaynaklara kilitleri uygulamaktır.The common use case is to apply locks to foundational resources such as virtual networks, gateways, network security groups and key storage accounts.

Güvenli DevOps Araç SetiSecure DevOps Toolkit

Betikler, Araçlar, uzantılar, otomasyonları, ilk olarak Microsoft tarafından oluşturulan vb. koleksiyonu kendi BT Ekibi'nin ve Github aracılığıyla açık kaynak, çıkan "güvenli DevOps Seti'ni Azure için" (AzSK) olduğunu (bağlantı).The "Secure DevOps Kit for Azure" (AzSK) is a collection of scripts, tools, extensions, automations, etc. originally created by Microsoft's own IT Team and released in OpenSource via Github (link). AzSK gereksinimlerini kapsamlı otomasyonu kullanarak ve bu 6 odak alanları olan güvenli geliştirme işlemleri gerçekleştirmenize yardımcı olacak yerel dev ops iş akışları halinde güvenlik ile sorunsuz tümleştirme takımlar için uçtan uca Azure aboneliği ve kaynak güvenliği oluşturabilmesine olanak sağlar:AzSK caters to the end to end Azure subscription and resource security needs for teams using extensive automation and smoothly integrating security into native dev ops workflows helping accomplish secure dev ops with these 6 focus areas:

  • Abonelik güvenliğini sağlamaSecure the subscription
  • Güvenli geliştirme etkinleştirEnable secure development
  • Önemli CICD güvenlik tümleştirinIntegrate security into CICD
  • Sürekli güvencesiContinuous Assurance
  • Uyarı ve izlemeAlerting & Monitoring
  • Bulutta Risk YönetimiCloud Risk Governance

Azure geliştirme işlemleri Araç Seti

AzSK zengin Araçlar, betikler ve tam Azure idare planının önemli bir parçası olan bilgiler kümesidir ve bu, yapı iskelesi ekleme, kuruluşların risk yönetimi hedeflerinizi desteklemek için çok önemlidirThe AzSK is a rich set of tools, scripts and information that are an important part of a full Azure governance plan and incorporating this into your scaffold is crucial to supporting your organizations risk management goals

Azure güncelleştirme yönetimiAzure Update Management

Ortamınızın güvenliğini korumak için yapabileceğiniz ilişkin önemli görevlerde sunucularınızın en son güncelleştirmeleri ile düzeltme eki olun biridir.One of the key tasks you can do to keep your environment safe is ensure that your servers are patched with the latest updates. Bunu yapmak için birçok araç olsa da, Azure sağlar Azure güncelleştirme yönetimi tanımlama ve kritik işletim sistemi düzeltme ekleri piyasaya ele almak için çözüm.While there are many tools to accomplish this, Azure provides the Azure Update Management solution to address the identification and rollout of critical OS patches. Azure Otomasyonu kullanma kolaylaştırır (içinde kapsanan otomatikleştirme bölümünde, bu kılavuzun devamında.It makes use of Azure Automation (which is covered in the Automate section, later in this guide.

İzleme ve uyarılarMonitor and alerts

Toplama ve etkinliklerine görebilmesi sağlayan telemetri analiz etme, performans ölçümleri, sistem durumu ve tüm Azure aboneliklerinizi kullandığınız hizmetlerin kullanılabilirliğini uygulamalarınızı proaktif bir şekilde yönetmek için kritik ve Altyapı ve her Azure aboneliğinin bir temel gerekli değildir.Collecting and analyzing telemetry that provides line of sight into the activities, performance metrics, health and availability of the services you are using across all of your Azure subscriptions is critical to proactively manage your applications and infrastructure and is a foundational need of every Azure subscription. Her bir Azure hizmetinde etkinlik günlükleri, Ölçümler ve tanılama günlükleri formundaki telemetri yayar.Every Azure service emits telemetry in the form of Activity Logs, Metrics and Diagnostic Logs.

  • Etkinlik günlükleri açıklayan aboneliklerinizdeki kaynakları üzerinde gerçekleştirilen tüm işlemlerActivity Logs describe all operations performed on resources in your subscriptions
  • Ölçümleri sayısal bilgiler gelen performans ve kaynak durumunu açıklayan bir kaynakta yayılır.Metrics are numerical information emitted from within a resource that describe the performance and health of a resource
  • Tanılama günlükleri bir Azure hizmeti tarafından gönderilir ve bu hizmetin işleyişini hakkında zengin, sık kullanılan veriler sağlar.Diagnostic Logs are emitted by an Azure service and provide rich, frequent data about the operation of that service.

Bu bilgiler görüntülenebilir ve birden çok düzeyde izlemede ve sürekli olarak geliştirilen.This information can be viewed and acted upon at multiple levels and are continually being improved. Azure sağlar paylaşılan, çekirdek ve derin yeteneklerini aşağıdaki diyagramda özetlendiği Hizmetleri aracılığıyla Azure kaynaklarını izleme.Azure provides shared, core and deep monitoring capabilities of Azure resources through the services outlined in the diagram below. İzlememonitoring

