卓越运营建议
Azure 顾问中的卓越运营建议可在以下方面帮助你:
- 流程和工作流效率
- 资源可管理性
- 部署最佳做法
可在“顾问”仪表板的“卓越运营”选项卡上获取这些建议。
分析
减少数据资源管理器表的缓存策略
减少表缓存策略,以匹配使用模式(查询回溯期)。
详细了解数据资源管理器资源 - ReduceCacheForAzureDataExplorerTablesOperationalExcellence(减少数据资源管理器表的缓存策略)。
计算
将过时的 Azure Spring Apps SDK 更新到最新版本
我们识别到了来自过时的 Azure Spring Apps SDK 的 API 调用。 建议升级到最新版本,以获取最新修补程序、性能改进和新功能。
详细了解 Azure Spring Apps 服务。
更新 Azure Spring Apps API 版本
我们识别到了来自过时的 Azure Spring Apps API 对此订阅下资源的 API 调用。 建议切换到最新的 Azure Spring Apps 版本。 需要更新现有的代码,才能使用最新的 API 版本。 此外,需要将 Azure SDK 和 Azure CLI 升级到最新版本,以确保获得最新的功能和性能改进。
详细了解 Azure Spring Apps 服务。
有新的 HCX 版本可用于升级
HCX 版本不是最新的。 有新的 HCX 版本可用于升级。 更新 VMware HCX 系统会安装最新的功能、问题修复和安全修补程序。
详细了解 AVS 专用云 - HCXVersion(新 HCX 版本可供升级)。
重新创建池以获取最新的节点代理功能和修复
池包含旧节点代理。 考虑重新创建池以获取最新的节点代理更新和 bug 修复。
详细了解批处理帐户 - OldPool(重新创建池以获取最新的节点代理功能和修复)。
删除并重新创建你的池,以移除弃用的内部组件
你的池使用了某个弃用的内部组件。 请删除并重新创建池,以提高稳定性和性能。
详细了解批处理帐户 - RecreatePool(删除并重新创建你的池,以移除弃用的内部组件)。
升级到最新的 API 版本,以确保你的 Batch 帐户仍可正常运行
在过去 14 天内,你调用了我们已计划弃用的 Batch 管理或服务 API 版本。 升级到最新的 API 版本,以确保你的 Batch 帐户仍可正常运行。
详细了解批处理帐户 - UpgradeAPI(升级到最新的 API 版本,以确保你的批处理帐户仍可正常运行)。
删除池,然后使用另一种 VM 大小重新创建池
你的池正在使用 A8-A11 VM,此 VM 大小将于 2021 年 3 月被停用。 删除池,然后使用不同的 VM 大小重新创建它。
详细了解 Batch 帐户 - RemoveA8_A11Pools(删除池并使用另一种 VM 大小重新创建池)。
使用新映像重新创建池
你的池使用的映像即将到期。 为避免可能出现的中断,请使用新映像重新创建池。 可以通过 ListSupportedImages API 获取较新映像的列表。
详细了解批处理帐户 - EolImage(使用新映像重新创建池)。
将你可以部署的计算资源数增加 10 个 vCPU
如果超出了配额限制,则将阻止新的 VM 部署,直到配额得以增大。 若要部署更多资源,请增加配额。
详细了解虚拟机 - IncreaseQuotaExperiment(将你可以部署的计算资源数增加 10 个 vCPU)。
将 Azure Monitor 添加到标记为生产的虚拟机 (VM)
用于 VM 的 Azure Monitor 可以大规模监视 Azure 虚拟机 (VM) 和虚拟机规模集。 它分析 Windows VM 和 Linux VM 的性能和运行状况,并监视它们的进程及其对其他资源和外部进程的依赖关系。 它支持监视本地或其他云提供程序中托管的 VM 的性能和应用程序依赖项。
由频繁的 DNS 查找和新服务器的 NTP 同步造成的过量 NTP 客户端流量,这通常发生在某些全局 NTP 服务器上
由频繁的 DNS 查找和新服务器的 NTP 同步造成的过量 NTP 客户端流量,这通常发生在某些全局 NTP 服务器上。 频繁的 DNS 查找和 NTP 同步可能会被视为恶意流量,并被 Azure 环境中的 DDOS 服务阻止。
详细了解虚拟机 - GetVmlistFortigateNtpIssue(由频繁的 DNS 查找和新服务器的 NTP 同步造成的过量 NTP 客户端流量,这通常发生在某些全局 NTP 服务器上。)。
已推出 Azure 环境更新,这次更新可能会影响检查点防火墙
已安装的检查点防火墙的映像版本可能会受最近的 Azure 环境更新的影响。 在某些情况下,可能会发生内核死机,导致重启并恢复出厂默认值。
详细了解虚拟机 - NvaCheckpointNicServicing(已推出 Azure 环境更新,这次更新可能会影响检查点防火墙。)。
IControl REST 接口存在未经身份验证的远程命令执行漏洞
未经身份验证的远程命令执行漏洞会使具有 iControl REST 接口的网络访问权限的攻击者能够执行任意系统命令。 它们还可以通过 BIG-IP 管理接口和自 IP 地址创建或删除文件并禁用服务。 此漏洞仅可通过控制平面加以利用,不能通过数据平面加以利用。 攻击可能会导致整个系统遭到破坏。 设备模式下的 BIG-IP 系统也容易受到攻击。
详细了解虚拟机 - GetF5vulnK03009991(iControl REST 接口存在未经身份验证的远程命令执行漏洞。)。
NVA 加速网络已启用,但可能无法正常运行
对于 VM 上的一个或多个接口,加速网络的期望状态设置为“true”,但其实际状态是未启用。
详细了解虚拟机 - GetVmListANDisabled(NVA 加速网络已启用,但可能无法正常运行。)。
在维护操作期间,启用了 Citrix 应用程序传送控制器 (ADC) 和加速网络的虚拟机可能会断开连接
我们发现你在运行名为 Citrix 应用程序传送控制器 (ADC) 的网络虚拟设备 (NVA),并且 NVA 已启用加速网络。 在其上部署了此 NVA 的虚拟机在平台维护操作期间可能会遇到连接性问题。 建议遵循供应商提供的文章。
详细了解虚拟机 - GetCitrixVFRevokeError(在维护操作期间,启用了 Citrix 应用程序传送控制器 (ADC) 和加速网络的虚拟机可能会断开连接)。
容器
你用于 Microsoft.App 的 API 版本已弃用。 请选择最新的 API 版本。
你用于 Microsoft.App 的 API 版本已弃用。 请选择最新的 API 版本。
详细了解 Microsoft 应用容器应用 - UseLatestApiVersion(用于 Microsoft.App 的 API 版本已被弃用,请使用最新 API 版本)。
更新群集的服务主体
此群集的服务主体已过期。在更新服务主体之前,此群集不会正常运行。
详细了解 Kubernetes 服务 - UpdateServicePrincipal(更新群集的服务主体)。
已删除监视加载项工作区
已删除监视加载项工作区。 更正设置监视加载项的问题。
详细了解 Kubernetes 服务 - MonitoringAddonWorkspaceIsDeleted(已删除监视加载项工作区)。
在 1.16 中发现已弃用的 Kubernetes API
在 1.16 中发现已弃用的 Kubernetes API。 避免使用已弃用的 API。
详细了解 Kubernetes 服务 - DeprecatedKubernetesAPIIn116IsFound(在 1.16 中发现已弃用的 Kubernetes API)。
启用群集自动缩放程序
此群集尚未启用 AKS 群集自动缩放程序,除非你通过其他方法来自动缩放群集,否则它将无法适应不断变化的负载条件。
详细了解 Kubernetes 服务 - EnableClusterAutoscaler(启用群集自动缩放程序)。
AKS 节点池子网已满
此群集节点池的某些子网已满,无法再使用其他工作器节点。 使用 Azure CNI 插件需要在预配节点时为每个节点和节点的所有 Pod 保留 IP 地址。 如果子网中没有足够的 IP 地址空间,则不能部署任何工作器节点。 此外,如果节点子网已满,则无法升级 AKS 群集。
详细了解 Kubernetes 服务 - NodeSubnetIsFull(AKS 节点池子网已满)。
ETCD 证书已过期
ETCD 证书已过期,请更新。
