Samouczek: tworzenie przypisania zasad w celu identyfikowania niezgodnych zasobów

  • Artykuł

Pierwszym krokiem do zrozumienia pojęcia zgodności na platformie Azure jest określenie obecnej sytuacji dotyczącej Twoich zasobów. Usługa Azure Policy obsługuje inspekcję stanu serwera z obsługą usługi Azure Arc przy użyciu zasad konfiguracji gościa. Definicje konfiguracji gościa usługi Azure Policy mogą przeprowadzać inspekcję lub stosować ustawienia wewnątrz maszyny.

W tym samouczku przedstawiono procedurę tworzenia i przypisywania zasad w celu zidentyfikowania, które serwery z obsługą usługi Azure Arc nie mają zainstalowanego agenta usługi Log Analytics dla systemu Windows lub Linux. Te maszyny są uznawane za niezgodne z przypisaniem zasad.

Niniejszy samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Tworzenie przypisania zasad i przypisywanie do niej definicji
  • Identyfikowanie zasobów, które nie są zgodne z nowymi zasadami
  • Usuwanie zasad z niezgodnych zasobów

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie przypisania zasad

Wykonaj poniższe kroki, aby utworzyć przypisanie zasad i przypisać definicję zasad [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc w systemie Linux:

  1. Uruchom usługę Azure Policy w witrynie Azure Portal, wybierając pozycję Wszystkie usługi, a następnie wyszukując i wybierając pozycję Zasady.

    Screenshot of All services window showing search for policy service.

  2. Wybierz pozycję Przypisania w lewej części strony usługi Azure Policy. Przypisanie to zasady, które zostały przypisane do określonego zakresu.

    Screenshot of All services Policy window showing policy assignments.

  3. Wybierz pozycję Przypisz zasady w górnej części strony Zasady — Przypisania.

  4. Na stronie Przypisywanie zasad wybierz Zakres, klikając wielokropek i wybierając grupę zarządzania lub subskrypcję. Opcjonalnie możesz wybrać grupę zasobów. Zakres określa, jakie zasoby lub grupy zasobów są wymuszane w ramach przypisania zasad. Następnie kliknij przycisk Wybierz w dolnej części strony Zakres.

    W tym przykładzie użyto subskrypcji Parnell Aerospace . Twoja subskrypcja będzie inna.

  5. Zasoby można wykluczyć na podstawie opcji Zakres. Wykluczenia są uruchamiane o jeden poziom niżej od poziomu opcji Zakres. Pole Wykluczenia jest opcjonalne, więc na razie można je pozostawić puste.

  6. W polu Definicja zasad wybierz wielokropek, aby otworzyć listę dostępnych definicji. Usługa Azure Policy zawiera wbudowane definicje zasad, których możesz używać. Dostępnych jest wiele wbudowanych definicji, na przykład:

    • Enforce tag and its value (Wymuś tag i jego wartość)
    • Apply tag and its value (Zastosuj tag i jego wartość)
    • Dziedzicz tag z grupy zasobów, jeśli go nie ma

    Aby zapoznać się z częściową listą dostępnych wbudowanych zasad, zobacz Przykłady usługi Azure Policy.

  7. Wyszukaj listę definicji zasad, aby znaleźć rozszerzenie [wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na definicji maszyn usługi Windows Azure Arc (jeśli włączono agenta azure Połączenie ed Machine na komputerze z systemem Windows). W przypadku maszyny z systemem Linux znajdź odpowiednie rozszerzenie [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane w definicji zasad maszyn usługi Azure Arc dla systemu Linux. Kliknij te zasady i kliknij przycisk Dodaj.

  8. W polu Nazwa przypisania jest automatycznie wpisywana nazwa wybranej zasady, ale można ją zmienić. W tym przykładzie pozostaw nazwę zasad w niezmienionej postaci i nie zmieniaj żadnej z pozostałych opcji na stronie.

  9. W tym przykładzie nie musimy zmieniać żadnych ustawień na innych kartach. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć nowe przypisanie zasad, a następnie wybierz pozycję Utwórz.

Teraz możesz zidentyfikować niezgodne zasoby, aby zrozumieć stan zgodności środowiska.

Identyfikowanie niezgodnych zasobów

Wybierz pozycję Zgodność w lewej części strony. Następnie znajdź [wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Windows Azure Arc lub [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno zostać zainstalowane na utworzonym przypisaniu zasad maszyn usługi Azure Arc systemu Linux.

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

Jeśli istnieją jakiekolwiek zasoby niezgodne z nowym przypisaniem, zostaną one wyświetlone w obszarze Niezgodne zasoby.

Po ocenie warunku względem istniejących zasobów i znalezieniu wartości true te zasoby są oznaczone jako niezgodne z zasadami. W poniższej tabeli przedstawiono sposób, w jaki różne akcje dotyczące zasad wpływają na ocenę warunku na potrzeby wynikowego stanu zgodności. Chociaż logika oceny nie jest widoczna w witrynie Azure Portal, zostaną wyświetlone wyniki stanu zgodności. Wynik stanu zgodności może być zgodny lub niezgodny.

Stan zasobu Efekt Ocena zasad Stan zgodności
Exists Odmowa, inspekcja, dołączanie*, deployIfNotExist*, AuditIfNotExist* Prawda Niezgodne
Exists Odmowa, inspekcja, dołączanie*, deployIfNotExist*, AuditIfNotExist* Fałsz Zgodne
Nowe Inspekcja, AuditIfNotExist* Prawda Niezgodne
Nowe Inspekcja, AuditIfNotExist* Fałsz Zgodne

* Efekty Append, DeployIfNotExist i AuditIfNotExist wymagają, aby instrukcja IF mieć wartość TRUE. Ponadto efekty wymagają, aby warunek istnienia miał wartość FALSE, aby być niezgodnymi. W przypadku wartości TRUE warunek IF wyzwala ocenę warunku istnienia dla powiązanych zasobów.

Czyszczenie zasobów

Aby usunąć utworzone przypisanie, wykonaj następujące kroki:

  1. Wybierz pozycję Zgodność (lub Przypisania) po lewej stronie usługi Azure Policy i znajdź [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Windows Azure Arc lub [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno zostać zainstalowane na utworzonym przypisaniu zasad usługi Azure Arc dla systemu Linux.

  2. Kliknij prawym przyciskiem myszy przypisanie zasad i wybierz polecenie Usuń przypisanie.

Następne kroki

W tym samouczku przypisano definicję zasad do zakresu i oceniono jego raport zgodności. Definicja zasady zawiera sprawdzenie, czy wszystkie zasoby w ramach zakresu są zgodne, oraz określenie niezgodnych zasobów. Teraz możesz monitorować maszynę serwerów z obsługą usługi Azure Arc, włączając szczegółowe informacje o maszynie wirtualnej.

Aby dowiedzieć się, jak monitorować i wyświetlać wydajność, uruchomiony proces i ich zależności z maszyny, przejdź do samouczka:

Włączanie szczegółowych informacji o maszynie wirtualnej