Yeni bir Azure İlkesi tanımının etkisini değerlendirme

Azure İlkesi, iş standartları uyumluluk gereksinimlerini karşılamak için Azure kaynaklarınızı yönetmeye yönelik güçlü bir araçtır. Kişiler, işlemler veya işlem hatları kaynakları oluşturduğunda veya güncelleştirdiğinde Azure İlkesi isteği gözden geçirir. İlke tanımı efekti Modify, Append veya DeployIfNotExists olduğunda, İlke isteği değiştirir veya buna ekler. İlke tanımı etkisi Audit veya AuditIfNotExists olduğunda, İlke yeni ve güncelleştirilmiş kaynaklar için bir Etkinlik günlüğü girdisi oluşturulmasına neden olur. İlke tanımı efekti Deny veya DenyAction olduğunda, İlke isteğin oluşturulmasını veya değiştirilmesini durdurur.

İlkenin doğru tanımlandığını bildiğiniz sürece bunlar tam olarak istenen sonuçlardır. Ancak, yeni bir ilkenin çalışmayı değiştirmesine veya engellemesine izin vermeden önce amaçlandığı gibi çalıştığını doğrulamak önemlidir. Doğrulama yalnızca hedeflenen kaynakların uyumsuz olarak belirlendiğinden ve hiçbir uyumlu kaynağın sonuçlara yanlış dahil edilmediğinden (hatalı pozitif olarak bilinir) emin olmalıdır.

Yeni ilke tanımını doğrulamak için önerilen yaklaşım şu adımları izlemektir:

• İlkenizi sıkı bir şekilde tanımlayın
• İlkenizin etkinliğini test edin
• Yeni veya güncelleştirilmiş kaynak isteklerini denetleme
• İlkenizi kaynaklara dağıtma
• Sürekli izleme

İlkenizi sıkı bir şekilde tanımlayın

İş ilkesinin bir ilke tanımı olarak nasıl uygulandığını ve Azure kaynaklarının diğer Azure hizmetleriyle ilişkisini anlamak önemlidir. Bu adım gereksinimleri belirleyerek ve kaynak özelliklerini belirleyerek gerçekleştirilir. Ancak, iş politikanızın dar tanımının ötesine geçmek de önemlidir. İlke durumunuz "Tüm Sanal Makineler gerekir..." gibi mi? HDInsight veya AKS gibi VM'lerden yararlanan diğer Azure hizmetleri ne olacak? İlke tanımlarken, bu ilkenin diğer hizmetler tarafından kullanılan kaynakları nasıl etkilediğini göz önünde bulundurmamız gerekir.

Bu nedenle ilke tanımlarınız sıkı bir şekilde tanımlanmalı ve mümkün olduğunca uyumluluk açısından değerlendirmeniz gereken kaynaklara ve özelliklere odaklanmalıdır.

İlkenizin etkinliğini test edin

Yeni ilke tanımınızla yeni veya güncelleştirilmiş kaynakları yönetmeye bakmadan önce, test kaynak grubu gibi mevcut kaynakların sınırlı bir alt kümesini nasıl değerlendirdiğini görmek en iyisidir. Azure İlkesi VS Code uzantısı, isteğe bağlı değerlendirme taramasını kullanarak tanımların mevcut Azure kaynaklarına karşı yalıtılmış olarak test edilmesini sağlar. Ayrıca, etkinin tetiklenmesini veya etkinlik günlüğü girdilerinin oluşturulmasını önlemek için ilke atamanızdaki Zorlama modunuDevre Dışı (DoNotEnforce) kullanarak bir Geliştirme ortamında tanımı atayabilirsiniz.

Bu adım, yeni ilkenin mevcut kaynaklardaki uyumluluk sonuçlarını iş akışını etkilemeden değerlendirme fırsatı sunar. Uyumlu kaynakların uyumsuz (hatalı pozitif) olarak gösterilmediğini ve uyumsuz olmasını beklediğiniz tüm kaynakların doğru olarak işaretlenip işaretlenmediğini denetleyin. Kaynakların ilk alt kümesi beklendiği gibi doğrulandıktan sonra değerlendirmeyi yavaş yavaş daha fazla mevcut kaynak ve daha fazla kapsam olacak şekilde genişletin.

Mevcut kaynakların bu şekilde değerlendirilmesi, yeni ilkenin tam olarak uygulanmasından önce uyumlu olmayan kaynakları düzeltme fırsatı da sağlar. İlke tanımı etkisi DeployIfNotExists veya Modify ise, bu temizleme el ile veya düzeltme görevi aracılığıyla yapılabilir.

DeployIfNotExist içeren ilke tanımları, ARM şablonunu dağıtırken gerçekleşen değişiklikleri doğrulamak ve test etmek için Azure Resource Manager şablonundan yararlanmalıdır.