详细了解 Kubernetes 服务 - ExpiredETCDCertPre03012022(ETCD 证书已过期)。
禁用应用程序路由加载项
此群集已启用 Pod 安全策略,但该策略即将被弃用,应改为使用适用于 AKS 的 Azure Policy。
使用临时 OS 磁盘
此群集不使用临时 OS 磁盘,这些磁盘可提供较低的读/写延迟,同时节点缩放和群集升级速度较快。
详细了解 Kubernetes 服务 - UseEphemeralOSdisk(使用临时 OS 磁盘)。
已找到过时的 Azure Linux (Mariner) OS SKU
找到了过时的 Azure Linux (Mariner) OS SKU。 不支持“CBL-Mariner”SKU。 “Mariner”SKU 等效于“AzureLinux”,但建议切换到“AzureLinux”SKU 以用于将来的更新和支持,因为“AzureLinux”是 GA(正式发布)版本。
详细了解 Kubernetes 服务 - ClustersWithDeprecatedMarinerSKU(找到已过时的 Azure Linux (Mariner) OS SKU)。
适用于 AKS 控制平面管理的免费和标准层
此群集未启用默认包含运行时间 SLA 功能的标准层,存在 SLO 为 99.5% 的限制。
详细了解 Kubernetes 服务 - 免费层和标准层。
已发现 1.22 中已弃用的 Kubernetes API
已发现 1.22 中已弃用的 Kubernetes API。 避免使用已弃用的 API。
详细了解 Kubernetes 服务 - DeprecatedKubernetesAPIIn122IsFound(已发现 1.22 中已弃用的 Kubernetes API)。
数据库
必须在完整模式下安装 Azure SQL IaaS 代理
“完整”模式将 SQL IaaS 代理安装到 VM 以提供完整功能。 使用它管理具有单个实例的 SQL Server VM。 使用完整可管理性模式时没有关联成本。 需要系统管理员权限。 安装或升级到完整模式是一种联机操作,无需重启。
详细了解 SQL 虚拟机 - UpgradeToFullMode(必须在完整模式下安装 Azure SQL IaaS 代理)。
在 SQL VM 上安装 SQL 最佳做法评估
SQL 最佳做法评估提供了一种评估 Azure SQL VM 配置的机制,从而实现最佳做法,例如索引、弃用的功能、跟踪标志使用情况、统计信息等。评估结果通过 Azure Monitoring Agent (AMA) 上传到 Log Analytics 工作区。
详细了解 SQL 虚拟机 - SqlAssessmentAdvisorRec(在 SQL VM 上安装 SQL 最佳做法评估)。
将 Azure Cosmos DB 附件迁移到 Azure Blob 存储
我们注意到,你的 Azure Cosmos DB 集合使用旧的“附件”功能。 建议将附件迁移到 Azure Blob 存储,以提高 Blob 数据的复原能力和可伸缩性。
详细了解 Azure Cosmos DB 帐户 - CosmosDBAttachments(将 Azure Cosmos DB 附件迁移到 Azure Blob 存储)。
通过将 Azure Cosmos DB 帐户迁移到连续备份来改进复原能力
将 Azure Cosmos DB 帐户配置为定期备份。 使用时间点还原的持续备份现在在这些帐户上可用。 通过连续备份,你可以将数据还原到过去 30 天内的任何时间点。 如果保留数据的单个副本,连续备份还可能更具成本效益。
详细了解 Azure Cosmos DB 帐户 - CosmosDBMigrateToContinuousBackup(通过将 Azure Cosmos DB 帐户迁移到连续备份来改进复原能力)。
启用分区合并以配置最佳数据库分区布局
你的帐户具有可以通过启用分区合并受益的集合。 最小化分区数将减少速率限制并解决存储碎片问题。 如果每个物理分区的 RU/秒为 < 3000 RU 且存储为 < 20 GB,则容器可能会从中受益。
详细了解 Cosmos DB 帐户 - CosmosDBPartitionMerge(启用分区合并以配置最佳数据库分区布局)。
