تقييم تأثير تعريف نهج Azure جديد

Azure Policy هي أداة قوية لإدارة موارد Azure لتلبية احتياجات التوافق مع معايير الأعمال. عندما يُنشئ الأشخاص أو العمليات أو المسارات الموارد أو يُحدثوها، يراجع Azure Policy الطلب. عندما يتم تعديل تأثير تعريف النهج أو إلحاقه أو نشرهIfNotExists، يغير النهج الطلب أو يضيف إليه. عندما يكون تأثير تعريف النهج هو التدقيق أو auditIfNotExists، يؤدي النهج إلى إنشاء إدخال سجل نشاط للموارد الجديدة والمحدثة. وعندما يكون تأثير تعريف النهج هو الرفض أو الرفض، يوقف النهج إنشاء الطلب أو تغييره.

تكون هذه النتائج على النحو المرغوب تمامًا عندما تعرف أن النهج محدد بشكل صحيح. ومع ذلك، من المهم التحقق من صحة عمل نهج جديد كما هو مستهدف قبل السماح له بتغيير العمل أو حظره. يجب أن يضمن التحقق من الصحة تحديد الموارد المقصودة فقط على أنها غير متوافقة ولا يتم تضمين أي موارد متوافقة بشكل غير صحيح (المعروفة باسم إيجابية خطأ) في النتائج.

النهج المُوصى به للتحقق من صحة تعريف نهج جديد هو باتباع الخطوات التالية:

  • تحديد نهجك بإحكام.
  • اختبر فعالية نهجك.
  • تدقيق طلبات الموارد الجديدة أو المُحدثة.
  • توزيع نهجك إلى الموارد.
  • المراقبة المستمرة.

تحديد نهجك بإحكام

من المهم فهم كيفية تنفيذ نهج الأعمال كتعريف للنهج وعلاقة موارد Azure بخدمات Azure الأخرى. تُنجز هذه الخطوة عن طريق تحديد المتطلبات وتحديد خصائص المورد. لكن من المهم أيضًا أن ترى ما هو أبعد من التعريف المحدد لنهج عملك. على سبيل المثال، هل ينص النهج الخاص بك على أنه يجب على جميع الأجهزة الظاهرية...؟ ماذا عن خدمات Azure الأخرى التي تستخدم الأجهزة الظاهرية، مثل HDInsight أو Azure Kubernetes Service (AKS)؟ عند تحديد نهج، يجب أن نراعي كيفية تأثير هذا النهج على الموارد التي تستخدمها الخدمات الأخرى.

لهذا السبب، يجب أن تكون تعريفات النهج محددة بدقة ويركز على الموارد والخصائص التي تحتاج إلى تقييمها للتوافق قدر الإمكان.

اختبار فعالية النهج الخاص بك

قبل التطلع إلى إدارة الموارد الجديدة أو المُحدثة باستخدام تعريف النهج الجديد، يُفضل معرفة كيفي يُقّيم مجموعة فرعية محدودة من الموارد الموجودة مثل مجموعة موارد الاختبار. يسمح ملحق Azure Policy VS Code بإجراء اختبار معزول للتعريفات مقابل موارد Azure الموجودة باستخدام فحص التقييم عند الطلب. يمكنك أيضا تعيين التعريف في بيئة Dev باستخدام وضع الإنفاذ معطل (doNotEnforce) على تعيين النهج الخاص بك لمنع التأثير من تشغيل أو إنشاء إدخالات سجل النشاط.

تمنحك هذه الخطوة فرصة لتقييم نتائج التوافق للنهج الجديد على الموارد الموجودة دون التأثير على سير العمل. تحقق من عدم ظهور أي موارد متوافقة على أنها غير متوافقة (إيجابية خاطئة) وأن جميع الموارد التي تتوقع أن تكون غير متوافقة تم وضع علامة عليها بشكل صحيح. بعد التحقق من صحة المجموعة الفرعية الأولية من الموارد كما هو متوقع، قم بتوسيع التقييم ببطء إلى المزيد من الموارد الموجودة والمزيد من النطاقات.

كما يوفر تقييم الموارد الحالية بهذه الطريقة فرصة لمعالجة الموارد غير المتوافقة قبل التنفيذ الكامل للنهج الجديد. يمكن إجراء هذا التنظيف يدويا أو من خلال مهمة معالجة إذا كان تأثير تعريف النهج هو deployIfNotExists أو modify.