Yeni veya güncelleştirilmiş kaynakları denetleme

Yeni ilke tanımınızın mevcut kaynaklar üzerinde doğru rapor oluşturduğunu doğruladıktan sonra, kaynaklar oluşturulduğunda veya güncelleştirildiğinde ilkenin etkisine bakmanın zamanı geldi. İlke tanımı efekt parametresileştirmeyi destekliyorsa Audit veya AuditIfNotExist kullanın. Bu yapılandırma, yeni ilke tanımının var olan işi veya istekleri etkilemeden uyumlu olmayan bir kaynak için Azure Etkinlik günlüğünde bir girişi tetikleyip tetiklemediğini görmek için kaynakların oluşturulmasını ve güncelleştirilmesini izlemenize olanak tanır.

Audit veya AuditIfNotExist etkisinin beklendiği zaman doğru şekilde tetiklendiğini görmek için hem güncelleştirmeniz hem de ilke tanımınızla eşleşen yeni kaynaklar oluşturmanız önerilir. Audit veya AuditIfNotExist etkisini tetikleyen yeni ilke tanımından etkilenmemesi gereken kaynak isteklerine dikkat edin. Bu etkilenen kaynaklar, hatalı pozitif sonuçların başka bir örneğidir ve tam uygulamadan önce ilke tanımında düzeltilmelidir.

İlke tanımının testin bu aşamasında değiştirilmesi durumunda, mevcut kaynakların denetimiyle doğrulama işlemine başlanması önerilir. Yeni veya güncelleştirilmiş kaynaklar üzerinde hatalı pozitif sonuç için ilke tanımında yapılan bir değişikliğin mevcut kaynaklar üzerinde de etkisi olabilir.

İlkenizi kaynaklara dağıtma

Yeni ilke tanımınızı hem mevcut kaynaklarla hem de yeni veya güncelleştirilmiş kaynak istekleriyle doğrulamayı tamamladıktan sonra, ilkeyi uygulama işlemine başlarsınız. Yeni ilke tanımı için ilk olarak kaynak grubu gibi tüm kaynakların bir alt kümesine ilke ataması oluşturmanız önerilir. İlke ataması içindeki özelliğini kullanarak kaynak türüne resourceSelectors veya konuma göre daha fazla filtreleyebilirsiniz. İlk dağıtımı doğruladıktan sonra, ilkenin kapsamını bir kaynak grubu olarak daha geniş olacak şekilde genişletin. İlk dağıtımı doğruladıktan sonra, resourceSelector filtrelerini daha fazla konumu veya kaynak türünü hedeflemek için ayarlayarak veya atamayı kaldırıp abonelikler ve yönetim grupları gibi daha geniş kapsamlarda yeni bir taneyle değiştirerek ilkenin etkisini genişletin. Yeni ilke tanımınızın kapsamına alınması amaçlanan kaynakların tam kapsamına atanana kadar bu aşamalı dağıtıma devam edin.

Dağıtım sırasında, yeni ilke tanımınızdan muaf tutulması gereken kaynaklar bulunuyorsa, bunları aşağıdaki yollardan biriyle ele alın:

• İstenmeyen etkiyi azaltmak için ilke tanımını daha açık olacak şekilde güncelleştirin
• İlke atamasının kapsamını değiştirme (yeni atamayı kaldırarak ve oluşturarak)
• kaynak grubunu ilke ataması için dışlama listesine ekleme

Kapsamdaki tüm değişiklikler (düzey veya dışlamalar) kapsam içinde boşluk olmadığından emin olmak için güvenlik ve uyumluluk kuruluşlarınızla tam olarak doğrulanmalı ve iletilmelidir.

İlkenizi ve uyumluluğunuzu izleme

İlke tanımınızı uygulamak ve atamak son adım değildir. Kaynakların yeni ilke tanımınıza uyumluluk düzeyini sürekli izleyin ve uyumlu olmayan cihazlar tanımlandığında uygun Azure İzleyici uyarılarını ve bildirimlerini ayarlayın. ayrıca ilke tanımının iş ilkesi ve uyumluluk gereksinimlerini karşılayıp karşılamamadığını doğrulamak için ilke tanımının ve ilgili atamaların zamanlanmış olarak değerlendirilmesi önerilir. Artık gerekli değilse ilkeler kaldırılmalıdır. Temel alınan Azure kaynakları geliştikçe ve yeni özellikler ve özellikler ekledikçe ilkelerin de zaman zaman güncelleştirilip güncelleştirildiği de gerekir.

Sonraki adımlar

• İlke tanımı yapısı hakkında bilgi edinin.
• İlke atama yapısı hakkında bilgi edinin.
• Program aracılığıyla ilkelerin nasıl oluşturulacağını anlama.
• Uyumluluk verilerini almayı öğrenin.
• Uyumlu olmayan kaynakları düzeltmeyi öğrenin.
• Kaynaklarınızı Azure yönetim gruplarıyla düzenleme ile yönetim grubunun ne olduğunu gözden geçirin.