Azure Database for MySQL 灵活服务器使用弱的、已弃用的 TLSv1 或 TLSv1.1 协议容易受到攻击
为了支持现代安全标准,MySQL 社区版已终止支持通过传输层安全 (TLS) 1.0 和 1.1 协议进行通信。 Microsoft 还停止了支持通过 TLSv1 和 TLSv1.1 连接到 Azure Database for MySQL 灵活服务器,以符合新式安全标准。 建议升级客户端驱动程序以支持 TLSv1.2。
优化数据库中具有巨大表空间的表或对其进行分区
Azure Database for MySQL - 灵活服务器中支持的最大表空间大小为 4 TB。 为了有效地管理大型表,建议优化表或实现分区,这有助于将数据分布到多个文件,并防止达到表空间中 4 TB 的硬限制。
为 MySQL 灵活服务器启用存储自动增长
存储自动增长可防止服务器耗尽存储空间并变为只读。
详细了解 Azure Database for MySQL 灵活服务器 - MySqlFlexibleServerStorageAutogrow43b64(为 MySQL 灵活服务器启用存储自动增长)。
应用资源删除锁
将 MySQL 灵活服务器锁定,防止意外的用户删除和修改。
详细了解 Azure Database for MySQL 灵活服务器 - MySqlFlexibleServerResourceLockbe19e(应用资源删除锁)。
为 MySQL 灵活服务器添加防火墙规则
添加防火墙规则以保护服务器免受未经授权的访问。
详细了解 Azure Database for MySQL 灵活服务器 - MySqlFlexibleServerNoFirewallRule6e523(为 MySQL 灵活服务器添加防火墙规则)。
将缓存注入虚拟网络 (VNet) 会对网络配置施加复杂的要求,这是影响客户应用程序的常见事件来源
向虚拟网络(VNet) 中注入缓存会对网络配置施加复杂的要求。 准确配置网络并避免影响缓存功能是比较困难的。 在对其他网络资源进行配置更改时,很容易意外破坏缓存,这是影响客户应用程序的常见事件来源。
了解有关 Redis 缓存服务器 - PrivateLink 的更多信息(将缓存注入虚拟网络 (VNet) 会对你的网络配置提出复杂的要求。这是影响客户应用程序的常见事件来源)。
对 TLS 版本 1.0 和 1.1 的支持将于 2024 年 9 月 30 日终止
对 TLS 1.0/1.1 的支持将于 2024 年 9 月 30 日到期。 将缓存配置为仅使用 TLS 1.2,并将应用程序配置为使用 TLS 1.2 或更高版本。 有关详细信息,请参阅不再将 TLS 1.0 和 TLS 1.1 用于 Azure Cache for Redis。
详细了解 Redis 缓存服务器 - TLSVersion(对 TLS 版本 1.0 和 1.1 的支持将于 2024 年 9 月 30 日终止。)。
TLS 版本 1.0 和 1.1 已知很容易遭到安全攻击,并且存在其他常见漏洞和披露 (CVE) 弱点
TLS 版本 1.0 和 1.1 已知很容易遭到安全攻击,并且存在其他常见漏洞和披露 (CVE) 弱点。 强烈建议将缓存配置为仅使用 TLS 1.2,将应用程序配置为使用 TLS 1.2 或更高版本。 有关详细信息,请参阅不再将 TLS 1.0 和 TLS 1.1 用于 Azure Cache for Redis。
详细了解 Redis 缓存服务器 - TLSVersion(TLS 版本 1.0 和 1.1 已知很容易遭到安全攻击,并且存在其他常见漏洞和披露 (CVE) 弱点)。
云服务缓存将于 2024 年 8 月停用。 请在此之前迁移以避免任何问题。
此 Azure Cache for Redis 实例依赖于将在 2024 年 8 月停用的云服务(经典)。 若要迁移到没有此依赖关系的实例,请按照以下链接中提供的说明操作。 如果需要将缓存升级到 Redis 6,请注意,不支持升级依赖于云服务的缓存。 升级之前,必须将缓存实例迁移到虚拟机规模集。 有关详细信息,请参阅以下链接。 注意:如果你已完成从云服务的迁移,请等待最多 24 小时,以便移除此建议。
详细了解 Redis 缓存服务器 - MigrateFromCloudService(云服务缓存将于 2024 年 8 月停用,请在此日期之前迁移,以避免出现任何问题)。