يجب أن تستخدم تعريفات النهج مع deployIfNotExists قالب Azure Resource Manager ماذا لو للتحقق من صحة التغييرات التي تحدث عند نشر قالب ARM واختبارها.

تدقيق طلبات الموارد الجديدة أو المُحدثة

بعد التحقق من صحة تعريف النهج الجديد الخاص بك هو الإبلاغ بشكل صحيح عن الموارد الموجودة، حان الوقت للنظر في تأثير النهج عند إنشاء الموارد أو تحديثها. إذا كان تعريف النهج يدعم معلمات التأثير، فاستخدم التدقيق أو auditIfNotExist. يسمح لك هذا التكوين بمراقبة إنشاء الموارد وتحديثها لمعرفة ما إذا كان تعريف النهج الجديد يؤدي إلى إدخال في سجل نشاط Azure لمورد غير متوافق دون التأثير على العمل أو الطلبات الموجودة.

التوصية هي تحديث وإنشاء موارد جديدة تتطابق مع تعريف النهج الخاص بك للتأكد من تشغيل audit التأثير أو auditIfNotExists بشكل صحيح عند توقعه. كن في البحث عن طلبات الموارد التي لا يجب أن تتأثر بتعريف النهج الجديد الذي يؤدي إلى audit أو auditIfNotExists التأثير. هذه الموارد المتأثرة هي مثال آخر على الإيجابيات الزائفة ويجب إصلاحها في تعريف النهج قبل التنفيذ الكامل.

في حالة تغيير تعريف النهج في هذه المرحلة من الاختبار، فإن التوصية هي بدء عملية التحقق من الصحة من جديد مع تدقيق الموارد الموجودة. من المحتمل أن يكون للتغيير في تعريف النهج لإيجابية خاطئة على الموارد الجديدة أو المحدثة تأثير على الموارد الموجودة.

نشر النهج الخاص بك إلى الموارد

بعد إكمال التحقق من صحة تعريف النهج الجديد مع كل من الموارد الموجودة وطلبات الموارد الجديدة أو المُحدثة، تبدأ عملية تنفيذ النهج. التوصية هي إنشاء تعيين النهج لتعريف النهج الجديد إلى مجموعة فرعية من جميع الموارد أولا، مثل مجموعة موارد. يمكنك إجراء المزيد من التصفية حسب نوع المورد أو الموقع باستخدام خاصية resourceSelectors ضمن تعيين النهج. بعد التحقق من صحة النشر الأولي، قم بتوسيع نطاق النهج إلى أوسع كمجموعة موارد. بعد التحقق من صحة النشر الأولي، قم بتوسيع تأثير النهج عن طريق ضبط عوامل التصفية resourceSelector لاستهداف المزيد من المواقع أو أنواع الموارد. أو عن طريق إزالة التعيين واستبداله بمهمة جديدة في نطاقات أوسع مثل الاشتراكات ومجموعات الإدارة. استمر في هذا الإطلاق التدريجي حتى يتم تعيينه إلى النطاق الكامل للموارد المراد تغطيتها بواسطة تعريف النهج الجديد الخاص بك.

أثناء الإطلاق، إذا كانت الموارد موجودة والتي يجب إعفاؤها من تعريف النهج الجديد، فعالجها بإحدى الطرق التالية:

  • قم بتحديث تعريف النهج ليكون أكثر وضوحا لتقليل التأثيرات غير المقصودة.
  • تغيير نطاق تعيين النهج (عن طريق إزالة تعيين جديد وإنشائه).
  • إضافة مجموعة الموارد إلى قائمة الاستبعاد لتعيين النهج.

يجب التحقق من صحة أي تغييرات على النطاق (المستوى أو الاستثناءات) بشكل كامل، والتواصل مع مؤسسات الأمان والتوافق لضمان عدم وجود فجوات في التغطية.

مراقبة النهج والتوافق

لا يعد تنفيذ تعريف النهج وتعيينه الخطوة الأخيرة. راقب مستوى توافق الموارد باستمرار مع تعريف النهج الجديد وإعداد تنبيهات وإعلامات Azure Monitor المناسبة عند تحديد الأجهزة غير المتوافقة. التوصية هي تقييم تعريف النهج والتعيينات ذات الصلة على أساس مجدول للتحقق من أن تعريف النهج يلبي احتياجات نهج الأعمال والامتثال. يجب إزالة النُهج إذا لم تعد هناك حاجة إليها. تحتاج النهج أيضا إلى التحديث من وقت لآخر مع تطور موارد Azure الأساسية وإضافة خصائص وقدرات جديدة.

الخطوات التالية