Paylaşılan özelliklerShared capabilities

  • Uyarılar: Azure kaynaklarından, ancak kritik koşulları bildirilmesi ve işlem yapma olanağı her günlük, olay ve ölçüm toplayabilir, bu verileri yalnızca tarihsel amaçlar ve adli tıp için kullanışlıdır.Alerts: You can collect every log, event and metric from Azure resources, but without the ability to be notified of critical conditions and act, this data is only useful for historic purposes and forensics. Azure uyarıları proaktif olarak tüm uygulamalarınızın ve altyapınızın tanımladığınız koşulların bildirin.Azure Alerts proactively notify you of conditions you define across all your applications and infrastructure. Günlükleri, olaylar ve alıcıları kümesi bildirmek için eylem gruplarını kullanma ölçümleri uyarı kuralları oluşturun.You create alert rules across logs, events and metrics that use action groups to notify sets of recipients. Eylem grupları, Azure Otomasyonu runbook'ları ve Azure işlevleri'ni çalıştırmak için Web kancaları gibi dış eylemleri kullanarak düzeltme otomatikleştirme olanağı da sağlar.Action groups also provide the ability to automate remediation using external actions such as webhooks to run Azure Automation runbooks and Azure Functions.

  • Panolar: Panolar izleme görünümleriyle toplamak ve kaynaklar ve Azure kaynaklarının telemetri bir kuruluş genelindeki görünüme sağlamak için abonelikler arasında veri birleştirmek etkinleştirin.Dashboards: Dashboards enable you to aggregate monitoring views and combine data across resources and subscriptions to give you an enterprise-wide view into the telemetry of Azure resources. Oluşturun ve kendi görünümlerinizi yapılandırabilir ve bunları başkalarıyla paylaşın.You can create and configure your own views and share them with others. Örneğin, tüm Azure veritabanı hizmetlerinde, Azure SQL DB, PostgreSQL için Azure DB ve MySQL için Azure DB dahil olmak üzere bilgi sağlamak Dba'lar için çeşitli kutucuklar içeren Pano oluşturabilirsiniz.For example, you could create a dashboard consisting of various tiles for DBAs to provide information across all Azure database services, including Azure SQL DB, Azure DB for PostgreSQL and Azure DB for MySQL.

  • Ölçüm Gezgini: Ölçümleri sayısal (örn. % CPU, Disk işlem ve kaynaklarınızın performansını öngörü sağlayan g/ç. Azure kaynaklar tarafından oluşturulan değerlerMetrics Explorer: Metrics are numerical values generated by Azure resources (e.g. % CPU, Disk I/O, that provide insight into the operation and performance of your resources. Ölçüm Gezgini kullanarak tanımlayabilir ve hangi Log Analytics'e toplama ve analiz için ilgilendiğiniz ölçümleri gönderin.By using Metrics Explorer you can define and send the metrics in which you are interested to Log Analytics for aggregation and analysis.

Temel izlemeCore monitoring

  • Azure İzleyici: Azure İzleyici, Azure kaynaklarını izlemeye yönelik tek bir kaynak sağlayan çekirdek platform hizmetidir.Azure Monitor: Azure Monitor is the core platform service that provides a single source for monitoring Azure resources. Azure İzleyici Azure Portal arabirimi merkezi bir bağlantı noktası kapalı ayrıntılı izleme özellikleri Application ınsights, Log Analytics, ağ izleme, yönetim çözümleri dahil olmak üzere Azure genelinde için tüm izleme özelliklerini sağlar ve Hizmet eşlemeleri.The Azure Portal interface of Azure Monitor provides a centralized jump off point for all the monitoring features across Azure including the deep monitoring capabilities of Application Insights, Log Analytics, Network Monitoring, Management Solutions and Service Maps. Azure İzleyici ile görselleştirin, sorgulayabilir, yönlendirme, arşiv ve ölçüm ve günlükleri, tüm bulut Emlak arasında Azure kaynaklarından gelen üzerinde işlem.With Azure Monitor you can visualize, query, route, archive and act on the metrics and logs coming from Azure resources across your entire cloud estate. Ek olarak portalı İzleyici PowerShell cmdlet'leri, Çapraz Platform CLI veya Azure İzleyici REST API'leri aracılığıyla veri alabilir.In addition to the portal you can retrieve data through the Monitor PowerShell Cmdlets, Cross Platform CLI or the Azure Monitor REST APIs.

  • Azure Danışmanı: Azure Danışmanı sürekli olarak, abonelikleri ve ortamlarındaki telemetri izler ve en iyi uygulamalar paradan tasarruf etmenize ve performans, güvenlik ve kaynakların kullanılabilirliğini artırmak için Azure kaynaklarınızı en iyi duruma getirme hakkında öneriler, uygulamalarınızı olun.Azure Advisor: Azure Advisor constantly monitors telemetry across your subscriptions and environments and provides recommendations on best practices on how to optimize your Azure resources to save money and improve performance, security and availability of the resources that make up your applications.

  • Hizmet durumu: Azure hizmet durumu, uygulamalarınızı etkileyebilir yanı sıra, zamanlanmış bakım pencereleri planlamada yardımcı olur. Azure Hizmetleri ile ilgili sorunları tanımlar.Service Health: Azure Service Health identifies any issues with Azure Services that may impact your applications as well as assists you in planning for scheduled maintenance windows.

