Share via

Zelfstudie: Een beleidstoewijzing maken om niet-compatibele resources te identificeren

  • Artikel

De eerste stap in het begrijpen van naleving in Azure is het identificeren van de status van uw resources. Azure Policy biedt ondersteuning voor het controleren van de status van uw server met Azure Arc met gastconfiguratiebeleid. De gastconfiguratiedefinities van Azure Policy kunnen instellingen op de computer controleren of toepassen.

In deze zelfstudie wordt u stapsgewijs begeleid bij het maken en toewijzen van een beleid om te bepalen welke servers met Azure Arc de Log Analytics-agent voor Windows of Linux niet hebben geïnstalleerd. Deze machines worden beschouwd als niet-compatibel met de beleidstoewijzing.

In deze zelfstudie leert u het volgende:

  • Beleidstoewijzing maken en er een definitie aan toewijzen
  • Resources identificeren die niet compatibel zijn met het nieuwe beleid
  • Het beleid verwijderen uit niet-compatibele resources

Vereisten

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Een beleidstoewijzing maken

Volg de onderstaande stappen om een beleidstoewijzing te maken en de beleidsdefinitie toe te wijzen [preview]: de Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines:

  1. Start de Azure Policy-service in Azure Portal door Alle services te selecteren en dan Beleid te zoeken en te selecteren.

    Screenshot of All services window showing search for policy service.

  2. Selecteer Toewijzingen in het linkerdeelvenster van de Azure Policy-pagina. Een toewijzing is een beleid dat is toegewezen om te worden toegepast binnen een bepaald bereik.

    Screenshot of All services Policy window showing policy assignments.

  3. Selecteer Beleid toewijzen boven in de pagina Beleidstoewijzingen.

  4. Selecteer op de pagina Beleid toewijzen het bereik door te klikken op het beletselteken en een beheergroep of abonnement te selecteren. U kunt ook een resourcegroep selecteren. Het bereik bepaalt voor welke resources of groep resources de beleidstoewijzing wordt afgedwongen. Klik vervolgens op Selecteren aan de onderkant van de pagina Bereik.

    In dit voorbeeld wordt het abonnement Parnell Aerospace gebruikt. U hebt waarschijnlijk een ander abonnement.

  5. Resources kunnen worden uitgesloten op basis van het bereik. Uitsluitingen starten op één niveau lager dan het niveau van het bereik. Uitsluitingen zijn optioneel, dus laat dit veld nu nog leeg.

  6. Selecteer het weglatingsteken Beleidsdefinitie om de lijst van beschikbare definities te openen. Azure Policy wordt geleverd met ingebouwde beleidsdefinities die u kunt gebruiken. Er zijn allerlei definities beschikbaar, zoals:

    • Enforce tag and its value (Tag en waarde afdwingen)
    • Tag en waarde toepassen
    • Een tag overnemen van de resourcegroep indien deze ontbreekt

    Zie Azure Policy-voorbeelden voor een gedeeltelijke lijst met beschikbare ingebouwde beleidsregels.

  7. Zoek in de lijst met beleidsdefinities naar de [preview]: de Log Analytics-extensie moet worden geïnstalleerd in de definitie van uw Windows Azure Arc-machines (als u de Azure Verbinding maken ed Machine-agent hebt ingeschakeld op een Windows-computer). Voor een Linux-computer zoekt u de bijbehorende [preview]: de Log Analytics-extensie moet worden geïnstalleerd op de beleidsdefinitie voor Linux Azure Arc-machines . Klik op dat beleid en klik op Toevoegen.

  8. De Toewijzingsnaam wordt automatisch ingevuld met de naam van het beleid dat u hebt geselecteerd, maar u kunt dit wijzigen. Laat voor dit voorbeeld de naam van het beleid ongewijzigd en wijzig geen van de resterende opties op de pagina.

  9. In dit voorbeeld hoeven we geen instellingen op de andere tabbladen te wijzigen. Selecteer Beoordelen + Maken om uw nieuwe beleidstoewijzing te controleren en selecteer vervolgens Maken.

U kunt nu niet-compatibele resources identificeren om inzicht te krijgen in de nalevingsstatus van uw omgeving.

Niet-compatibele resources identificeren

Selecteer Naleving links op de pagina. Zoek vervolgens de [preview]: de Log Analytics-extensie moet worden geïnstalleerd op uw Windows Azure Arc-machines of [preview]: de Log Analytics-extensie moet worden geïnstalleerd op de beleidstoewijzing voor Linux Azure Arc-machines die u hebt gemaakt.

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

Als er bestaande resources zijn die niet conform deze nieuwe toewijzing zijn, worden deze weergegeven bij Niet-conforme resources.

Wanneer een voorwaarde wordt geëvalueerd op basis van uw bestaande resources en waar wordt gevonden, worden deze resources gemarkeerd als niet-compligitant met het beleid. In de volgende tabel ziet u hoe verschillende beleidsacties werken met de evaluatie van voorwaarden voor de resulterende nalevingsstatus. U kunt de evaluatielogica niet zien in Azure Portal, maar de resultaten voor de nalevingsstatus worden wel weergegeven. Het resultaat voor de nalevingsstatus is compatibel of niet-compatibel.

Resourcestatus Effect Beleidsevaluatie Nalevingsstatus
Exists Weigeren, Controleren, Toevoegen*, DeployIfNotExist*, AuditIfNotExist* Waar Niet-compatibel
Exists Weigeren, Controleren, Toevoegen*, DeployIfNotExist*, AuditIfNotExist* Onwaar compatibel
Nieuw Audit, AuditIfNotExist* Waar Niet-compatibel
Nieuw Audit, AuditIfNotExist* Onwaar compatibel

* Voor de effecten Append, DeployIfNotExist en AuditIfNotExist moet de IF-instructie TRUE zijn. De acties vereisen ook dat de bestaansvoorwaarde FALSE is om niet-compatibel te zijn. Indien TRUE, activeert de IF-voorwaarde de evaluatie van de bestaansvoorwaarde voor de gerelateerde resources.

Resources opschonen

Als u de gemaakte toewijzing wilt verwijderen, volgt u deze stappen:

  1. Selecteer Naleving (of toewijzingen) aan de linkerkant van de Pagina Azure Policy en zoek de [preview]: Log Analytics-extensie moet worden geïnstalleerd op uw Windows Azure Arc-machines of [preview]: Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines die u hebt gemaakt.

  2. Klik met de rechtermuisknop op de beleidstoewijzing en selecteer Toewijzing verwijderen.

Volgende stappen

In deze zelfstudie hebt u een beleidsdefinitie toegewezen aan een bereik en het bijbehorende nalevingsrapport geëvalueerd. De beleidsdefinitie controleert of alle resources in het bereik conform zijn en identificeert welke dit niet zijn. U bent nu klaar om uw servercomputer met Azure Arc te bewaken door VM-inzichten in te schakelen.

Ga verder met de volgende zelfstudie voor meer informatie over het bewaken en weergeven van de prestaties, het uitgevoerde proces en hun afhankelijkheden vanaf uw computer:

VM-inzichten inschakelen