你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure Policy 保护 Nexus 资源

本文介绍如何使用 Azure Policy 保护并验证 Nexus 资源的符合性状态。

开始之前

如果不熟悉 Azure Policy，可以使用以下一些有用的资源来更熟悉 Azure Policy。

• Azure Policy 文档
• 交互式学习模块： Microsoft Learn 上的 Azure Policy 培训

了解策略定义和分配

• 策略定义：这些规则是资源需要遵守的规则。 它们可以内置或自定义。
• 分配：将策略定义应用于资源的过程。

实施安全的步骤

1. 探索内置策略：查看与 Nexus 裸机 （BMM） 资源相关的内置策略。
2. 自定义策略：自定义策略以满足资源的特定需求。
3. 策略分配：通过Azure 门户分配策略，确保范围正确。
4. 监视和符合性：使用 Azure 工具定期监视策略符合性。
5. 故障排除：解决策略分配期间出现的常见问题。

视觉参考线和示例

• 分步策略分配：在Azure 门户中分配策略
• 故障排除指南： 常见策略分配问题

先决条件

• 连接到 Azure 的一个或多个本地 Nexus 资源。

  注意

  操作员 Nexus 不需要为 Undercloud Kubernetes 连接的群集或 BMM 连接的计算机资源安装 Azure Policy 加载项，因为在群集部署期间会自动安装扩展。

• 订阅中具有相应角色的用户帐户：

  • 资源策略参与者或所有者可以查看、创建、分配和禁用策略。
  • 参与者或读者可以查看策略和策略分配。

  准备清单：

  • 熟悉 Azure CLI 或 PowerShell 进行策略管理。
  • 查看组织的安全性和合规性要求。
  • 确定与需求相关的特定 Azure Policy 功能。

使用 Azure Policy 保护 Nexus BMM 资源

操作员 Nexus 服务提供一个内置策略定义，建议将其分配给 Nexus BMM 资源。 此策略定义称为 [预览]：Nexus 计算计算机应满足安全基线。 此策略定义用于确保 Nexus BMM 资源配置行业最佳做法安全设置。

• [预览]：Nexus 计算计算机应满足安全基线

使用 Azure Policy 保护 Nexus Kubernetes 群集

运算符 Nexus Arc 连接的 Nexus Kubernetes 尚未提供内置策略定义。 但是，可以创建自定义策略定义以满足组织的安全性和符合性要求，或者利用 AKS 群集的内置策略定义。

• 了解用于 Kubernetes 群集的 Azure Policy
• AKS 的 Azure Policy 内置定义

自定义 Nexus Kubernetes 群集的策略

• 根据 Nexus Kubernetes 群集的独特方面（例如网络配置和容器安全性）自定义策略。
• 有关指导， 请参阅自定义策略定义 。

为 Nexus 资源应用和验证策略

无论是保护 Nexus BMM 资源还是 Nexus Kubernetes 群集，应用和验证策略的过程都类似。 下面是一种通用方法：

1. 确定合适的策略：

   • 对于 Nexus 裸机资源，请考虑建议 的 [预览]：Nexus 计算计算机应满足安全基线 策略。
   • 对于 Nexus Kubernetes 群集，探索 内置的 AKS 策略 或创建自定义策略定义以满足特定的安全性和符合性需求。
   • 查看 Azure Policy 内置定义 和 适用于 Kubernetes 群集的 Azure Policy 以获取更多见解。

2. 分配策略：

   • 利用Azure 门户将这些策略分配给 Nexus 资源。
   • 确保分配范围正确，该范围可能位于订阅、资源组或单个资源级别。
   • 对于自定义策略，请遵循创建自定义策略定义中的准则。

3. 验证策略应用程序：

   • 分配后，验证策略是否已正确应用并有效地监视合规性。
   • 利用 Azure 合规性工具和仪表板进行持续监视和报告。
   • 有关验证的详细步骤，请参阅 验证 Azure Policy。

此方法可确保所有操作员 Nexus 资源（无论其类型如何）都受到保护并符合组织策略，并利用 Azure Policy 的强大功能。