Определение причин несоответствия требованиям

Если ресурс Azure определен как не соответствующий правилу политики, полезно понять, какой части правила он не соответствует. Также полезно понять, какое изменение ранее соответствовавшего ресурса сделало его несоответствующим. Эту информацию можно найти через два источника:

Сведения о соответствии

Если ресурс не соответствует требованиям, сведения о соответствии для этого ресурса доступны на странице Соответствия политике. Область сведений о соответствии содержит следующие сведения:

  • Сведения о ресурсе, такие как имя, тип, расположение и идентификатор ресурса.
  • Состояние соответствия и отметка времени последней оценки для текущего назначения политики.
  • Список причин несоответствия ресурса.

Важно!

Так как сведения о соответствии для Несоответствующего ресурса показывают текущее значение свойств этого ресурса, пользователь должен иметь операцию чтения для типа ресурса. Например, если Несоответствующий ресурсом является Microsoft.Compute/virtualMachines, то пользователь должен иметь операцию Microsoft.Compute/virtualMachines/read. Если у пользователя нет необходимой операции, отображается ошибка доступа.

Чтобы просмотреть сведения о соответствии, выполните следующие действия.

  1. Запустите службу "Политика Azure" на портале Azure. Для этого щелкните Все службы, выполните поиск по запросу Политика и выберите этот элемент.

  2. На странице Обзор или Соответствие выберите политику, с состоянием соответствияНе соответствует.

  3. На вкладке Соответствие ресурса страницы Соответствие политике выберите и удерживайте (или щелкните правой кнопкой мыши) либо просто выберите многоточие ресурса с состоянием соответствияНе соответствует. Затем выберите Просмотреть сведения о соответствии.

    Screenshot of the 'View compliance details' link on the Resource compliance tab.

  4. Панель Сведения о соответствии отображает информацию от последней оценки ресурса до назначения текущей политики. В этом примере поле Microsoft. SQL/Servers/Version содержит 12.0, в то время как определение политики ожидало 14.0. Если ресурс не соответствует требованиям по нескольким причинам, каждая из них отображается на этой панели.

    Screenshot of the Compliance details pane and reasons for non-compliance that current value is twelve and target value is fourteen.

    Для определения политики auditIfNotExists или deployIfNotExists сведения включают в себя свойство details.type и любые дополнительные свойства. Список см. в разделах свойства auditIfNotExists и свойства deployIfNotExists. Последний оцененный ресурс — это связанный ресурс из раздела сведений определения.

    Пример частичного определения deployIfNotExists:

    {
        "if": {
            "field": "type",
            "equals": "[parameters('resourceType')]"
        },
        "then": {
            "effect": "DeployIfNotExists",
            "details": {
                "type": "Microsoft.Insights/metricAlerts",
                "existenceCondition": {
                    "field": "name",
                    "equals": "[concat(parameters('alertNamePrefix'), '-', resourcegroup().name, '-', field('name'))]"
                },
                "existenceScope": "subscription",
                "deployment": {
                    ...
                }
            }
        }
    }
    

    Screenshot of Compliance details pane for ifNotExists including evaluated resource count.

Примечание

Для защиты данных, если значение свойства является секретом, текущее значение отображает звездочки.

В этих сведениях объясняется, почему ресурс в настоящее время не соответствует требованиям, но не показывается, когда было внесено изменение в ресурс, вызвавшее это несоответствие. Информацию о последнем см. в разделе Журнал изменений (предварительная версия) ниже.

Причины соответствия

Режимы Диспетчер ресурсов и поставщиков ресурсов по-разному отличаются от причин несоответствия.

Общие причины соответствия режима диспетчер ресурсов

В следующей таблице каждая причина Диспетчер ресурсовного режима сопоставляется с условием ответственности в определении политики:

Причина Условие
Текущее значение должно содержать целевое значение в качестве ключа. containsKey или нет notContainsKey
Текущее значение должно содержать целевое значение. contains или нет notContains
Текущее значение должно быть равно целевому значению. equals или нет notEquals
Текущее значение должно быть меньше целевого значения. less или нет greaterOrEquals
Текущее значение должно быть не меньше целевого значения. greaterOrEquals или нет less
Текущее значение должно быть больше целевого значения. greater или нет lessOrEquals
Текущее значение должно быть не больше целевого значения. lessOrEquals или нет greater
Текущее значение должно существовать. exists (существует)
Текущее значение должно быть включено в целевое значение. in или нет notIn
Текущее значение должно быть аналогично целевому значению. Like или нет notLike
Текущее значение должно соответствовать целевому значению с учетом регистра. match или нет notMatch
Текущее значение должно соответствовать целевому значению без учета регистра. matchInsensitively или нет notMatchInsensitively
Текущее значение не должно содержать целевое значение в качестве ключа. notContainsKey или нет containsKey
Текущее значение не должно содержать целевое значение. notContains или нет contains
Текущее значение не должно быть равно целевому значению. notEquals или нет equals
Текущее значение не должно существовать. нет exists
Текущее значение не должно быть включено в целевое значение. notIn или нет in
Текущее значение не должно быть аналогично целевому значению. notLike или нет like
Текущее значение не должно соответствовать целевому значению с учетом регистра. notMatch или нет match
Текущее значение не должно соответствовать целевому значению без учета регистра. notMatchInsensitively или нет matchInsensitively
Нет связанных ресурсов, соответствующих сведениям о воздействии в определении политики. Ресурс типа, определенный в then.details.type и связанный с ресурсом, определенным в части if правила политики, не существует.