Redis 持久化使你可以持久保留存储在缓存中的数据,以便从导致数据丢失的事件中重新加载数据。
使用 Redis 持久性可以在 Redis 中持久存储数据。 你还可以创建快照和备份数据。 如果出现硬件故障,持久数据会自动加载到缓存实例中。 如果在缓存节点关闭的情况下发生故障,则可能会丢失数据。
详细了解 Redis 缓存服务器 - 持久性(Redis 持久性允许持久保存缓存中存储的数据,以便在发生导致数据丢失的事件后可以重新加载数据)。。
使用启用了软删除的持久性可能会增加存储成本。
在使用数据暂留功能之前,请检查存储帐户是否已启用软删除。 将数据暂留与软删除结合使用将导致非常高的存储成本。 有关详细信息,请参阅以下链接。
详细了解 Redis 缓存服务器 - PersistenceSoftEnable(在启用软删除的情况下使用持久性可能会增加存储成本)。。
使用 Enterprise 层缓存实例可能会使你受益
此 Azure Cache for Redis 实例使用列表中的一个或多个高级功能 - 超过六个分片、异地复制、区域冗余或持久性。 考虑切换到 Enterprise 层缓存,以充分利用 Redis 体验。 Enterprise 层缓存提供更高的可用性、更好的性能和更强大的功能,例如活动异地复制。
详细了解 Redis 缓存服务器 - ConsiderUsingRedisEnterprise(使用 Enterprise 层缓存实例可能会使你受益)。
集成
使用基于 Azure AD 的身份验证实现更精细的控制并简化管理
可以使用基于 Azure AD 的身份验证,而不是网关令牌,前者允许使用标准过程来创建、分配和管理权限并控制到期时间。 此外,还可以跨网关部署进行精细控制,并在出现安全漏洞时轻松撤销访问权限。
详细了解 API 管理 - ShgwUseAdAuth(使用基于 Azure AD 的身份验证实现更精细的控制和简化管理)。
验证 JWT 策略是否正与安全密钥一起使用。其中,用于验证 Json Web 令牌 (JWT) 的安全密钥的密钥大小并不安全。
验证 JWT 策略是否正与安全密钥一起使用。其中,用于验证 Json Web 令牌 (JWT) 的安全密钥的密钥大小并不安全。 建议使用更长的密钥大小来提高基于 JWT 的身份验证和授权的安全性。
详细了解 API 管理 - validate-jwt-with-insecure-key-size(验证是否将 JWT 策略与密钥大小不安全的安全密钥一起用来验证 Json Web 令牌 (JWT))。
使用自承载网关 v2
我们发现你的一个或多个自承载网关实例正在使用已弃用版本(v0.x 和/或 v1.x)的自承载网关。
详细了解 API 管理 - shgw-legacy-image-usage(使用自承载网关 v2)。
将配置 API v2 用于自承载网关
我们发现你的一个或多个自承载网关实例正在使用已弃用的配置 API v1。
详细了解 API 管理 - shgw-config-api-v1-usage(将配置 API v2 用于自承载网关)。
仅允许跟踪用于调试目的的订阅。 与未经授权的用户共享允许跟踪的订阅密钥,可能会导致跟踪日志中包含的敏感信息泄露,例如密钥、访问令牌、密码、内部主机名和 IP 地址。
Azure API 管理服务生成的跟踪可能包含面向服务所有者且不得向使用该服务的客户端公开的敏感信息。 如果在生产或自动化方案中使用启用了跟踪的订阅密钥,那么在调用服务的客户端请求跟踪的情况下,会产生敏感信息泄露的风险。
已识别到所用网关令牌即将过期的自承载网关实例
至少识别到一个所用网关令牌将在未来 7 天内过期的已部署的自承载网关实例。 若要确保它可以连接到控制平面,请生成新的网关令牌,并更新已部署的自承载网关(不会影响数据平面流量)。
详细了解 API 管理 - ShgwGatewayTokenNearExpiry(已识别到所用网关令牌即将过期的自承载网关实例)。
物联网
IoT 中心回退路由被禁用
我们检测到你的 IoT 中心上的回退路由已被禁用。 当回退路由被禁用时,消息将停止流向默认终结点。 如果无法再引入下游遥测数据,请考虑重新启用回退路由。