  • Etkinlik günlüğü: Etkinlik günlüğü aboneliklerinizdeki kaynakları tüm işlemleri açıklar.Activity Log: The Activity Log describes all operations on resources in your subscriptions. 'Ne', belirlemek için bir denetim kaydı sağlar 'olan' ve 'olduğunda' herhangi oluşturma, güncelleştirme ve silme işlemi kaynaklar.It provides an audit trail to determine the 'what', 'who', and 'when' of any create, update, delete operation on resources. Etkinlik günlüğü olayları platform depolanır ve 90 gün boyunca sorgulamak kullanılabilir.Activity Log events are stored in the platform and are available to query for 90 days. Etkinlik günlüklerini Log Analytics'e uzun saklama süreleri ve daha derin sorgulama ve analiz için birden fazla kaynak arasında alabilen.You can ingest Activity Logs into Log Analytics for longer retention periods and deeper querying and analysis across multiple resources.

Ayrıntılı uygulama izlemeDeep application monitoring

  • Application Insights: Application Insights, uygulama belirli telemetri toplama ve performans, kullanılabilirlik ve bulutta veya şirket içi uygulamalarının kullanımını izleme olanak sağlar.Application Insights: Application Insights enables you to collect application specific telemetry and monitor the performance, availability and usage of applications in the cloud or on-premises. Uygulamanızı .NET, JavaScript, JAVA, Node.js, Ruby ve Python dahil olmak üzere birden çok dil için desteklenen Sdk'leri ile izleyerek.By instrumenting your application with supported SDKs for multiple languages including .NET, JavaScript, JAVA, Node.js, Ruby and Python. Application Insights olayları, zengin bir sorgu dili yoluyla zaman içindeki altyapı ve bağıntısını kurmanızı etkinleştirmek için güvenlik izleme ve toplama olayları destekler Log Analytics veri deposu içine alınan.Application Insights events are ingested into the same Log Analytics data store that supports infrastructure and security monitoring to enable you to correlate and aggregate events over time through a rich query language.

Ayrıntılı altyapı izlemeDeep infrastructure monitoring

  • Log Analytics: Log Analytics, çeşitli kaynaklardan telemetri ve diğer veri toplama ve uygulamalarınızın ve kaynaklarınızın çalışmasını öngörülerin bir sorgu dili ve analiz altyapısı sağlayarak, Azure izleme, merkezi bir rol oynar.Log Analytics: Log Analytics plays a central role in Azure monitoring by collecting telemetry and other data from a variety of sources and providing a query language and analytics engine that gives you insights into the operation of your applications and resources. Ya da yüksek performanslı günlük aramaları ve görünümleri yoluyla Log Analytics verileriyle ile doğrudan etkileşim kurabilen veya Application ınsights'ı veya Azure Güvenlik Merkezi gibi Log analytics'te verilerini depolayan diğer Azure hizmetlerinde analiz araçlarını kullanabilirsiniz.You can either interact directly with Log Analytics data through highly performant log searches and views, or you may use analysis tools in other Azure services that store their data in Log Analytics such as Application Insights or Azure Security Center.

  • Ağ izleme: Azure'nın ağ izleme Hizmetleri ağ trafiği akışını, performans, güvenlik, bağlantı ve performans sorunlarını kavramanıza olanak sağlar.Network Monitoring: Azure's network monitoring services enable you to gain insight into network traffic flow, performance, security, connectivity and bottlenecks. Azure Ağ Hizmetleri Ağ İzleyicisi ve ExpressRoute İzleyicisi gibi izleme yapılandırma iyi planlanmış bir ağ tasarımı içermelidir.A well-planned network design should include configuring Azure network monitoring services such as Network Watcher and ExpressRoute Monitor.

  • Yönetim çözümleri: Yönetim çözümleri paketlenmiş mantık, Öngörüler ve bir uygulama veya hizmet için önceden tanımlı Log Analytics sorguları kümeleridir.Management Solutions: Management solutions are packaged sets of logic, insights and pre-defined Log Analytics queries for an application or service. Bunlar, Log Analytics temelinde olay verileri depolama ve çözümleme için temel olarak kullanır.They rely on Log Analytics as the foundation to store and analyze event data. Örnek yönetim çözümleri, kapsayıcıları ve Azure SQL veritabanı analizi izleme içerir.Sample management solutions include monitoring containers and Azure SQL Database analytics.

  • Hizmet eşlemesi: Hizmet eşlemesi, diğer bilgisayarlar ve dış işlemlere, altyapı bileşenleri, işlemler ve bağımlılıklarını bir grafik görünümü sağlar.Service Map: Service Map provides a graphical view into your infrastructure components, their processes and interdependencies on other computers and external processes. Olaylar, performans verilerini ve yönetim tümleştiğine Log Analytics çözümleri.It integrates events, performance data and management solutions in Log Analytics.

İpucu

Belirli uyarıları oluşturmadan önce oluşturun ve Azure Uyarıları'arasında kullanılabilir paylaşılan Eylem grupları kümesini güncelleştirin.Before creating individual alerts, create and maintain a set of shared Action Groups that can be used across Azure Alerts. Bu, alıcı listelerini, bildirim teslim yöntemleri (e-posta, SMS telefon numaraları) ve dış eylemleri için Web kancaları yaşam döngüsü merkezi olarak korumak sağlayacaktır (Azure Otomasyonu runbook'ları, Azure işlevleri / Logic Apps, ITSM).This will enable you to centrally maintain the lifecycle of your recipient lists, notification delivery methods (email, SMS phone numbers) and webhooks to external actions (Azure Automation runbooks, Azure Functions / Logic Apps, ITSM).

