你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure Policy 保护 Nexus 资源
本文介绍如何使用 Azure Policy 保护并验证 Nexus 资源的符合性状态。
开始之前
如果不熟悉 Azure Policy,可以使用以下一些有用的资源来更熟悉 Azure Policy。
了解策略定义和分配
- 策略定义:这些规则是资源需要遵守的规则。 它们可以内置或自定义。
- 分配:将策略定义应用于资源的过程。
实施安全的步骤
- 探索内置策略:查看与 Nexus 裸机 (BMM) 资源相关的内置策略。
- 自定义策略:自定义策略以满足资源的特定需求。
- 策略分配:通过Azure 门户分配策略,确保范围正确。
- 监视和符合性:使用 Azure 工具定期监视策略符合性。
- 故障排除:解决策略分配期间出现的常见问题。
视觉参考线和示例
- 分步策略分配:在Azure 门户中分配策略
- 故障排除指南: 常见策略分配问题
先决条件
连接到 Azure 的一个或多个本地 Nexus 资源。
注意
操作员 Nexus 不需要为 Undercloud Kubernetes 连接的群集或 BMM 连接的计算机资源安装 Azure Policy 加载项,因为在群集部署期间会自动安装扩展。
订阅中具有相应角色的用户帐户:
- 资源策略参与者或所有者可以查看、创建、分配和禁用策略。
- 参与者或读者可以查看策略和策略分配。
准备清单:
- 熟悉 Azure CLI 或 PowerShell 进行策略管理。
- 查看组织的安全性和合规性要求。
- 确定与需求相关的特定 Azure Policy 功能。
使用 Azure Policy 保护 Nexus BMM 资源
操作员 Nexus 服务提供一个内置策略定义,建议将其分配给 Nexus BMM 资源。 此策略定义称为 [预览]:Nexus 计算计算机应满足安全基线。 此策略定义用于确保 Nexus BMM 资源配置行业最佳做法安全设置。
使用 Azure Policy 保护 Nexus Kubernetes 群集
运算符 Nexus Arc 连接的 Nexus Kubernetes 尚未提供内置策略定义。 但是,可以创建自定义策略定义以满足组织的安全性和符合性要求,或者利用 AKS 群集的内置策略定义。
自定义 Nexus Kubernetes 群集的策略
- 根据 Nexus Kubernetes 群集的独特方面(例如网络配置和容器安全性)自定义策略。
- 有关指导, 请参阅自定义策略定义 。
为 Nexus 资源应用和验证策略
无论是保护 Nexus BMM 资源还是 Nexus Kubernetes 群集,应用和验证策略的过程都类似。 下面是一种通用方法:
确定合适的策略:
- 对于 Nexus 裸机资源,请考虑建议 的 [预览]:Nexus 计算计算机应满足安全基线 策略。
- 对于 Nexus Kubernetes 群集,探索 内置的 AKS 策略 或创建自定义策略定义以满足特定的安全性和符合性需求。
- 查看 Azure Policy 内置定义 和 适用于 Kubernetes 群集的 Azure Policy 以获取更多见解。
分配策略:
- 利用Azure 门户将这些策略分配给 Nexus 资源。
- 确保分配范围正确,该范围可能位于订阅、资源组或单个资源级别。
- 对于自定义策略,请遵循创建自定义策略定义中的准则。
验证策略应用程序:
- 分配后,验证策略是否已正确应用并有效地监视合规性。
- 利用 Azure 合规性工具和仪表板进行持续监视和报告。
- 有关验证的详细步骤,请参阅 验证 Azure Policy。
此方法可确保所有操作员 Nexus 资源(无论其类型如何)都受到保护并符合组织策略,并利用 Azure Policy 的强大功能。