阿里云 vs Azure-监控与管理
1. 监控服务
Alibaba CloudMonitor是一款针对阿里云资源和物联网应用进行监控的服务。可用于收集获取阿里云资源的监控指标或用户自定义的监控指标,探测服务可用性,以及针对指标设置警报。使您全面了解阿里云上的资源使用情况、业务的运行状况和健康度,并及时收到异常报警做出反应,保证应用程序顺畅运行。
Azure Monitor是一种数据收集和分析操作,用于应用程序及其所依赖资源的性能、运行状况和可用性。 有效的监控策略有助于了解应用程序组件的详细运行状况, 并且还可以主动向你发送关键情况的通知,让你在这些情况成为问题之前解决它们,从而提高运行时间。
1.1 主要功能对比
| Service Type | Alibaba CloudMonitor | Azure Monitor |
|---|---|---|
| 主机监控 | 支持 | 支持 |
| 报警方式 | 旺旺,邮件,MNS,短信+钉钉(国内) | 邮件,电话,短信 |
| 应用分组 | 支持 | 支持 |
| 数字化运营 | Dashboard,资源利用月报 | 仪表板+Azure门户 |
| 站点监控 | 支持 | 不支持 |
| 云服务监控 | 支持 | 支持 |
| 自定义监控 | 支持 | 支持 |
| 日志监控 | 支持(国际站暂时不支持) | 支持 |
| 概览页面 | 所有云资源统计概览,报警概览,事件概览,资源数和水位 | 报警概览,服务运行状况, 活动日志错误,Application Insights |
| AIP SDK | 支持 | 支持 |
1.2 主机监控和云服务监控
Alibaba CloudMonitor
- 混合云:支持阿里云主机一键安装,可授权自动安装,支持非阿里云主机,且支持所有主流操作系统。
- 具备丰富的指标:如:cpu/mem,load/disk/net/device 30+指标,其他更多指标丰富中,如:rdma gpu 虚拟多网卡。
- 进程级:top5进程资源消耗情况。
- 秒级监控:每秒采集, 15s聚合,平均资源消耗和业务需求。
- 支持接入到云监控的所有云产品监控
Azure Monitor
- 微软Azure为用户提供了丰富的监控指标,通过这些监控项,能够了解云主机的运行负载和状况, Auzre Montior主机默认开启CPU、内存、磁盘、网络四个监控指标, 用户可在Azure控制台中进行配置,选择开启哪些监控项。
- 指标警报的运行频率可达每分钟一次,经典指标警报始终每隔 5 分钟运行一次,
- 可以针对维度指标发出警报,从而监视特定的指标实例。
- Azure Monitor 针对 Microsoft Azure中大多数服务提供级别的基本的基础结构指标和日志 .
1.3 报警服务
Alibaba CloudMonitor
- 一键报警功能:针对主流产品,可以开启一键报警,实现对该产品的所有实例报警覆盖。
- 报警模板:报警模板与应用分组,可以快速完成大数据IT基础设施监控。
- 支持产品报警添加在一起,提升用户配置报警效率。
- 报警方式:报警信息支持MNS订阅,邮件,旺旺 ,多渠道报警方式。
Azure Monitor
-
统一警报体验的功能:
(1)在 Azure 门户中查看触发的 Log Analytics 警报
(2) 触发的警报和警报规则的分离
(3) 综合监视多个指标
(4) 更好的通知系统:统一警报使用操作组,这些组是命名的通知和操作组,可以在多个警报中重复使用
-
经典指标报警:当指定的指标值越过了分配的阈值时,就会触发此警报。
- 经典活动日志报警:当生成与分配的筛选器条件匹配的活动日志事件时,触发的流式处理日志警报。
- 报警方式:除了电子邮件地址、短信号码和大量其他操作外,操作组还通过发布到 Webhook URL 来支持通知
1.4 应用分组
Alibaba CloudMonitor
- 支持跨产品,跨地域的资源分组,
- 支持分组级别的聚合计算以及报警聚合,
- 支持自定义加快,时间日志,都可以按分组归属,
- 支持分组级别的授权,子账号,主子账号,跨账号等
Azure Monitor
- 操作组是用户定义的通知首选项的集合。 Azure Monitor 和服务运行状况警报配置为在触发警报时使用特定操作组。 各种警报可以使用相同的操作组或不同的操作组,具体取决于用户的要求。
- Azure Monitor 提供了两个现成的角色:监视查阅者和监视参与者。
监视查阅者分配了监视查阅者角色的人员可以查看订阅中的所有监视数据,但不能修改任何资源或编辑与监视资源相关的任何设置.监视参与者分配了监视参与者角色的人员可以查看订阅中的所有监视数据和创建或修改监视设置,但不能修改任何其他资源.
