你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure Policy 保护 Nexus 资源

本文介绍如何使用 Azure Policy 来保护 Nexus 资源并验证其合规状态。

开始之前

如果你是 Azure Policy 的新手,此处有一些有用资源供你熟悉 Azure Policy。

了解策略定义和分配
  • 策略定义:资源需要遵守的规则。 它们可以是内置的,也可以是自定义的。
  • 分配:将策略定义应用于资源的过程
安全实施步骤
  1. 浏览内置策略:查看与 Nexus 裸机 (BMM) 和计算群集资源相关的内置策略
  2. 自定义策略:自定义策略以解决资源的特定需求
  3. 策略分配:通过 Azure 门户分配策略,确保范围正确
  4. 监视与合规性:使用 Azure 工具定期监视策略合规性
  5. 故障排除:解决策略分配期间出现的常见问题
视觉指南和示例

先决条件

  • 通过 Arc 连接到 Azure 的一个或多个本地 Nexus 资源。

    注意

    运营商关系不需要为 Undercloud Kubernetes 连接的群集或 BMM 连接的计算机资源安装 Azure Policy 加载项,因为扩展会在群集部署期间自动安装。

  • 订阅中具有适当角色的用户帐户:

    • 资源策略参与者或所有者可以查看、创建、分配和禁用策略。
    • 参与者或读取者可以查看策略和策略分配。

    准备工作核对清单

    • 知道如何使用 Azure CLI 或 PowerShell 进行策略管理。
    • 审查组织的安全性与合规性要求。
    • 确定与你的需求相关的特定 Azure Policy 功能。

使用 Azure Policy 保护 Nexus BMM 资源

运营商关系服务提供内置策略定义,建议将其分配给 Nexus BMM 资源。 此策略定义名为“[预览]:Nexus 计算机应符合安全基线”。 此策略定义用于确保 Nexus BMM 资源配置了行业最佳做法安全设置。

使用 Azure Policy 保护 Nexus Kubernetes 计算群集资源

运营商关系服务提供内置计划定义,建议将其分配给 Nexus Kubernetes 计算群集资源。 此计划定义名为“[预览]:Nexus 计算群集应符合安全基线”。 此计划定义用于确保 Nexus Kubernetes 计算群集资源配置了行业最佳做法安全设置。

自定义策略

  • 考虑到特定资源的独特方面,可以自定义策略。
  • 请参阅自定义策略定义以获取指导。

应用并验证 Nexus 资源的策略

无论保护的是 Nexus BMM 资源还是 Nexus Kubernetes 计算群集,应用和验证策略的过程都是类似的。 这是一种通用方法:

  1. 识别适当的策略

    • 对于 Nexus 裸机资源,请考虑建议的“[预览]:Nexus 计算机应符合安全基线”策略
    • 对于 Nexus Kubernetes 计算群集,请考虑建议的“[预览]:Nexus 计算群集应符合安全基线”计划
  2. 分配策略

    • 利用 Azure 门户将这些策略分配到 Nexus 资源。
    • 确保分配范围正确,范围可以是订阅、资源组或单个资源级别。
    • 对于自定义策略,请遵循创建自定义策略定义中的准则。
  3. 验证策略应用程序

    • 分配完成后,验证是否正确应用了策略,并有效地监视合规性。
    • 利用 Azure 合规性工具和仪表板进行持续监视和报告。
    • 有关验证的详细步骤,请参阅验证 Azure Policy

此方法利用 Azure Policy 的强大功能,确保所有运营商关系资源(无论其类型如何)安全并符合组织策略。