Maliyet yönetimiCost management

Şirket içi buluttan genel buluta taşıdığınızda, karşılaşır önemli değişikliklerden biri sermaye harcamalarını (donanım satın almadan) işletim Harcamaları (hizmet için ödeme yapmak kullanmanız gibi) için anahtardır.One of the major changes that you will face when you move from on-premises cloud to the public cloud is the switch from capital expenditure (buying hardware) to operating expenditure (paying for service as you use it). Bu anahtara capex'ten OPEX maliyetlerinizi daha dikkatli bir şekilde yönetme ihtiyacını ortadan da getirir.This switch from CAPEX to OPEX also brings the need to more carefully manage your costs. Bulutun gerekli olmadığından, yalnızca bu kapalı (veya yeniden boyutlandırma) açarak kullandığınız hizmetinin maliyetine temelde ve olumlu etkileyebilir avantajdır.The benefit of the cloud is that you can fundamentally and positively impact the cost of a service you use by merely turning it off (or resizing) when it's not needed. Kasıtlı olarak maliyetlerinizi bulutta yönetme, önerilen bir uygulamadır ve günlük olgun müşteriler yapan bir içindir.Deliberately managing your costs in the cloud is a recommended practice and one that mature customers do daily.

Microsoft, izlemek ve maliyetlerinizi yönetin, görsel için kullanabilmek bir çeşitli araçlar sağlar.Microsoft provides a several tools for you to be able to visual, track and manage your costs. Ayrıca API'ler, özelleştirme ve maliyet Yönetimi kendi araçlarını ve panolar tümleştirme sağlamak için tam bir dizi sunuyoruz.We also provide a full set of APIs to enable you to customize and integrate cost management into your own tools and dashboards. Bu araçlar, gevşek içinde gruplandırılır: Azure Portal özelliklerini ve dış özellikleriThese tools are loosely grouped into: Azure Portal Capabilities and external capabilities

Azure Portal özellikleriAzure Portal capabilities

Bunlar eylemleri olanağı yanı sıra maliyeti hakkında anında bilgi sağlamak için AraçlarThese are tools to provide you instant information on cost as well as the ability to take actions

  • Abonelik kaynak maliyeti: Portalı'nda bulunan Azure maliyet analizi görünümü maliyetlerinizi hızlı bir bakış sağlar ve günlük hakkında bilgi, kaynak veya kaynak grubu tarafından ayırabilirsiniz.Subscription Resource Cost: Located in The Portal, the Azure Cost Analysis view provides a quick look at your costs and information on daily spend by resource or resource group.
  • Azure maliyet Yönetimi: Bu ürün Microsoft tarafından Cloudyn satın sonucudur ve yönetmek ve Azure analiz etmenize olanak de diğer genel bulut sağlayıcılarında harcama ayırın.Azure Cost Management: This product is the result of the purchase of Cloudyn by Microsoft and allows you to manage and analyze your Azure spend as well what you spend on other Public Cloud providers. Görüldüğü gibi hem ücretsiz hem de harika oluşturmanız zengin özellikler ile Ücretli Katmanlar vardır genel bakış.There are both free and paid tiers, with a great wealth of capabilities as seen in the overview.
  • Azure bütçe ve Eylem grupları hangi somethings maliyetleri bilerek ve yapmaya kadar kısa bir süre önce ilgili bir sorun oluştu el ile alıştırmada daha fazla bilgi.Azure Budgets and Action Groups Knowing what somethings costs and doing something about it until recently has been more of a manual exercise. Azure bütçe ve API'lerini sunulmasıyla birlikte, artık eylem oluşturmak mümkündür (görüldüğü bu örnek) bir eşiği maliyetleri isabet edildiğinde.With the introduction of Azure Budgets and its APIs, it's now possible to create actions (as seen in this example) when costs hit a threshold. Örneğin, %100 bütçe ya da [başka bir örnek] ulaştığında bir "test" kaynak grubunu kapatılıyor.For example, shutting down a "test" resource group when it hits 100% of its budget, or [another example].
  • Azure Danışmanı bir şey maliyetleri bilerek yalnızca yarı Savaşı; diğer yarısı bu bilgileri kullanarak yapmanız gerekenler bilmektir.Azure Advisor Knowing what something costs is only half the battle; the other half is knowing what to do with that information. Azure Danışmanı paradan tasarruf, güvenilirliği artırmak veya hatta güvenliğini artırmak için gerçekleştirilecek eylemler hakkında öneriler sağlar.Azure Advisor provides you recommendations on actions to take to save money, improve reliability or even increase security.

Dış maliyet yönetimi araçlarıExternal cost management tools

  • Power BI Azure tüketim öngörüleri.PowerBI Azure Consumption Insights. Kuruluşunuz için kendi görselleştirmelerinizi oluşturmak istiyor musunuz?Do you want to create your own visualizations for your organization? Bu durumda, ardından Power BI için Azure Consumption Insights içerik paketi, seçtiğiniz aracıdır.If so, then the Azure Consumption Insights content pack for PowerBI is your tool of choice. Bu içerik paketi ve kuruluşunuzun temsil etmek için özel görselleştirmeler oluşturabileceğiniz Power BI kullanarak maliyetleri daha ayrıntılı analiz yapmak ve diğer veri kaynakları için daha fazla zenginleştirme ekleyin.Using this content pack and PowerBI you can create custom visualizations to represent your organization, do deeper analysis on costs and add in other data sources for further enrichment.

