Yeni bir Azure İlkesi tanımının etkisini değerlendirme

Azure İlkesi, iş standartları uyumluluk gereksinimlerini karşılamak için Azure kaynaklarınızı yönetmeye yönelik güçlü bir araçtır. Kişiler, işlemler veya işlem hatları kaynakları oluşturduğunda veya güncelleştirdiğinde Azure İlkesi isteği gözden geçirir. İlke tanımı efekti değiştirildiğinde, eklendiğinde veya dağıtıldığındaIfNotExists, İlke isteği değiştirir veya buna ekler. İlke tanımı etkisi denetim veya auditIfNotExists olduğunda, İlke yeni ve güncelleştirilmiş kaynaklar için bir Etkinlik günlüğü girdisi oluşturulmasına neden olur. İlke tanımı efekti deny veya denyAction olduğunda, İlke isteğin oluşturulmasını veya değiştirilmesini durdurur.

İlkenin doğru tanımlandığını bildiğiniz sürece bunlar tam olarak istenen sonuçlardır. Ancak, yeni bir ilkenin çalışmayı değiştirmesine veya engellemesine izin vermeden önce amaçlandığı gibi çalıştığını doğrulamak önemlidir. Doğrulama yalnızca hedeflenen kaynakların uyumsuz olarak belirlendiğinden ve hiçbir uyumlu kaynağın sonuçlara yanlış dahil edilmediğinden (hatalı pozitif olarak bilinir) emin olmalıdır.

Yeni ilke tanımını doğrulamak için önerilen yaklaşım şu adımları izlemektir:

• İlkenizi sıkı bir şekilde tanımlayın.
• İlkenizin etkinliğini test edin.
• Yeni veya güncelleştirilmiş kaynak isteklerini denetleme.
• İlkenizi kaynaklara dağıtın.
• Sürekli izleme.

İlkenizi sıkı bir şekilde tanımlayın

İş ilkesinin bir ilke tanımı olarak nasıl uygulandığını ve Azure kaynaklarının diğer Azure hizmetleriyle ilişkisini anlamak önemlidir. Bu adım gereksinimleri belirleyerek ve kaynak özelliklerini belirleyerek gerçekleştirilir. Ancak, iş politikanızın dar tanımının ötesine geçmek de önemlidir. Örnekler için ilkeniz Tüm Sanal Makineler...? HDInsight veya Azure Kubernetes Service (AKS) gibi VM'lerden yararlanan diğer Azure hizmetleri ne olacak? İlke tanımlarken, bu ilkenin diğer hizmetler tarafından kullanılan kaynakları nasıl etkilediğini göz önünde bulundurmamız gerekir.

Bu nedenle ilke tanımlarınız sıkı bir şekilde tanımlanmalı ve mümkün olduğunca uyumluluk açısından değerlendirmeniz gereken kaynaklara ve özelliklere odaklanmalıdır.

İlkenizin etkinliğini test edin

Yeni ilke tanımınızla yeni veya güncelleştirilmiş kaynakları yönetmeye bakmadan önce, test kaynak grubu gibi mevcut kaynakların sınırlı bir alt kümesini nasıl değerlendirdiğini görmek en iyisidir. Azure İlkesi VS Code uzantısı, isteğe bağlı değerlendirme taramasını kullanarak tanımların mevcut Azure kaynaklarına karşı yalıtılmış olarak test edilmesini sağlar. Ayrıca, etkinin tetiklenmesini veya etkinlik günlüğü girdilerinin oluşturulmasını önlemek için ilke atamanızdaki Zorlama modunu Devre Dışı (doNotEnforce) kullanarak bir Geliştirme ortamında tanımı atayabilirsiniz.

Bu adım, yeni ilkenin mevcut kaynaklardaki uyumluluk sonuçlarını iş akışını etkilemeden değerlendirme fırsatı sunar. Uyumlu kaynakların uyumsuz (hatalı pozitif) olarak gösterilmediğini ve uyumsuz olmasını beklediğiniz tüm kaynakların doğru olarak işaretlenip işaretlenmediğini denetleyin. Kaynakların ilk alt kümesi beklendiği gibi doğrulandıktan sonra değerlendirmeyi yavaş yavaş daha fazla mevcut kaynak ve daha fazla kapsam olacak şekilde genişletin.

Mevcut kaynakların bu şekilde değerlendirilmesi, yeni ilkenin tam olarak uygulanmasından önce uyumlu olmayan kaynakları düzeltme fırsatı da sağlar. bu temizleme, ilke tanımı etkisi deployIfNotExists veya modifyise el ile veya düzeltme görevi aracılığıyla yapılabilir.

ile deployIfNotExists ilke tanımları, ARM şablonunu dağıtırken gerçekleşen değişiklikleri doğrulamak ve test etmek için Azure Resource Manager şablonunu kullanmalıdır.

Yeni veya güncelleştirilmiş kaynakları denetleme

Yeni ilke tanımınızın mevcut kaynaklar üzerinde doğru rapor oluşturduğunu doğruladıktan sonra, kaynaklar oluşturulduğunda veya güncelleştirildiğinde ilkenin etkisine bakmanın zamanı geldi. İlke tanımı efekt parametresileştirmeyi destekliyorsa audit veya auditIfNotExist kullanın. Bu yapılandırma, yeni ilke tanımının mevcut çalışma veya istekleri etkilemeden uyumlu olmayan bir kaynak için Azure Etkinlik günlüğünde bir girişi tetikleyip tetiklemediğini görmek için kaynakların oluşturulmasını ve güncelleştirilmesini izlemenize olanak tanır.

Öneri, veya auditIfNotExists etkisinin beklendiği zaman doğru şekilde tetiklendiğini görmek audit için ilke tanımınızla eşleşen yeni kaynakları güncelleştirmek ve oluşturmaktır. veya auditIfNotExists etkisini tetikleyen yeni ilke tanımından etkilenmemesi gereken kaynak isteklerine audit dikkat edin. Bu etkilenen kaynaklar, hatalı pozitif sonuçların başka bir örneğidir ve tam uygulamadan önce ilke tanımında düzeltilmelidir.

Test işleminin bu aşamasında ilke tanımının değiştirilmesi durumunda, mevcut kaynakların denetlenerek doğrulama işlemine başlanması önerilir. Yeni veya güncelleştirilmiş kaynaklar üzerinde hatalı pozitif sonuç için ilke tanımında yapılan bir değişikliğin mevcut kaynaklar üzerinde de etkisi olabilir.

İlkenizi kaynaklara dağıtma

Yeni ilke tanımınızı hem mevcut kaynaklarla hem de yeni veya güncelleştirilmiş kaynak istekleriyle doğrulamayı tamamladıktan sonra, ilkeyi uygulama işlemine başlarsınız. Öneri, yeni ilke tanımı için ilk olarak kaynak grubu gibi tüm kaynakların bir alt kümesine ilke ataması oluşturmaktır. İlke ataması içindeki resourceSelectors özelliğini kullanarak kaynak türüne veya konuma göre daha fazla filtreleyebilirsiniz. İlk dağıtımı doğruladıktan sonra, ilkenin kapsamını bir kaynak grubu olarak daha geniş olacak şekilde genişletin. İlk dağıtımı doğruladıktan sonra, filtreleri daha fazla konumu veya kaynak türünü hedeflemek üzere ayarlayarak ilkenin resourceSelector etkisini genişletin. Ya da atamayı kaldırıp abonelikler ve yönetim grupları gibi daha geniş kapsamlarda yenisiyle değiştirerek. Yeni ilke tanımınızın kapsamına alınması amaçlanan kaynakların tam kapsamına atanana kadar bu aşamalı dağıtıma devam edin.

Dağıtım sırasında, yeni ilke tanımınızdan muaf tutulması gereken kaynaklar bulunuyorsa, bunları aşağıdaki yollardan biriyle ele alın:

• İstenmeyen etkileri azaltmak için ilke tanımını daha açık olacak şekilde güncelleştirin.
• İlke atamasının kapsamını değiştirin (yeni bir atamayı kaldırarak ve oluşturarak).
• Kaynak grubunu ilke ataması için dışlama listesine ekleyin.

Kapsamdaki tüm değişiklikler (düzey veya dışlamalar) kapsam içinde boşluk olmadığından emin olmak için güvenlik ve uyumluluk kuruluşlarınızla tam olarak doğrulanmalı ve iletilmelidir.

İlkenizi ve uyumluluğunuzu izleme

İlke tanımınızı uygulamak ve atamak son adım değildir. Kaynakların yeni ilke tanımınıza uyumluluk düzeyini sürekli izleyin ve uyumlu olmayan cihazlar tanımlandığında uygun Azure İzleyici uyarılarını ve bildirimlerini ayarlayın. Öneri, ilke tanımının iş ilkesi ve uyumluluk gereksinimlerini karşılayıp karşılamamadığını doğrulamak için ilke tanımını ve ilgili atamaları zamanlanmış olarak değerlendirmektir. Artık gerekli değilse ilkeler kaldırılmalıdır. Temel alınan Azure kaynakları geliştikçe ve yeni özellikler ve özellikler ekledikçe ilkelerin de zaman zaman güncelleştirilip güncelleştirildiği de gerekir.

Sonraki adımlar

• İlke tanımı yapısı hakkında bilgi edinin.
• İlke atama yapısı hakkında bilgi edinin.
• Program aracılığıyla ilkelerin nasıl oluşturulacağını anlama.
• Uyumluluk verilerini almayı öğrenin.
• Uyumlu olmayan kaynakları düzeltmeyi öğrenin.
• Kaynaklarınızı Azure yönetim gruplarıyla düzenleme ile yönetim grubunun ne olduğunu gözden geçirin.