详细了解 IoT 中心 - IoTHubFallbackDisabledAdvisor(IoT 中心回退路由已禁用)。
管理和治理
升级到启动/停止 VM v2
新版本启动/停止 VM v2(预览版)为想要降低 VM 成本的客户提供了一个分散的低成本自动化选项。 此版本提供与 Azure 自动化的原始版本相同的所有功能,但它旨在利用 Azure 中的新技术。
详细了解自动化帐户 - SSV1_Upgrade(升级到启动/停止 VM v2)。
修复日志警报规则
我们检测到你的一项或多项警报规则在其条件部分指定了无效的查询。 日志警报规则在 Azure Monitor 中创建,用于按指定时间间隔运行分析查询。 查询结果决定了是否需要触发警报。 随着时间的推移,分析查询可能会因所引用资源、表或命令的变化而变得无效。 建议更正警报规则中的查询,防止其被自动禁用,并确保对 Azure 中资源的覆盖情况进行监视。
详细了解警报规则 - ScheduledQueryRulesLogAlert(修复日志警报规则)。
日志警报规则已禁用
警报规则已被 Azure Monitor 禁用,因为它会导致服务问题。 若要启用警报规则,请联系客户支持。
详细了解警报规则 - ScheduledQueryRulesRp(日志警报规则已禁用)。
更新 Azure 托管 Grafana SDK 版本
我们发现,一款旧版 SDK 已用于管理或访问 Grafana 工作区。 若要访问所有最新功能,建议切换到最新的 SDK 版本。
详细了解 Grafana 仪表板 - UpdateAzureManagedGrafanaSDK(更新 Azure 托管 Grafana SDK 版本)。
切换到基于 Azure Monitor 的有关备份的警报
切换到基于 Azure Monitor 的有关备份的警报来享受众多好处,例如,Azure 提供的标准化、大规模警报管理体验、将警报路由到所选的不同通知通道的功能,以及更高警报配置灵活性。
详细了解恢复服务保管库 - SwitchToAzureMonitorAlerts(切换到基于 Azure Monitor 的备份警报)。
网络
解决应用程序网关的证书更新问题
我们检测到,你的一个或多个应用程序网关无法提取 Key Vault 中的最新版证书。 如果你打算使用特定版本的证书,请忽略此消息。
详细了解应用程序网关 - AppGwAdvisorRecommendationForCertificateUpdateErrors(解决应用程序网关的证书更新问题)。
解决应用程序网关的 Azure Key Vault 问题
我们检测到,由于密钥保管库配置错误,你的一个或多个应用程序网关无法获取证书。 必须立即修复此配置,以避免网关出现操作问题。
详细了解应用程序网关 - AppGwAdvisorRecommendationForKeyVaultErrors(解决应用程序网关的 Azure Key Vault 问题)。
应用程序网关没有足够的容量来进行横向扩展
我们检测到,应用程序网关子网没有足够的容量,无法允许在高流量条件下进行横向扩展,这可能会导致停机。
详细了解应用程序网关 - AppgwRestrictedSubnetSpace(应用程序网关没有足够的容量来进行横向扩展)。
启用流量分析以深入了解 Azure 资源中的流量模式
流量分析是一种基于云的解决方案,可用于洞察 Azure 中的用户和应用程序活动。 流量分析可分析网络观察程序网络安全组 (NSG) 流日志,帮助洞察流量流。 借助流量分析,你可查看 Azure 部署和非 Azure 部署中的主要通信者,调查环境中的开放端口、协议和恶意流,并优化网络部署来提高性能。 可按 10 分钟和 60 分钟的处理时间间隔处理流日志,从而更快地分析流量。
详细了解网络安全组 - NSGFlowLogsenableTA(启用流量分析以深入了解 Azure 资源中的流量模式)。
设置 Azure 应用服务中的过渡环境
确保在交换槽的所有实例之前预热,消除停机时间。 先将应用部署到槽,然后将其交换到生产环境。 流量重定向是无缝的。 由于交换操作,不会删除任何请求。
详细了解订阅 - AzureApplicationService(设置 Azure 应用服务中的过渡环境)。
使用 Azure Policy 强制执行“在资源上添加或替换标记”
