Udostępnij za pośrednictwem

Samouczek: tworzenie przypisania zasad w celu identyfikowania niezgodnych zasobów

  • Artykuł

Pierwszym krokiem do zrozumienia pojęcia zgodności na platformie Azure jest określenie obecnej sytuacji dotyczącej Twoich zasobów. Usługa Azure Policy obsługuje inspekcję stanu serwera z obsługą usługi Azure Arc przy użyciu zasad konfiguracji gościa. Definicje konfiguracji gościa usługi Azure Policy mogą przeprowadzać inspekcję lub stosować ustawienia wewnątrz maszyny.

W tym samouczku przedstawiono procedurę tworzenia i przypisywania zasad w celu zidentyfikowania, które serwery z obsługą usługi Azure Arc nie mają zainstalowanego agenta usługi Log Analytics dla systemu Windows lub Linux. Te maszyny są uznawane za niezgodne z przypisaniem zasad.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie przypisania zasad i przypisywanie do niej definicji
  • Identyfikowanie zasobów, które nie są zgodne z nowymi zasadami
  • Usuwanie zasad z niezgodnych zasobów

Wymagania wstępne

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Tworzenie przypisania zasad

Poniższa procedura umożliwia utworzenie przypisania zasad i przypisanie definicji zasad [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno zostać zainstalowane na maszynach z usługą Azure Arc systemu Linux.

  1. Uruchom usługę Azure Policy w witrynie Azure Portal, wybierając pozycję Wszystkie usługi, a następnie wyszukując i wybierając pozycję Zasady.

    Zrzut ekranu przedstawiający okno Wszystkie usługi z wyszukiwaniem usługi zasad.

  2. Wybierz pozycję Przypisania w lewej części strony usługi Azure Policy. Przypisanie to zasady przypisane do określonego zakresu.

    Zrzut ekranu przedstawiający okno Wszystkie usługi Zasady z przypisaniami zasad.

  3. Wybierz pozycję Przypisz zasady w górnej części zasad | Strona Przypisania.

  4. Na stronie Przypisywanie zasad wybierz Zakres, klikając wielokropek i wybierając grupę zarządzania lub subskrypcję. Opcjonalnie możesz wybrać grupę zasobów. Zakres określa, jakie zasoby lub grupy zasobów są wymuszane w ramach przypisania zasad. Następnie wybierz pozycję Wybierz w dolnej części strony Zakres .

    W tym przykładzie użyto subskrypcji Parnell Aerospace . Twoja subskrypcja będzie inna.

  5. Zasoby można wykluczyć na podstawie opcji Zakres. Wykluczenia są uruchamiane o jeden poziom niżej od poziomu opcji Zakres. Pole Wykluczenia jest opcjonalne, więc na razie można je pozostawić puste.

  6. W polu Definicja zasad wybierz wielokropek, aby otworzyć listę dostępnych definicji. Usługa Azure Policy zawiera wbudowane definicje zasad, których możesz używać. Dostępnych jest wiele wbudowanych definicji, na przykład:

    • Enforce tag and its value (Wymuś tag i jego wartość)
    • Apply tag and its value (Zastosuj tag i jego wartość)
    • Dziedzicz tag z grupy zasobów, jeśli go nie ma

    Aby zapoznać się z częściową listą dostępnych wbudowanych zasad, zobacz Przykłady usługi Azure Policy.

  7. Przeszukaj listę definicji zasad, aby znaleźć rozszerzenie [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na definicji maszyn z systemem Windows Azure Arc (jeśli włączono agenta połączonej maszyny platformy Azure na maszynie z systemem Windows). W przypadku maszyny z systemem Linux znajdź odpowiednie rozszerzenie [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane w definicji zasad maszyn usługi Azure Arc dla systemu Linux. Wybierz te zasady i wybierz pozycję Dodaj.

  8. W polu Nazwa przypisania jest automatycznie wpisywana nazwa wybranej zasady, ale można ją zmienić. W tym przykładzie pozostaw nazwę zasad w niezmienionej postaci i nie zmieniaj żadnej z pozostałych opcji na stronie.

  9. W tym przykładzie nie musimy zmieniać żadnych ustawień na innych kartach. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć nowe przypisanie zasad, a następnie wybierz pozycję Utwórz.

Teraz możesz zidentyfikować niezgodne zasoby, aby zrozumieć stan zgodności środowiska.

Identyfikowanie niezgodnych zasobów

Wybierz pozycję Zgodność w lewej części strony. Następnie znajdź [wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Windows Azure Arc lub [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno zostać zainstalowane na utworzonym przypisaniu zasad maszyn usługi Azure Arc systemu Linux.

Zrzut ekranu przedstawiający stronę Zgodność z zasadami zawierającą zgodność zasad dla wybranego zakresu.

Jeśli istnieją jakiekolwiek zasoby niezgodne z nowym przypisaniem, zostaną one wyświetlone w obszarze Niezgodne zasoby.

Jeśli warunek zostanie oceniony dla istniejących zasobów i okaże się prawdziwy, zasoby te zostaną oznaczone jako niezgodne z zasadami. W poniższej tabeli przedstawiono sposób, w jaki różne akcje dotyczące zasad wpływają na ocenę warunku na potrzeby wynikowego stanu zgodności. Chociaż logika oceny nie jest widoczna w witrynie Azure Portal, zostaną wyświetlone wyniki stanu zgodności. Wynik stanu zgodności może być zgodny lub niezgodny.

Stan zasobu Efekt Ocena zasad Stan zgodności
Exists Odmowa, inspekcja, dołączanie*, deployIfNotExist*, AuditIfNotExist* Prawda Niezgodne
Exists Odmowa, inspekcja, dołączanie*, deployIfNotExist*, AuditIfNotExist* Fałsz Zgodne
Nowe Inspekcja, AuditIfNotExist* Prawda Niezgodne
Nowe Inspekcja, AuditIfNotExist* Fałsz Zgodne

* Efekty Append, DeployIfNotExist i AuditIfNotExist wymagają, aby instrukcja IF mieć wartość TRUE. Ponadto efekty wymagają, aby warunek istnienia miał wartość FALSE, aby być niezgodnymi. W przypadku wartości TRUE warunek IF wyzwala ocenę warunku istnienia dla powiązanych zasobów.

Czyszczenie zasobów

Aby usunąć utworzone przypisanie, wykonaj następujące kroki:

  1. Wybierz pozycję Zgodność (lub Przypisania) po lewej stronie usługi Azure Policy i znajdź [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Windows Azure Arc lub [wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno zostać zainstalowane na utworzonym przypisaniu zasad usługi Azure Arc dla systemu Linux.

  2. Kliknij prawym przyciskiem myszy przypisanie zasad i wybierz polecenie Usuń przypisanie.

Następne kroki

W tym samouczku przypisano definicję zasad do zakresu i oceniono jego raport zgodności. Definicja zasady zawiera sprawdzenie, czy wszystkie zasoby w ramach zakresu są zgodne, oraz określenie niezgodnych zasobów. Teraz możesz monitorować maszynę serwerów z obsługą usługi Azure Arc, włączając szczegółowe informacje o maszynie wirtualnej.

Aby dowiedzieć się, jak monitorować i wyświetlać wydajność, uruchomiony proces i ich zależności z maszyny, przejdź do samouczka:

Włączanie szczegółowych informacji o maszynie wirtualnej