Speciális Azure Policy-felügyelet
Ez a cikk azt ismerteti, hogyan kezelheti az Azure Policyt nagy léptékben az infrastruktúra kódként (IaC) való használatával. A szabályzatalapú szabályozás az Azure-beli kezdőzónák tervezési elve. Segít biztosítani, hogy a telepített alkalmazások megfeleljenek a szervezet platformjának. A megfelelőség biztosítása érdekében jelentős erőfeszítést igényelhet a szabályzatobjektumok kezelése és tesztelése egy környezetben. Az Azure célzónagyorsítók segítenek a biztonságos alapkonfiguráció kialakításában, de előfordulhat, hogy a szervezet további megfelelőségi követelményekkel rendelkezik, amelyeket más szabályzatok üzembe helyezésével kell teljesítenie.
Mi az az Enterprise Policy as Code (EPAC)?
Az EPAC egy nyílt forráskódú projekt, amellyel integrálhatja az IaC-t és kezelheti az Azure Policyt. Az EPAC egy PowerShell-modulra épül, és közzé van téve a PowerShell-galéria. A projekt funkcióival a következő lehetőségeket használhatja:
Állapotalapú szabályzattelepítések létrehozása. A kódban definiált objektumok lesznek az Igazság forrása az Azure-ban üzembe helyezett szabályzatobjektumok számára.
Összetett szabályzatkezelési forgatókönyvek, például több-bérlős és szuverén felhőbeli üzemelő példányok implementálása.
A szabályzatok exportálása és integrálása az Azure célzóna üzembe helyezése előtt kifejlesztett meglévő egyéni szabályzatok beépítéséhez.
Szabályzatok kivételeinek és szabályzatdokumentációinak létrehozása és kezelése.
Minta-munkafolyamatokkal szemléltetheti az Azure Policy üzembe helyezését a GitHub Actions vagy az Azure Pipelines használatával.
Nem megfelelő jelentések exportálása és szervizelési feladatok létrehozása.
Az EPAC használatának okai
Az EPAC használatával üzembe helyezheti és kezelheti az Azure-beli célzóna-szabályzatokat. Érdemes megfontolni az EPAC implementálását a szabályzatok kezeléséhez, ha:
Nem felügyelt szabályzatokkal rendelkezik egy meglévő barnamezős környezetben, amelyet egy új Azure-beli célzóna-környezetben szeretne üzembe helyezni. Exportálja a meglévő szabályzatokat, és kezelje őket az EPAC-val az Azure-beli célzónaházirend-objektumokkal együtt.
Olyan Azure-üzemelő példánya van, amely nem igazodik teljesen az Azure-beli célzónához, például több tesztelési felügyeleti csoportstruktúrával vagy nem konvencionális felügyeleticsoport-struktúrával. Előfordulhat, hogy a többi Azure-beli kezdőzóna üzembe helyezési metódusa által biztosított alapértelmezett hozzárendelési struktúra nem felel meg a stratégiának.
Olyan csapattal rendelkezik, amely nem felelős az infrastruktúra üzembe helyezéséért, például egy biztonsági csapat, amely szabályzatokat szeretne üzembe helyezni és kezelni.
Olyan szolgáltatásokra van szüksége, amelyek nem érhetők el az Azure-beli célzónagyorsító-üzemelő példányokban, például szabályzatok kivételei és dokumentációja.
Első lépések
Az EPAC GitHub-adattár részletes lépéseket tartalmaz az Azure Policy kezelésének megkezdéséhez. Vegye figyelembe a következő tényezőket annak meghatározásakor, hogy a projekt megfelelő-e a környezetéhez:
Környezeti topológia: Több bérlői és bonyolult felügyeleti csoportstruktúra támogatott. Fontolja meg, hogyan szeretné kódtelepítésként strukturálni a szabályzatot a topológiának megfelelően, hogy több csapat is felügyelhesse a szabályzatokat, és tesztelhesse az új szabályzattelepítéseket.
Engedélyek: Fontolja meg, hogyan kezelheti az üzembe helyezési engedélyeket, különösen a szerepkörök és identitások esetében. Az EPAC több fázist biztosít a szabályzatok és a szerepkör-hozzárendelések üzembe helyezéséhez, így különálló identitások használhatók.
Meglévő szabályzattelepítések: Barnamezős forgatókönyv esetén előfordulhat, hogy olyan meglévő szabályzatok vannak érvényben, amelyeknek az EPAC üzembe helyezésekor érvényben kell maradniuk. A kívánt állapotstratégiával biztosíthatja, hogy az EPAC csak a meghatározott szabályzatokat kezelje, és megőrizze a meglévő szabályzatokat.
Üzembe helyezési módszertan: Az EPAC támogatja az Azure DevOpsot, a GitHub Actionst és a PowerShell-modult a szabályzatok üzembe helyezéséhez. A mintafolyamatokat az EPAC kezdőkészletében használhatja, és a környezethez és a követelményekhez igazíthatja őket.
Kövesse a rövid útmutatót a szabályzatobjektumok környezetbeli exportálásához, és ismerje meg, hogyan kezeli az EPAC az Azure Policyt.
A kóddal vagy a dokumentációval kapcsolatos problémák esetén küldjön egy hibát a GitHub-adattárban.
Meglévő házirend-üzembehelyezési megoldások cseréje
Az EPAC az Azure-beli célzónagyorsítók házirend-üzembehelyezési képességeit váltja fel. Ha ezeket a gyorsítókat használja, ne használja őket az Azure Policy üzembe helyezésére, mert az EPAC a környezet házirendjének igazságforrása.
További információkért tekintse meg a bicep- és a Terraform Azure-beli célzónagyorsítókkal történő szabályzatkezeléshez szükséges alábbi erőforrásokat:
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: