Używanie zasad do wymuszania standardów

  • 7 min

Potrafisz lepiej organizować zasoby w grupach zasobów oraz stosować tagi do zasobów w celu ich użycia na potrzeby raportów rozliczeń i rozwiązań monitorowania. Grupowanie i oznaczanie zasobów przyniosło korzyści w przypadku istniejących zasobów, lecz jak zapewnić, że nowe zasoby będą zgodne z regułami? Przyjrzymy się, jak zasady mogą pomóc w wymuszaniu standardów w środowisku platformy Azure.

Co to jest usługa Azure Policy?

Azure Policy to usługa, która umożliwia tworzenie i przypisywanie zasad oraz zarządzanie nimi. Te zasady stosują i wymuszają reguły, z którymi mają być zgodne zasoby. Te zasady mogą wymuszać te reguły podczas tworzenia zasobów i można je ocenić względem istniejących zasobów, aby zapewnić wgląd w zgodność.

Zasady mogą wymuszać reguły, takie jak zezwalanie na tworzenie określonych typów zasobów lub zezwalanie tylko na zasoby w określonych regionach świadczenia usługi Azure. Istnieje możliwość wymuszania konwencji nazewnictwa w środowisku platformy Azure. Istnieje także możliwość wymuszania stosowania określonych tagów do zasobów. Przyjrzyjmy się sposobowi działania zasad.

Tworzenie zasady

Chcesz mieć pewność, że wszystkie zasoby mają skojarzony z nimi tag Dział i zablokować tworzenie, jeśli tag nie istnieje. Musisz utworzyć nową definicję zasad i przypisać ją do zakresu; w tym przypadku zakresem jest nasza grupa zasobów msftlearn-core-infrastructure-rg . Zasady można tworzyć i przypisywać za pomocą witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. To ćwiczenie przeprowadzi Cię przez proces tworzenia zasad w portalu.

Tworzenie definicji zasad

  1. Przejdź do witryny Azure Portal w przeglądarce internetowej, jeśli jeszcze tego nie zrobiono. W polu wyszukiwania na górnym pasku nawigacyjnym wyszukaj ciąg Zasady i wybierz usługę Zasady.

  2. W sekcji Tworzenie w menu po lewej stronie wybierz okienko Definicje.

  3. Zostanie wyświetlona lista wbudowanych zasad, których można użyć. W takim przypadku utworzysz własne zasady niestandardowe. Wybierz pozycję + Definicja zasad w górnym menu.

  4. Po kliknięciu przycisku zostanie wyświetlone okno dialogowe Nowa definicja zasad. Aby ustawić lokalizację definicji, wybierz niebieski selektor Zakres uruchamiania (...). Wybierz subskrypcję, w której są przechowywane zasady, która powinna być tą samą subskrypcją co grupa zasobów. Wybierz przycisk Wybierz.

  5. Po powrocie do okna dialogowego Nowa definicja zasad wprowadź Wymuś tag na zasobie w polu Nazwa.

  6. W polu Opis wpisz Te zasady wymuszają istnienie tagu dla zasobu.

  7. W obszarze Kategoria wybierz pozycję Użyj istniejącej, a następnie wybierz kategorię Ogólne.

  8. W przypadku reguły zasady usuń cały tekst w polu i wklej następujący kod JSON:

    {
  "mode": "Indexed",
  "policyRule": {
    "if": {
      "field": "[concat('tags[', parameters('tagName'), ']')]",
      "exists": "false"
    },
    "then": {
      "effect": "deny"
    }
  },
  "parameters": {
    "tagName": {
      "type": "String",
      "metadata": {
        "displayName": "Tag Name",
        "description": "Name of the tag, such as 'environment'"
      }
    }
  }
}

    Definicja zasad powinna wyglądać podobnie do poniższego przykładu. Wybierz pozycję Zapisz , aby zapisać definicję zasad.

    Zrzut ekranu przedstawiający witrynę Azure Portal z wyświetlonym oknem dialogowym nowej definicji zasad.

Tworzenie przypisania zasad

Utworzyliśmy zasady, ale jeszcze nie zostały one wprowadzone w życie. Aby włączyć zasady, musisz utworzyć przypisanie. W takim przypadku przypiszesz ją do zakresu grupy zasobów msftlearn-core-infrastructure-rg , aby była stosowana do wszystkich elementów w grupie zasobów.

