أساسيات بنية تعريف نهج Azure

تصف تعريفات نهج Azure شروط توافق الموارد والتأثير الذي يجب اتخاذه إذا تم استيفاء شرط. يقارن الشرط حقل خاصية مورد أو قيمة بقيمة مطلوبة. يمكن الوصول إلى حقول خصائص المورد باستخدام الأسماء المستعارة. عندما يكون حقل خاصية المورد صفيفًا، يمكن استخدام اسم مستعار خاص للصفيف لتحديد القيم من جميع أعضاء الصفيف وتطبيق شرط على كل واحد. تعرف على المزيد حول الشروط.

باستخدام تعيينات النهج، يمكنك التحكم في التكاليف وإدارة مواردك. على سبيل المثال، يمكنك تحديد السماح بأنواع معينة فقط من الأجهزة الظاهرية. أو يمكنك طلب أن يكون للموارد علامة معينة. تنطبق التعيينات في النطاق على جميع الموارد في هذا النطاق وما يليه. إذا طُبق تعيين نهج على مجموعة موارد، فسيُطبق على جميع الموارد ضمن مجموعة الموارد هذه.

يمكنك استخدام JSON لإنشاء تعريف نهج يحتوي على عناصر ل:

• displayName
• description
• mode
• metadata
• parameters
• policyRule
  • التقييمات المنطقية
  • effect

على سبيل المثال، يظهر JSON التالي نهجاً يحد من مكان توزيع الموارد:

{
  "properties": {
    "displayName": "Allowed locations",
    "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.",
    "mode": "Indexed",
    "metadata": {
      "version": "1.0.0",
      "category": "Locations"
    },
    "parameters": {
      "allowedLocations": {
        "type": "array",
        "metadata": {
          "description": "The list of locations that can be specified when deploying resources",
          "strongType": "location",
          "displayName": "Allowed locations"
        },
        "defaultValue": [
          "westus2"
        ]
      }
    },
    "policyRule": {
      "if": {
        "not": {
          "field": "location",
          "in": "[parameters('allowedLocations')]"
        }
      },
      "then": {
        "effect": "deny"
      }
    }
  }
}

لمزيد من المعلومات، انتقل إلى مخطط تعريف النهج. توجد عناصر مضمنة وأنماط نهج Azure في نماذج نهج Azure.

الاسم المعروض والوصف

يمكنك استخدام displayName و description لتعريف تعريف النهج وتوفير سياق عند استخدام التعريف. يبلغ displayName الحد الأقصى للطول 128 حرفا والحد description الأقصى للطول 512 حرفا.

إشعار

أثناء إنشاء تعريف نهج أو تحديثه، idtypeيتم تعريف و بواسطة name خصائص خارجية ل JSON ولا تعد ضرورية في ملف JSON. يؤدي إحضار تعريف النهج عبر SDK إلى إرجاع idtypeالخصائص و و name كجزء من JSON، ولكن كل منها معلومات للقراءة فقط تتعلق بتعريف النهج.

نوع السياسة

بينما لا يمكن تعيين الخاصية policyType ، هناك ثلاث قيم يتم إرجاعها بواسطة SDK ومرئية في المدخل:

• Builtin: توفر Microsoft تعريفات النهج هذه وتحافظ عليها.
• Custom: جميع تعريفات النهج التي أنشأها العملاء لها هذه القيمة.
• Static: يشير إلى تعريف نهج التوافق التنظيمي مع ملكية Microsoft. نتائج التوافق لتعريفات النهج هذه هي نتائج عمليات التدقيق غير التابعة ل Microsoft للبنية الأساسية ل Microsoft. في مدخل Microsoft Azure، يتم عرض هذه القيمة أحياناً على أنها مُدارة من Microsoft. لمزيدٍ من المعلومات، يُرجى الرجوع إلى المسؤولية المشتركة في السحابة.

وضع

mode يتم تكوين اعتمادا على ما إذا كان النهج يستهدف خاصية Azure Resource Manager أو خاصية Resource Provider.

أوضاع Resource Manager

mode يحدد أنواع الموارد التي يتم تقييمها لتعريف النهج. الأوضاع المدعومة هي:

• all: تقييم مجموعات الموارد والاشتراكات وجميع أنواع الموارد
• indexed: تقييم أنواع الموارد التي تدعم العلامات والموقع فقط

على سبيل المثال، يدعم المورد Microsoft.Network/routeTables العلامات والموقع ويتم تقييمه في كلا الوضعين. ومع ذلك، لا يمكن وضع علامة على المورد Microsoft.Network/routeTables/routes ولا يتم تقييمه في الوضع Indexed.

نوصي بتعيين mode إلى all في معظم الحالات. جميع تعريفات النهج التي تم إنشاؤها من خلال المدخل تستخدم الوضع all. إذا كنت تستخدم PowerShell أو Azure CLI، يمكنك تحديد المعلمة mode يدويا. إذا لم يتضمن تعريف النهج قيمة، فسيتم تعيينه افتراضيا mode في all Azure PowerShell وإلى null في Azure CLI. الوضع null هو نفس استخدام indexed لدعم التوافق مع الإصدارات السابقة.

indexed يجب استخدامه عند إنشاء نهج تفرض العلامات أو المواقع. على الرغم من أنه غير مطلوب، فإنه يمنع الموارد التي لا تدعم العلامات والمواقع من الظهور على أنها غير متوافقة في نتائج التوافق. الاستثناء هو مجموعات الموارد والاشتراكات. يجب تعيين mode تعريفات النهج التي تفرض الموقع أو العلامات على مجموعة موارد أو اشتراك على all واستهداف Microsoft.Resources/subscriptions/resourceGroups النوع أو Microsoft.Resources/subscriptions على وجه التحديد. على سبيل المثال، راجع النمط: العلامات - نموذج رقم 1. للحصول على قائمة بالموارد التي تدعم العلامات، راجع دعم العلامات لموارد Azure.

