你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure Policy 保护 Nexus 资源

本文介绍如何使用 Azure Policy 来保护 Nexus 资源并验证其合规状态。

开始之前

如果你是 Azure Policy 的新手，此处有一些有用资源供你熟悉 Azure Policy。

• Azure Policy 文档
• 交互式学习模块：Microsoft Learn 上的 Azure Policy 培训

了解策略定义和分配

• 策略定义：这些是资源需要遵守的规则。 它们可以是内置的，也可以是自定义的。
• 分配：将策略定义应用于资源的过程。

安全实施步骤

1. 浏览内置策略：查看与 Nexus 裸机 (BMM) 资源相关的内置策略。
2. 自定义策略：自定义策略以解决资源的特定需求。
3. 策略分配：通过 Azure 门户分配策略，确保范围正确。
4. 监视与合规性：使用 Azure 工具定期监视策略合规性。
5. 故障排除：解决策略分配期间出现的常见问题。

视觉指南和示例

• 循序渐进的策略分配：在 Azure 门户中分配策略
• 故障排除指南：常见策略分配问题

先决条件

• 通过 Arc 连接到 Azure 的一个或多个本地 Nexus 资源。

  注意

  运营商关系不需要为 Undercloud Kubernetes 连接的群集或 BMM 连接的计算机资源安装 Azure Policy 加载项，因为扩展会在群集部署期间自动安装。

• 订阅中具有适当角色的用户帐户：

  • 资源策略参与者或所有者可以查看、创建、分配和禁用策略。
  • 参与者或读取者可以查看策略和策略分配。

  准备工作核对清单：

  • 知道如何使用 Azure CLI 或 PowerShell 进行策略管理。
  • 审查组织的安全性与合规性要求。
  • 确定与你的需求相关的特定 Azure Policy 功能。

使用 Azure Policy 保护 Nexus BMM 资源

运营商关系服务提供内置策略定义，建议将其分配给 Nexus BMM 资源。 此策略定义名为“[预览]：Nexus 计算机应符合安全基线”。 此策略定义用于确保 Nexus BMM 资源配置了行业最佳做法安全设置。

• [预览]：Nexus 计算机应符合安全基线

使用 Azure Policy 保护 Nexus Kubernetes 群集

运营商关系 Arc 连接的 Nexus Kubernetes 目前没有可用的内置策略定义。 但是，你可以创建自定义策略定义来满足组织的安全性与合规性要求，或者利用 AKS 群集的内置策略定义。

• 了解用于 Kubernetes 群集的 Azure Policy
• 适用于 AKS 的 Azure Policy 内置定义

自定义 Nexus Kubernetes 群集的策略

• 考虑到 Nexus Kubernetes 群集的独特方面（例如网络配置和容器安全），可以自定义策略。
• 请参阅自定义策略定义以获取指导。

应用并验证 Nexus 资源的策略

无论保护的是 Nexus BMM 资源还是 Nexus Kubernetes 群集，应用和验证策略的过程都是类似的。 这是一种通用方法：

1. 识别适当的策略：

   • 对于 Nexus 裸机资源，请考虑建议的“[预览]：Nexus 计算机应符合安全基线”策略。
   • 对于 Nexus Kubernetes 群集，请浏览内置 AKS 策略，或创建自定义策略定义来满足特定的安全性与合规性需求。
   • 请查看 Azure Policy 内置定义和适用于 Kubernetes 群集的 Azure Policy 获取更多见解。

2. 分配策略：

   • 利用 Azure 门户将这些策略分配到 Nexus 资源。
   • 确保分配范围正确，范围可以是订阅、资源组或单个资源级别。
   • 对于自定义策略，请遵循创建自定义策略定义中的准则。

3. 验证策略应用程序：

   • 分配完成后，验证是否正确应用了策略，并有效地监视合规性。
   • 利用 Azure 合规性工具和仪表板进行持续监视和报告。
   • 有关验证的详细步骤，请参阅验证 Azure Policy。

此方法利用 Azure Policy 的强大功能，确保所有运营商关系资源（无论其类型如何）安全并符合组织策略。