자습서: 비준수 리소스를 식별하기 위한 정책 할당 만들기

Azure의 규정 준수를 이해하는 첫 번째 단계는 리소스 상태를 식별하는 것입니다. Azure Policy에서는 게스트 구성 정책을 사용하여 Azure Arc 지원 서버의 상태를 감사할 수 있습니다. Azure Policy의 게스트 구성 정의는 머신 내에서 설정을 감사하거나 적용할 수 있습니다.

이 자습서에서는 Windows 또는 Linux용 Log Analytics 에이전트가 설치되지 않은 Azure Arc 지원 서버를 식별하기 위해 정책을 만들고 할당하는 프로세스를 단계별로 안내합니다. 이러한 컴퓨터는 정책 할당을 준수하지 않는 것으로 간주됩니다.

이 자습서에서는 다음을 수행하는 방법을 배우게 됩니다.

  • 정책 할당 만들기 및 정의 할당
  • 새 정책을 준수하지 않는 리소스 식별
  • 비준수 리소스에서 정책 제거

필수 조건

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

정책 할당 만들기

아래 단계에 따라 정책 할당을 만들고 정책 정의 [미리 보기]: Log Analytics 확장을 Linux Azure Arc 머신에 설치해야 함를 할당합니다.

  1. 모든 서비스를 선택한 후 정책을 검색하고 선택하여 Azure Portal에서 Azure Policy 서비스를 시작합니다.

    Screenshot of All services window showing search for policy service.

  2. Azure Policy 페이지의 왼쪽에서 할당을 선택합니다. 할당은 특정 범위 내에서 수행하도록 할당된 정책입니다.

    Screenshot of All services Policy window showing policy assignments.

  3. 정책 - 할당 창의 위쪽에서 정책 할당을 선택합니다.

  4. 정책 할당 페이지에서 줄임표를 클릭하고 관리 그룹 또는 구독을 선택하여 범위를 선택합니다. 필요한 경우 리소스 그룹을 선택합니다. 범위는 정책 할당이 적용되는 리소스 또는 리소스 그룹을 결정합니다. 그 후 범위 페이지의 맨 위에서 선택을 클릭합니다.

    이 예제에서는 Parnell 항공 구독을 사용합니다. 자신의 구독은 다를 수 있습니다.

  5. 범위를 기준으로 리소스를 제외할 수 있습니다. 제외범위 수준보다 한 수준 아래에서 시작됩니다. 제외는 선택 사항이므로 일단은 비워둡니다.

  6. 정책 정의 줄임표를 선택하여 사용 가능한 정의 목록을 엽니다. Azure Policy에는 즉시 사용 가능한 기본 제공 정책 정의가 포함되어 있습니다. 다음과 같은 여러 정의가 제공됩니다.

    • 태그 및 값 적용
    • 태그 및 값으로 적용
    • 없는 경우 리소스 그룹에서 태그 상속

    사용 가능한 기본 제공 정책의 부분 목록은 Azure Policy 샘플을 참조하세요.

  7. 정책 정의 목록을 검색하여 [미리 보기]: Log Analytics 확장은 Windows Azure Arc 컴퓨터에 설치되어야 함 정의를 찾습니다(Windows 기반 컴퓨터에서 Azure Connected Machine 에이전트를 사용하도록 설정한 경우). Linux 기반 머신의 경우 해당 [미리 보기]: Log Analytics 확장은 Linux Azure Arc 컴퓨터에 설치되어야 함 정책 정의를 찾습니다. 해당 정책을 클릭하고 추가를 클릭합니다.

  8. 할당 이름에는 선택한 정책 이름이 자동으로 입력됩니다. 하지만 이 이름은 변경할 수 있습니다. 이 예에서는 정책 이름을 그대로 두고 페이지의 나머지 옵션을 변경하지 마세요.

  9. 이 예에서는 다른 탭의 설정을 변경할 필요가 없습니다. 검토 + 만들기를 선택하여 새 정책 할당을 검토한 다음 만들기를 선택합니다.

이제 비규격 리소스를 식별하여 환경의 규정 준수 상태를 파악할 준비가 되었습니다.

비규격 리소스 식별

페이지 왼쪽에서 준수를 선택합니다. 그런 다음, 사용자가 만든 [미리 보기]: Log Analytics 확장은 Windows Azure Arc 컴퓨터에 설치되어야 함 또는 [미리 보기]: Log Analytics 확장은 Linux Azure Arc 컴퓨터에 설치되어야 함 정책 할당을 찾습니다.

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

이 새로운 할당을 준수하지 않는 기존 리소스가 있는 경우 비준수 리소스 아래에 표시됩니다.

기존 리소스에 대해 조건을 평가한 결과 true로 확인되면 해당 리소스는 정책을 준수하지 않는 것으로 표시됩니다. 아래 표에는 최종 규정 준수 상태 확인을 위한 조건 평가에서 각 정책 효과가 적용되는 방식이 나와 있습니다. Azure Portal에는 평가 논리가 표시되지 않지만 규정 준수 상태 결과가 표시됩니다. 규정 준수 상태 결과는 준수 또는 비준수로 나타납니다.

리소스 상태 효과 정책 평가 준수 상태
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* True 비준수
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* False 준수
New Audit, AuditIfNotExist* True 비준수
New Audit, AuditIfNotExist* False 준수

* Append, DeployIfNotExist 및 AuditIfNotExist 효과는 IF 문이 TRUE여야 합니다. 또한 이 효과는 비준수가 되려면 존재 조건이 FALSE가 되어야 합니다. TRUE인 경우 IF 조건이 관련 리소스에 대한 존재 조건의 평가를 트리거합니다.

리소스 정리

만든 할당을 제거하려면 다음 단계를 따르세요.

  1. Azure Policy 페이지의 왼쪽에서 규정 준수(또는 할당)를 선택하고 사용자가 만든 [미리 보기]: Log Analytics 확장을 Windows Azure Arc 머신에 설치해야 함 또는 [미리 보기]: Linux Azure Arc 컴퓨터에 Log Analytics 확장을 설치해야 함 정책 할당을 찾습니다.

  2. 정책 할당을 마우스 오른쪽 단추로 클릭하고 할당 삭제를 선택합니다.

다음 단계

이 자습서에서는 범위에 정책 정의를 할당하고 규정 준수 보고서를 평가했습니다. 정책 정의는 범위 내 모든 리소스가 규정을 준수하는지 확인하고, 규정을 준수하지 않는 리소스를 파악합니다. 이제 VM 인사이트를 사용하여 Azure Arc 지원 서버 머신을 모니터링할 수 있습니다.

머신에서 성능, 실행 중인 프로세스 및 해당 종속성을 모니터링하고 확인하는 방법을 알아보려면 자습서를 계속 진행합니다.