你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 中的运营合规性
运营符合性是任何云管理基线中的第二项规则。
改进运营合规性可以降低因配置偏差而发生中断的可能性,或者降低因系统未正确修补而出现漏洞的可能性。
下表概述了建议用于管理基线的最低设置(适合任何企业级环境)。
| 进程 | 工具 | 目的 |
|---|---|---|
| 修补程序管理 | Azure 自动化更新管理 | 对更新进行管理和计划 |
| 策略强制执行 | Azure Policy | 自动实施策略以确保环境和来宾符合性 |
| 环境配置 | 基础结构即代码 (IaC) | 自动化环境创建、配置和避免配置偏移 |
| 资源配置 | Desired State Configuration (DSC) | 来宾操作系统上的自动配置和环境的某些方面 |
更新管理
由 Azure 自动化的更新管理解决方案托管的计算机使用以下配置进行评估和更新部署:
- 适用于 Windows 或 Linux 的 Log Analytics 代理。
- 适用于 Linux 的 PowerShell DSC。
- Azure 自动化混合 Runbook 辅助角色。
- 适用于 Windows 计算机的 Microsoft 更新或 Windows Server 更新服务 (WSUS)。
有关详细信息,请参阅 Azure 自动化的更新管理解决方案。
警告
在使用更新管理之前,必须将虚拟机或整个订阅装载到 Log Analytics 和 Azure 自动化中。
可以使用下述两种方法进行装载:
在进行更新管理之前,应该按一种方法进行操作。
管理更新
若要将策略应用到资源组,请执行以下操作:
- 转到 Azure 自动化。
- 选择“自动化帐户”,然后选择列出的帐户之一。
- 转到“配置管理”。
- 使用 状态配置(DSC) 控制托管 VM 的状态和操作符合性。
Azure Policy
Azure Policy 用于整个治理过程。 它在云管理过程中也很重要。 Azure Policy 可以审核和修正 Azure 资源,还可以审核和配置计算机内的设置。 验证由计算机配置扩展和客户端执行。 扩展通过客户端验证设置,例如:
- 操作系统配置。
- 应用程序配置或状态。
- 环境设置。
此过程的一个重要部分是维护和更新 Azure Policy 分配,因为治理过程需要。 使用 IaC 可帮助你更新和维护策略基础结构。 有关详细信息,请参阅 使用 IaC 更新 Azure 登陆区域。
操作
向管理组、订阅或资源组分配一个内置策略。