Applicare criteri alle VM Linux con Azure Resource ManagerApply policies to Linux VMs with Azure Resource Manager

Tramite i criteri è possibile imporre diverse convenzioni e regole in tutta l'organizzazione.By using policies, an organization can enforce various conventions and rules throughout the enterprise. L'imposizione del comportamento desiderato consente di attenuare i rischi, contribuendo nello stesso tempo al successo dell'organizzazione.Enforcement of the desired behavior can help mitigate risk while contributing to the success of the organization. Questo articolo illustra come usare i criteri di Azure Resource Manager per definire il comportamento desiderato per le macchine virtuali dell'organizzazione.In this article, we describe how you can use Azure Resource Manager policies to define the desired behavior for your organization's Virtual Machines.

Per un'introduzione ai criteri, vedere Informazioni su Criteri di Azure.For an introduction to policies, see What is Azure Policy?.

Macchine virtuali permessePermitted Virtual Machines

Per assicurarsi che le macchine virtuali dell'organizzazione siano compatibili con un'applicazione, è possibile limitare i sistemi operativi consentiti.To ensure that virtual machines for your organization are compatible with an application, you can restrict the permitted operating systems. Questo criterio di esempio consente di creare solo macchine virtuali Ubuntu 14.04.2-LTS.In the following policy example, you allow only Ubuntu 14.04.2-LTS Virtual Machines to be created.

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "in": [
          "Microsoft.Compute/disks",
          "Microsoft.Compute/virtualMachines",
          "Microsoft.Compute/VirtualMachineScaleSets"
        ]
      },
      {
        "not": {
          "allOf": [
            {
              "field": "Microsoft.Compute/imagePublisher",
              "in": [
                "Canonical"
              ]
            },
            {
              "field": "Microsoft.Compute/imageOffer",
              "in": [
                "UbuntuServer"
              ]
            },
            {
              "field": "Microsoft.Compute/imageSku",
              "in": [
                "14.04.2-LTS"
              ]
            },
            {
              "field": "Microsoft.Compute/imageVersion",
              "in": [
                "latest"
              ]
            }
          ]
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Per modificare il criterio precedente e consentire qualsiasi immagine Ubuntu LTS, usare un carattere jolly:Use a wild card to modify the preceding policy to allow any Ubuntu LTS image:

{
  "field": "Microsoft.Compute/virtualMachines/imageSku",
  "like": "*LTS"
}

Per informazioni sui campi dei criteri, vedere Alias dei criteri.For information about policy fields, see Policy aliases.

Dischi gestitiManaged disks

Per richiedere l'uso dei dischi gestiti, usare il criterio seguente:To require the use of managed disks, use the following policy:

{
  "if": {
    "anyOf": [
      {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.Compute/virtualMachines"
          },
          {
            "field": "Microsoft.Compute/virtualMachines/osDisk.uri",
            "exists": true
          }
        ]
      },
      {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.Compute/VirtualMachineScaleSets"
          },
          {
            "anyOf": [
              {
                "field": "Microsoft.Compute/VirtualMachineScaleSets/osDisk.vhdContainers",
                "exists": true
              },
              {
                "field": "Microsoft.Compute/VirtualMachineScaleSets/osdisk.imageUrl",
                "exists": true
              }
            ]
          }
        ]
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Immagini per macchine virtualiImages for Virtual Machines

Per motivi di sicurezza, è possibile richiedere che solo le immagini personalizzate approvate vengano distribuite nell'ambiente in uso.For security reasons, you can require that only approved custom images are deployed in your environment. È possibile specificare il gruppo di risorse che contiene le immagini approvate o immagini approvate specifiche.You can specify either the resource group that contains the approved images, or the specific approved images.

L'esempio seguente richiede le immagini da un gruppo di risorse approvato:The following example requires images from an approved resource group:

{
    "if": {
        "allOf": [
            {
                "field": "type",
                "in": [
                    "Microsoft.Compute/virtualMachines",
                    "Microsoft.Compute/VirtualMachineScaleSets"
                ]
            },
            {
                "not": {
                    "field": "Microsoft.Compute/imageId",
                    "contains": "resourceGroups/CustomImage"
                }
            }
        ]
    },
    "then": {
        "effect": "deny"
    }
} 

L'esempio seguente specifica gli ID immagine approvati:The following example specifies the approved image IDs:

{
    "field": "Microsoft.Compute/imageId",
    "in": ["{imageId1}","{imageId2}"]
}

Estensioni di macchina virtualeVirtual Machine extensions

È possibile che si desideri proibire l'utilizzo di tipi specifici di estensioni.You may want to forbid usage of certain types of extensions. Un'estensione potrebbe non essere ad esempio compatibile con determinate immagini di macchina virtuale personalizzata.For example, an extension may not be compatible with certain custom virtual machine images. L'esempio seguente mostra come bloccare un'estensione specifica.The following example shows how to block a specific extension. Usa server di pubblicazione e tipo per determinare l'estensione da bloccare.It uses publisher and type to determine which extension to block.

{
    "if": {
        "allOf": [
            {
                "field": "type",
                "equals": "Microsoft.Compute/virtualMachines/extensions"
            },
            {
                "field": "Microsoft.Compute/virtualMachines/extensions/publisher",
                "equals": "Microsoft.Compute"
            },
            {
                "field": "Microsoft.Compute/virtualMachines/extensions/type",
                "equals": "{extension-type}"

      }
        ]
    },
    "then": {
        "effect": "deny"
    }
}

Passaggi successiviNext steps