1.5 数字化运营
Alibaba CloudMonitor
- dashboard: 跨产品,跨地域的指标显示,支持日志监控,自定义监控等指标
- 运维周报,资源利用率月报(企业版支持)。
Azure Monitor
- dashboaard:Azure门户(Azure portal)+ 仪表盘
- 通过实时数据流将数据路由到第三方可视化工具,或者让第三方可视化工具从 Azure 存储中读取存档。
1.6 站点监控
Alibaba CloudMonitor
- 提供遍布阿里云计费的IDC探针,提供30w+的astmile的用户侧探针,提供1分钟的探测能力
- 用户侧访问模拟,发现网站真实情况,
- 检查站点状态,包括:http,ping、tcp、udp、dns、pop、smtp、ftp 和响应时间
- 网络故障发现
1.7 自定义监控
Alibaba CloudMonitor
- 借助自定义监控,可以快速实现本地redis mysql等监控指标集成到云监控
- 自定义监控是提供给用户自由定义监控项以及报警规则的一项功能,通过此功能,用户可以挣到自己关心的业务指标进行监控,将采集到的监控数据上报至云监控,用云监控进行数据的处理,并根据结果进行报警。
Azure Monitor
- 可以使用 Azure 监控器 REST API、跨平台命令行接口 (CLI) 命令,powerShell,SDK访问系统或Azure存储中的数据,获取所编写的自定义监控应用程序的数据,创建自定义查询,将该数据发送到第三方应用程序
- 在警报中,日志搜索警报可以使用自定义时间段和频率值(分钟)
2 访问控制
阿里云访问控制(Resource Access Management)服务是一个集中管理云上身份及访问权限的管理服务。您可以通过访问控制将阿里云资源的访问及管理权限分配给您的企业成员或合作伙伴。
Azure Active Directory (Azure AD) 可帮助你管理用户标识并创建智能驱动访问策略,从而保护资源安全,Azure AD 集成了标识和访问管理,实现各种设备、数据、应用和基础结构之间的深度安全性、高效生产力和深层管理。
2.1 主要功能对比
| Service Type | Alibaba RAM | Azure AD |
|---|---|---|
| 用户管理 | 支持 | 支持 |
| 策略管理 | 支持 | 支持 |
| 群组管理 | 支持 | 支持 |
| 角色管理 | 支持 | 支持 |
| 集中管理 | 支持 | 支持 |
| 灵活性 | 集成阿里云服务,同时支持外部账号管理,多维度授权 | 应用程序可以 Azure Active Directory 集成 |
| 可用性 | 多节点冗余部署 | Azure AD的多租户,地理分布式,高可用性设计 |
| 安全性 | 令牌服务,访问密钥 | Azure 多重身份验证,安全令牌等 |
| 操作审计 | 支持 | 支持 |
| API/SDK/CLI | 支持 | 支持 |
| 费用 | Free | 免费版本+收费版本 |
2.2 身份管理
2.2.1 用户
用户是Alibaba RAM的一种身份,对应某一个操作实体,如操作员或者应用程序。如果有新的用户或应用程序访问您的云资源,您需要创建 RAM 用户并授权其访问相关资源。
Azure Active Directory (Azure AD)基于云的目录和身份管理服务,它将核心目录服务,应用程序访问管理和身份保护结合到一个解决方案中, Microsoft 的标识解决方案跨越本地和基于云的功能,创建单一用户标识对所有资源进行身份验证和授权,而不考虑其位置。
2.2.2 组
对云账号下有多个 RAM 用户的情况,为更好的管理用户及其权限,建议您使用群组(Group)。为职责相同的 RAM 用户通过创建群组进行分类,并在授权时选择为用户组授权。这样做的好处是:
- 在具体用户职责发生变化时,只需将其移动到相应职责的群组下,不会对其他用户产生影响。
- 当群组的权限发生变化时,只需修改群组的授权策略,即可应用到所有用户身上。