  1. Wróć do okienka Zasady, a następnie wybierz pozycję Przypisania w sekcji Tworzenie po lewej stronie.

  2. Wybierz pozycję Przypisz zasady u góry.

  3. W okienku Przypisywanie zasad przypiszesz zasady do grupy zasobów. W obszarze Zakres wybierz niebieski selektor zakresów uruchamiania (...). Wybierz subskrypcję i grupę zasobów msftlearn-core-infrastructure-rg, a następnie wybierz przycisk Wybierz.

  4. W obszarze Definicja zasad wybierz niebieski selektor definicji zasad Uruchom (...). Z listy rozwijanej Typ wybierz pozycję Niestandardowy, wybierz utworzony tag Wymuszaj dla utworzonych zasad zasobów, a następnie wybierz przycisk Dodaj.

  5. Wybierz kartę Parametry w górnej części ekranu.

  6. W okienku Parametry wpisz Dział jako nazwę tagu.

  7. Wybierz pozycję Przejrzyj i utwórz, a następnie wybierz pozycję Utwórz , aby utworzyć przypisanie.

Testowanie zasad

Po przypisaniu zasad do grupy zasobów wszelkie próby utworzenia zasobu bez tagu Dział zakończy się niepowodzeniem.

Ważne

Należy pamiętać, że zastosowanie przypisania zasad może potrwać do 30 minut. Z powodu tego opóźnienia w poniższych krokach weryfikacja zasad może zakończyć się pomyślnie, ale wdrożenie nadal zakończy się niepowodzeniem. W takim przypadku należy poczekać, a następnie ponowić próbę wdrożenia.

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.

  2. Wyszukaj i wybierz pozycję Konto magazynu. W wynikach wybierz pozycję Utwórz.

  3. Wybierz subskrypcję, a następnie wybierz grupę zasobów msftlearn-core-infrastructure-rg .

  4. W polu Nazwa konta magazynu podaj dowolną nazwę, która nie musi być globalnie unikatowa.

  5. Pozostaw pozostałe opcje domyślne, a następnie wybierz pozycję Przejrzyj i utwórz.

    Weryfikacja tworzenia zasobów nie powiedzie się, ponieważ nie masz tagu Dział zastosowanego do zasobu. Jeśli zasady nie spowodowały niepowodzenia sprawdzania poprawności, może być konieczne odczekanie kilku minut na jego włączenie.

    Zrzut ekranu przedstawiający witrynę Azure Portal z błędem weryfikacji zasad dla nowego konta magazyny bez tagu.

    Napraw to naruszenie, aby można było pomyślnie wdrożyć konto magazynu.

  6. Wybierz pozycję Tagi u góry okienka Tworzenie konta magazynu.

  7. Dodaj tag Department:Finance do listy.

    Zrzut ekranu przedstawiający witrynę Azure Portal z nowym tagiem Dział, dodawanym podczas tworzenia.

  8. Teraz kliknij pozycję Przejrzyj i utwórz. Walidacja zostanie teraz przekazana, a jeśli wybierzesz pozycję Utwórz, konto magazynu zostanie utworzone.

Używanie zasad do wymuszania standardów

Wiesz już, jak można używać zasad, aby upewnić się, że zasoby mają tagi, które organizują zasoby. Istnieją inne sposoby używania zasad do naszych korzyści.

Możesz użyć zasad, aby ograniczyć regiony świadczenia usługi Azure, w których można wdrażać zasoby. W przypadku organizacji, które są ściśle regulowane lub mają ograniczenia prawne lub regulacyjne dotyczące miejsca przechowywania danych, zasady pomagają zapewnić, że zasoby nie są aprowizowane w obszarach geograficznych, które są sprzeczne z tymi wymaganiami.

Można użyć zasad, aby ograniczyć typy rozmiarów maszyn wirtualnych, które można wdrożyć. Możesz zezwolić na duże rozmiary maszyn wirtualnych w subskrypcjach produkcyjnych, ale być może chcesz mieć pewność, że koszty będą zminimalizowane w subskrypcjach programistycznych. Blokując duże rozmiary maszyn wirtualnych dla subskrypcji programistycznych można zapewnić, że nie zostaną tam wdrożone.

Możesz również użyć zasad, aby wymusić konwencje nazewnictwa. Jeśli organizacja wprowadziła określone konwencje nazewnictwa jako standardy, użycie zasad do ich wymuszania ułatwia zachowanie spójnego standardu nazewnictwa dla zasobów platformy Azure.