Tutorial: Membuat penugasan kebijakan untuk mengidentifikasi sumber daya yang tidak sesuai

Langkah pertama dalam memahami kepatuhan di Azure adalah mengidentifikasi status sumber daya Anda. Azure Policy mendukung audit status server dengan dukungan Azure Arc Anda dengan kebijakan konfigurasi tamu. Definisi konfigurasi tamu Azure Policy dapat mengaudit atau menerapkan pengaturan di dalam mesin.

Tutorial ini memanah Anda melalui proses pembuatan dan penetapan kebijakan untuk mengidentifikasi server yang didukung Azure Arc Anda yang tidak memiliki agen Log Analytics untuk Windows atau Linux yang terinstal. Mesin-mesin ini dianggap tidak sesuai dengan penetapan kebijakan.

Dalam tutorial ini, Anda akan belajar cara:

  • Membuat penetapan kebijakan dan menetapkan definisi ke dalamnya
  • Mengidentifikasi sumber daya yang tidak sesuai dengan kebijakan baru
  • Menghapus kebijakan dari sumber daya yang tidak sesuai

Prasyarat

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Membuat penugasan kebijakan

Ikuti langkah-langkah di bawah ini untuk membuat penetapan kebijakan dan menetapkan definisi kebijakan [Pratinjau]: Ekstensi Log Analytics harus diinstal pada komputer Linux Azure Arc Anda:

  1. Luncurkan layanan Azure Policy di portal Microsoft Azure dengan memilih Semua layanan, lalu cari dan pilih Kebijakan.

    Screenshot of All services window showing search for policy service.

  2. Pilih Penugasan di sisi kiri halaman Azure Policy. Penetapan adalah kebijakan yang telah ditetapkan untuk berlangsung dalam cakupan tertentu.

    Screenshot of All services Policy window showing policy assignments.

  3. Pilih Tetapkan Kebijakan dari bagian atas halaman Kebijakan - Penetapan.

  4. Pada halaman Tetapkan Kebijakan, pilih Lingkup dengan mengeklik elipsis dan pilih grup manajemen atau langganan. Secara opsional, pilih grup sumber daya. Cakupan menentukan sumber daya atau pengelompokan sumber daya apa yang diberlakukan oleh penetapan kebijakan. Lalu klik Pilih di bagian bawah halaman Lingkup.

    Contoh ini menggunakan langganan Parnell Aerospace. Langganan Anda akan berbeda.

  5. Sumber daya dapat dikecualikan berdasarkan Cakupan. Pengecualian dimulai pada satu tingkat yang lebih rendah dari tingkat Cakupan. Pengecualian bersifat opsional, jadi biarkan kosong untuk saat ini.

  6. Pilih elipsis Definisi kebijakan untuk membuka daftar definisi yang tersedia. Azure Policy dilengkapi dengan definisi kebijakan bawaan yang dapat Anda gunakan. Banyak tersedia, seperti:

    • Memberlakukan tag dan nilainya
    • Menerapkan tag dan nilainya
    • Mewarisi tag dari grup sumber daya jika tidak ada

    Untuk sebagian daftar kebijakan bawaan yang tersedia, lihat Sampel Azure Policy.

  7. Cari melalui daftar definisi kebijakan untuk menemukan [Pratinjau]: Ekstensi Analitik Log harus diinstal pada definisi komputer Azure Arc Windows Anda (jika Anda telah mengaktifkan agen server yang didukung Arc pada komputer berbasis Windows). Untuk komputer berbasis Linux, temukan [Pratinjau] yang sesuai: Ekstensi Log Analytics harus diinstal pada definisi kebijakan komputer Linux Azure Arc Anda . Klik kebijakan itu dan klik Pilih.

  8. Nama Penugasan secara otomatis diisi dengan nama kebijakan yang Anda pilih, tapi Anda bisa mengubahnya. Untuk contoh ini, biarkan nama kebijakan apa adanya, dan jangan ubah salah satu opsi yang tersisa di halaman.

  9. Untuk contoh ini, kita tidak perlu mengubah pengaturan apa pun di tab lain. Pilih Tinjau + Buat untuk meninjau penetapan kebijakan baru Anda, lalu pilih Buat.

Anda sekarang sudah siap untuk mengidentifikasi sumber daya yang tidak sesuai untuk memahami status kepatuhan lingkungan Anda.

Mengidentifikasi sumber daya yang tidak sesuai

Pilih Kepatuhan di sisi kiri halaman. Kemudian temukan ekstensi [Pratinjau]: Analitik Log harus diinstal pada komputer Azure Arc Windows atau [Pratinjau]: Ekstensi Log Analytics harus diinstal pada penetapan kebijakan komputer Linux Azure Arc yang Anda buat.

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

Jika terdapat sumber daya yang sudah ada yang tidak sesuai dengan penugasan baru ini, sumber daya tersebut akan muncul di bawah Sumber daya yang tidak patuh.

Ketika kondisi dievaluasi terhadap sumber daya Anda yang ada dan ditemukan benar, maka sumber daya tersebut ditandai sebagai tidak sesuai dengan kebijakan. Tabel berikut menunjukkan bagaimana efek kebijakan yang berbeda bekerja dengan evaluasi kondisi untuk status kepatuhan yang dihasilkan. Meskipun Anda tidak melihat logika evaluasi di portal Azure, hasil status kepatuhan akan ditunjukkan. Hasil status kepatuhan adalah sesuai atau tidak sesuai.

Status sumber daya Efek Evaluasi kebijakan Status kepatuhan
Ada Tolak, Audit, Tambahkan*, DeployIfNotExist*, AuditIfNotExist* True Tidak patuh
Ada Tolak, Audit, Tambahkan*, DeployIfNotExist*, AuditIfNotExist* FALSE Sesuai
Baru Audit, AuditIfNotExist* True Tidak patuh
Baru Audit, AuditIfNotExist* FALSE Sesuai

* Efek Tambahkan, DeployIfNotExist, dan AuditIfNotExist mengharuskan pernyataan IF menjadi TRUE. Efeknya juga mengharuskan kondisi keberadaan menjadi FALSE agar tidak sesuai. Ketika TRUE, kondisi IF memicu evaluasi kondisi keberadaan untuk sumber daya terkait.

Membersihkan sumber daya

Untuk menghapus penugasan yang dibuat, ikuti langkah-langkah berikut:

  1. Pilih Kepatuhan (atau Penugasan) di sisi kiri halaman Azure Policy dan temukan ekstensi [Pratinjau]: Analitik Log harus diinstal pada Windows mesin Azure Arc atau [Pratinjau]: Ekstensi Log Analytics harus diinstal pada penetapan kebijakan komputer Linux Azure Arc yang Anda buat.

  2. Klik kanan penetapan kebijakan dan pilih Hapus tugas.

Langkah berikutnya

Dalam tutorial ini, Anda menetapkan definisi kebijakan ke lingkup dan mengevaluasi laporan kepatuhannya. Definisi kebijakan memvalidasi bahwa semua sumber daya dalam cakupan sesuai dan mengidentifikasi mana yang tidak. Sekarang Anda siap untuk memantau mesin server yang diaktifkan Azure Arc Anda dengan mengaktifkan wawasan mesin virtual.

Untuk mempelajari cara memantau dan melihat kinerja, menjalankan proses dan dependensinya dari komputer Anda, lanjutkan ke tutorial: