Tutorial: Membuat penugasan kebijakan untuk mengidentifikasi sumber daya yang tidak sesuai
Langkah pertama dalam memahami kepatuhan di Azure adalah dengan mengidentifikasi status sumber daya Anda. Azure Policy mendukung audit status server dengan dukungan Azure Arc Anda dengan kebijakan konfigurasi tamu. Definisi konfigurasi tamu Azure Policy dapat mengaudit atau menerapkan pengaturan di dalam mesin.
Tutorial ini memanah Anda melalui proses pembuatan dan penetapan kebijakan untuk mengidentifikasi server mana yang mendukung Azure Arc Anda yang tidak memiliki agen Analitik Log untuk Windows atau Linux yang terinstal. Komputer ini dianggap tidak sesuai dengan penetapan kebijakan.
Dalam tutorial ini, Anda akan belajar cara:
- Membuat penetapan kebijakan dan menetapkan definisi ke dalamnya
- Mengidentifikasi sumber daya yang tidak sesuai dengan kebijakan baru
- Menghapus kebijakan dari sumber daya yang tidak sesuai
Prasyarat
Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
Buat penetapan kebijakan
Ikuti langkah-langkah di bawah ini untuk membuat penetapan kebijakan dan menetapkan definisi kebijakan [Pratinjau]: Ekstensi Log Analytics harus diinstal di komputer Linux Azure Arc Anda:
Luncurkan layanan Azure Policy di portal Microsoft Azure dengan memilih Semua layanan, lalu cari dan pilih Kebijakan.
Pilih Penugasan di sisi kiri halaman Azure Policy. Tugas adalah kebijakan yang telah ditetapkan untuk berlangsung dalam lingkup tertentu.
Pilih Tetapkan Kebijakan dari bagian atas halaman Azure Policy - Penetapan.
Pada halaman Tetapkan Kebijakan, pilih Lingkup dengan mengeklik elipsis dan pilih grup manajemen atau langganan. Secara opsional, pilih grup sumber daya. Cakupan menentukan sumber daya atau pengelompokan sumber daya apa yang diberlakukan oleh penugasan kebijakan. Lalu klik Pilih di bagian bawah halaman Lingkup.
Contoh ini menggunakan langganan Parnell Aerospace. Langganan Anda akan berbeda.
Sumber daya dapat dikecualikan berdasarkan Cakupan. Pengecualian dimulai pada satu tingkat yang lebih rendah dari tingkat Cakupan. Pengecualian bersifat opsional, jadi biarkan kosong untuk saat ini.
Pilih Elipsis definisi kebijakan untuk membuka daftar definisi yang tersedia. Azure Policy dilengkapi dengan definisi kebijakan bawaan yang dapat Anda gunakan. Banyak tersedia, seperti:
- Memberlakukan tag dan nilainya
- Menerapkan tag dan nilainya
- Mewarisi tag dari grup sumber daya jika tidak ada
Untuk sebagian daftar kebijakan bawaan yang tersedia, lihat Sampel Azure Policy.
Cari melalui daftar definisi kebijakan untuk menemukan [Pratinjau]: Ekstensi Analitik Log harus diinstal pada definisi komputer Windows Azure Arc Anda (jika Anda telah mengaktifkan agen Azure Koneksi ed Machine pada komputer berbasis Windows). Untuk komputer berbasis Linux, temukan [Pratinjau] yang sesuai: Ekstensi Analitik Log harus diinstal pada definisi kebijakan komputer Linux Azure Arc Anda. Klik kebijakan tersebut dan klik Tambahkan.
Nama tugas secara otomatis diisi dengan nama kebijakan yang Anda pilih, tetapi Anda dapat mengubahnya. Untuk contoh ini, biarkan nama kebijakan apa adanya, dan jangan ubah salah satu opsi yang tersisa di halaman.
Untuk contoh ini, kita tidak perlu mengubah pengaturan apa pun di tab lain. Pilih Tinjau + Buat untuk meninjau penetapan kebijakan baru Anda, lalu pilih Buat.
Anda sekarang siap mengidentifikasi sumber daya yang tidak sesuai untuk memahami status kepatuhan lingkungan Anda.
Mengidentifikasi sumber daya yang tidak sesuai
Pilih Kepatuhan di sisi kiri halaman. Kemudian temukan ekstensi [Pratinjau]: Analitik Log harus diinstal pada komputer Windows Azure Arc atau [Pratinjau]: Ekstensi Analitik Log harus diinstal pada penetapan kebijakan komputer Linux Azure Arc yang Anda buat.
Jika terdapat sumber daya yang sudah ada yang tidak sesuai dengan penetapan baru ini, mereka akan muncul di bagian sumber daya yang Tidak sesuai.
Ketika kondisi dievaluasi terhadap sumber daya yang ada dan ditemukan benar, sumber daya tersebut ditandai sebagai tidak sesuai dengan kebijakan. Tabel berikut menunjukkan bagaimana efek kebijakan yang berbeda bekerja dengan evaluasi kondisi untuk status kepatuhan yang dihasilkan. Meskipun Anda tidak melihat logika evaluasi di portal Microsoft Azure, hasil status kepatuhan akan ditunjukkan. Hasil status kepatuhan adalah sesuai atau tidak sesuai.
| Status sumber daya | Efek | Evaluasi kebijakan | Status kepatuhan |
|---|---|---|---|
| Ada | Tolak, Audit, Tambahkan*, DeployIfNotExist*, AuditIfNotExist* | Benar | Tidak Sesuai |
| Ada | Tolak, Audit, Tambahkan*, DeployIfNotExist*, AuditIfNotExist* | Salah | Sesuai |
| Baru | Audit, AuditIfNotExist* | Benar | Tidak Sesuai |
| Baru | Audit, AuditIfNotExist* | Salah | Sesuai |
* Efek Tambahkan, DeployIfNotExist, dan AuditIfNotExist mengharuskan pernyataan IF menjadi TRUE. Efeknya juga mengharuskan kondisi keberadaan menjadi FALSE agar tidak sesuai. Ketika TRUE, kondisi IF memicu evaluasi kondisi keberadaan untuk sumber daya terkait.
Membersihkan sumber daya
Untuk menghapus penugasan yang dibuat, ikuti langkah-langkah berikut:
Pilih Kepatuhan (atau Penugasan) di sisi kiri halaman Azure Policy dan temukan ekstensi [Pratinjau]: Analitik Log harus diinstal pada komputer Windows Azure Arc atau [Pratinjau]: Ekstensi Log Analytics harus diinstal pada penetapan kebijakan komputer Azure Arc Linux yang Anda buat.
Klik kanan penetapan kebijakan dan pilih Hapus tugas.
Langkah berikutnya
Dalam tutorial ini, Anda menetapkan definisi kebijakan ke lingkup dan mengevaluasi laporan kepatuhannya. Definisi kebijakan memvalidasi bahwa semua sumber daya dalam cakupan sesuai dan mengidentifikasi mana yang tidak. Sekarang Anda siap untuk memantau mesin server yang diaktifkan Azure Arc Anda dengan mengaktifkan wawasan mesin virtual.
Untuk mempelajari cara memantau dan melihat kinerja, menjalankan proses dan dependensinya dari komputer Anda, lanjutkan ke tutorial: