A nemmegfelelőség okainak meghatározása
Ha egy Azure-erőforrást úgy határoznak meg, hogy nem felel meg egy szabályzatszabálynak, hasznos tisztában lenni azzal, hogy az erőforrás melyik része nem felel meg a szabálynak. Azt is érdemes tudni, hogy melyik módosítás módosította a korábban megfelelő erőforrást, hogy az ne legyen megfelelő. Kétféleképpen keresheti meg ezeket az információkat:
Megfelelőségi adatok
Ha egy erőforrás nem megfelelő, az erőforrás megfelelőségi adatai a Szabályzatmegfelelőségi oldalon érhetők el. A megfelelőségi részletek panel a következő információkat tartalmazza:
- Az erőforrás részletei, például a név, a típus, a hely és az erőforrás-azonosító.
- Az aktuális szabályzat-hozzárendelés legutóbbi kiértékelésének megfelelőségi állapota és időbélyege.
- Az erőforrás meg nem felelésének okainak listája.
Fontos
Mivel egy nem megfelelő erőforrás megfelelőségi adatai az adott erőforrás tulajdonságainak aktuális értékét mutatják, a felhasználónak olvasási művelettel kell rendelkeznie az erőforrás típusához. Ha például a nem megfelelő erőforrás, Microsoft.Compute/virtualMachines
akkor a felhasználónak rendelkeznie kell a Microsoft.Compute/virtualMachines/read
művelettel. Ha a felhasználó nem rendelkezik a szükséges művelettel, megjelenik egy hozzáférési hiba.
A megfelelőségi adatok megtekintéséhez kövesse az alábbi lépéseket:
Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.
Az Áttekintés vagy a Megfelelőség lapon válasszon ki egy nem megfelelő megfelelőségi állapotú szabályzatot.
A Szabályzatmegfelelőség lap Erőforrásmegfelelőség lapján jelölje ki és tartsa lenyomva (vagy kattintson rá a jobb gombbal), vagy jelölje ki egy nem megfelelő megfelelőségi állapotú erőforrás három pontját. Ezután válassza a Megfelelőségi adatok megtekintése lehetőséget.
A Megfelelőség részletei panel az erőforrás legújabb kiértékelésétől az aktuális szabályzat-hozzárendelésig jeleníti meg az információkat. Ebben a példában a mező
Microsoft.Sql/servers/version
12.0, míg a szabályzatdefiníció 14,0-s értékre számított. Ha az erőforrás több okból sem felel meg a követelményeknek, mindegyik megjelenik ezen a panelen.Egy
auditIfNotExists
vagydeployIfNotExists
szabályzatdefiníció esetében a részletek tartalmazzák a details.type tulajdonságot és az opcionális tulajdonságokat. A lista megtekintéséhez tekintse meg az auditIfNotExists tulajdonságait és a DeployIfNotExists tulajdonságokat. Az utolsó kiértékelt erőforrás a definíció részletes szakaszából származó kapcsolódó erőforrás.Példa részleges
deployIfNotExists
definícióra:{ "if": { "field": "type", "equals": "[parameters('resourceType')]" }, "then": { "effect": "deployIfNotExists", "details": { "type": "Microsoft.Insights/metricAlerts", "existenceCondition": { "field": "name", "equals": "[concat(parameters('alertNamePrefix'), '-', resourcegroup().name, '-', field('name'))]" }, "existenceScope": "subscription", "deployment": { ... } } } }
Feljegyzés
Az adatok védelme érdekében, ha egy tulajdonság értéke titkos , az aktuális érték csillagokat jelenít meg.
Ezek a részletek azt mutatják be, hogy egy erőforrás miért nem megfelelő, de nem jeleníti meg, hogy mikor történt a módosítás az erőforráson, amely miatt nem megfelelővé vált. További információ: Változáselőzmények (előzetes verzió).
Megfelelőségi okok
A Resource Manager és az Erőforrás-szolgáltató módnak különböző okai vannak a meg nem felelés miatt.
Általános Resource Manager mód megfelelőségi okai
Az alábbi táblázat az egyes Resource Manager-mód okokat a szabályzatdefiníció felelős feltételéhez képezi le:
Ok | Feltétel |
---|---|
Az aktuális értéknek kulcsként kell tartalmaznia a célértéket. | containsKey vagy notContainsKey |
Az aktuális értéknek tartalmaznia kell a célértéket. | A |
Az aktuális értéknek meg kell egyenlõnek lennie a célértékel. | egyenlő vagy nem egyenlő |
Az aktuális értéknek kisebbnek kell lennie a célértéknél. | kisebb vagy nem nagyobbOrEquals |
Az aktuális értéknek nagyobbnak vagy egyenlőnek kell lennie a célértéknél. | greaterOrEquals vagy nem kisebb |
Az aktuális értéknek nagyobbnak kell lennie, mint a célérték. | nagyobb vagy nem lízingeltOrEquals |
Az aktuális értéknek kisebbnek vagy egyenlőnek kell lennie a célértéknél. | lessOrEquals vagy nem nagyobb |
Az aktuális értéknek léteznie kell. | Létezik |
Az aktuális értéknek a célértékben kell lennie. | in vagy notIn |
Az aktuális értéknek a célértékhez hasonlónak kell lennie. | like vagy notLike |
Az aktuális értéknek a célértéknek megfelelő kis- és nagybetűknek kell lennie. | egyezés vagy nem egyezés |
Az aktuális értéknek a célértéknek nem megfelelő kis- és nagybetűknek kell lennie. | matchInsensitively vagy notMatchInsensitively |
Az aktuális érték nem tartalmazhat kulcsként a célértéket. | notContainsKey vagy not containsKey |
Az aktuális érték nem tartalmazhat célértéket. | notContains vagy not contains |
Az aktuális érték nem lehet egyenlő a célértékel. | notEquals vagy notEquals |
Az aktuális érték nem létezhet. | nem létezik |
Az aktuális érték nem lehet a célértékben. | notIn vagy not in |
Az aktuális érték nem lehet olyan, mint a célérték. | notLike vagy nem tetszik |
Az aktuális érték nem lehet a célértéknek megfelelő kis- és nagybetűk megkülönböztetése. | notMatch vagy not match |
Az aktuális érték nem lehet érzéketlen a célértékhez. | notMatchInsensitively vagy not matchInsensitively |
Egyetlen kapcsolódó erőforrás sem egyezik a szabályzatdefinícióban szereplő effektus részleteivel. | A szabályzatszabály ha részének definiált és ahhoz kapcsolódó típusú erőforrás then.details.type nem létezik. |
Az Azure Policy erőforrás-szolgáltatói módjának megfelelőségi okai
Az alábbi táblázat az egyes Microsoft.PolicyInsights
erőforrás-szolgáltatói mód okkódjait a megfelelő magyarázatnak megfelelően képezi le:
Megfelelőségi ok kódja | Hibaüzenet és magyarázat |
---|---|
NonModifiablePolicyAlias | NonModifiableAliasConflict: A(z) "{alias}" alias nem módosítható a(z) "{apiVersion}" API-verziót használó kérelmekben. Ez a hiba akkor fordul elő, ha egy OLYAN API-verziót használó kérés, amelyben az alias nem támogatja a módosítási effektust, vagy csak a "módosítás" effektust támogatja egy másik jogkivonattípussal. |
AppendPoliciesNotApplicable | AppendPoliciesUnableToAppend: A(z) {aliases }" aliasok nem módosíthatók az API-verziót használó kérelmekben: "{ apiVersion }". Ez olyan API-verziókat használó kérésekben fordulhat elő, amelyeknél az aliasok nem támogatják a módosítási effektust, vagy más jogkivonattípussal támogatják a módosítási effektust. |
ÜtközőAppendPolicies | ÜtközőAppendPolicies: Ütköző szabályzat-hozzárendeléseket talált, amelyek módosítják a(z) {notApplicableFields} mezőt. Szabályzatazonosítók: "{policy}". A szabályzat-hozzárendelések frissítéséhez forduljon az előfizetés rendszergazdájához. |
AppendPoliciesFieldsExist | AppendPoliciesFieldsExistWithDifferentValues: A szabályzat-hozzárendelések olyan mezőket próbáltak hozzáfűzni, amelyek már léteznek a kérelemben különböző értékekkel. Mezők: "{existingFields}". Szabályzatazonosítók: "{policy}". A szabályzatok frissítéséhez forduljon az előfizetés rendszergazdájához. |
