تحديد أسباب عدم التوافق

  • مقالة
  • قراءة خلال 7 دقائق

عندما يتم تحديد مورد Azure على أنه غير متوافق مع قاعدة نهج، من المفيد فهم أي جزء من القاعدة لا يتوافق معه المورد. من المفيد أيضا فهم التغيير الذي غير موردا متوافقا سابقا لجعله غير متوافق. هناك طريقتان للعثور على هذه المعلومات:

تفاصيل الامتثال

عندما يكون المورد غير متوافق، تتوفر تفاصيل التوافق لهذا المورد من صفحة الامتثال للنهج . يتضمن جزء تفاصيل التوافق المعلومات التالية:

  • تفاصيل المورد مثل الاسم والنوع والموقع ومعرف المورد
  • حالة الامتثال والطابع الزمني للتقييم الأخير لتعيين النهج الحالي
  • قائمة بأسباب عدم امتثال الموارد

هام

نظرا لأن تفاصيل التوافق لمورد غير متوافق تظهر القيمة الحالية للخصائص الموجودة على هذا المورد، يجب أن يكون المستخدم قد قرأ العملية إلى نوع المورد. على سبيل المثال، إذا كان المورد غير المتوافق هو Microsoft.Compute/virtualMachines فيجب أن يكون لدى المستخدم عملية Microsoft.Compute/virtualMachines/read. إذا لم يكن لدى المستخدم العملية المطلوبة، عرض خطأ في الوصول.

لعرض تفاصيل التوافق، اتبع الخطوات التالية:

  1. قم بتشغيل خدمة Azure Policy في مدخل Microsoft Azure من خلال تحديد "All services" ، ثم ابحث عن "Policy" وحددها.

  2. في الصفحة نظرة عامة أو الامتثال ، حدد نهجا في حالة توافقغير متوافقة.

  3. ضمن علامة التبويب توافق الموارد في صفحة توافق النهج ، حدد باستمرار (أو انقر بزر الماوس الأيمن) أو حدد علامة الحذف لمورد في حالة توافقغير متوافقة. ثم حدد عرض تفاصيل الامتثال.

    Screenshot of the 'View compliance details' link on the Resource compliance tab.

  4. يعرض جزء تفاصيل التوافق معلومات من آخر تقييم للمورد إلى تعيين النهج الحالي. في هذا المثال، تم العثور على الحقل Microsoft.Sql/servers/version ليكون 12.0 بينما كان تعريف النهج المتوقع 14.0. إذا كان المورد غير متوافق لأسباب متعددة، يتم سرد كل منها في هذا الجزء.

    Screenshot of the Compliance details pane and reasons for non-compliance that current value is twelve and target value is fourteen.

    بالنسبة لتعريف نهج التدقيقIfNotExists أو نشر IfNotExists ، تتضمن التفاصيل الخاصية details.type وأي خصائص اختيارية. للحصول على قائمة، راجع خصائص التدقيقIfNotExistsونشر خصائص IfNotExists. آخر مورد تم تقييمه هو مورد ذي صلة من قسم التفاصيل في التعريف.

    مثال على تعريف النشر الجزئي:

    {
    "if": {
        "field": "type",
        "equals": "[parameters('resourceType')]"
    },
    "then": {
        "effect": "DeployIfNotExists",
        "details": {
            "type": "Microsoft.Insights/metricAlerts",
            "existenceCondition": {
                "field": "name",
                "equals": "[concat(parameters('alertNamePrefix'), '-', resourcegroup().name, '-', field('name'))]"
            },
            "existenceScope": "subscription",
            "deployment": {
                ...
            }
        }
    }
}

    Screenshot of Compliance details pane for ifNotExists including evaluated resource count.

ملاحظة

لحماية البيانات، عندما تكون قيمة الخاصية سرية ، تعرض القيمة الحالية علامات نجمية.

توضح هذه التفاصيل سبب عدم امتثال المورد حاليا، ولكنها لا تظهر متى تم إجراء التغيير على المورد الذي تسبب في أن يصبح غير متوافق. للحصول على هذه المعلومات، راجع سجل التغييرات (معاينة) أدناه.

أسباب الامتثال

لكل من أوضاع Resource Managerوأوضاع موفر المواردأسباب مختلفة لعدم الامتثال.