  • Tüketim API.Consumption API. Tüketim API'leri bütçeleri, ayrılmış örnekleri ve Market ücretlerini bilgilerine ek olarak Maliyet ve kullanım verileri programlı erişim verin.The consumption APIs give you programmatic access to cost and usage data in addition to information on budgets, reserved instances and marketplace charges. Bu API'leri yalnızca Kurumsal kayıtları ve bazı Web Direct aboneliklerindeki erişilebilir ancak size kendi araçlarını ve veri ambarları, maliyet verileri tümleştirme olanağı sağlar.These APIs are accessible only for Enterprise Enrollments and some Web Direct subscriptions however they give you the ability to integrate your cost data into your own tools and data warehouses. Bu API'ler görülen Azure CLI kullanarak da erişebilirsiniz burada.You can also access these APIs by using the Azure CLI, seen here.

Buluta uzun bir süredir kullandınız ve "kullanımları olgun" müşteriler arasında baktığımızda, yüksek oranda önerilen uygulamaların bir sayı görüyoruz.When we look across customers who have used the cloud for a long time and are "mature" in their use, we see a number of highly recommended practices

  • Maliyetleri etkin bir şekilde izlemek.Actively monitor costs. Sürekli olgun bir Azure kullanıcısı olan kuruluşlar, maliyetleri izleyin ve gerektiğinde eyleme geçin.Organizations that are mature Azure users constantly monitor costs and take actions when needed. Bazı kuruluşlar bile analizlerini ve kullanım için değişiklik önermek kişilere atayın ve ay boyunca çalıştıran kullanılmayan bir HDInsight kümesi buldukları ilk kez, kendileri için birden fazla bu kişilerin ödeyin.Some organizations even dedicate people to do analysis and suggest changes to usage, and these people more than pay for themselves the first time they find an unused HDInsight cluster that's been running for months.
  • Ayrılmış örnekleri kullan.Use Reserved Instances. Bulut maliyetlerini yönetmek için başka bir anahtar Kiracı, iş için doğru aracı kullanmaktır.Another key tenant for managing costs in the cloud is to use the right tool for the job. 24 x 7'de kalması bir Iaas VM varsa, ayrılmış örnek'ı kullanarak, önemli maliyet tasarrufu sağlayacak.If you have an IaaS VM that must stay on 24x7, then using a Reserved Instance will save you significant money. Sanal makinelerin kapatma otomatikleştirme ve RI'ları kullanarak arasında doğru dengeyi bulmak deneyimi ve analiz yer alır.Finding the right balance between automating the shutdown of VMs and using RIs takes experience and analysis.
  • Otomasyon verimli bir şekilde kullanma: Birçok iş yükleri, her gün çalışıyor olması gerekmez.Use automation effectively: Many workloads do not need to be running every day. VM 4 saat boyunca her gün bile kapatma %15 maliyetlerinizi kaydedebilirsiniz.Even turning off a VM for a 4-hour period every day can save you 15% of your cost. Otomasyon kendisi için hızlı bir şekilde ödeme yaparsınız.Automation will pay for itself quickly.
  • Kaynak etiketleri kullanmak için görünürlük: Başka bir yerde bu belgede belirtildiği gibi kaynak etiketleri kullanarak maliyetleri daha iyi analize izin verir.Use resource tags for visibility: As mentioned elsewhere in this document, using resource tags will allow for better analysis of costs.

Çekirdeği etkili ve verimli bir genel bulut çalışan bir uzmanlık alanı maliyet yönetimidir.Cost management is a discipline that is core to the effective and efficient running of a public cloud. Başarı elde kuruluşlar kendi maliyetleri denetleme ve bunları overbuying yerine gerçek, isteğe bağlı eşleştirmesi mümkün olacaktır ve isteğe bağlı umarak gelir.Enterprises that achieve success will be able to control their costs and match them to their actual demand as opposed to overbuying and hoping demand comes.

OtomatikleştirmeAutomate

Bulut sağlayıcıları kullanan kuruluşlar, vade ayırır çok sayıda özellik dahil Otomasyon düzeyini biridir.One of the many capabilities that differentiates the maturity of organizations using cloud providers is the level of automation that they have incorporated. Otomasyon olur bir işlemdir ve kaynakları ve yapı zamanında yatırım yapmaya gerek herhangi bir alan olduğu gibi kuruluşunuz buluta taşır.Automation is a never-ending process and as your organization moves to the cloud it is any area that you need to invest resources and time in building. Otomasyon, sorunları düzeltmeyi için (burada doğrudan başka bir çekirdek iskele kavrama, şablonları ve DevOps bağlar) kaynakları tutarlı dağıtımı dahil olmak üzere pek çok amaca hizmet eder.Automation serves many purposes including consistent rollout of resources (where it ties directly to another core scaffold concept, Templates & DevOps) to the remediation of issues. Otomasyon Azure yapı iskelesi, "bağlaçlar dokulu" olan ve her alan birbirine bağlar.Automation is the "connective tissue" of the Azure scaffold and links each area together.

