Delen via

Azure Policy-hersteltaakstructuur

  • Artikel

De functie voor hersteltaken van Azure Policy wordt gebruikt om resources uit een definitie en toewijzing in overeenstemming te brengen. Resources die niet compatibel zijn met een wijzigings - of deployIfNotExists-definitietoewijzing , kunnen worden opgenomen in naleving met behulp van een hersteltaak. Een hersteltaak implementeert de deployIfNotExists sjabloon of de modify bewerkingen naar de geselecteerde niet-compatibele resources met behulp van de identiteit die is opgegeven in de toewijzing. Zie de structuur van beleidstoewijzingen voor meer informatie over hoe de identiteit is gedefinieerd en herstel de zelfstudie over niet-compatibele resources om de identiteit te configureren.

Hersteltaken herstellen bestaande resources die niet compatibel zijn. Resources die nieuw zijn gemaakt of bijgewerkt die van toepassing zijn op een deployIfNotExists of modify definitietoewijzing, worden automatisch hersteld.

Notitie

De Azure Policy-service verwijdert hersteltaakresources 60 dagen na de laatste wijziging.

U gebruikt JavaScript Object Notation (JSON) om een beleidshersteltaak te maken. De beleidshersteltaak bevat elementen voor:

In de volgende JSON ziet u bijvoorbeeld een beleidshersteltaak voor beleidsdefinitie met de naam requiredTags een deel van een initiatieftoewijzing resourceShouldBeCompliantInit met alle standaardinstellingen.

{
  "id": "/subscriptions/{subId}/resourceGroups/{resourceGroupName}/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "apiVersion": "2021-10-01",
  "name": "remediateNotCompliant",
  "type": "Microsoft.PolicyInsights/remediations",
  "properties": {
    "policyAssignmentId": "/subscriptions/{subID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
    "policyDefinitionReferenceId": "requiredTags",
    "resourceCount": 42,
    "parallelDeployments": 6,
    "failureThreshold": {
      "percentage": 0.1
    }
  }
}

Stappen voor het activeren van een hersteltaak bij het herstellen van niet-compatibele resources. Deze instellingen kunnen niet worden gewijzigd nadat de hersteltaak is gestart.

Beleidstoewijzings-id

Dit veld moet de volledige padnaam van een beleidstoewijzing of een initiatieftoewijzing zijn. policyAssignmentId is een tekenreeks en geen matrix. Met deze eigenschap wordt gedefinieerd welke toewijzing van de bovenliggende resourcehiërarchie of afzonderlijke resource moet worden hersteld.

Id van beleidsdefinitie

Als het policyAssignmentId voor een initiatieftoewijzing is, moet de policyDefinitionReferenceId eigenschap worden gebruikt om op te geven welke beleidsdefinitie in het initiatief de onderwerpresources moeten worden hersteld. Als herstel kan slechts worden hersteld in een bereik van één definitie, is deze eigenschap een tekenreeks en geen matrix. De waarde moet overeenkomen met de waarde in de initiatiefdefinitie in het policyDefinitions.policyDefinitionReferenceId veld in plaats van de globale id voor beleidsdefinitie Id.

Aantal resources en parallelle implementaties

Gebruik resourceCount dit om te bepalen hoeveel niet-compatibele resources moeten worden hersteld in een bepaalde hersteltaak. De standaardwaarde is 500, waarbij het maximumaantal 50.000 is. parallelDeployments bepaalt hoeveel van deze resources tegelijkertijd moeten worden hersteld. Het toegestane bereik ligt tussen 1 en 30, waarbij de standaardwaarde 10 is.

Parallelle implementaties zijn het aantal implementaties binnen een enkelvoudige hersteltaak met maximaal 30. Er kunnen maximaal 100 hersteltaken parallel worden uitgevoerd voor één beleidsdefinitie of beleidsverwijzing binnen een initiatief.

Drempelwaarde voor fout

Een optionele eigenschap die wordt gebruikt om op te geven of de hersteltaak moet mislukken als het percentage fouten de opgegeven drempelwaarde overschrijdt. De failureThreshold waarde wordt weergegeven als een percentage van 0 tot 100. Standaard is de drempelwaarde voor fouten 100%, wat betekent dat de hersteltaak andere resources blijft herstellen, zelfs als resources niet kunnen worden hersteld.

Herstelfilters

Een optionele eigenschap verfijnt welke resources van toepassing zijn op de hersteltaak. Het toegestane filter is resourcelocatie. Tenzij opgegeven, kunnen resources uit elke regio worden hersteld.

Resourcedetectiemodus

Met deze eigenschap wordt bepaald hoe u resources detecteert die in aanmerking komen voor herstel. Als een resource in aanmerking komt, moet deze niet-compatibel zijn. Deze eigenschap is standaard ingesteld op ExistingNonCompliant. Het kan ook worden ingesteld ReEvaluateComplianceop , waardoor een nieuwe nalevingsscan voor die toewijzing wordt geactiveerd en resources worden hersteld die niet-compatibel zijn gevonden.

Inrichtingsstatus en implementatieoverzicht

Zodra een hersteltaak is gemaakt ProvisioningState en DeploymentSummary eigenschappen zijn ingevuld. De ProvisioningState status van de hersteltaak wordt aangegeven. Toegestane waarden zijnRunning, , CanceledCancelling, Failed, of SucceededComplete. Dit DeploymentSummary is een matrixeigenschap die het aantal implementaties aangeeft, samen met het aantal geslaagde en mislukte implementaties.

Voorbeeld van hersteltaak die is voltooid:

{
  "id": "/subscriptions/{subId}/resourceGroups/ExemptRG/providers/Microsoft.PolicyInsights/remediations/remediateNotCompliant",
  "Type": "Microsoft.PolicyInsights/remediations",
  "Name": "remediateNotCompliant",
  "PolicyAssignmentId": "/subscriptions/{mySubscriptionID}/providers/Microsoft.Authorization/policyAssignments/resourceShouldBeCompliantInit",
  "policyDefinitionReferenceId": "requiredTags",
  "resourceCount": 42,
  "parallelDeployments": 6,
  "failureThreshold": {
    "percentage": 0.1
  },
  "ProvisioningState": "Succeeded",
  "DeploymentSummary": {
    "TotalDeployments": 42,
    "SuccessfulDeployments": 42,
    "FailedDeployments": 0
  },
}

Volgende stappen