أسباب الامتثال العامة لوضع Resource Manager

يقوم الجدول التالي بتعيين كل Resource Manager الوضعيةللشرط المسؤول في تعريف النهج:

السبب الشرط
يجب أن تحتوي القيمة الحالية على القيمة المستهدفة كمفتاح. يحتوي علىمفتاح أم لايحتوي علىمفتاح
يجب أن تحتوي القيمة الحالية على القيمة المستهدفة. يحتوي أم لايحتوي على
يجب أن تكون القيمة الحالية مساوية للقيمة المستهدفة. يساوي أم لايساوي
يجب أن تكون القيمة الحالية أقل من القيمة المستهدفة. أقل أو لا أكبرOrEquals
يجب أن تكون القيمة الحالية أكبر من القيمة المستهدفة أو مساوية لها. أكبرOrEquals أو ليس أقل
يجب أن تكون القيمة الحالية أكبر من القيمة المستهدفة. أكبر أم لاOrEquals
يجب أن تكون القيمة الحالية أقل من القيمة المستهدفة أو مساوية لها. أقلOrيساوي أو لا أكبر
يجب أن تكون القيمة الحالية موجودة. موجود
يجب أن تكون القيمة الحالية في القيمة المستهدفة. في أم لافي
يجب أن تكون القيمة الحالية مثل القيمة المستهدفة. أعجبني أم لامثل
يجب أن تتطابق القيمة الحالية الحساسة لحالة الأحرف مع القيمة المستهدفة. تطابق أم لامباراة
يجب أن تتطابق القيمة الحالية غير الحساسة لحالة الأحرف مع القيمة المستهدفة. مباراةبشكل غير حساس أم لاMatchInsensitivelyMatchInsensitly
يجب ألا تحتوي القيمة الحالية على القيمة المستهدفة كمفتاح. notContainsKey أو لا يحتوي علىمفتاح
يجب ألا تحتوي القيمة الحالية على القيمة المستهدفة. لايحتوي أو لا يحتوي على
يجب ألا تكون القيمة الحالية مساوية للقيمة المستهدفة. notيساوي أو لا يساوي
يجب ألا تكون القيمة الحالية موجودة. غير موجود
يجب ألا تكون القيمة الحالية في القيمة المستهدفة. notIn أم لا في
يجب ألا تكون القيمة الحالية مثل القيمة المستهدفة. لا يعجبك أو لا يعجبك
يجب ألا تتطابق القيمة الحالية الحساسة لحالة الأحرف مع القيمة المستهدفة. notMatch أو لا تطابق
يجب ألا تتطابق القيمة الحالية غير الحساسة لحالة الأحرف مع القيمة المستهدفة. notMatchبشكل غير حساس أو لا يطابقبشكل غير حساس
لا توجد موارد ذات صلة تتطابق مع تفاصيل التأثير في تعريف السياسة. مورد من النوع المعرف في then.details.type ومرتبط بالمورد المعرف في جزء إذا كان جزء من قاعدة النهج غير موجود.

أسباب الامتثال لوضع مزود الموارد AKS

يقوم الجدول التالي بتعيين كل Microsoft.Kubernetes.Dataوضع "موفر الموارد" إلى الحالة المسؤولة لقالب القيد في تعريف النهج:

السبب وصف سبب قالب القيد
قيد/قالبCreateFailed فشل المورد في إنشاء تعريف نهج باستخدام قيد/قالب لا يتطابق مع قيد/قالب موجود على نظام المجموعة حسب اسم بيانات تعريف المورد.
قيد/قالبتحديثفشل فشل القيد/القالب في التحديث لتعريف نهج باستخدام قيد/قالب يطابق قيدا موجودا/قالبا على نظام مجموعة حسب اسم بيانات تعريف المورد.
قيد/قالبInstallFailed فشل إنشاء القيد/القالب ولم يتمكن من تثبيته على نظام المجموعة لعملية الإنشاء أو التحديث.
قيدقالبتعارضات يحتوي القالب على تعارض مع تعريف نهج واحد أو أكثر باستخدام نفس اسم القالب مع مصدر مختلف.
ConstraintStatusStale هناك حالة "تدقيق" حالية ، لكن Gatekeeper لم تقم بإجراء تدقيق خلال الساعة الأخيرة.
ConstraintNotProcessing لا توجد حالة ولم تقم Gatekeeper بإجراء تدقيق خلال الساعة الأخيرة.
غير صالح/قالب رفض خادم API المورد بسبب YAML سيء. يمكن أن يحدث هذا السبب أيضا بسبب عدم تطابق نوع المعلمة (على سبيل المثال: السلسلة المقدمة لعدد صحيح)

ملاحظة

بالنسبة لتعيينات النهج الحالية وقوالب القيود الموجودة بالفعل على المجموعة، في حالة فشل هذا القيد/القالب، تتم حماية الكتلة عن طريق الحفاظ على القيد/القالب الموجود. تقارير نظام المجموعة على أنها غير متوافقة حتى يتم حل الفشل في تعيين النهج أو يتم الشفاء الذاتي للوظيفة الإضافية. لمزيد من المعلومات حول معالجة التعارض، راجع تعارضات قوالب القيد.