Bir dizi, bu özellik, Azure Otomasyonu gibi birinci taraf araçlarından EventGrid oluşturmak ve Terraform, Jenkins, Chef ve Puppet gibi (birkaç örnek vermek gerekirse) Azureclı için yüksek miktarda üçüncü taraf araçları gibi araçları vardır.There are a number of tools that are available as you build out this capability, from first party tools such as Azure Automation, EventGrid and AzureCLI to an extensive amount of third party tools such as Terraform, Jenkins, Chef, and Puppet (to name a few). Azure Otomasyonu, Event Grid ve Azure Cloud Shell'i otomatikleştirmek için operations takım yeteneğinizi çekirdek şunlardır:Core to your operations team ability to automate are Azure Automation, Event Grid and the Azure Cloud Shell:

  • Azure Otomasyonu: Yazar runbook'ları (PowerShell veya Python) olanak sağlar ve işlemleri otomatik hale getirmek, kaynaklarını yapılandırmak ve hatta düzeltme ekleri uygulama izin veren bir bulut tabanlı bir özelliktir.Azure Automation: Is a cloud-based capability that allows to you author Runbooks (in either PowerShell or Python) and allows you automate processes, configure resources, and even apply patches. Azure Otomasyonu kapsamlı bir dizi çapraz aşağıda ayrıntılı olarak ele alınacak dağıtımınıza integral ancak çok geniş platform özellikleri vardır.Azure Automation has an extensive set of cross platform capabilities that are integral to your deployment but are too extensive to be covered in depth here.
  • Event Grid: Bu hizmet şimdi Azure ortamınızda olaylara yanıt veren bir tam olarak yönetilen olay yönlendirme sistemidir.Event Grid: this service is a fully-managed event routing system that let's you react to events within your Azure environment. Otomasyon olgun bulut kuruluşların bağlaçlar dokulu olması gibi Event Grid iyi Otomasyon bağlaçlar dokulu ' dir.Like Automation is the connective tissue of mature cloud organizations, Event Grid is the connective tissue of good automation. Event Grid kullanarak yeni bir kaynak oluşturulduğunda, yönetici e-posta gönderin ve bu kaynak bir veritabanında oturum basit, sunucusuz, bir eylem oluşturabilirsiniz.Using Event Grid, you can create a simple, serverless, action to send an email to an administrator whenever a new resource is created and log that resource in a database. Bu aynı Event Grid, bir kaynağı sildi bildirir ve öğesi veritabanından kaldırın.That same Event Grid can notify when a resource is deleted and remove the item from the database.
  • Azure Cloud Shell: etkileşimli, tarayıcı tabanlı olduğundan Kabuk Azure kaynaklarını yönetmek için.Azure Cloud Shell: is an interactive, browser-based shell for managing resources in Azure. Bash veya PowerShell eksiksiz bir ortam sağlayan komut dosyalarınızı çalıştırmak üzere tutarlı bir ortam olması gerekli (ve sizin için tutulan) olarak başlatıldı.It provides a complete environment for either PowerShell or Bash that is launched as needed (and maintained for you) so that you have a consistent environment from which to run your scripts. Azure Cloud Shell, ortam dahil otomatik hale getirmek için ek anahtar araçları - yüklü--erişim sağlar. Azure CLI, Terraform ve artan birçok ek araçları kapsayıcılar, veritabanları (sqlcmd) ve daha fazlasını yönetmek için.The Azure Cloud Shell provides access to additional key tools -already installed-- to automate your environment including Azure CLI, Terraform and a growing list of additional tools to manage containers, databases (sqlcmd) and more.

Otomasyon tam zamanlı bir iş ve bunu hızlı bir şekilde bulut ekibiniz içinde işletimsel en önemli görevlerden birini olur.Automation is a full-time job and it will rapidly become one of the most important operational tasks within your cloud team. "İlk otomatikleştirmek" yaklaşımı kuruluşlar, Azure'ı kullanarak büyük başarı vardır:Organizations that take the approach of "automate first" have greater success in using Azure:

  • Maliyetleri yönetme: etkin bir şekilde fırsatları arayan ve kaynaklar, Ölçek artırma/azaltma yeniden boyutlandırabilir ve kullanılmayan kaynakları kapatın Otomasyon oluşturma.Managing costs: actively seeking opportunities and creating automation to re-size resources, scale-up/down and turn off unused resources.
  • İşletimsel esneklik: otomasyon (birlikte, şablonları ve DevOps) kullanılarak kullanılabilirliğini artırır, güvenliği artırır ve takımınızın iş sorunlarına odaklanmanıza olanak sağlayan yinelenebilirliği düzeyini elde edin.Operational flexibility: through the use of automation (along with Templates and DevOps) you gain a level of repeatability that increases availability, increases security and enables your team to focus on solving business problems.

Şablonlar ve DevOpsTemplates and DevOps

Vurgulanan otomatikleştirme bölümünde, bir kuruluş olarak, hedef kaynak-denetimli şablonları ve betikler aracılığıyla kaynakları sağlamak ve etkileşimli yapılandırma ortamlarınızda en aza indirmek için olmalıdır.As highlighted in the Automate section, your goal as an organization should be to provision resources through source-controlled templates and scripts and to minimize interactive configuration of your environments. "Kod olarak altyapı" sürekli dağıtım için bir disiplinli DevOps işleminin yanı sıra, bu yaklaşım, tutarlılığı sağlamak ve kaymaları ortamlarınızda azaltın.This approach of "infrastructure as code" along with a disciplined DevOps process for continuous deployment can ensure consistency and reduce drift across your environments. Neredeyse her Azure kaynağı aracılığıyla dağıtılabilir Azure Resource Manager (ARM) JSON şablonları PowerShell veya Azure çapraz platform CLI ve Terraform (birinci sınıf desteğe sahip olan Hashicorp gelen gibi araçları ile birlikte ve Azure Cloud Shell'i tümleştirilmiş).Almost every Azure resource is deployable through Azure Resource Manager (ARM) JSON templates in conjunction with PowerShell or the Azure cross platform CLI and tools such as Terraform from Hashicorp (which has first class support and integrated into the Azure Cloud Shell).