Azure AD 用户管理的功能之一是可以使用组来执行管理任务:
- 在 Azure Active Directory 中创建的一组用户。 将某个角色分配到某个组时,该组中的所有用户都拥有该角色。
- 可以一次将许可证或权限分配给多个用户。
2.2.3 角色
Alibaba RAM与用户一样,都是 RAM 中使用的身份。与 RAM 用户相比,RAM 角色是一种虚拟用户,它没有确定的身份认证密钥,且需要被一个受信的实体用户扮演才能正常使用。
- RAM 角色作为虚拟用户,它有确定的身份,可以被赋予一组授权策略(Policy),但它没有确定的身份认证密钥(登录密码或 AccessKey)。
- 相比于 RAM 用户,在使用方法上 RAM 角色需要被一个授信的实体用户扮演,扮演成功后实体用户将获得 RAM 角色的临时安全令牌,使用这个临时安全令牌就能以角色身份访问被授权的资源。
Azure AD具有一组不同的管理角色,用于管理目录和与身份相关的功能。这些管理员可以访问Azure门户或Azure门户中的各种功能。管理员的角色决定了他们可以做什么,例如创建或编辑用户,为其他人分配管理角色,重置用户密码,管理用户许可或管理域,Azure AD具有多种用户角色,主要包括
- 云应用程序管理员角色。- 条件访问管理员角色- Application Developer角色- Intuen 服务管理员角色
其中Intune的基于角色的管理控制(RBAC)可帮助您控制谁可以在组织内执行各种Intune任务,以及这些任务适用于谁。您可以使用涵盖一些常见Intune方案的内置角色,也可以创建自己的角色。
2.3 授权管理
Alibaba RAM使用权限来描述内部身份(如用户、用户组、角色)对具体资源的访问能力。权限指在某种条件下 允许 (Allow) 或 拒绝 (Deny) 对某些资源执行某些操作。
在 Azure AD 中,向云应用授予访问权限是用户指定的主题。 使用条件访问策略,你可以控制授权用户在特定条件下访问云应用的方式,也可以设置策略可阻访问。
2.3.1 权限
Alibaba RAM权限包括:
- 主账户(资源 Owner)控制所有权限
- RAM 用户(操作员)默认无任何权限
- 资源创建者(RAM 用户)不会自动拥有对所创建资源的任何权限
Azure AD定义了两种权限:
- 委托的权限:由包含登录用户的应用使用。
- 应用程序权限:由无需存在登录用户即可运行的应用使用。
2.3.2 访问策略
RAM 支持以下两种授权策略:
- 系统访问策略:由阿里云创建和管理的一组常用的权限集,比如对 ECS 的只读权限、对 ECS 的完全权限等;用户只能使用而不能修改。
- 自定义访问策略:由用户自己创建和管理的权限集,是对系统访问策略的扩展和补充。
Azure AD使用授权控制策略,可以完全阻止访问,也可以选择所需的控制,限制为只有满足其他要求才能访问,Azure AD有多重访问策略控制,其中主要有:
- 多重身份验证策略:使用多重身份验证有助于保护资源,使其免遭可能已有权访问有效用户的主要凭据的未授权用户访问。
- 合规的设备策略:可以配置基于设备的条件访问策略。 基于设备的条件性访问策略旨在仅从受管理设备授予对已配置资源的访问权限。
- 自定义控件:通过这些控件可以将某些外部或自定义服务用作条件访问控制,并在一般情况下扩展条件访问的功能。
2.4 费用
Alibaba CLoud RAM 不收取服务费用,只需满足开通条件,并进行开通,即可使用该服务。
Azure 提供免费版本和收费版本(只为所需功能付费),其中收费版本为基本,高级版P1,高级版P2,OFFICE 365应用4个版本。
3 秘钥管理服务
Alibaba Cloud密钥管理服务(KMS)是一种安全,易于使用的服务,用于创建,控制和管理用于保护数据的加密密钥。借助阿里云KMS,您可以有效地保护密钥的机密性,完整性和可用性,同时节省成本。
Azure Key Vault 密钥保管库可帮助保护云应用程序和服务使用的加密密钥和机密。通过密钥保管库,可以使用受硬件安全模块 (HSM) 保护的密钥,来加密密钥和机密.
