使用 Azure 原則保護您的 Azure 負載測試資源

發行項
09/04/2024

Azure 原則是一項控管工具，可讓您強制執行組織標準及大規模評估合規性。原則可讓您執行 Azure 環境的稽核、即時強制作業和補救。稽核結果會提供在合規性儀表板中。在此儀表板中，您可以檢閱哪些資源和元件符合或不符合規範，並採取補救動作。如需詳細資訊，請參閱 Azure 原則服務概觀。

在下列案例中，請使用 Azure 原則來管理負載測試資源：

私人測試
- 當您想要確保 Azure 負載測試中的負載測試只能在私人測試流量模式中建立時。
- 若您想要確保 Azure 負載測試服務所建立的虛擬機器、網路安全性群組 (NSG)、Azure 負載平衡器和公用 IP 等資源只會在訂用帳戶中的一組虛擬網路中建立。
客戶管理的金鑰
- 您想要使用客戶自控金鑰 (CMK) 來管理 Azure 負載測試資源的待用加密。

原則效用的類型和指引

強制執行原則時，您可以決定其對結果評估的效果。每個原則定義都可讓您選擇多個效果之一。因此，原則強制執行的行為可能會根據您要評估的作業類型而有所不同。一般而言，與 Azure 負載測試整合的原則有下列效果：

稽核：當原則的效果設定為 Audit 時，原則將不會對您的環境造成任何重大變更。原則會針對與指定範圍內的原則定義不相符的 Azure 負載測試資源對您發出警示。元件在原則合規性儀表板中會標示為不符合規範。 Audit 值是未選取任何原則效果時的預設值。
拒絕：當原則的效果設定為 Deny 時，原則會阻止建立不符合原則定義的新測試回合。不符合規範的現有測試回合和資源不受影響。「稽核」功能會繼續運作。
已停用：當原則的效果設定為 Disabled 時，將會評估原則，但強制執行不會生效。此效果可停用原則的特定條件，而不是所有條件。

內建原則定義

預先決定的原則稱為「內建」，可用來控管負載測試資源，讓您無須以 JSON 格式撰寫自訂原則，即可強制執行與最佳安全性做法相關聯的常用規則。即使內建已預先決定，某些原則還是需要您定義參數。例如，藉由定義原則的效果，您可以先稽核負載測試資源，再強制執行拒絕作業以防止中斷。請參閱 Azure 負載測試的內建原則，以檢視目前適用於 Azure 負載測試的內建原則。

啟用和管理負載測試原則

選取原則定義

登入 Azure 入口網站。 1. 在搜尋列中搜尋原則，然後選取 [原則]。
在 [原則] 視窗中，選取 [定義]。
在 [類別] 篩選中取消選取 [全選]，然後選取 [Azure 負載測試]。
現在，您應該可以看到所有適用於 Azure 負載測試的原則。請確實閱讀並了解原則指引，並選取要指派給範圍的原則。

將原則指派給範圍

選取要套用的原則。此範例顯示應僅針對虛擬網路中的私人端點執行使用 Azure 負載測試的負載測試原則。請按一下左上角的 [指派] 按鈕。
選取您要套用原則的訂用帳戶。
- 您可以選擇將範圍限制在訂用帳戶內的單一資源群組。
- 如果您想要將原則套用到整個訂用帳戶，但排除某些資源群組，您也可以設定排除清單。
- 如果您想要執行原則的效用 (稽核或拒絕)，請將原則強制選取器設定為 [啟用]，或是設定為 [停用] 來關閉效用 (稽核或拒絕)。
若要指定原則效果，請選取畫面頂端的參數索引標籤。
1. 取消核取 [只顯示需要輸入或檢閱的參數] 選項。
2. 依照原則指引選取 [稽核] 或 [拒絕] 或 [已停用] 作為原則的效果。
3. 選取 [檢閱 + 建立] 按鈕。

功能限制

應僅針對虛擬網路中的私人端點執行使用 Azure 負載測試的負載測試原則僅適用於在原則指派之後觸發的負載測試。如果選取了「稽核」效果，則有負載測試回合違反原則的 Azure 負載測試資源將會顯示為不符合規範。若要補救，請刪除違反原則的測試回合，然後重新指派原則。
指派具有「拒絕」效果的原則可能需要 30 分鐘 (平均值) 到一小時才能開始拒絕建立不符合規範的資源。延遲是指下列案例：
- 指派新的原則。
- 修改現有的原則指派。
- 在具有現有原則的範圍中建立新的 Azure 負載測試資源。
Azure 負載測試資源中現有元件的原則評估可能需要一小時 (平均值) 到兩小時，才能在入口網站中顯示合規性結果。
如果合規性結果顯示為「未啟動」，則可能是下列原因所造成：
- 原則評估未完成。初始評估延遲可能長達兩小時。
- 原則指派的範圍中沒有 Azure 負載測試資源。

下一步

深入了解 Azure 原則服務
請參閱 Key Vault 範例：Azure 負載測試內建原則定義

共用方式為