你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure DevOps 发布管道实现 Azure Policy

Azure DevOps Services

了解如何在部署前后通过 Azure Pipelines 对 Azure 资源强制实施合规性策略。 利用 Azure Pipelines,可以使用 Azure DevOps 通过持续集成 (CI) 和持续交付 (CD) 来进行生成、测试和部署。 向管道添加 Azure Policy 的一种场景是,你需要确保资源仅部署到授权区域,并配置为将诊断日志发送到 Azure Log Analytics。

可以使用经典管道YAML 管道进程在 CI/CD 管道中实施 Azure Policy。

有关详细信息,请参阅什么是 Azure Pipelines?创建你的第一个管道

准备

  1. 在 Azure 门户中创建 Azure Policy。 有几个预定义的示例策略可以应用于管理组、订阅和资源组。

  2. 在 Azure DevOps 中,创建至少包含一个阶段的发布管道,或打开一个现有的发布管道。

  3. 添加一个部署前或部署后条件作为入口,其中包括“检查 Azure Policy 合规性”任务。 更多详细信息

    Azure Policy 入口的屏幕截图。

如果使用 YAML 管道定义,请使用 AzurePolicyCheckGate@0 Azure Pipelines 任务。

验证发布期间是否有任何违规行为

注意

使用 AzurePolicyCheckGate 任务检查 YAML 中的策略符合性。 此任务只能用作入口,不能在生成或发布管道中使用。

  1. 导航到 Azure DevOps 中的团队项目。

  2. 在“Pipelines”部分,打开“发布”页并创建一个新发布。

  3. 选择发布视图中的“正在进行”链接以打开实时日志页。

  4. 当发布正在进行,并尝试执行已定义的策略不允许的操作时,部署被标记为“失败”。 错误消息包含一个链接,用于查看策略违反情况。

    Azure Policy 失败消息的屏幕截图。

  5. 错误消息被写入日志,并显示在 Azure Pipelines 发布页的阶段状态面板中。

    Azure Policy 失败日志的屏幕截图。

  6. 当策略符合性入口通过发布时,会显示“已成功”状态。

    策略入口的屏幕截图。

  7. 选择成功的部署以查看详细日志。

    策略日志的屏幕截图。

后续步骤

若要了解有关策略定义结构的详细信息,请查看以下文章: