أساسيات تأثير تعريفات نهج Azure
يحتوي كل تعريف نهج في Azure Policy على تعريف واحد effect
في policyRule
. يحدد ذلك effect
ما يحدث عند تقييم قاعدة النهج لمطابقتها. يختلف تصرف التأثيرات باختلاف المورد سواء كان مورد جديد أو مورد محدث أو مورد موجود.
فيما يلي تأثيرات تعريف نهج Azure المدعومة:
- addToNetworkGroup
- الحاق
- مراجعه الحسابات
- auditIfNotExists
- رفض
- رفضAction
- deployIfNotExists
- معطل
- يدوي
- تعديل
- يتحور
تأثيرات التداخل
في بعض الأحيان يمكن أن تكون التأثيرات المتعددة صالحة لتعريف نهج معين. غالبا ما تستخدم المعلمات لتحديد قيم التأثير المسموح بها (allowedValues
) بحيث يمكن أن يكون تعريف واحد أكثر تنوعا أثناء التعيين. ومع ذلك، من المهم ملاحظة أنه ليس كل التأثيرات قابلة للتبديل. يمكن لخصائص المورد والمنطق في قاعدة النهج تحديد ما إذا كان تأثير معين يعتبر صالحا لتعريف النهج. على سبيل المثال، تتطلب تعريفات النهج ذات التأثير auditIfNotExists
تفاصيل أخرى في قاعدة النهج غير مطلوبة للنهج ذات التأثير audit
. تعمل التأثيرات أيضا بشكل مختلف. audit
تقيم النهج توافق المورد استنادا إلى خصائصه الخاصة، بينما auditIfNotExists
تقيم النهج توافق المورد استنادا إلى خصائص مورد تابع أو ملحق.
القائمة التالية هي بعض الإرشادات العامة حول التأثيرات القابلة للتبديل:
audit
،deny
وإماmodify
أوappend
غالبا ما تكون قابلة للتبديل.auditIfNotExists
وغالباdeployIfNotExists
ما تكون قابلة للتبديل.manual
غير قابل للتبديل.disabled
قابل للتبديل بأي تأثير.
ترتيب التقييم
التقييم الأول لنهج Azure هو لطلبات إنشاء مورد أو تحديثه. ينشئ Azure Policy قائمة بجميع التعيينات التي تنطبق على المورد ثم بعد ذلك يقيم المورد مقابل كل تعريف. بالنسبة لوضع Resource Manager، يعالج Azure Policy العديد من التأثيرات قبل تسليم الطلب إلى موفر الموارد المناسب. يمنع هذا الطلب المعالجة غير الضرورية من قبل موفر الموارد عندما لا يفي أحد الموارد بعناصر التحكم في الحوكمة المصممة الخاصة بـ Azure Policy. باستخدام وضع موفر الموارد، يدير موفر الموارد التقييم والنتيجة ويعيد تقارير النتائج إلى Azure Policy.
disabled
يتم التحقق أولا لتحديد ما إذا كان يجب تقييم قاعدة النهج.append
modify
ثم يتم تقييمها. نظرا لأن أي منهما يمكن أن يغير الطلب، فقد يمنع التغيير الذي تم إجراؤه تشغيل تدقيق أو يرفض التأثير. تتوفر هذه التأثيرات فقط مع وضع إدارة الموارد.deny
ثم يتم تقييمها. بتقييم الرفض قبل التدقيق، يتم منع تسجيل مزدوج لمورد غير مرغوب فيه.audit
يتم تقييمه.manual
يتم تقييمه.auditIfNotExists
يتم تقييمه.denyAction
يتم تقييم الأخير.
بعد أن يقوم موفر الموارد بإرجاع رمز نجاح على طلب وضع Resource Manager، auditIfNotExists
وتقييمه deployIfNotExists
لتحديد ما إذا كان هناك حاجة إلى المزيد من تسجيل الامتثال أو إجراء.
PATCH
الطلبات التي تقوم بتعديل tags
الحقول ذات الصلة فقط تقيد تقييم النهج بالنهج التي تحتوي على الشروط التي تفحص tags
الحقول ذات الصلة.
تعريفات نهج الطبقات
يمكن أن تؤثر العديد من التعيينات على مورد. قد تكون هذه التعيينات في نفس النطاق أو في نطاقات مختلفة. من المحتمل أيضًا أن يكون لكل تعيين من هذه التعيينات تأثير مختلف محدد. يتم تقييم الشرط والأثر لكل نهج بشكل مستقل. على سبيل المثال:
- النهج 1
- يقيد موقع المورد إلى
westus
- معين للاشتراك A
- تأثير Deny
- يقيد موقع المورد إلى
- النهج 2
- يقيد موقع المورد إلى
eastus
- معين لمجموعة الموارد B في الاشتراك A
- تأثير Audit
- يقيد موقع المورد إلى
سيؤدي هذا الإعداد إلى النتيجة التالية:
- أي مورد موجود بالفعل في مجموعة الموارد B في
eastus
متوافق مع النهج 2 وغير متوافق مع النهج 1 - أي مورد موجود بالفعل في مجموعة الموارد B غير
eastus
متوافق مع النهج 2 وغير متوافق مع النهج 1 إذا لم يكن فيwestus
- يرفض النهج 1 أي مورد جديد في الاشتراك A ليس في
westus
- يتم إنشاء أي مورد جديد في الاشتراك A ومجموعة الموارد B في
westus
وغير متوافق في النهج 2
إذا كان لكل من النهج 1 والنهج 2 تأثير deny، يتغير الوضع إلى:
- أي مورد موجود بالفعل في مجموعة الموارد B غير
eastus
متوافق مع النهج 2 - أي مورد موجود بالفعل في مجموعة الموارد B غير
westus
متوافق مع النهج 1 - يرفض النهج 1 أي مورد جديد في الاشتراك A ليس في
westus
- يتم رفض أي مورد جديد في مجموعة الموارد B للاشتراك A
يتم تقييم كل تعيين على حدة. على هذا النحو، لا توجد فرصة للمورد للانزلاق عبر فجوة من الاختلافات في النطاق. وتعتبر النتيجة الصافية لتعريفات نهج الطبقات تراكمية أكثر تقييداً. على سبيل المثال، إذا كان لكل من النهجين 1 و2 deny
تأثير، فسيتم حظر المورد بواسطة تعريفات النهج المتداخلة والمتضاربة. إن كنت لا تزال بحاجة إلى إنشاء المورد في النطاق الهدف، فراجع الاستثناءات في كل تعيين للتحقق من صحة تعيينات النهج الصحيحة التي تؤثر على النطاقات الصحيحة.
الخطوات التالية
- راجع الأمثلة في نماذج نهج Azure.
- راجع بنية تعريف نهج Azure.
- التعرف على كيفية إنشاء النُهج برمجيًا.
- تعرف على كيفية الحصول على بيانات التوافق.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.
- راجع مجموعات إدارة Azure.