3.1 主要功能对比
| Service Type | Alibaba Cloud KMS | Azure Key Vault |
|---|---|---|
| API/SKD | API,SDK | API,SDK |
| 秘钥管理 | 完全托管 | 集中管理 |
| 秘钥保护 | 分布式系统与密码硬件设备结合,实现高可靠 | Azure 使用行业标准算法、密钥长度和硬件安全模块 (HSM) 进行保护 |
| 授权访问 | 与RAM集成,支持统一授权管理 | 身份验证通过 Azure Active Directory 来完成 |
| 安全 | 通过TLS协议传输数据,以确保数据的安全性。 | 使用对称数据加密密钥 (DEK) 对数据进行加密 |
| 服务集成 | 可与其他阿里云服务(如ApsaraDB for RDS,OSS等)集成,且支持与第三方集成。 | Key Vault 本身可以与存储帐户、事件中心和 Log Analytics 等集成。 |
| 服务可靠性 | 99.9% | 99.9% |
| 可扩展性 | 支持 | 支持 |
3.2 API&SDK支持
Alibaba Cloud KMS 可以通过 API 进行主密钥的产生与管理操作,可以直接通过使用 API 进行少量数据的加解密。对 KMS API 接口调用是通过向 KMS API 的服务端地址发送 HTTP POST和GET 请求,并按照接口说明在请求中加入相应请求参数来完成的;根据请求的处理情况,系统会返回处理结果。目前阿里云官方提供的 SDK 分四种语言版本,分别为 Java、Python、PHP、C#。
Azure key vault可通管理密钥保管库以及密钥保管库中的密钥,密钥和证书可以通过REST API完成.且可使用 PowerShell 创建一个密钥保管库, 然后即可在新创建的保管库中存储机密。Azure key vault 目前支持的SDK有四种语言版本,NET、Java、Python、Node.js。
3.3 秘钥管理和秘钥保护
Alibaba cloud KMS 采用分布式系统与密码硬件设备结合,实现高可靠。KMS密钥管理服务通过存储在KMS中客户主密钥(CMK),实现数据密钥的轻松加密/解密,且支持基于信封加密技术以及KMS开放的API,服务能够集成KMS,使用用户指定的主密钥完成数据密钥的加解密,能够轻松的实现明文不落盘的要求。免除了将明文直接存储在存储设备中的隐患。
在 Azure Key Vault 中集中存储应用程序机密就可以控制其分发,密钥由 Azure 使用行业标准算法、密钥长度和硬件安全模块 (HSM) 进行保护。访问密钥保管库需要适当的身份验证和授权,否则调用方(用户或应用程序)无法进行访问。
3.4 授权访问
使用RAM实现KMS资源授权,用户的主账户对自己的资源拥有完整的操作权限,但是在用户子账户的场景下,是需要通过 RAM 授权的方式,给予子账号操作对应资源的权限。
使用Azure Key Vault密钥保管库的应用程序必须使用 Azure Active Directory 的令牌进行身份验证。 为此,应用程序的所有者首先必须在其 Azure Active Directory 中注册该应用程序。
3.5 服务集成
借助阿里云KMS, 您可以将其与其他阿里云服务(如ApsaraDB for RDS,OSS等)集成,或者使用REsTful API 与第三方集成,以加密关键信息,例如存储在这些服务中的证书和密钥。 您可以安全,方便地使用这些密钥,并专注于开发加密/解密功能场景。
Azure 密钥保管库 (AKV) 服务专用于在一个高度可用的安全位置改进这些密钥的安全性和管理,例如:对于 Azure VM 中的 SQL Server,可以使用 Azure 密钥保管库集成功能节省时间。启用 Azure 密钥保管库集成之后,可以在 SQL VM 上启用 SQL Server 加密。
3.6 成本
Alibaba Cloud KMS 当前国际站还未商业化,处于免费使用阶段,中国站计费方式有三种情况,(每种计费情况费用不同)。1,普通秘钥管理费,2,服务秘钥管理费,3,API 调用费用。
Azure Key Vault 提供了标准和高级两个服务级别收费。且每个级别里面包含不同的收费项。具体情况看Key Vault 收费标准。