Требования к режиму поставщика ресурсов AKS

В следующей таблице показано сопоставление каждого Microsoft.Kubernetes.DataMicrosoft.Kubernetes.Data с ответственным состоянием шаблона ограничения в определении политики:

Причина Описание причины шаблона ограничения
Ограничение или Темплатекреатефаилед Не удалось создать ресурс для определения политики с ограничением или шаблоном, который не соответствует существующему ограничению или шаблону в кластере по имени метаданных ресурса.
Ограничение или Темплатеупдатефаилед Не удалось обновить ограничение или шаблон для определения политики с ограничением или шаблоном, совпадающим с существующим ограничением или шаблоном в кластере по имени метаданных ресурса.
Ограничение или Темплатеинсталлфаилед Не удалось выполнить сборку ограничения или шаблона, и его не удалось установить в кластере для операций создания или обновления.
констраинттемплатеконфликтс Шаблон конфликтует с одним или несколькими определениями политик, использующих одно и то же имя шаблона с разными источниками.
констраинтстатусстале Существует состояние "Аудит", но привратник не выполнил аудит за последний час.
констраинтнотпроцессед Нет состояния, и привратник не выполнил аудит за последний час.
Инвалидконстраинт и шаблон Сервер API отклонил ресурс из-за неправильного YAML. Эта причина также может быть вызвана несоответствием типа параметра (пример: строка, предоставленная для целого числа)

Примечание

Для существующих назначений политик и шаблонов ограничений, которые уже находятся в кластере, в случае сбоя этого ограничения или шаблона кластер защищается путем сохранения существующего ограничения или шаблона. Кластер сообщает о несоответствии, пока ошибка не будет устранена при назначении политики или самостоятельном восстановлении надстройки. Дополнительные сведения об обработке конфликтов см. в разделе конфликты шаблонов ограничений.

Сведения о компонентах для режимов поставщика ресурсов

Для назначений в режиме поставщика ресурсов выберите несоответствующий ресурс, чтобы открыть более глубокое представление. На вкладке соответствие компонентов представлены дополнительные сведения, относящиеся к режиму поставщика ресурсов в назначенной политике, отображающей несоответствующийкомпонент и идентификатор компонента.

Screenshot of Component Compliance tab and compliance details for a Resource Provider mode assignment.

Сведения о соответствии для гостевой конфигурации

Для определений политик в категории " Гостевая конфигурация " в виртуальной машине может быть определено несколько параметров, поэтому необходимо просмотреть подробные сведения о параметрах. Например, если вы выполняете аудит списка параметров безопасности и только один из них имеет состояние " не соответствует", необходимо знать, какие конкретные параметры не соответствуют требованиям, и почему.

У вас также может не быть доступа для входа на виртуальную машину напрямую при необходимости сообщить о том, почему виртуальная машина Не соответствует.

Портал Azure

Сначала выполните действия, описанные в предыдущем разделе, чтобы просмотреть сведения о соответствии политике.

В представлении области "Сведения о соответствии" щелкните ссылку Последний оцененный ресурс.

Screenshot of viewing the auditIfNotExists definition compliance details.

На странице Назначение гостей отображаются все доступные сведения о соответствии. Каждая строка в представлении представляет собой оценку выполненную внутри виртуальной машины. В столбце Причина отображается фраза, в которой описывается, почему назначение гостя Не соответствует требованиям. Например, при аудите политик паролей в столбце Причина будет отображаться текст, включающий текущее значение для каждого параметра.

Screenshot of the Guest Assignment compliance details.

Просмотр сведений о назначении конфигурации в масштабе

Функцию настройки гостя можно использовать вне назначений политик Azure. Например, служба " Управление Azure " создает назначения гостевой конфигурации, или вы можете назначать конфигурации при развертывании компьютеров.

Чтобы просмотреть все назначения гостевой конфигурации в клиенте, в портал Azure открыть страницу назначения гостей . Чтобы просмотреть подробные сведения о соответствии, выберите каждое назначение, используя ссылку в столбце "имя".

Screenshot of the Guest Assignment page.

Журнал изменений (предварительная версия)

В рамках новой общедоступной предварительной версии последние 14 дней в журнале изменений теперь доступны для всех ресурсов Azure, поддерживающих полное удаление режимов. Журнал изменений содержит подробные сведения о том, когда было обнаружено изменение и отличия между визуальными элементами для каждого изменения. Обнаружение изменений активируется, когда свойства Azure Resource Manager добавляются, удаляются или изменяются.

  1. Запустите службу "Политика Azure" на портале Azure. Для этого щелкните Все службы, выполните поиск по запросу Политика и выберите этот элемент.

  2. На странице Обзор или Соответствие выберите политику в любом состоянии соответствия.

  3. На вкладке Соответствие ресурсов страницы Соответствие политики выберите ресурс.

  4. На странице Соответствие ресурсов выберите вкладку Журнал изменений (предварительная версия) . После этого отобразится список обнаруженных изменений (при наличии).

    Screenshot of the Change History tab and detected change times on Resource Compliance page.

  5. Выберите одно из обнаруженных изменений. Отличия между визуальными элементами для ресурса представлены на странице Журнал изменений.

    Screenshot of the Change History Visual Diff of the before and after state of properties on the Change history page.

Отличия между визуальными элементами позволяют обнаружить изменения ресурса. Обнаруженные изменения могут не быть связаны с текущим состоянием соответствия ресурса.

Данные журнала изменений предоставляются Azure Resource Graph. Чтобы запросить эти сведения за пределами портала Azure, см. Получение изменений ресурсов.

Дальнейшие действия