AppendPoliciesUndefinedFields | AppendPoliciesUndefinedFields: Olyan szabályzatdefiníciót talált, amely a(z) {apiVersion} API-verzió nem definiált mezőtulajdonságára hivatkozik. Mezők: {nonExistingFields}. Szabályzatazonosítók: "{policy}". A szabályzatok frissítéséhez forduljon az előfizetés rendszergazdájához. |
MissingRegistrationForType | MissingRegistrationForResourceType: Az előfizetés nincs regisztrálva a(z) {ResourceType} erőforrástípushoz. Ellenőrizze, hogy az erőforrástípus létezik-e, és hogy az erőforrástípus regisztrálva van-e. |
AmbiguousPolicyEvaluationPaths | A kérelem tartalma egy vagy több félreérthető elérési úttal rendelkezik: a szabályzatok által megkövetelt "{0}" elérési utak: ""{1}. |
InvalidResourceNameWildcardPosition | A szabályzatdefinícióhoz társított "{0}{1}" szabályzat-hozzárendelés nem értékelhető ki. Az ifNotExists feltételen belüli "{2}" erőforrásnév érvénytelen pozícióban tartalmazza a "?" helyettesítő karaktert. A helyettesítő karakterek csak önmagukban (például TopLevelResourceName/?) találhatóak a szegmensek nevének végén. Javítsa ki a szabályzatot, vagy távolítsa el a szabályzat-hozzárendelést a letiltás feloldásához. |
TooManyResourceNameSegments | A szabályzatdefinícióhoz társított "{0}{1}" szabályzat-hozzárendelés nem értékelhető ki. Az ifNotExists feltételen belüli "{2}" erőforrásnév túl sok névszegmenst tartalmaz. A névszegmensek számának egyenlőnek vagy kisebbnek kell lennie, mint a típusszegmensek száma (az erőforrás-szolgáltató névterének kivételével). Javítsa ki a szabályzatdefiníciót, vagy távolítsa el a szabályzat-hozzárendelést a letiltás feloldásához. |
InvalidPolicyFieldPath | A szabályzatdefinícióban lévő "{0}" mező elérési útja érvénytelen. A mezőútvonalak nem tartalmazhatnak üres szegmenseket. Ezek csak alfanumerikus karaktereket tartalmazhatnak, kivéve a szegmensek felosztásához használt "." karaktert és a [*]" karaktersorozatot a tömbtulajdonságok eléréséhez. |
Az AKS-erőforrás-szolgáltató mód megfelelőségi okai
Az alábbi táblázat az egyes Microsoft.Kubernetes.Data
erőforrás-szolgáltatói mód okait a szabályzatdefiníció kényszersablonjának felelős állapotára képezi le:
Ok | Kényszersablon okának leírása |
---|---|
Korlátozás/TemplateCreateFailed | Az erőforrás nem tudott olyan korlátozással/sablonnal rendelkező szabályzatdefinícióhoz létrehozni, amely nem felel meg egy meglévő korlátozásnak/sablonnak a fürtben erőforrás metaadat-neve alapján. |
Korlátozás/TemplateUpdateFailed | A korlátozás/sablon nem tudott frissíteni egy szabályzatdefinícióhoz egy olyan korlátozással/sablonnal, amely megfelel egy meglévő korlátozásnak/sablonnak a fürtön erőforrás-metaadatok neve alapján. |
Korlátozás/TemplateInstallFailed | A kényszer/sablon létrehozása nem sikerült, és nem sikerült a fürtre telepíteni a létrehozási vagy frissítési művelethez. |
ConstraintTemplateConflicts | A sablon ütközik egy vagy több olyan szabályzatdefinícióval, amely ugyanazt a sablonnevet használja különböző forrással. |
ConstraintStatusStale | Van egy meglévő "Audit" állapot, de a Gatekeeper nem végzett ellenőrzést az elmúlt egy órában. |
ConstraintNotProcessed | Nincs állapot, és a Gatekeeper nem végzett ellenőrzést az elmúlt egy órában. |
InvalidConstraint/Template | Az erőforrást az alábbi okok egyike miatt utasították el: érvénytelen kényszersablon – Rego-tartalom, érvénytelen YAML vagy paramétertípus-eltérés a kényszer és a kényszersablon között (sztringértéket ad meg, ha egész szám várható). |
Feljegyzés
A fürtön már meglévő szabályzat-hozzárendelések és kényszersablonok esetén, ha a korlátozás/sablon meghiúsul, a fürt a meglévő korlátozás/sablon fenntartásával lesz védve. A fürt nem megfelelőként jelent, amíg meg nem oldja a hibát a szabályzat-hozzárendelésen vagy a bővítmény öngyógyításán. Az ütközések kezeléséről további információt a Kényszersablon ütközései című témakörben talál.
