Nach der Migration: Bereinigung, Governance und Verhinderung der Rückgabe nicht verwalteter Datenträger

Nach der Migration: Bereinigung, Governance und Verhinderung der Rückgabe nicht verwalteter Datenträger

ByTravelPortalTeam

TL;DR

  • Das Konvertieren von Datenträgern ist nicht das Ziel. Ihr wahres Ziel ist ein neuer stabiler Zustand:
    • keine nicht verwalteten Festplatten
    • Es fallen keine VHD-Kosten für ein persistentes Speicherkonto an
    • Leitplanken, die eine Wiederansiedlung verhindern
  • Die Bereinigung ist ein messbarer FinOps-Wert: Entfernen Sie nicht angeschlossene Festplatten und alte VHD-Blobs nach Ihrem Validierungszeitraum.
  • Governance ist Ihr langfristiger Sieg: Nutzen Azure Policy um virtuelle Maschinen zu prüfen, die keine verwalteten Festplatten verwenden und ständig abweichen.

Architekturdiagramm

Nach der Migration: Bereinigung, Governance und Verhinderung der Rückgabe nicht verwalteter Datenträger

Inhaltsverzeichnis

  • Szenario
  • Wie „Fertig“ aussieht
  • Snapshot des operativen Runbooks
  • Reinigungsablauf
  • Governance-Kontrollen
  • Anti-Muster
  • Operationen am zweiten Tag
  • Best Practices
  • Abschluss

Szenario

Sie haben Ihre VMs auf verwaltete Datenträger migriert. Das Risiko eines Ausfalls wird verringert.

Dann tauchen die einzelnen Probleme auf:

  • Die ursprünglichen VHD-Blobs sind noch vorhanden und kosten Geld
  • Mit der Zeit sammeln sich verwaiste Festplatten an
  • Ein Team stellt ein vorhandenes Modell bereit und führt nicht verwaltete Datenträger wieder ein
  • Ihr Compliance-Statusbericht erkennt bis zu einer Prüfung nichts

Ziel dieses Artikels ist es, „überall verwaltete Datenträger“ zur Standardeinstellung und nicht zu einem einmaligen Projekt zu machen.

Wie „Fertig“ aussieht

Sie sind fertig, wenn:

  • Inventar zeigt null Nicht verwaltete virtuelle Festplattenmaschinen für alle Abonnements.
  • Alte VHD-Artefakte haben einen dokumentierten Aufbewahrungszeitraum und werden dann gelöscht.
  • Sie haben eine politische Haltung:
    • Überwachen Sie die nicht verwaltete Festplattennutzung
    • Verfolgen Sie Ausnahmen mit einem Ablaufdatum
  • Ihr IaC und Ihre Pipelines können nicht versehentlich nicht verwaltete Datenträger neu erstellen.

Snapshot des operativen Runbooks

Rollen:

  • Cloud-Plattform-Team: Rückstand, Tools, Richtlinien, Berichterstattung
  • Anwendungseigentümer: Validierungsgenehmigungs- und Wartungsfenster
  • Sicherheit/FinOps: Governance-Anforderungen und Bereinigungsgenehmigung

Runbook-Schritte:

  • zu validieren
  • Reinigung
  • Leitplanken durchsetzen
  • Abweichungen und Ausnahmen überwachen

Reinigungsablauf

Reinigungsziel

Kosten senken und latente Risiken beseitigen:

  • nicht verbundene verwaltete Datenträger
  • nicht verwaltete und nicht angehängte VHD-Blobs
  • Speicherkonten, die nur zur Unterbringung vorhandener Festplatten vorhanden sind

Bereinigen verwalteter Datenträger

Ein verwalteter Datenträger kann getrennt, aber dennoch kostenpflichtig sein.

Bediener-Workflow:

  • Listen Sie nicht verbundene verwaltete Datenträger auf
  • Aufbewahrungspflichten bestätigen
  • mit Zustimmung löschen

Beispiel mit Azure CLI:

# List managed disks that are not attached to any VM
az disk list --query "(?managedBy==null).(name,resourceGroup,location,id)" -o table

Bereinigen nicht verwalteter Datenträger

Nicht verwaltete Datenträger sind Seitenblobs in Speicherkonten. Nach der Migration bleiben möglicherweise die ursprünglichen VHD-Blobs erhalten.

