你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 中的运营符合性
运营符合性是任何云管理基线中的第二项规则。
改进运营符合性可以降低因配置偏差而发生中断的可能性,或者降低因系统未正确修补而出现漏洞的可能性。
下表概述了建议用于管理基线的最低设置(适合任何企业级环境)。
进程 | 工具 | 目的 |
---|---|---|
修补程序管理 | Azure 自动化更新管理 | 对更新进行管理和计划 |
策略强制执行 | Azure Policy | 强制实施策略,确保环境和来宾符合性 |
环境配置 | Azure 蓝图 | 核心服务的自动符合性 |
资源配置 | Desired State Configuration | 来宾操作系统上的自动配置和环境的某些方面 |
更新管理
由 Azure 自动化的更新管理解决方案托管的计算机使用以下配置进行评估和更新部署:
- 适用于 Windows 或 Linux 的 Log Analytics 代理。
- 用于 Linux 的 PowerShell Desired State Configuration (DSC)。
- Azure 自动化混合 Runbook 辅助角色。
- 适用于 Windows 计算机的 Microsoft 更新或 Windows Server 更新服务 (WSUS)。
有关详细信息,请参阅 Azure 自动化的更新管理解决方案。
警告
在使用更新管理之前,必须将虚拟机或整个订阅装载到 Log Analytics 和 Azure 自动化中。
可以使用下述两种方法进行装载:
在进行更新管理之前,应该按一种方法进行操作。
管理更新
若要将策略应用到资源组,请执行以下操作:
- 转到 Azure 自动化。
- 选择“自动化帐户”,然后选择列出的帐户之一。
- 转到“配置管理”。
- 使用“清单”、“变更管理”和“状态配置”来控制托管 VM 的状态和运营符合性。
Azure Policy
Azure Policy 用于整个治理过程。 它在云管理过程中也很重要。 Azure Policy 可以审核与修正 Azure 资源,还可以审核计算机中的设置。 验证由来宾配置扩展和客户端执行。 扩展通过客户端验证设置,例如:
- 操作系统配置。
- 应用程序配置或状态。
- 环境设置。
Azure Policy 来宾配置目前仅审核计算机中的设置。 它不应用配置。
此过程的一个重要部分是维护和更新Azure Policy分配,并根据需要对其进行更新。 使用基础结构即代码有助于更新和维护策略基础结构。 若要了解详细信息,请参阅 使用基础结构即代码更新 Azure 登陆区域。
操作
向管理组、订阅或资源组分配一个内置策略。
使用 Azure 蓝图,云架构师和中心信息技术组同样可以定义一组可重复的 Azure 资源。 这些资源实施并遵守组织的标准、模式和要求。
使用 Azure 蓝图,开发团队可以快速构建并维护新的环境, 并确信在构建时符合组织规定。 为此,他们会使用一组内置组件(例如网络)来加速开发和交付过程。
蓝图是一种声明性方法,用于协调不同资源模板和其他项目的部署,例如:
- 角色分配。
- 策略分配。
- Azure 资源管理器模板。
- 资源组。
应用蓝图可以在环境中强制实施运营符合性(如果云治理团队尚未完成该强制实施)。
创建蓝图
若要创建蓝图:
- 转到 “蓝图:入门” 。
- 在“创建蓝图”窗格中,选择“创建”。
- 筛选蓝图列表以选择相应的蓝图。
- 在“蓝图名称”框中,输入蓝图名称。
- 选择“定义位置”,然后选择相应的位置。
- 选择“下一步: 项目”,并查看蓝图中包含的项目。
- 选择“保存草稿”。
- 转到 “蓝图:入门”。
- 在“创建蓝图”窗格中,选择“创建”。
- 筛选蓝图列表以选择相应的蓝图。
- 在“蓝图名称”框中,输入蓝图名称。
- 选择“定义位置”,然后选择相应的位置。
- 选择“下一步: 项目”,并查看蓝图中包含的项目。
- 选择“保存草稿”。
发布蓝图
若要将蓝图项目发布到订阅,请执行以下操作:
- 转到“蓝图”>“蓝图定义” 。
- 选择在前面的步骤中创建的蓝图。
- 审阅蓝图定义,然后选择“发布蓝图”。
- 在“版本”框中输入版本,例如“1.0”。
- 在“更改注释”框中输入注释。
- 选择“发布”。
- 在 Azure 门户中,转到蓝图:蓝图定义。
- 选择在前面的步骤中创建的蓝图。
- 审阅蓝图定义,然后选择“发布蓝图”。
- 在“版本”框中输入版本,例如“1.0”。
- 在“更改注释”框中输入注释。
- 选择“发布”。
了解详细信息
若要了解更多信息,请参阅以下文章:
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