أساسيات تأثير تعريفات نهج Azure

  • مقالة

يحتوي كل تعريف نهج في Azure Policy على تعريف واحد effect في policyRule. يحدد ذلك effect ما يحدث عند تقييم قاعدة النهج لمطابقتها. يختلف تصرف التأثيرات باختلاف المورد سواء كان مورد جديد أو مورد محدث أو مورد موجود.

فيما يلي تأثيرات تعريف نهج Azure المدعومة:

تأثيرات التداخل

في بعض الأحيان يمكن أن تكون التأثيرات المتعددة صالحة لتعريف نهج معين. غالبا ما تستخدم المعلمات لتحديد قيم التأثير المسموح بها (allowedValues) بحيث يمكن أن يكون تعريف واحد أكثر تنوعا أثناء التعيين. ومع ذلك، من المهم ملاحظة أنه ليس كل التأثيرات قابلة للتبديل. يمكن لخصائص المورد والمنطق في قاعدة النهج تحديد ما إذا كان تأثير معين يعتبر صالحا لتعريف النهج. على سبيل المثال، تتطلب تعريفات النهج ذات التأثير auditIfNotExists تفاصيل أخرى في قاعدة النهج غير مطلوبة للنهج ذات التأثير audit. تعمل التأثيرات أيضا بشكل مختلف. audit تقيم النهج توافق المورد استنادا إلى خصائصه الخاصة، بينما auditIfNotExists تقيم النهج توافق المورد استنادا إلى خصائص مورد تابع أو ملحق.

القائمة التالية هي بعض الإرشادات العامة حول التأثيرات القابلة للتبديل:

  • audit، denyوإما modify أو append غالبا ما تكون قابلة للتبديل.
  • auditIfNotExists وغالبا deployIfNotExists ما تكون قابلة للتبديل.
  • manual غير قابل للتبديل.
  • disabled قابل للتبديل بأي تأثير.

ترتيب التقييم

التقييم الأول لنهج Azure هو لطلبات إنشاء مورد أو تحديثه. ينشئ Azure Policy قائمة بجميع التعيينات التي تنطبق على المورد ثم بعد ذلك يقيم المورد مقابل كل تعريف. بالنسبة لوضع Resource Manager، يعالج Azure Policy العديد من التأثيرات قبل تسليم الطلب إلى موفر الموارد المناسب. يمنع هذا الطلب المعالجة غير الضرورية من قبل موفر الموارد عندما لا يفي أحد الموارد بعناصر التحكم في الحوكمة المصممة الخاصة بـ Azure Policy. باستخدام وضع موفر الموارد، يدير موفر الموارد التقييم والنتيجة ويعيد تقارير النتائج إلى Azure Policy.

  • disabled يتم التحقق أولا لتحديد ما إذا كان يجب تقييم قاعدة النهج.
  • appendmodify ثم يتم تقييمها. نظرا لأن أي منهما يمكن أن يغير الطلب، فقد يمنع التغيير الذي تم إجراؤه تشغيل تدقيق أو يرفض التأثير. تتوفر هذه التأثيرات فقط مع وضع إدارة الموارد.
  • deny ثم يتم تقييمها. بتقييم الرفض قبل التدقيق، يتم منع تسجيل مزدوج لمورد غير مرغوب فيه.
  • audit يتم تقييمه.
  • manual يتم تقييمه.
  • auditIfNotExists يتم تقييمه.
  • denyAction يتم تقييم الأخير.

بعد أن يقوم موفر الموارد بإرجاع رمز نجاح على طلب وضع Resource Manager، auditIfNotExists وتقييمه deployIfNotExists لتحديد ما إذا كان هناك حاجة إلى المزيد من تسجيل الامتثال أو إجراء.

PATCH الطلبات التي تقوم بتعديل tags الحقول ذات الصلة فقط تقيد تقييم النهج بالنهج التي تحتوي على الشروط التي تفحص tags الحقول ذات الصلة.

تعريفات نهج الطبقات

يمكن أن تؤثر العديد من التعيينات على مورد. قد تكون هذه التعيينات في نفس النطاق أو في نطاقات مختلفة. من المحتمل أيضًا أن يكون لكل تعيين من هذه التعيينات تأثير مختلف محدد. يتم تقييم الشرط والأثر لكل نهج بشكل مستقل. على سبيل المثال:

  • النهج 1
    • يقيد موقع المورد إلى westus
    • معين للاشتراك A
    • تأثير Deny
  • النهج 2
    • يقيد موقع المورد إلى eastus
    • معين لمجموعة الموارد B في الاشتراك A
    • تأثير Audit

سيؤدي هذا الإعداد إلى النتيجة التالية:

  • أي مورد موجود بالفعل في مجموعة الموارد B في eastus متوافق مع النهج 2 وغير متوافق مع النهج 1
  • أي مورد موجود بالفعل في مجموعة الموارد B غير eastus متوافق مع النهج 2 وغير متوافق مع النهج 1 إذا لم يكن في westus
  • يرفض النهج 1 أي مورد جديد في الاشتراك A ليس في westus
  • يتم إنشاء أي مورد جديد في الاشتراك A ومجموعة الموارد B في westus وغير متوافق في النهج 2

إذا كان لكل من النهج 1 والنهج 2 تأثير deny، يتغير الوضع إلى:

  • أي مورد موجود بالفعل في مجموعة الموارد B غير eastus متوافق مع النهج 2
  • أي مورد موجود بالفعل في مجموعة الموارد B غير westus متوافق مع النهج 1
  • يرفض النهج 1 أي مورد جديد في الاشتراك A ليس في westus
  • يتم رفض أي مورد جديد في مجموعة الموارد B للاشتراك A

يتم تقييم كل تعيين على حدة. على هذا النحو، لا توجد فرصة للمورد للانزلاق عبر فجوة من الاختلافات في النطاق. وتعتبر النتيجة الصافية لتعريفات نهج الطبقات تراكمية أكثر تقييداً. على سبيل المثال، إذا كان لكل من النهجين 1 و2 deny تأثير، فسيتم حظر المورد بواسطة تعريفات النهج المتداخلة والمتضاربة. إن كنت لا تزال بحاجة إلى إنشاء المورد في النطاق الهدف، فراجع الاستثناءات في كل تعيين للتحقق من صحة تعيينات النهج الصحيحة التي تؤثر على النطاقات الصحيحة.

الخطوات التالية