Tutorial: Creación de una asignación de directiva para identificar recursos no compatibles

  • Artículo

El primer paso para entender el cumplimiento en Azure es identificar el estado de sus recursos. Azure Policy admite la auditoría del estado del servidor habilitado para Azure Arc con las directivas de configuración de invitado. Las definiciones de configuración de invitado de Azure Policy pueden auditar o aplicar la configuración dentro de la máquina.

Este tutorial le guía por el proceso de crear y asignar una directiva para identificar cuáles de los servidores habilitados para Azure Arc no tienen instalado el agente de Log Analytics para Windows o Linux. Estas máquinas se consideran no compatibles con la asignación de directiva.

En este tutorial, aprenderá a:

  • Crear una asignación de directiva y asignarle una definición
  • Identificar los recursos que no son compatibles con la nueva directiva
  • Eliminar la directiva de los recursos no compatibles

Requisitos previos

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Creación de una asignación de directiva

Siga los pasos a continuación para crear una asignación de directiva y asignar la definición de directiva [Versión preliminar]: La extensión de Log Analytics estar instalada en las máquinas de Azure Arc para Linux:

  1. Inicie el servicio Azure Policy en Azure Portal. Para ello, seleccione Todos los servicios y, a continuación, busque y seleccione Directiva.

    Screenshot of All services window showing search for policy service.

  2. Seleccione Asignaciones en el panel izquierdo de la página de Azure Policy. Una asignación es una directiva que se asignó para que se lleve a cabo dentro de un ámbito específico.

    Screenshot of All services Policy window showing policy assignments.

  3. Seleccione Asignar directiva en la parte superior de la página Policy - Asignaciones.

  4. En la página Asignar directiva, haga clic en los puntos suspensivos para seleccionar una opción de Ámbito y seleccione una suscripción y un grupo de administración. Opcionalmente, seleccione un grupo de recursos. Un ámbito determina en qué recursos o agrupación de recursos se implementa la asignación de directiva. Después, haga clic en Seleccionar en la parte inferior de la página Ámbito.

    En este ejemplo se utiliza la suscripción Parnell Aerospace. Su suscripción variará.

  5. Los recursos se pueden excluir según el ámbito. Las exclusiones comienzan en un nivel inferior al nivel del ámbito. Las exclusiones son opcionales, así que déjelas en blanco por ahora.

  6. Seleccione los puntos suspensivos de Definición de directiva para abrir la lista de definiciones disponibles. Azure Policy viene con definiciones de directivas integradas que puede usar. Muchas están disponibles, como:

    • Enforce tag and its value (Forzar una etiqueta y su valor)
    • Apply tag and its value (Aplicar una etiqueta y su valor)
    • Heredar una etiqueta del grupo de recursos si falta

    Para una lista parcial de las directivas integradas disponibles, consulte los ejemplos de Azure Policy.

  7. En la lista de definiciones de directivas, busque la definición [Versión preliminar]: La extensión de Log Analytics debe instalarse en las máquinas de Azure Arc para Windows (si ha habilitado el agente de Azure Connected Machine en una máquina basada en Windows). En el caso de una máquina basada en Linux, busque la definición de directiva correspondiente [Versión preliminar]: La extensión de Log Analytics debe instalarse en las máquinas de Azure Arc para Linux. Haga clic en esa directiva y después en Agregar.

  8. Nombre de asignación se rellena automáticamente con el nombre de directiva seleccionado, pero puede cambiarlo. En este ejemplo, deje el nombre de la directiva tal como está y no cambie ninguna de las opciones restantes de la página.

  9. En este ejemplo, no es necesario cambiar ninguna configuración en las demás pestañas. Seleccione Revisar y crear para revisar la nueva asignación de directiva y, a continuación, seleccione Crear.

Ahora ya está listo para identificar los recursos no compatibles a fin de conocer el estado de cumplimiento de su entorno.

Identificación de recursos sin compatibilidad

Seleccione Cumplimiento en el panel izquierdo de la página. Luego, busque la asignación de directiva [Versión preliminar]: La extensión de Log Analytics debe instalarse en las máquinas de Azure Arc para Windows o [Versión preliminar]: La extensión de Log Analytics debe instalarse en las máquinas de Azure Arc para Linux que ha creado.

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

Si hay algún recurso existente no compatible con esta nueva asignación, aparecerá en la pestaña Recursos no compatibles.

Si una condición se evalúa en todos los recursos existentes y el valor obtenido es true, estos recursos se marcarán como no compatibles con la directiva. En la tabla siguiente se muestra cómo funcionan los distintos efectos de directiva con la evaluación de condición para el estado de cumplimiento resultante. Aunque no se ve la lógica de evaluación en Azure Portal, se muestran los resultados del estado de cumplimiento. El resultado del estado de cumplimiento puede ser compatible o no compatible.

Estado del recurso Efecto Evaluación de directiva Estado de cumplimiento
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* True Incompatible
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* False Compatible
Nuevo Audit, AuditIfNotExist* True Incompatible
Nuevo Audit, AuditIfNotExist* False Compatible

* Los efectos Append, DeployIfNotExist y AuditIfNotExist requieren que la instrucción IF sea TRUE. Los efectos requieren también que la condición de existencia sea FALSE para ser no compatibles. Si es TRUE, la condición IF desencadena la evaluación de la condición de existencia de los recursos relacionados.

Limpieza de recursos

Para quitar la asignación creada, siga estos pasos:

  1. Seleccione Cumplimiento (o Asignaciones) en el lado izquierdo de la página de Azure Policy y busque la asignación de directiva [Versión preliminar]: La extensión de Log Analytics debe instalarse en las máquinas de Azure Arc para Windows o [Versión preliminar]: La extensión de Log Analytics debe instalarse en las máquinas de Azure Arc para Linux que ha creado.

  2. Haga clic con el botón derecho en la asignación de directiva y seleccione Eliminar asignación.

Pasos siguientes

En este tutorial, se asigna una definición de directiva a un ámbito y se evalúa su informe de cumplimiento. La definición de la directiva confirma que todos los recursos del ámbito son compatibles y se identifican cuáles no lo son. Ahora ya está preparado para supervisar las máquinas de los servidores habilitados para Azure Arc mediante la habilitación de VM Insights.

Para más información sobre cómo supervisar y ver el rendimiento, el proceso en ejecución y sus dependencias de la máquina, continúe con el tutorial:

Habilitación de VM Insights