تفاصيل المكونات لأوضاع "موفر الموارد"

بالنسبة للمهام ذات وضع موفر الموارد، حدد المورد غير المتوافق لفتح طريقة عرض أعمق. ضمن علامة التبويب "توافق المكونات" ، توجد معلومات إضافية خاصة بوضع "موفر الموارد" على النهج المعين الذي يعرض معرف المكون والمكونغير المتوافقين.

Screenshot of Component Compliance tab and compliance details for a Resource Provider mode assignment.

تفاصيل الامتثال لتكوين الضيف

بالنسبة إلى تعريفات السياسة في فئة تكوين الضيف ، قد تكون هناك إعدادات متعددة تم تقييمها داخل الجهاز الظاهري وستحتاج إلى عرض تفاصيل كل إعداد. على سبيل المثال، إذا كنت تقوم بالتدقيق بحثا عن قائمة بإعدادات الأمان وكان واحد منها فقط لديه حالة غير متوافقة، فستحتاج إلى معرفة الإعدادات المحددة غير المتوافقة ولماذا.

قد لا تتمكن أيضا من الوصول إلى تسجيل الدخول إلى الجهاز الظاهري مباشرة ولكنك تحتاج إلى الإبلاغ عن سبب عدم توافق الجهاز الظاهري.

مدخل Azure

ابدأ باتباع الخطوات نفسها الواردة في القسم أعلاه لعرض تفاصيل الامتثال للسياسة.

في طريقة عرض جزء تفاصيل التوافق، حدد الارتباط آخر مورد تم تقييمه.

Screenshot of viewing the auditIfNotExists definition compliance details.

تعرض صفحة مهمة الضيف جميع تفاصيل الامتثال المتاحة. يمثل كل صف في طريقة العرض تقييما تم إجراؤه داخل الجهاز. في عمود السبب ، تظهر عبارة تصف سبب عدم امتثال مهمة الضيف. على سبيل المثال، إذا كنت تقوم بتدقيق سياسات كلمة المرور، فسيعرض عمود السبب نصا يتضمن القيمة الحالية لكل إعداد.

Screenshot of the Guest Assignment compliance details.

عرض تفاصيل تعيين التكوين على نطاق واسع

يمكن استخدام ميزة تكوين الضيف خارج تعيينات نهج Azure. على سبيل المثال، تقوم الإدارة التلقائية ل Azure بإنشاء تعيينات تكوين الضيف، أو يمكنك تعيين تكوينات عند نشر الأجهزة.

لعرض جميع مهام تكوين الضيف عبر المستأجر، من مدخل Azure، افتح صفحة مهام الضيف . لعرض معلومات الامتثال التفصيلية، حدد كل مهمة باستخدام الارتباط الموجود في العمود "الاسم".

Screenshot of the Guest Assignment page.

محفوظات التغييرات (معاينة)

كجزء من معاينة عامة جديدة، تتوفر آخر 14 يوما من محفوظات التغييرات لجميع موارد Azure التي تدعم الحذف الكامل للوضع. يوفر سجل التغييرات تفاصيل حول وقت اكتشاف تغيير وفرق مرئي لكل تغيير. يتم تشغيل اكتشاف التغيير عند إضافة خصائص Azure Resource Manager أو إزالتها أو تغييرها.

  1. قم بتشغيل خدمة Azure Policy في مدخل Microsoft Azure من خلال تحديد "All services" ، ثم ابحث عن "Policy" وحددها.

  2. في صفحة نظرة عامة أو الامتثال ، حدد سياسة في أي حالة امتثال.

  3. ضمن علامة التبويب امتثال الموارد في صفحة الامتثال للنهج ، حدد موردا.

  4. حدد علامة التبويب محفوظات التغييرات (المعاينة) في صفحة توافق الموارد . يتم عرض قائمة بالتغييرات المكتشفة، إن وجدت.

    Screenshot of the Change History tab and detected change times on Resource Compliance page.

  5. حدد أحد التغييرات المكتشفة. يتم عرض الفرق المرئي للمورد في صفحة محفوظات التغييرات .

    Screenshot of the Change History Visual Diff of the before and after state of properties on the Change history page.

يساعد الاختلاف البصري في تحديد التغييرات التي تطرأ على المورد. قد لا تكون التغييرات المكتشفة مرتبطة بحالة الامتثال الحالية للمورد.

يتم توفير بيانات محفوظات التغييرات بواسطة Azure Resource Graph. للاستعلام عن هذه المعلومات خارج مدخل Azure، راجع الحصول على تغييرات الموارد.

الخطوات التالية