A nemmegfelelőség okainak meghatározása

Ha egy Azure-erőforrást úgy határoznak meg, hogy nem felel meg egy szabályzatszabálynak, hasznos megérteni, hogy az erőforrás melyik részének nem felel meg. Az is hasznos, ha tisztában van azzal, hogy mi változtatta meg a korábban megfelelő erőforrást, hogy az ne legyen megfelelő. Ezeket az információkat kétféleképpen keresheti meg:

Megfelelőségi adatok

Ha egy erőforrás nem megfelelő, az erőforrás megfelelőségi adatai a Szabályzatmegfelelőség oldalon érhetők el. A megfelelőségi adatok panel a következő információkat tartalmazza:

  • Erőforrás részletei, például név, típus, hely és erőforrás-azonosító
  • Az aktuális szabályzat-hozzárendelés legutóbbi kiértékelésének megfelelőségi állapota és időbélyege
  • Az erőforrás meg nem felelésének okainak listája

Fontos

Mivel a nem megfelelő erőforrások megfelelőségi adatai az adott erőforrás tulajdonságainak aktuális értékét mutatják, a felhasználónak olvasási művelettel kell rendelkeznie az erőforrás típusához . Ha például a Nem megfelelő erőforrás Microsoft. Compute/virtualMachines, akkor a felhasználónak rendelkeznie kell a Microsoft. Számítási/virtualMachines/olvasási művelet. Ha a felhasználó nem rendelkezik a szükséges művelettel, megjelenik egy hozzáférési hiba.

A megfelelőségi adatok megtekintéséhez kövesse az alábbi lépéseket:

  1. Indítsa el a Azure Policy szolgáltatást a Azure Portal a Minden szolgáltatás elemre kattintva, majd keresse meg és válassza a Szabályzat lehetőséget.

  2. Az Áttekintés vagy a Megfelelőség lapon válasszon ki egy nem megfelelő megfelelőségi állapotúszabályzatot.

  3. A Szabályzatmegfelelőség lap Erőforrásmegfelelőség lapján jelölje ki és tartsa lenyomva (vagy kattintson rá a jobb gombbal), vagy jelölje ki egy nem megfelelőmegfelelőségi állapotú erőforrás három pontját. Ezután válassza a Megfelelőségi adatok megtekintése lehetőséget.

    Képernyőkép az Erőforrás-megfelelőség lapon található

  4. A Megfelelőség részletei panel az erőforrás legújabb kiértékelésétől az aktuális szabályzat-hozzárendelésig jeleníti meg az információkat. Ebben a példában a mező Microsoft. Az SQL/servers/versionverziószáma 12.0, míg a szabályzatdefiníció 14.0-ra várt. Ha az erőforrás több okból is nem megfelelő, mindegyik megjelenik ezen a panelen.

    Képernyőkép a Megfelelőség részletei panelről, valamint a meg nem felelés okairól, amelyek szerint az aktuális érték tizenkét, a célérték pedig tizennélyes.

    Az auditIfNotExists vagy deployIfNotExists szabályzatdefiníciók esetében a részletek a details.type tulajdonságot és a választható tulajdonságokat tartalmazzák. A listát az auditIfNotExists tulajdonságai és a deployIfNotExists tulajdonságok című témakörben találja. Az utolsó kiértékelt erőforrás a definíció részletek szakaszából származó kapcsolódó erőforrás.

    Példa részleges deployIfNotExists definícióra:

    {
        "if": {
            "field": "type",
            "equals": "[parameters('resourceType')]"
        },
        "then": {
            "effect": "DeployIfNotExists",
            "details": {
                "type": "Microsoft.Insights/metricAlerts",
                "existenceCondition": {
                    "field": "name",
                    "equals": "[concat(parameters('alertNamePrefix'), '-', resourcegroup().name, '-', field('name'))]"
                },
                "existenceScope": "subscription",
                "deployment": {
                    ...
                }
            }
        }
    }
    

    Képernyőkép az ifNotExists Megfelelőségi adatok paneljéről, beleértve a kiértékelt erőforrások számát is.

Megjegyzés

Az adatok védelme érdekében, ha egy tulajdonságérték titkos , az aktuális érték csillagokat jelenít meg.

Ezek a részletek azt mutatják be, hogy egy erőforrás jelenleg miért nem megfelelő, de nem jelenik meg, amikor a módosítás az erőforráson történt, amely miatt az nem megfelelővé vált. További információ: Változáselőzmények (előzetes verzió) alább.

Megfelelőségi okok

Resource Manager módoknak és erőforrás-szolgáltatói módoknak különböző okai vannak a meg nem felelés miatt.