Azure Policy 是 Azure 中的一项服务,可用于创建、分配和管理对资源强制实施不同规则和效果的策略。 强制实施一个在创建或更新任何资源时添加或替换指定标记和值的策略。 可以通过触发修正任务来修正现有资源,这不会修改资源组上的标记。
详细了解订阅 - AddTagPolicy(使用 Azure Policy 强制执行“在资源上添加或替换标记”)。
使用 Azure Policy 强制执行“允许的位置”
Azure Policy 是 Azure 中的一项服务,可用于创建、分配和管理对资源强制实施不同规则和效果的策略。 强制实施一个用于限制组织在部署资源时可指定的位置的策略。 使用策略来强制实施异地合规性要求。
详细了解订阅 - AllowedLocationsPolicy(使用 Azure Policy 强制执行“允许的位置”)。
使用 Azure Policy 强制执行“审核不使用托管磁盘的 VM”
Azure Policy 是 Azure 中的一项服务,可用于创建、分配和管理对资源强制实施不同规则和效果的策略。 强制实施一个用于审核不使用托管磁盘的 VM 的策略。
详细了解订阅 - AuditForManagedDisksPolicy(使用 Azure Policy 强制执行“审核不使用托管磁盘的 VM”)。
使用 Azure Policy 强制执行“允许的虚拟机 SKU”
Azure Policy 是 Azure 中的一项服务,可用于创建、分配和管理对资源强制实施不同规则和效果的策略。 强制实施一个允许你指定组织可部署的一组虚拟机 SKU 的策略。
详细了解订阅 - AllowedVirtualMachineSkuPolicy(使用 Azure Policy 强制执行“允许的虚拟机 SKU”)。
使用 Azure Policy 强制执行“从资源组中继承标记”
Azure Policy 是 Azure 中的一项服务,可用于创建、分配和管理对资源强制实施不同规则和效果的策略。 强制实施一个在创建或更新任何资源时,添加或替换父资源组中指定的标记和值的策略。 可以通过触发修正任务来修正现有资源。
详细了解订阅 - InheritTagPolicy(使用 Azure Policy 强制执行“从资源组中继承标记”)。
使用 Azure Lighthouse 简单、安全地大规模管理客户订阅
使用 Azure Lighthouse 可以通过为用户启用更细粒度的权限,来提高安全性并减少对客户租户的不必要访问。 它还可以提高可伸缩性,因为你的用户可以使用租户中的单个登录名来处理多个客户订阅。
详细了解订阅 - OnboardCSPSubscriptionsToLighthouse(使用 Azure Lighthouse 简单、安全地大规模管理客户订阅)。
必须使用 AVNM 管理 VNet 数超过 10 个的订阅
必须使用 AVNM 管理 VNet 数超过 10 个的订阅。 Azure Virtual Network Manager 是一个管理服务,可用于跨订阅对虚拟网络进行全局分组、配置、部署和管理。
详细了解订阅 - ManageVNetsUsingAVNM(必须使用 AVNM 管理 VNet 数超过 10 个的订阅)。
必须使用 AVNM 连接配置管理对等互连数超过 5 个的 VNet
必须使用 AVNM 连接配置管理对等互连数超过 5 个的 VNet。 Azure Virtual Network Manager 是一项管理服务,可用于跨订阅对虚拟网络进行全局分组、配置、部署和管理。
详细了解虚拟网络 - ManagePeeringsUsingAVNM (必须使用 AVNM 连接配置管理对等互连数超过 5 个的 VNet)。
将 NSG 流量日志升级为 VNet 流量日志
虚拟网络流量日志允许你记录虚拟网络中的 IP 流量。 与网络安全组流量日志相比,它具有多种优势,如简化启用过程,增强虚拟网络管理器规则和加密状态的覆盖范围、准确性、性能和可观测性。
详细了解资源 - UpgradeNSGToVnetFlowLog(将 NSG 流日志升级到 VNet 流日志)。
存储
创建 HSM 的备份
创建定期 HSM 备份以防止数据丢失,并能够在发生灾难时恢复 HSM。
详细了解托管 HSM 服务 - CreateHSMBackup(创建 HSM 的备份)。