Gibi makale bunu en iyi uygulamalar ve ARM şablonları ile DevOps yaklaşım uygulama öğrenilen Derslere harika bir tartışma sağlamaları Azure DevOps araç zinciri.Article such as this one provide an excellent discussion on best practices and lessons learned in applying a DevOps approach to ARM templates with the Azure DevOps tool chain. Zaman ve çaba kuruluşunuzun gereksinimlerine özgü şablonları çekirdek kümesini geliştirme ve DevOps ile sürekli teslim geliştirme takımlarına (Azure DevOps, Jenkins, Bamboo, Teamcity, kalabalık), üretim için özellikle işlem hatları ve QA ortamları.Take the time and effort to develop a core set of templates specific to your organization's requirements, and to develop continuous delivery pipelines with DevOps tool chains (Azure DevOps, Jenkins, Bamboo, Teamcity, Concourse), especially for your production and QA environments. Oluşan büyük bir kitaplık sunulmaktadır Azure hızlı başlangıç şablonları github'da şablonları için başlangıç noktası olarak kullanabilirsiniz ve Azure ile DevOps teslim bulut tabanlı işlem hatlarını hızlıca oluşturabilirsiniz.There is a large library of Azure Quick Start templates on GitHub that you can use as a starting point for templates, and you can quickly create cloud-based delivery pipelines with Azure DevOps.

Varsayılan ve tüm kaynakları sağlamak için hizmet sorumluları tabanlı otomatik sürekli teslim işlem hatları kullanarak etkileşimli kullanıcıların RBAC güvenlik amacınız üretim Abonelikleriniz veya kaynak grupları için en iyi uygulama olarak kullanan ve tüm uygulama kodu sunun.As a best practice for production subscriptions or resource groups, your goal should be utilizing RBAC security to disallow interactive users by default and utilizing automated continuous delivery pipelines based on service principals to provision all resources and deliver all application code. Hiçbir yönetim veya Geliştirici kaynaklarını etkileşimli olarak yapılandırmak için Azure portalı touch.No admin or developer should touch the Azure Portal to interactively configure resources. Bu düzeyde DevOps verisine uyumlaştırılmış çaba alır ve Azure iskele kavramlarını kullanır ve ölçeği büyütün, kuruluşların karşılayan tutarlı ve daha güvenli bir ortam sağlar.This level of DevOps takes a concerted effort and utilizes all the concepts of the Azure scaffold and provides a consistent and more secure environment that will meet your organizations to grow scale.

İpucu

Tasarlama ve geliştirme karmaşık ARM şablonları kullanarak bağlı şablonları düzenlemek ve tek parça JSON dosyalarından karmaşık kaynak ilişkilerini yeniden düzenleyin.When designing and developing complex ARM templates, use linked templates to organize and refactor complex resource relationships from monolithic JSON files. Bu, kaynakları ayrı ayrı yönetmek ve şablonlarınızı daha okunabilir, test edilebilir ve yeniden kullanılabilir hale getirmek sağlayacaktır.This will enable you to manage resources individually and make your templates more readable, testable and reusable.

Azure hiper ölçekli bulut sağlayıcısıdır ve kuruluşunuzun şirket içi sunucular dünyadan buluta taşımak gibi bulut sağlayıcıları ve SaaS uygulamalarını aynı kavramlar kullanan kullanım kuruluşunuz içinde iş gereksinimlerini karşılayacak şekilde tepki vermek için sağlar önemli ölçüde daha verimli şekilde.Azure is a hyper scale cloud provider and as you move your organization from the world of on-premises servers to the cloud, utilizing the same concepts that cloud providers and SaaS applications use will provide your organization to react to the needs of the business in vastly more efficient way.

Çekirdek AğCore network

Son Azure iskele başvuru modeli, kuruluşunuzun Azure, güvenli bir şekilde nasıl eriştiğini çekirdeğini bileşenidir.The final component of the Azure scaffold reference model is core to how your organization accesses Azure, in a secure manner. Kaynaklara erişimi (corporation'ın ağ içinde) iç veya dış (Internet) aracılığıyla olabilir.Access to resources can be either internal (within the corporation's network) or external (through the internet). Kuruluşunuzdaki kullanıcıların yanlışlıkla kaynaklar içinde yanlış yere yerleştirin ve olası kötü amaçlı erişimi açabilirsiniz kolaydır.It is easy for users in your organization to inadvertently put resources in the wrong spot, and potentially open them to malicious access. İle şirket içi cihazlar gibi kuruluşların uygun denetimleri, Azure kullanıcılarının doğru kararlar emin olmak için eklemeniz gerekir.As with on-premises devices, enterprises must add appropriate controls to ensure that Azure users make the right decisions. Abonelik İdaresi için size temel Denetim erişim sağlayan çekirdek kaynakları belirleyin.For subscription governance, we identify core resources that provide basic control of access. Çekirdek kaynakları oluşur:The core resources consist of:

  • Sanal ağlar alt ağlar için kapsayıcı nesneleridir.Virtual networks are container objects for subnets. Kesinlikle gerekli'da, iç şirket ağlarına uygulamalara bağlanırken genellikle kullanılır.Though not strictly necessary, it is often used when connecting applications to internal corporate resources.
  • Kullanıcı tanımlı yollar yönlendirme tablosunu bir alt ağ, ağ sanal Gereci aracılığıyla veya uzak bir ağ geçidi eşlenmiş sanal ağdaki trafik göndermeyi etkinleştirme değiştirmenize izin veren.User Defined Routes allow you to manipulate the route table within a subnet enabling you to send traffic through a network virtual appliance or to a remote gateway on a peered virtual network.
  • Sanal Ağ eşlemesi Hizmetleri ağları paylaşılan ya da daha karmaşık bir hub ve bağlı bileşen tasarımı oluşturma iki veya daha fazla Azure sanal ağları, sorunsuz bir şekilde bağlamanıza olanak sağlar.Virtual Network Peering enables you to seamlessly connect two or more Azure virtual networks, creating more complex hub & spoke designs or shared services networks.
  • Hizmet uç noktalarını.Service Endpoints. Geçmişte, PaaS Hizmetleri sanal ağlarınıza bu kaynaklara güvenli erişim için farklı yöntemler yararlandı.In the past, PaaS services relied on different methods to secure access to those resources from your virtual networks. YALNIZCA gelen etkin PaaS hizmetlerine güvenli erişim için genel güvenliği artırma uç noktaları, bağlı hizmet uç noktaları sağlar.Service endpoints allow you to secure access to enabled PaaS services from ONLY connected endpoints, increasing overall security.
  • Güvenlik grupları izin vermek veya Azure kaynaklara/kaynaklardan gelen ve giden trafiği reddetmek olanağı sağlayan kuralları kapsamlı bir dizi.Security groups are an extensive set of rules which provide you the ability to allow or deny inbound and outbound traffic to/from Azure Resources. Güvenlik grupları ile genişletilmiş güvenlik kuralları oluşur hizmet etiketleri (, tanımladığınız AzureKeyVault, Sql ve diğerleri gibi yaygın Azure Hizmetleri) ve uygulama grupları (hangi tanımlama ve uygulama, WebServers AppServers ve gibi gibi yapı)Security Groups consist of Security Rules, which can be augmented with Service Tags (which define common Azure services such as AzureKeyVault, Sql and others) and Application Groups (which define and application structure, such as WebServers, AppServers and such)

İpucu

Hizmet etiketleri ve uygulama grupları yalnızca - olan etkisini anlamak önemlidir - kurallarınızı okunabilirliğini geliştirmek için aynı zamanda maliyetli içinde mikro segmentasyona genişlemesi azaltma büyük bir alt ağ'ı etkinleştirmek için ağ güvenlik grupları kullanın ve artan esneklik sağlar.Use Service tags and Application groups in your network security groups to not only enhance the readability of your rules -which is crucial to understanding impact- but also to enable effective micro-segmentation within a larger subnet, reducing sprawl and increasing flexibility.

Sanal veri merkeziVirtual Data Center

Azure, hem iç özellikleri hem de geçerli güvenlik bir tutum sergilemek olmasını sağlayan kapsamlı iş ortağı ağımız üçüncü taraf özelliklerini sağlar.Azure provides you both internal capabilities and third-party capabilities from our extensive partner network that enable you to have an effective security stance. Microsoft, en iyi uygulamalar ve kılavuz şeklindeki daha da önemlisi, sağlar Azure sanal veri merkezi.More importantly, Microsoft provides best practices and guidance in the form of the Azure Virtual Data Center. VDC Kılavuzu karma özelliklerinden yararlanmak için birden çok iş tek bir iş yükünü taşırken, "azure'da iş yüklerinizi büyüdükçe genişleyebilecek bir esnek, ağ etkinleştirmek için tarif" ile sağlayacaktır.As you move from a single workload to multiple workloads which leverage hybrid capabilities, the VDC guidance will provide you with "recipe" to enable a flexible, network that will grow as your workloads in Azure grow.

Sonraki adımlarNext steps

İdare, Azure'nın başarısı için önemlidir.Governance is crucial to the success of Azure. Bu makalede teknik uygulamasını bir kurumsal iskelesi hedefler, ancak yalnızca daha geniş işlemi ve bileşenleri arasındaki ilişkiler geliştirmelere değinmektedir.This article targets the technical implementation of an enterprise scaffold but only touches on the broader process and relationships between the components. İlke yönetimi üstten aşağı akar ve hangi iş elde etmek isteyen tarafından belirlenir.Policy governance flows from the top down and is determined by what the business wants to achieve. Doğal olarak, bir yönetim modeli oluşturmak için Azure temsilcileri içerir BT, ancak daha da önemlisi güçlü iş grubu Liderleri ve güvenlik ve risk yönetimi temsilinden olmalıdır.Naturally, the creation of a governance model for Azure includes representatives from IT, but more importantly it should have strong representation from business group leaders, and security and risk management. Sonunda, kuruluşun misyonu ve hedefleri kolaylaştırmak için iş riski azaltılmasıyla Kurumsal iskelesi ilgilidir.In the end, an enterprise scaffold is about mitigating business risk to facilitate an organization's mission and objectives

Abonelik İdaresi hakkında bilgi edindiniz, bu uygulamada bu önerileri görmenin zamanıdır.Now that you have learned about subscription governance, it's time to see these recommendations in practice. Bkz: Azure abonelik İdaresi uygulama örnekleri.See Examples of implementing Azure subscription governance.