Általános Resource Manager módmegfelelési okok

Az alábbi táblázat az egyes Resource Manager módokát a szabályzatdefiníció felelős feltételéhez rendeli:

Ok Feltétel
Az aktuális értéknek kulcsként kell tartalmaznia a célértéket. containsKey vagy notContainsKey
Az aktuális értéknek tartalmaznia kell a célértéket. tartalmazza vagy nem TartalmazzaContains
Az aktuális értéknek meg kell egyeznie a célértékel. egyenlő vagy nem Egyenlő
Az aktuális értéknek kisebbnek kell lennie, mint a célérték. kisebb vagy nem nagyobbOrEquals
Az aktuális értéknek a célértéknél nagyobbnak vagy egyenlőnek kell lennie. greaterOrEquals vagy nem kisebb
Az aktuális értéknek nagyobbnak kell lennie, mint a célérték. kisebb vagy nem kisebbOrEquals
Az aktuális értéknek kisebbnek vagy egyenlőnek kell lennie a célértéknél. lessOrEquals vagy nem nagyobb
Az aktuális értéknek léteznie kell. Létezik
Az aktuális értéknek a célértékben kell lennie. in vagy notIn
Az aktuális értéknek a célértékhez hasonlónak kell lennie. like vagy notLike
Az aktuális értéknek a célértéknek megfelelő kis- és nagybetűknek kell lennie. egyezés vagy nem Egyezés
Az aktuális értéknek a célértéknek nem megfelelő kis- és nagybetűknek kell lennie. matchInsensitively vagy notMatchInsensitively
Az aktuális érték nem tartalmazhatja kulcsként a célértéket. notContainsKey vagy not containsKey
Az aktuális érték nem tartalmazhat célértéket. notContains vagy not contains
Az aktuális érték nem lehet egyenlő a célértékel. notEquals vagy nem egyenlő
Az aktuális érték nem létezhet. nem létezik
Az aktuális érték nem lehet a célértékben. notIn vagy not in
Az aktuális érték nem lehet olyan, mint a célérték. notLike vagy nem tetszik
Az aktuális érték nem lehet a célértéknek megfelelő kis- és nagybetűk megkülönböztetése. notMatch vagy not match
Az aktuális értéknek nem szabad megkülönböztetnie a kis- és nagybetűket a célértékhez. notMatchInsensitively vagy not matchInsensitively
Egyetlen kapcsolódó erőforrás sem felel meg a szabályzatdefiníció hatásadatainak. Az then.details.type fájlban definiált és a szabályzatszabály ha részében meghatározott erőforráshoz kapcsolódó erőforrás nem létezik.

Azure Policy erőforrás-szolgáltatói mód megfelelőségi okai

Az alábbi táblázat az egyes Microsoft.PolicyInsightserőforrás-szolgáltatói mód okkódjait a megfelelő magyarázatnak megfelelően képezi le:

Megfelelőségi ok kódja Hibaüzenet és magyarázat
NonModifiablePolicyAlias NonModifiableAliasConflict: A(z) {alias} alias nem módosítható a(z) {apiVersion} API-verziót használó kérelmekben. Ez a hiba akkor fordul elő, ha egy OLYAN API-verziót használó kérés, amelyben az alias nem támogatja a módosítási effektust, vagy csak a "módosítás" effektust támogatja egy másik jogkivonattípussal.
AppendPoliciesNotApplicable AppendPoliciesUnableToAppend: A(z) {aliases }" aliasok nem módosíthatók a kérésekben a következő API-verzióval: "{ apiVersion }". Ez olyan API-verziókat használó kérésekben fordulhat elő, amelyeknél az aliasok nem támogatják a módosítási effektust, vagy más jogkivonattípussal támogatják a módosítási effektust.
ÜtközőAppendPolicies ÜtközőAppendPolicies: Ütköző szabályzat-hozzárendeléseket talált, amelyek módosítják a(z) {notApplicableFields} mezőt. Szabályzatazonosítók: {policy}. A szabályzat-hozzárendelések frissítéséhez forduljon az előfizetés rendszergazdájához.
AppendPoliciesFieldsExist AppendPoliciesFieldsExistWithDifferentValues: A szabályzat-hozzárendelések olyan mezőket próbáltak hozzáfűzni, amelyek már léteznek a kérelemben különböző értékekkel. Mezők: {existingFields}. Szabályzatazonosítók: {policy}. A szabályzatok frissítéséhez forduljon az előfizetés rendszergazdájához.
AppendPoliciesUndefinedFields AppendPoliciesUndefinedFields: Olyan szabályzatdefiníciót talált, amely a(z) {apiVersion} API-verzió nem definiált mezőtulajdonságára hivatkozik. Mezők: {nonExistingFields}. Szabályzatazonosítók: {policy}. A szabályzatok frissítéséhez forduljon az előfizetés rendszergazdájához.
MissingRegistrationForType MissingRegistrationForResourceType: Az előfizetés nincs regisztrálva a(z) {ResourceType} erőforrástípushoz. Ellenőrizze, hogy létezik-e az erőforrástípus, és hogy az erőforrástípus regisztrálva van-e.
AmbiguousPolicyEvaluationPaths A kérelem tartalmának egy vagy több kétértelmű elérési útja van: a szabályzatok által megkövetelt ""{0} elérési utak: ""{1}.
InvalidResourceNameWildcardPosition A szabályzatdefinícióhoz társított "{0}{1}" szabályzat-hozzárendelés nem értékelhető ki. Az ifNotExists feltételen belüli ""{2} erőforrásnév érvénytelen pozícióban tartalmazza a "?" helyettesítő karaktert. A helyettesítő karakterek csak egy szegmensben (például TopLevelResourceName/?) találhatóak a név végén. Javítsa ki a szabályzatot, vagy távolítsa el a szabályzat-hozzárendelést a letiltás feloldásához.
TooManyResourceNameSegments A szabályzatdefinícióhoz társított "{0}{1}" szabályzat-hozzárendelés nem értékelhető ki. Az ifNotExists feltételen belüli ""{2} erőforrásnév túl sok névszegmenst tartalmaz. A névszegmensek számának meg kell egyeznie vagy kisebbnek kell lennie a típusszegmensek számával (kivéve az erőforrás-szolgáltató névterét). Javítsa ki a szabályzatdefiníciót, vagy távolítsa el a szabályzat-hozzárendelést a letiltás feloldásához.
InvalidPolicyFieldPath A szabályzatdefinícióban lévő "{0}" mezőútvonal érvénytelen. A mezőútvonalak nem tartalmazhatnak üres szegmenseket. Ezek csak alfanumerikus karaktereket tartalmazhatnak, kivéve a szegmensek felosztásához használt "." karaktert, a tömbtulajdonságok eléréséhez pedig a [*]- karaktersorozatot.

Az AKS-erőforrás-szolgáltató mód megfelelőségi okai

Az alábbi táblázat az egyes Microsoft.Kubernetes.Dataerőforrás-szolgáltatóimódú okokat a szabályzatdefiníció kényszersablonjának felelős állapotára képezi le:

Ok Kényszersablon okának leírása
Kényszer/SablonLétrehozásFailed Az erőforrás nem tudott olyan korlátozással/sablonnal rendelkező szabályzatdefinícióhoz létrehozni, amely nem egyezik meg egy meglévő korlátozással/sablonnal a fürtön az erőforrás metaadatainak neve alapján.
Kényszer/TemplateUpdateFailed A kényszer/sablon nem tudott frissíteni egy olyan korlátozással/sablonnal rendelkező szabályzatdefinícióhoz, amely megfelel egy meglévő korlátozásnak/sablonnak a fürtön az erőforrás metaadatainak neve alapján.
Kényszer/TemplateInstallFailed A kényszer/sablon létrehozása nem sikerült, és nem sikerült telepíteni a fürtön a létrehozási vagy frissítési művelethez.
ConstraintTemplateConflicts A sablon ütközik egy vagy több szabályzatdefinícióval, amely ugyanazt a sablonnevet használja, eltérő forrással.
ConstraintStatusStale Van egy meglévő "Audit" állapot, de a Gatekeeper nem végzett ellenőrzést az elmúlt órában.
ConstraintNotProcessed Nincs állapot, és a Gatekeeper nem végzett ellenőrzést az elmúlt órában.
InvalidConstraint/Template Az API Server egy hibás YAML miatt elutasította az erőforrást. Ezt az okot a paramétertípus eltérése is okozhatja (például egy egész számhoz megadott sztring)

Megjegyzés

A fürtön már meglévő szabályzat-hozzárendelések és kényszersablonok esetében, ha a kényszer/sablon meghiúsul, a fürt védelmét a meglévő kényszer/sablon fenntartása biztosítja. A fürt nem megfelelőként jelentkezik, amíg a hiba meg nem oldódik a szabályzat-hozzárendelésen vagy a bővítmény öngyógyításán. Az ütközés kezelésével kapcsolatos további információkért lásd: Kényszersablonütközések.

Az erőforrás-szolgáltatói módok összetevőinek részletei

Erőforrás-szolgáltatói módban történő hozzárendelések esetén válassza a Nem megfelelő erőforrást a mélyebb nézet megnyitásához. Az Összetevő-megfelelőség lapon a hozzárendelt szabályzat Erőforrás-szolgáltató módjára vonatkozó további információk találhatók, amelyeken a Nem megfelelő összetevő és összetevő azonosítója látható.

Képernyőkép az Összetevő-megfelelőség lapról és az erőforrás-szolgáltatói mód hozzárendelésének megfelelőségi részleteiről.

A vendégkonfiguráció megfelelőségi adatai

A Vendégkonfiguráció kategóriában a szabályzatdefiníciók esetében több beállítás is kiértékelhető a virtuális gépen, és meg kell tekintenie a beállításonkénti részleteket. Ha például naplóz egy biztonsági beállítások listáját, és csak az egyik nem megfelelő állapotú, tudnia kell, hogy mely beállítások nem megfelelőek, és miért.

Előfordulhat, hogy közvetlenül nem tud bejelentkezni a virtuális gépre, de be kell jelentenie, hogy miért nem megfelelő a virtuális gép.

Azure Portal

A szabályzatmegfelelés részleteinek megtekintéséhez kövesse a fenti szakasz lépéseit.

A Megfelelőség részletei panel nézetben válassza a Legutóbbi kiértékelt erőforrás hivatkozását.

Képernyőkép az auditIfNotExists definíciómegfelelési részleteinek megtekintéséről.

A Vendéghozzárendelés lapon megjelenik az összes elérhető megfelelőségi adat. A nézetben minden sor egy olyan kiértékelési értéket jelöl, amelyet a gépen végeztek el. Az Ok oszlopban megjelenik egy kifejezés, amely leírja, hogy a vendéghozzárendelés miért nem megfelelő. Ha például jelszószabályzatokat naplóz, az Ok oszlopban az egyes beállítások aktuális értékét tartalmazó szöveg jelenik meg.

Képernyőkép a vendég-hozzárendelés megfelelőségi részleteiről.

Konfiguráció-hozzárendelés részleteinek megtekintése nagy léptékben

A vendégkonfigurációs funkció Azure Policy hozzárendeléseken kívül is használható. Az Azure AutoManage például vendégkonfiguráció-hozzárendeléseket hoz létre, vagy konfigurációkat rendelhet hozzá a gépek üzembe helyezésekor.

A bérlő összes vendégkonfigurációs hozzárendelésének megtekintéséhez a Azure Portal nyissa meg a Vendéghozzárendelések lapot. A részletes megfelelőségi információk megtekintéséhez válassza ki az egyes hozzárendeléseket a "Név" oszlop hivatkozásával.

Képernyőkép a Vendég-hozzárendelés lapról.

Változáselőzmények (előzetes verzió)

Egy új nyilvános előzetes verzió részeként a változáselőzmények elmúlt 14 napja minden olyan Azure-erőforráshoz elérhető, amely támogatja a teljes mód törlését. A változáselőzmények részletes információkat nyújtanak arról, hogy mikor észleltek módosításokat, és hogy az egyes módosításokhoz egy-egy vizualizációs diffiffet észleltek-e. A változásészlelés akkor aktiválódik, ha az Azure Resource Manager tulajdonságait hozzáadják, eltávolítják vagy módosítják.

  1. Indítsa el a Azure Policy szolgáltatást a Azure Portal a Minden szolgáltatás elemre kattintva, majd keresse meg és válassza a Szabályzat lehetőséget.

  2. Az Áttekintés vagy a Megfelelőség lapon válasszon ki egy szabályzatot bármilyen megfelelőségi állapotban.

  3. A Szabályzatmegfelelés lap Erőforrás-megfelelőség lapján válasszon ki egy erőforrást.

  4. Válassza az Erőforrás-megfelelőség lapon az Előzmények módosítása (előzetes verzió) lapot. Megjelenik az észlelt módosítások listája, ha vannak ilyenek.

    Képernyőkép a Változáselőzmények lapról, és az Erőforrás-megfelelőség lapon észlelt változási időpontok.

  5. Válassza ki az észlelt módosítások egyikét. Az erőforrás vizualizációját a Változáselőzmények lapon tekinti meg.

    Képernyőkép a Change History Visual Diff (Változáselőzmények) vizualizációról a Tulajdonságok előtti és utáni állapotáról a Változáselőzmények lapon.

A vizualizációs diff segíti az erőforrás módosításainak azonosítását. Előfordulhat, hogy az észlelt módosítások nem kapcsolódnak az erőforrás aktuális megfelelőségi állapotához.

A változáselőzmények adatait az Azure Resource Graph szolgáltatja. Ha a Azure Portal kívül szeretné lekérdezni ezeket az információkat, olvassa el az Erőforrás-módosítások lekérése című témakört.

Következő lépések