Поделиться через

Руководство. Создание назначения политики для выявления несоответствуемых ресурсов

  • Статья

Чтобы понять, соответствуют ли ресурсы требованиям в Azure, прежде всего нужно определить их состояние. Политика Azure поддерживает аудит состояния сервера с поддержкой Azure Arc с помощью политик гостевой конфигурации. Определения конфигурации виртуальной машины в политике Azure могут выполнять аудит или применять параметры на компьютере.

В этом руководстве описан процесс создания и назначения политики, чтобы определить, какой из серверов с поддержкой Azure Arc не установлен агент Log Analytics для Windows или Linux. Эти компьютеры считаются несоответствующим назначению политики.

В этом учебнике рассматривается следующее.

  • Создайте назначение политики и назначьте ему определение
  • Определение ресурсов, которые не соответствуют новой политике
  • Удаление политики из несоответствующих ресурсов

Необходимые компоненты

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Создание назначения политики

Выполните следующие действия, чтобы создать назначение политики и назначить определение политики [предварительная версия]: расширение Log Analytics должно быть установлено на компьютерах Linux Azure Arc:

  1. Запустите службу "Политика Azure" на портале Azure. Для этого щелкните Все службы, выполните поиск по запросу Политика и выберите этот элемент.

    Снимок экрана: окно

  2. Выберите Назначения на странице службы Политики Azure слева. Назначение — это политика, которая назначена в рамках определенной области.

    Снимок экрана: окно

  3. Выберите Назначить политику в верхней части страницы Policy — Assignments (Политика — назначения).

  4. На странице Назначить политику выберите Область, нажав кнопку с многоточием и выбрав либо группу управления, либо подписку. Либо выберите группу ресурсов. Она определяет, к каким ресурсам или группе ресурсов принудительно применяется назначение политики. Теперь щелкните Выбрать в нижней части страницы Область.

    В этом примере используется подписка Parnell Aerospace. Ваша подписка будет отличаться.

  5. Ресурсы можно исключить на основе параметра Область. Исключения начинаются на один уровень ниже уровня параметра Область. Исключения являются необязательными, поэтому пока оставьте это поле пустым.

  6. Выберите многоточие рядом с пунктом Определение политики, чтобы открыть список доступных определений. Служба "Политика Azure" поставляется со встроенными определениями политик, которые можно использовать. Доступны многие политики, такие как:

    • Принудительное применение тега и его значения
    • применять тег и его значение;
    • наследование тега из группы ресурсов, если он отсутствует.

    См. полный список всех доступных встроенных политик Azure.

  7. Выполните поиск по списку определений политик, чтобы найти расширение [предварительная версия]: расширение Log Analytics должно быть установлено в определении компьютеров Windows Azure Arc (если вы включили агент подключенной машины Azure на компьютере под управлением Windows). Для компьютера под управлением Linux найдите соответствующее расширение [предварительная версия]: расширение Log Analytics должно быть установлено в определении политики компьютеров Linux Azure Arc. Щелкните политику и нажмите кнопку "Добавить".

  8. Имя назначения автоматически заполняется выбранным именем политики, но его можно изменить. В этом примере оставьте имя политики как есть и не изменяйте остальные параметры на странице.

  9. В этом примере нам не нужно изменять параметры на других вкладках. Нажмите кнопку "Рецензирование и создание ", чтобы просмотреть новое назначение политики, а затем нажмите кнопку "Создать".

Теперь все готово к обнаружению ресурсов, которые не соответствуют требованиям, что позволит оценить состояние соответствия в среде.

Выявление несоответствующих ресурсов

Выберите Соответствие в левой части страницы Затем найдите расширение [предварительная версия]: расширение Log Analytics должно быть установлено на компьютерах Windows Azure Arc или [предварительная версия]: расширение Log Analytics должно быть установлено на созданном вами назначении политики компьютеров Linux Azure Arc.

Снимок экрана: страница соответствия политик, на которой показана соответствие политик выбранной области.

Существующие ресурсы, которые не соответствуют новому назначению, отображаются в разделе Несоответствующие ресурсы.

Если условие вычисляется по имеющимся ресурсам и найдено true, эти ресурсы помечаются как несоответствующие политике. В следующей таблице показано, как действуют разные политики в сочетании с оценкой условий для определения итогового состояния соответствия. Хотя логика оценки не отображается на портале Azure, там доступны результаты, полученные при оценке состояния соответствия. Они могут быть такими: "Соответствует" либо "Не соответствует".

Состояние ресурса Действие Оценка политики Состояние соответствия
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* Истина Не соответствует
Exists Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* False Соответствует
Новый Audit, AuditIfNotExist* Истина Не соответствует
Новый Audit, AuditIfNotExist* False Соответствует

* Эффекты Append, DeployIfNotExist и AuditIfNotExist требуют, чтобы инструкция IF была TRUE. Эффекты также требуют, чтобы условие существования FALSE было несоответствующим. Когда установлено значение TRUE, условие IF запускает оценку условия существования для связанных ресурсов.

Очистка ресурсов

Чтобы удалить созданное назначение, выполните следующие действия:

  1. Выберите соответствие (или назначения) в левой части страницы Политика Azure и найдите расширение [Предварительная версия]: расширение Log Analytics должно быть установлено на компьютерах Windows Azure Arc или [предварительная версия]: расширение Log Analytics должно быть установлено на созданном назначении политики компьютеров Linux Azure Arc.

  2. Щелкните правой кнопкой мыши назначение политики и выберите Удалить назначение.

Следующие шаги

С помощью этого учебника вы назначили определение политики для области и изучили отчет о соответствии. Определение политики проверяет, все ли ресурсы в области соответствуют требованиям, и определяет, какие из них не соответствуют. Теперь вы можете начать мониторинг компьютера серверов с поддержкой Azure Arc, включив аналитику виртуальных машин.

Чтобы узнать, как отслеживать и просматривать производительность, запустите процесс и его зависимости с компьютера и перейдите к этому учебнику:

Включение аналитики виртуальных машин