أوضاع موفر الموارد

أوضاع موفر الموارد التالية مدعومة بالكامل:

• Microsoft.Kubernetes.Data لإدارة مجموعات Kubernetes ومكوناتها مثل الحجيرات والحاويات والدخول. مدعوم لمجموعات خدمة Azure Kubernetes ومجموعات Kubernetes الممكنة في Azure Arc. تستخدم التعريفات التي تستخدم وضع موفر الموارد هذا تدقيق التأثيرات ورفضها وتعطيلها.
• Microsoft.KeyVault.Data لإدارة المخازن والشهادات في Azure Key Vault. لمزيد من المعلومات حول تعريفات النهج هذه، راجع دمج Azure Key Vault مع نهج Azure.
• Microsoft.Network.Data لإدارة نهج العضوية المخصصة لـ Azure Virtual Network Manager باستخدام نهج Azure.

أوضاع موفر الموارد التالية مدعومة حالياً كـ إصدار أولي:

• Microsoft.ManagedHSM.Data لإدارة مفاتيح وحدة أمان الأجهزة المدارة (HSM) باستخدام نهج Azure.
• Microsoft.DataFactory.Data لاستخدام نهج Azure لرفض أسماء مجالات نسبة استخدام الشبكة الصادرة ل Azure Data Factory غير المحددة في قائمة السماح. وضع موفر الموارد هذا هو الإنفاذ فقط ولا يبلغ عن التوافق في المعاينة العامة.
• Microsoft.MachineLearningServices.v2.Dataلإدارة عمليات توزيع نموذج Azure التعلم الآلي. يبلغ وضع موفر الموارد هذا عن التوافق للمكونات المنشأة حديثا والمحدثة. أثناء المعاينة العامة، تظل سجلات التوافق لمدة 24 ساعة. لا تبلغ عمليات نشر النموذج الموجودة قبل تعيين تعريفات النهج هذه عن التوافق.

إشعار

ما لم يذكر صراحة، تدعم أوضاع موفر الموارد تعريفات النهج المضمنة فقط، ولا يتم دعم الإعفاءات على مستوى المكون.

بيانات التعريف

تخزن الخاصية الاختيارية metadata معلومات حول تعريف النهج. يمكن للعملاء تحديد أي خصائص وقيم مفيدة لمؤسستهم في metadata. ومع ذلك، هناك بعض الخصائص الشائعة المستخدمة من قبل نهج Azure والمضمنات. كل metadata خاصية لها حد 1024 حرفا.

خصائص بيانات التعريف الشائعة

• version (سلسلة): تتعقب تفاصيل حول إصدار محتويات تعريف النهج.
• category (سلسلة): تحديد الفئة التي يتم عرض تعريف النهج ضمنها في مدخل Microsoft Azure.
• preview (منطقي): علامة صواب أو خطأ إذا كان تعريف النهج هو إصدار أولي.
• deprecated (منطقي): علامة صواب أو خطأ إذا تم وضع علامة على تعريف النهج على أنه مهمل.
• portalReview (سلسلة): تحديد ما إذا كان يجب مراجعة المعلمات في المدخل، بغض النظر عن الإدخال المطلوب.

إشعار

تستخدم خدمة نهج Azure الخصائص version وpreview وdeprecated لنقل مستوى التغيير إلى تعريف النهج المضمن أو المبادرة والحالة. التنسيق version هو: {Major}.{Minor}.{Patch}. يتم إلحاق حالات معينة، مثل مهملة أو إصدار أولي، بالخاصية version أو في خاصية أخرى كقيمة منطقية. لمزيد من المعلومات حول طريقة إصدارات نهج Azure المضمنة، راجع تعيين الإصدار المضمن. لمعرفة المزيد حول ما يعنيه أن يتم إهمال نهج ما أو كونه في الإصدار الأولي، راجع نهج الإصدار الأولي والنهج المهملة.

الموقع المتعلق بالتعريف

أثناء إنشاء مبادرة أو نهج، من الضروري تحديد موقع التعريف. يجب أن يكون موقع التعريف عبارة عن مجموعة إدارة أو اشتراك. يحدد هذا الموقع النطاق الذي يمكن تعيين المبادرة أو النهج إليه. يجب أن تكون الموارد أعضاء مباشرين أو تابعين ضمن التدرج الهرمي لموقع التعريف المراد استهدافه للتعيين.

إذا كان موقع التعريف هو:

• الاشتراك - يمكن تعيين تعريف النهج فقط للموارد الموجودة ضمن هذا الاشتراك.
• مجموعة الإدارة - يمكن تعيين تعريف النهج فقط للموارد داخل مجموعات الإدارة التابعة والاشتراكات التابعة. إذا كنت تخطط لتطبيق تعريف النهج على عدة اشتراكات، يجب أن يكون الموقع مجموعة إدارة تحتوي على كل اشتراك.

لمزيد من المعلومات، راجع فهم النطاق في نهج Azure.

الخطوات التالية

• لمزيد من المعلومات حول بنية تعريف النهج، انتقل إلى المعلمات وقاعدة النهج والاسم المستعار.
• بالنسبة للمبادرات، انتقل إلى هيكل تعريف المبادرة.
• راجع الأمثلة في نماذج نهج Azure.
• راجع فهم تأثيرات النهج.
• التعرف على كيفية إنشاء النُهج برمجيًا.
• تعرف على كيفية الحصول على بيانات التوافق.
• تعرف على كيفية إصلاح الموارد غير المتوافقة.
• راجع المقصود بمجموعة الإدارة من خلال تنظيم مواردك باستخدام مجموعات إدارة Azure.