Oktatóanyag: Szabályzat-hozzárendelés létrehozása a nem megfelelő erőforrások azonosításához

  • Cikk

Az Azure-ral való megfelelőség megértéséhez szükséges első lépés a saját erőforrásai állapotának megállapítása. Az Azure Policy vendégkonfigurációs szabályzatokkal támogatja az Azure Arc-kompatibilis kiszolgáló állapotának naplózását. Az Azure Policy vendégkonfiguráció-definíciói naplózhatják vagy alkalmazhatják a beállításokat a gépen belül.

Ez az oktatóanyag végigvezeti egy szabályzat létrehozásának és hozzárendelésének folyamatán annak megállapításához, hogy az Azure Arc-kompatibilis kiszolgálók közül melyikre nincs telepítve a Windowshoz vagy Linuxhoz készült Log Analytics-ügynök. Ezek a gépek nem felelnek meg a szabályzat-hozzárendelésnek.

Az oktatóanyag során a következőket fogja elsajátítani:

  • Szabályzat-hozzárendelés létrehozása és definíció hozzárendelése hozzá
  • Az új szabályzatnak nem megfelelő erőforrások azonosítása
  • Szabályzat eltávolítása a nem megfelelő erőforrásokból

Előfeltételek

Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.

Szabályzat-hozzárendelés létrehozása

Az alábbi lépéseket követve hozzon létre egy szabályzat-hozzárendelést, és rendelje hozzá a szabályzatdefiníciót [előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre:

  1. Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.

    Screenshot of All services window showing search for policy service.

  2. Válassza ki a Hozzárendelések elemet az Azure Policy oldal bal oldalán. A hozzárendelés egy olyan szabályzat, amely egy adott hatókörön belül érvényes.

    Screenshot of All services Policy window showing policy assignments.

  3. Válassza a Szabályzat hozzárendelése lehetőséget a Szabályzat – Hozzárendelések oldal tetején.

  4. A Szabályzat hozzárendelése oldalon a Hatókör kiválasztásához kattintson a három pontra, majd válasszon felügyeleti csoportot vagy előfizetést. Ha szeretne, válasszon erőforráscsoportot. A hatókör határozza meg, hogy a szabályzat-hozzárendelés milyen erőforrások vagy erőforráscsoportok esetében lesz kényszerítve. Ezután kattintson a Kiválasztás gombra a Hatókör oldal alján.

    Ez a példa a Parnell Aerospace-előfizetést használja. Saját előfizetése ettől eltérhet.

  5. Az erőforrások kizárhatóak a Hatókör alapján. A Kizárások alacsonyabb szinten kezdődnek, mint a Hatókör szintje. A Kizárások megadása nem kötelező, ezért most hagyja üresen a mezőt.

  6. Kattintson a Szabályzatdefiníció melletti három pontra az elérhető definíciók listájának megjelenítéséhez. Az Azure Policy beépített szabályzatdefiníciókat tartalmaz, amelyeket felhasználhat. Számos szabályzatdefiníció elérhető, többek között az alábbiak:

    • Címke és a hozzá tartozó érték kényszerítése
    • Címke és a hozzá tartozó érték alkalmazása
    • Címke öröklése az erőforráscsoportból, ha hiányzik

    Az elérhető beépített szabályzatok részleges listáját az Azure Policy-mintákban találja.

  7. Keressen rá a szabályzatdefiníciók listájára az [Előzetes verzió] megkereséséhez: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépek definíciójára (ha engedélyezte az Azure Csatlakozás ed Machine-ügynököt egy Windows-alapú gépen). Linux-alapú gépek esetén keresse meg a megfelelő [előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-alapú gépek szabályzatdefiníciójára. Kattintson a szabályzatra, és kattintson a Hozzáadás gombra.

  8. A Hozzárendelés neve mező automatikusan kitöltődik a kiválasztott szabályzat nevével, de megadhat más nevet is. Ebben a példában hagyja meg a szabályzat nevét, és ne módosítsa a lap többi beállítását.

  9. Ebben a példában nem kell módosítani a beállításokat a többi lapon. Válassza a Véleményezés + Létrehozás lehetőséget az új szabályzat-hozzárendelés áttekintéséhez, majd válassza a Létrehozás lehetőséget.

Most már készen áll a nem megfelelő erőforrások azonosítására a környezet megfelelőségi állapotának megértéséhez.

A nem megfelelő erőforrások azonosítása

Válassza a Megfelelőség lehetőséget a lap bal oldalán. Ezután keresse meg az [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre vagy a [Preview]: A Log Analytics-bővítményt telepíteni kell a létrehozott Linux Azure Arc-gépek házirend-hozzárendelésére.

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

Ha vannak olyan meglévő erőforrások, amelyek nem felelnek meg az új hozzárendelésnek, azok nem megfelelő erőforrások alatt jelennek meg.

Ha a rendszer kiértékel egy feltételt a meglévő erőforrások alapján, és igaznak találja, a rendszer ezeket az erőforrásokat nem kötelezőként jelöli meg a szabályzattal. A következő táblázat azt mutatja be, hogyan működnek együtt a szabályzatok különböző hatásai a feltételek kiértékelésével a megfelelőségi állapot eléréséhez. Bár nem látja a kiértékelési logikát az Azure Portalon, a megfelelőségi állapot eredményei megjelennek. A megfelelőségi állapotok eredménye lehet megfelelő vagy nem megfelelő.

Erőforrás állapota Hatás Szabályzatok kiértékelése Megfelelőségi állapot
Létezik Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* Igaz Nem megfelelő
Létezik Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* Hamis Megfelelő
Új Audit, AuditIfNotExist* Igaz Nem megfelelő
Új Audit, AuditIfNotExist* Hamis Megfelelő

* A Hozzáfűző, a DeployIfNotExist és az AuditIfNotExist effektushoz igaznak kell lennie az IF utasításnak. Emellett a létezési feltételnek FALSE értéket kell visszaadnia ahhoz, hogy a szabályzat nem megfelelőnek minősüljön. TRUE érték esetén az IF feltétel kiváltja a vonatkozó erőforrások létezési feltételének kiértékelését.

Clean up resources

A létrehozott hozzárendelés eltávolításához kövesse az alábbi lépéseket:

  1. Válassza a Megfelelőség (vagy Hozzárendelések) lehetőséget az Azure Policy oldal bal oldalán, és keresse meg az [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre vagy az [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a létrehozott Linux Azure Arc-gépek házirend-hozzárendelésére.

  2. Kattintson a jobb gombbal a szabályzat-hozzárendelésre, és válassza a Hozzárendelés törlése lehetőséget.

Következő lépések

Ebben az oktatóanyagban hozzárendelt egy szabályzatdefiníciót egy hatókörhöz, és kiértékelte annak megfelelőségi jelentését. A szabályzatdefiníció ellenőrzi, hogy a hatókör összes erőforrása megfelelő-e, és hogy mely erőforrások nem. Most már készen áll az Azure Arc-kompatibilis kiszolgálók monitorozására a virtuálisgép-elemzések engedélyezésével.

Ha szeretné megtudni, hogyan figyelheti és tekintheti meg a teljesítményt, a folyamat futtatását és azok függőségeit a gépről, folytassa az oktatóanyagkal:

Virtuálisgép-elemzések engedélyezése