Erőforrás-szolgáltatói módok összetevőinek részletei
Erőforrás-szolgáltatói módú hozzárendelések esetén válassza ki a nem megfelelő erőforrást az összetevő megfelelőségi rekordjainak megtekintéséhez. Az Összetevő-megfelelőség lap az erőforrás-szolgáltató módra vonatkozó további információkat jelenít meg, például az összetevő nevét, az összetevő azonosítóját és a típust.
A vendégkonfiguráció megfelelőségi adatai
A Vendégkonfiguráció kategóriában lévő szabályzatdefiníciók esetében több beállítás is kiértékelhető a virtuális gépen belül, és meg kell tekintenie a beállításonkénti részleteket. Ha például a biztonsági beállítások listáját naplózzák, és csak az egyik állapota nem megfelelő, tudnia kell, hogy mely beállítások nem megfelelőek, és miért.
Előfordulhat, hogy nem tud közvetlenül bejelentkezni a virtuális gépre, de jelentenie kell, hogy miért nem megfelelő a virtuális gép.
Azure Portal
Először is kövesse ugyanazokat a lépéseket a Megfelelőségi részletek szakaszban a szabályzatmegfelelés részleteinek megtekintéséhez.
A Megfelelőség részletei panel nézetben válassza az Utolsó kiértékelt erőforrás hivatkozását.
A Vendég-hozzárendelés lapon megjelenik az összes elérhető megfelelőségi adat. A nézetben minden sor egy olyan kiértékelési értéket jelöl, amelyet a gépen belül hajtottak végre. Az Ok oszlopban egy kifejezés jelenik meg, amely leírja, hogy a vendéghozzárendelés miért nem megfelelő. Ha például jelszószabályzatokat naplóz, az Ok oszlopban az egyes beállítások aktuális értékét tartalmazó szöveg jelenik meg.
Konfiguráció-hozzárendelés részleteinek megtekintése nagy méretekben
A vendégkonfigurációs funkció az Azure Policy-hozzárendeléseken kívül is használható. Az Azure Automanage például vendégkonfigurációs hozzárendeléseket hoz létre, vagy a gépek üzembe helyezésekor konfigurációkat rendelhet hozzá.
A bérlő összes vendégkonfigurációs hozzárendelésének megtekintéséhez nyissa meg a Vendéghozzárendelések lapot az Azure Portalon. A részletes megfelelőségi információk megtekintéséhez jelölje ki az egyes hozzárendeléseket a Név oszlop hivatkozásával.
Változáselőzmények (előzetes verzió)
Egy új nyilvános előzetes verzió részeként az elmúlt 14 nap változási előzményei minden olyan Azure-erőforráshoz elérhetők, amelyek támogatják a teljes mód törlését. A változáselőzmények részletesen ismertetik, hogy mikor történt változás észlelése, és hogy az egyes módosításokhoz milyen vizualizációk jelennek meg. A változásészlelés akkor aktiválódik, ha az Azure Resource Manager-tulajdonságokat hozzáadják, eltávolítják vagy módosítják.
Indítsa el az Azure Policy szolgáltatást az Azure Portalon a Minden szolgáltatás kiválasztásával, majd a Szabályzat keresésével és kiválasztásával.
Az Áttekintés vagy a Megfelelőség lapon válasszon ki egy szabályzatot bármilyen megfelelőségi állapotban.
A Szabályzatmegfelelés lap Erőforrás-megfelelőség lapján válasszon ki egy erőforrást.
Az Erőforrás-megfelelőség lapon válassza az Előzmény módosítása (előzetes verzió) lapot. Megjelenik az észlelt módosítások listája, ha vannak ilyenek.
Válassza ki az észlelt módosítások egyikét. Az erőforrás vizualizációs diffje a Változáselőzmények lapon jelenik meg.
A vizualizációs diff segíti az erőforrás változásainak azonosítását. Előfordulhat, hogy az észlelt módosítások nem kapcsolódnak az erőforrás aktuális megfelelőségi állapotához.
A változáselőzmények adatait az Azure Resource Graph szolgáltatja. Ha az Azure Portalon kívül szeretné lekérdezni ezeket az információkat, olvassa el az erőforrás-módosítások lekérése című témakört.
Következő lépések
- Tekintse át az Azure Policy-minták példáit.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan hozhat létre programozott módon szabályzatokat.
- Megtudhatja, hogyan kérhet le megfelelőségi adatokat.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.
- Tekintse át, hogy mi az a felügyeleti csoport az erőforrások azure-beli felügyeleti csoportokkal való rendszerezésével.