你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure Policy 保护 Nexus 资源
本文介绍如何使用 Azure Policy 来保护 Nexus 资源并验证其合规状态。
开始之前
如果你是 Azure Policy 的新手,此处有一些有用资源供你熟悉 Azure Policy。
了解策略定义和分配
- 策略定义:资源需要遵守的规则。 它们可以是内置的,也可以是自定义的。
- 分配:将策略定义应用于资源的过程。
安全实施步骤
- 浏览内置策略:查看与 Nexus 裸机 (BMM) 和计算群集资源相关的内置策略。
- 自定义策略:自定义策略以解决资源的特定需求。
- 策略分配:通过 Azure 门户分配策略,确保范围正确。
- 监视与合规性:使用 Azure 工具定期监视策略合规性。
- 故障排除:解决策略分配期间出现的常见问题。
视觉指南和示例
- 循序渐进的策略分配:在 Azure 门户中分配策略
- 故障排除指南:常见策略分配问题
先决条件
通过 Arc 连接到 Azure 的一个或多个本地 Nexus 资源。
注意
运营商关系不需要为 Undercloud Kubernetes 连接的群集或 BMM 连接的计算机资源安装 Azure Policy 加载项,因为扩展会在群集部署期间自动安装。
订阅中具有适当角色的用户帐户:
- 资源策略参与者或所有者可以查看、创建、分配和禁用策略。
- 参与者或读取者可以查看策略和策略分配。
准备工作核对清单:
- 知道如何使用 Azure CLI 或 PowerShell 进行策略管理。
- 审查组织的安全性与合规性要求。
- 确定与你的需求相关的特定 Azure Policy 功能。
使用 Azure Policy 保护 Nexus BMM 资源
运营商关系服务提供内置策略定义,建议将其分配给 Nexus BMM 资源。 此策略定义名为“[预览]:Nexus 计算机应符合安全基线”。 此策略定义用于确保 Nexus BMM 资源配置了行业最佳做法安全设置。
使用 Azure Policy 保护 Nexus Kubernetes 计算群集资源
运营商关系服务提供内置计划定义,建议将其分配给 Nexus Kubernetes 计算群集资源。 此计划定义名为“[预览]:Nexus 计算群集应符合安全基线”。 此计划定义用于确保 Nexus Kubernetes 计算群集资源配置了行业最佳做法安全设置。
自定义策略
- 考虑到特定资源的独特方面,可以自定义策略。
- 请参阅自定义策略定义以获取指导。
应用并验证 Nexus 资源的策略
无论保护的是 Nexus BMM 资源还是 Nexus Kubernetes 计算群集,应用和验证策略的过程都是类似的。 这是一种通用方法:
识别适当的策略:
- 对于 Nexus 裸机资源,请考虑建议的“[预览]:Nexus 计算机应符合安全基线”策略。
- 对于 Nexus Kubernetes 计算群集,请考虑建议的“[预览]:Nexus 计算群集应符合安全基线”计划。
分配策略:
- 利用 Azure 门户将这些策略分配到 Nexus 资源。
- 确保分配范围正确,范围可以是订阅、资源组或单个资源级别。
- 对于自定义策略,请遵循创建自定义策略定义中的准则。
验证策略应用程序:
- 分配完成后,验证是否正确应用了策略,并有效地监视合规性。
- 利用 Azure 合规性工具和仪表板进行持续监视和报告。
- 有关验证的详细步骤,请参阅验证 Azure Policy。
此方法利用 Azure Policy 的强大功能,确保所有运营商关系资源(无论其类型如何)安全并符合组织策略。