应用程序卷组 SDK 推荐
Azure NetApp 文件应用程序卷组功能的最低 API 版本必须为 2022-01-01。 建议尽可能使用 2022-03-01 来充分利用 API。
详细了解卷 - 应用程序卷组 SDK 版本建议(应用程序卷组 SDK 建议)。
可用性区域卷 SDK 建议
建议将最低 SDK 版本 2022-05-01 用于 Azure NetApp 文件可用性区域卷放置功能,以便在指定的 Azure 可用性区域 (AZ) 中部署新的 Azure NetApp 文件卷。
详细了解卷 - Azure NetApp 文件 AZ 卷 SDK 版本建议(可用性区域卷 SDK 建议)。
跨区域复制 SDK 建议
建议至少为 Azure NetApp 文件跨区域复制功能使用 2022-05-01 的 SDK 版本,以便能够在同一区域中跨可用性区域复制卷。
详细了解卷 - Azure NetApp 文件跨区域复制 SDK 建议。
使用客户管理的密钥和 Azure Key Vault SDK 进行卷加密的建议
Azure NetApp 文件客户管理的密钥和 Azure Key Vault 功能的最低 API 版本为 2022-05-01。
详细了解卷 - CMK 和 AKV SDK 建议(使用客户管理的密钥和 Azure Key Vault SDK 进行卷加密的建议)。
冷访问 SDK 建议
对于具有冷访问功能的标准服务级别,建议使用最低 SDK 版本 2022-03-01,以便将非活动数据移动到 Azure 存储帐户(冷层),并释放驻留在 Azure NetApp 文件卷内的存储,从而节省总体成本。
详细了解容量池 - Azure NetApp 文件冷访问 SDK 版本建议(冷访问 SDK 建议)。
防止达到最大存储帐户数的订阅限制
一个区域最多可以支持每个订阅 250 个存储帐户。 你已经达到该限制,或者将要达到该限制。 如果达到该限制,你将无法在该订阅/区域组合中创建更多的存储帐户。 请评估下面建议的操作,避免达到限制。
详细了解存储帐户 - StorageAccountScaleTarget(防止达到最大存储帐户数的订阅限制)。
更新到存储 Java v12 SDK 的更新版本以提高可靠性。
我们注意到一个或多个应用程序使用旧版本的 Azure 存储 Java v12 SDK 将数据写入 Azure 存储。 遗憾的是,所用的 SDK 版本存在一个严重问题,即重试期间上传错误数据(例如由于 HTTP 500 错误),从而导致写入无效对象。 新版本的 Java v12 SDK 中修复了该问题。
详细了解存储帐户 - UpdateStorageJavaSDK(更新到存储 Java v12 SDK 的更新版本以提高可靠性。)
虚拟桌面基础结构
连接时缺少启动 VM 的权限
我们已确定你启用了在连接时启动 VM,但没有向 Azure 虚拟桌面授予对订阅中的 VM 进行电源管理的权利。 因此,连接到主机池的用户不会收到远程桌面会话。 查看功能文档以了解要求。
详细了解主机池 - AVDStartVMonConnect(连接时缺少启动 VM 的权限)。
未启用验证环境
我们已确定你未在当前订阅中启用验证环境。 创建主机池时,你对属性选项卡中的“验证环境”选择了“否”。若拥有至少一个启用了验证环境的主机池,可通过 Azure 虚拟桌面服务部署确保业务连续性,并可及早发现潜在问题。
详细了解主机池 - ValidationEnvHostPools(未启用验证环境)。
未启用足够的生产环境
我们已确定你有太多主机池启用了验证环境。 若要使验证环境可最好地实现其用途,必须至少有一个主机池处于验证环境,但绝不能超过主机池数量的一半。 通过在启用了验证环境的主机池与禁用了该环境的主机池之间实现良好平衡,你将能充分利用 Azure 虚拟桌面随特定更新提供的多阶段部署的好处。 若要解决此问题,请打开主机池的属性,然后在“验证环境”设置旁选择“否”。
详细了解主机池 - ProductionEnvHostPools(未启用足够的生产环境)。
Web
设置 Azure 应用服务中的过渡环境
先将应用部署到槽,然后将其交换到生产环境。 这可确保在交换槽的所有实例之前预热它们,消除停机时间。 流量重定向是无缝的。 由于交换操作,不会删除任何请求。