Bediener-Workflow:

  • Identifizieren Sie Speicherkonten, die VHDs hosten
  • Suchen Sie nach der Konvertierung nach entsperrten VHD-Blobs
  • Nach Validierungszeitraum und Genehmigung löschen

Halten Sie Ihren Löschworkflow konservativ:

  • Schnappschuss oder Export von Beweisen, wenn Ihre Organisation dies erfordert
  • Führen Sie Löschungen in kleinen Mengen durch
  • Dokumentieren Sie genau, was gelöscht wurde

Governance-Kontrollen

Azure Policy: Überwachen Sie die Nutzung nicht verwalteter Datenträger

Ihre minimal tragfähige Leitplanke:

  • Weisen Sie die integrierte Strategie zu Überwachen Sie VMs, die keine verwalteten Datenträger verwenden auf Abonnement- oder Verwaltungsgruppenebene.
  • Integrieren Sie die Meldung von Verstößen in Ihren Betrieb.

Optionen für die Richtlinienzuweisung:

  • Portalzuordnung
  • IaC-Mission (Terraform/Bicep)
  • CLI/PowerShell in einer Plattformpipeline

CI-Leitplanke in IaC

Die Vorbeugung zum Zeitpunkt der Empfängnis ist wirksamer als die Erkennung am zweiten Tag.

Steuerelemente zum Hinzufügen:

  • Modulstandards: VM-Festplattendefinitionen nicht zulassen, die auf Speicherkonto-VHD-URIs verweisen
  • Pipeline-Tests:
    • Richtlinienprüfungen als Code
    • Modellvalidierung
    • Peer-Review-Gates für rechnerische Änderungen

Ausnahme-Workflow

Sie werden Extremfälle finden. Gehen Sie damit um, ohne ein dauerhaftes Risiko zu schaffen:

  • Nur zeitlich begrenzte Ausnahmen
  • Genehmigung des Geschäftsinhabers
  • Der Sanierungsplan wurde wie jede andere Änderung befolgt

Anti-Muster

  • „Wir werden später migrieren“ ohne Besitzer oder Datum.
  • Konvertierung der Produktion ohne Prüfung der IP-Abhängigkeiten.
  • Belassen Sie auf jeden Fall alte VHD-Blobs, denn „Speicher ist billig“.
  • Korrigieren Sie die Produktion manuell, aktualisieren Sie IaC jedoch nicht, um Abweichungen und Wiederholungen der Arbeit sicherzustellen.
  • Behandeln Sie die Richtlinienprüfung als optionale Telemetrie und nicht als Betriebsüberwachung.

Operationen am zweiten Tag

Ihre Steady-State-Routinen:

  • Wöchentlicher Inventarbericht der nicht verwalteten Festplattennutzung (muss leer sein).
  • Ausführen einer monatlichen Bereinigung für nicht angeschlossene verwaltete Datenträger.
  • Vierteljährliche Überprüfung von Ausnahmen und Löschungen.
  • Überprüfung nach dem Vorfall: Jede wiederhergestellte VM muss auf verwalteten Datenträgern landen.

Best Practices

  • Bauen Sie einen „goldenen Weg“:
    • standardmäßig verwaltete Datenträger
    • Sicherung standardmäßig aktiviert
    • politische Mission innerhalb der Managementgruppe
  • Messergebnisse:
    • Die Anzahl der nicht verwalteten virtuellen Festplattenmaschinen wurde auf Null reduziert
    • Reduzierung der Lagerkosten durch Reinigung
    • Reduzierter Betriebsaufwand durch Wegfall der Speicherkontoverwaltung

Abschluss

Migration verhindert einen Ausfall, aber Governance verhindert eine Wiederholung. Bereinigen Sie alte Artefakte, wenden Sie Richtlinien auf verwaltete Datenträger an und platzieren Sie Schutzmaßnahmen in Ihren Bereitstellungspipelines, damit nicht verwaltete Datenträger nicht erneut angezeigt werden können.

Quellen

Suchen und entfernen Sie nicht angehängte verwaltete und nicht verwaltete Azure-Datenträger (Azure-Portal): https://learn.microsoft.com/en-us/azure/virtual-machines/disks-find-unattached-portal
Suchen und entfernen Sie nicht angeschlossene, von Azure verwaltete und nicht verwaltete Datenträger mithilfe von PowerShell: https://learn.microsoft.com/en-us/azure/virtual-machines/windows/find-unattached-disks
Migrieren Sie Ihre nicht verwalteten Azure-Datenträger bis zum 31. März 2026: https://learn.microsoft.com/en-us/azure/virtual-machines/unmanaged-disks-deprecation
Empfohlene Richtlinien für Azure-VMs (einschließlich Überwachungs-VMs, die keine verwalteten Datenträger verwenden): https://learn.microsoft.com/en-us/azure/governance/policy/concepts/recommended-policies
Integrierte Richtliniendefinitionen für Azure-VMs: https://learn.microsoft.com/en-us/azure/virtual-machines/policy-reference
Häufig gestellte Fragen zu Datenträgern: https://learn.microsoft.com/en-us/azure/virtual-machines/faq-for-disks

Source link

Similar Posts