Vynucení standardů pomocí zásad

  • 7 min

Naučili jste se lépe uspořádat prostředky do skupin a přidat k nim značky využitelné v sestavách fakturace a v monitorovacím řešení. Pomocí skupin a opatření prostředků značkami jste do stávajících firemních prostředků vnesli řád, jak ale zajistit, aby se i nové prostředky vytvářely podle pravidel? Pojďme se podívat, jak vám při vynucování standardů v prostředí Azure můžou pomoct zásady.

Co je Azure Policy?

Azure Policy je služba, která slouží k vytváření, přiřazování a správě zásad. Tyto zásady uplatňují a vynucují pravidla, která vaše prostředky mají dodržovat. Tyto zásady můžou tato pravidla vynutit při vytváření prostředků a vyhodnocovat je proti existujícím prostředkům, abyste získali přehled o dodržování předpisů.

Zásady můžou vynucovat pravidla, jako je pouze povolení vytváření konkrétních typů prostředků nebo povolení pouze prostředků v konkrétních oblastech Azure. V celém prostředí Azure můžete vynucovat zásady pro vytváření názvů. Můžete také vynutit, aby se k prostředkům přidávaly konkrétní značky. Pojďme se podívat, jak zásady fungují.

Vytvořte zásadu

Chcete zajistit, aby všechny prostředky měly přidružené značky Oddělení , a blokovat vytváření, pokud značka neexistuje. Budete muset vytvořit novou definici zásady a přiřadit ji k oboru; v tomto případě je oborem naše skupina prostředků msftvyuka-infrastruktura-rg . Zásady můžete vytvářet a přiřazovat prostřednictvím webu Azure Portal, Azure PowerShellu nebo Azure CLI. Toto cvičení vás provede vytvořením zásad na portálu.

Vytvoření definice zásad

  1. Pokud ještě nemáte v prohlížeči otevřený web Azure Portal, otevřete ho. Do vyhledávacího pole v horním navigačním panelu zadejte Policy a vyberte službu Policy.

  2. V části Vytváření v nabídce vlevo vyberte podokno Definice.

  3. Zobrazí se seznam integrovaných zásad, které můžete použít. V takovém případě vytvoříte vlastní zásady. V horní nabídce vyberte + definice zásady.

  4. Zobrazí se dialogové okno Nová definice zásad. Pokud chcete nastavit umístění definice, vyberte modrý selektor oboru spuštění (...). Vyberte předplatné, ve kterém jsou zásady uložené, což by mělo být stejné předplatné jako naše skupina prostředků. Zvolte tlačítko Vybrat.

  5. Zpět v dialogovém okně Definice nové zásady zadejte v poli Název značku v prostředku.

  6. Do pole Popis zadejte Tato zásada vynucuje existenci značky u prostředku.

  7. V části Kategorie vyberte Použít existující a pak vyberte kategorii Obecné .

  8. V případě pravidla zásad odstraňte veškerý text v poli a vložte do následujícího kódu JSON:

    {
  "mode": "Indexed",
  "policyRule": {
    "if": {
      "field": "[concat('tags[', parameters('tagName'), ']')]",
      "exists": "false"
    },
    "then": {
      "effect": "deny"
    }
  },
  "parameters": {
    "tagName": {
      "type": "String",
      "metadata": {
        "displayName": "Tag Name",
        "description": "Name of the tag, such as 'environment'"
      }
    }
  }
}

    Definice zásady by měla vypadat jako v následujícím příkladu. Výběrem možnosti Uložit uložte definici zásady.

    Screenshot of Azure portal showing the new policy definition dialog.

Vytvoření přiřazení zásady

Zásady jste vytvořili, ale zatím jste je nezačali uplatňovat. Abyste zásady aktivovali, potřebujete vytvořit přiřazení. V tomto případě ho přiřadíte k rozsahu skupiny prostředků msftvyuka-core-infrastructure-rg , aby se vztahovala na cokoli uvnitř skupiny prostředků.

  1. V podokně zásady v části Vytváření na levé straně vyberte Přiřazení.

  2. Nahoře vyberte Přiřadit zásadu.

  3. V podokně Přiřazení zásad přiřaďte zásady skupině prostředků. V části Obor vyberte modrý selektor oboru spuštění (...). Vyberte své předplatné a skupinu prostředků msftlearn-core-infrastructure-rg a pak vyberte tlačítko Vybrat .

  4. Pro definici zásad vyberte modrý výběr definice zásady spuštění (...). V rozevíracím seznamu Typ vyberte Vlastní, vyberte značku Vynutit u zásad prostředků , které jste vytvořili, a pak vyberte tlačítko Přidat .

  5. Vyberte kartu Parametry v horní části obrazovky.

  6. V podokně Parametry zadejte název značky oddělení.

  7. Vyberte Zkontrolovat a vytvořit a pak výběrem možnosti Vytvořit vytvořte zadání.

Otestování zásady

Teď, když jste přiřadili zásadu ke skupině prostředků, všechny pokusy o vytvoření prostředku bez značky Oddělení selžou.

Důležité

Upozorňujeme, že může trvat až 30 minut, než se přiřazení zásady projeví. Kvůli tomuto zpoždění může být ověření zásad v následujících krocích úspěšné, ale nasazení se stále nezdaří. Pokud k tomu dojde, povolte delší dobu a opakujte nasazení.

  1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

  2. Vyhledejte účet úložiště a vyberte Účet úložiště. Ve výsledcích vyberte Vytvořit.

  3. Vyberte své předplatné a pak vyberte skupinu prostředků msftlearn-core-infrastructure-rg .

  4. Do pole Název účtu úložiště zadejte libovolný název, pamatujte ale na to, že musí být globálně jedinečný.

  5. Zbývající možnosti ponechte ve výchozím nastavení a pak vyberte Zkontrolovat.

    Ověření vytvoření prostředku se nezdaří, protože pro prostředek nemáte použitou značku Oddělení . Pokud zásady nezapříčinily selhání ověření, možná budete muset několik minut počkat, než se povolí.

    Screenshot of Azure portal showing a policy validation failure on a new storage account without a tag.

    Abyste mohli účet úložiště úspěšně nasadit, opravte porušení zásad.

  6. V horní části podokna Vytvořit účet úložiště vyberte Značky.

  7. Přidejte do seznamu značku Department:Finance.

    Screenshot of Azure portal showing a new Department tag to add during creation.

  8. Teď klikněte na Revize. Ověření teď proběhne a pokud vyberete Vytvořit, vytvoří se váš účet úložiště.

Vynucení standardů pomocí zásad

Viděli jste, jak můžete pomocí zásad zajistit, aby vaše prostředky měly značky, které vaše prostředky uspořádají. Existují i další způsoby, jak využít zásady k naší výhodě.

Pomocí zásad můžete omezit, do kterých oblastí Azure můžete nasazovat prostředky. Pro organizace, které jsou silně regulované nebo mají právní nebo regulační omezení, kde se data můžou nacházet, pomáhají zásady zajistit, aby prostředky nebyly zřízeny v geografických oblastech, které se vztahují k těmto požadavkům.

Zásady můžete použít k omezení typů velikostí virtuálních počítačů, které je možné nasadit. V produkčních předplatných můžete chtít povolit velké velikosti virtuálních počítačů, ale možná byste chtěli zajistit, abyste ve svých vývojových předplatných zachovali minimalizované náklady. Když v těchto předplatných pomocí zásady zakážete velké virtuální počítače, zajistíte tak, že se ve vývojovém prostředí nebudou nasazovat.

Zásady můžete použít také k vynucení zásad vytváření názvů. Pokud organizace používá konkrétní standardizované zásady vytváření názvů, pomůže uplatnění zásad prosazujících tyto standardy zajistit konzistentní pojmenování všech prostředků Azure.