Esercitazione: Creare un'assegnazione di criteri per identificare le risorse non conformi
Il primo passaggio per comprendere la conformità in Azure consiste nell'identificare lo stato delle risorse. Criteri di Azure supporta il controllo dello stato del server abilitato per Azure Arc con criteri di configurazione guest. Criteri di Azure definizioni di configurazione guest possono controllare o applicare le impostazioni all'interno del computer.
Questa esercitazione illustra il processo di creazione e assegnazione di criteri per identificare quali server abilitati per Azure Arc non hanno installato l'agente di Log Analytics per Windows o Linux. Questi computer sono considerati non conformi all'assegnazione dei criteri.
La presente esercitazione include informazioni su come:
- Creare un'assegnazione di criteri e assegnarvi una definizione
- Identificare le risorse non conformi ai nuovi criteri
- Rimuovere i criteri dalle risorse non conformi
Prerequisiti
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Creare un'assegnazione di criteri
Seguire questa procedura per creare un'assegnazione di criteri e assegnare la definizione dei criteri [anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc:
Avviare il servizio Criteri di Azure nel portale di Azure facendo clic su Tutti i servizi e quindi cercando e selezionando Criteri.
Selezionare Assegnazioni sul lato sinistro della pagina Criteri di Azure. Un'assegnazione è un criterio che è stato assegnato per l'implementazione in un ambito specifico.
Selezionare Assegna criterio nella parte superiore della pagina Criteri - Assegnazioni.
Nella pagina Assegna criterio selezionare il valore di Ambito facendo clic sui puntini di sospensione e quindi selezionando un gruppo di gestione o una sottoscrizione. Facoltativamente, selezionare un gruppo di risorse. L'ambito determina le risorse o il raggruppamento di risorse a cui viene applicata l'assegnazione di criteri Fare quindi clic su Seleziona nella parte inferiore della pagina Ambito.
Questo esempio usa la sottoscrizione di Parnell Aerospace, ma le opzioni disponibili sono diverse.
Le risorse possono essere escluse in base all'Ambito. Le esclusioni iniziano a un livello inferiore rispetto al livello dell'Ambito. Le esclusioni sono facoltative quindi per il momento è possibile lasciare vuoto il campo.
Selezionare i puntini di sospensione accanto a Definizione criteri per aprire l'elenco delle definizioni disponibili. Criteri di Azure include definizioni di criteri predefinite che è possibile usare. Sono disponibili molte definizioni, ad esempio:
- Imporre un tag e il relativo valore
- Applicare un tag e il relativo valore
- Eredita un tag dal gruppo di risorse se mancante
Per un elenco parziale di tutti i criteri predefiniti disponibili, vedere Esempi di Criteri di Azure.
Cercare nell'elenco delle definizioni dei criteri per trovare l'estensione [Anteprima]: l'estensione Log Analytics deve essere installata nella definizione dei computer Windows Azure Arc (se è stato abilitato l'agente del computer Connessione ed di Azure in un computer basato su Windows). Per un computer basato su Linux, trovare l'estensione [Anteprima]: l'estensione Log Analytics deve essere installata nella definizione dei criteri dei computer Linux di Azure Arc. Fare clic su tale criterio e fare clic su Aggiungi.
Il valore di Nome dell'assegnazione viene popolato automaticamente con il nome dei criteri selezionato, che è possibile modificare. Per questo esempio, lasciare invariato il nome del criterio e non modificare le opzioni rimanenti nella pagina.
Per questo esempio, non è necessario modificare le impostazioni nelle altre schede. Selezionare Rivedi e crea per esaminare la nuova assegnazione di criteri e quindi selezionare Crea.
A questo punto si è pronti per identificare le risorse non conformi e comprendere così lo stato di conformità dell'ambiente.
Identificare risorse non conformi
Selezionare Assegnazioni a sinistra nella pagina. Individuare quindi l'estensione [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc o [Anteprima]: l'estensione Log Analytics deve essere installata nell'assegnazione dei criteri dei computer Linux azure Arc creata.
Le eventuali risorse esistenti non conformi a questa nuova assegnazione verranno visualizzate nella scheda Non-compliant resources (Risorse non conformi).
Quando una condizione viene valutata rispetto alle risorse esistenti e ha trovato true, tali risorse vengono contrassegnate come non conformi ai criteri. La tabella seguente illustra il funzionamento dei diversi effetti dei criteri in base alla valutazione della condizione per lo stato di conformità risultante. Anche se nel portale di Azure non viene visualizzata la logica di valutazione, vengono mostrati i risultati relativi allo stato di conformità. Lo stato di conformità può risultare conforme o non conforme.
Stato risorsa | Effetto | Valutazione dei criteri | Stato di conformità |
---|---|---|---|
Exists | Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* | Vero | Non conforme |
Exists | Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* | False | Conforme |
Nuovo | Audit, AuditIfNotExist* | Vero | Non conforme |
Nuovo | Audit, AuditIfNotExist* | False | Conforme |
* Gli effetti Append, DeployIfNotExist e AuditIfNotExist richiedono che l'istruzione IF sia TRUE. Richiedono inoltre che la condizione di esistenza sia FALSE per lo stato non conforme. Se è TRUE, la condizione IF attiva la valutazione della condizione di esistenza per le risorse correlate.
Pulire le risorse
Per rimuovere l'assegnazione creata, eseguire la procedura seguente:
Selezionare Conformità (o Assegnazioni) sul lato sinistro della pagina Criteri di Azure e individuare l'estensione [Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc o [Anteprima]: l'estensione Log Analytics deve essere installata nell'assegnazione dei criteri dei computer Linux Azure Arc creata.
Fare clic con il pulsante destro del mouse sull'assegnazione dei criteri e selezionare Elimina assegnazione.
Passaggi successivi
In questa esercitazione è stata assegnata una definizione dei criteri a un ambito ed è stato valutato il report di conformità. La definizione dei criteri garantisce che tutte le risorse nell'ambito siano conformi e identifica quelle che non lo sono. A questo momento è possibile monitorare il computer dei server abilitati per Azure Arc abilitando le informazioni dettagliate sulle macchine virtuali.
Per informazioni su come monitorare e visualizzare le prestazioni, eseguire il processo e le relative dipendenze dalla macchina virtuale, procedere all'esercitazione: