教程:创建策略分配以识别不合规资源
若要了解 Azure 中的符合性,第一步是确定资源的状态。 Azure Policy 支持通过来宾配置策略来审核已启用 Azure Arc 的服务器的状态。 Azure Policy 来宾配置定义可以审核或应用计算机中的设置。
本教程将指导你完成创建和分配策略的过程,并确定已启用 Azure Arc 的服务器中哪些服务器未安装 Log Analytics agent for Windows or Linux。 这些计算机被视为不合规的策略分配。
在本教程中,您将学习如何执行以下操作:
- 创建策略分配并为其分配定义
- 识别不符合新策略的资源
- 从不合规的资源中删除策略
先决条件
如果没有 Azure 订阅,请在开始前创建一个试用版订阅帐户。
创建策略分配
按照以下步骤创建策略分配,并分配策略定义 [预览]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机上:
在 Azure 门户中选择“所有服务”,然后搜索并选择“策略”,启动 Azure Policy 服务 。
选择“Azure Policy”页左侧的“分配”。 分配即为在特定范围内分配策略以供执行。
在“策略 - 分配”页的顶部选择“分配策略” 。
在“分配策略”页上,通过单击省略号并选择管理组或订阅,选择“范围”。 或者,请选择一个资源组。 范围用于确定对其强制执行策略分配的资源或资源组。 然后在“范围”页的底部单击“选择”。
此示例使用“Parnell Aerospace”订阅。 你的订阅将有所不同。
可基于“范围”排除资源。 “排除”从低于“范围”级别的一个级别开始。 “排除”是可选的,因此暂时将其留空。
选择“策略定义”旁边的省略号打开可用定义的列表。 Azure Policy 附带可供使用的内置策略定义。 许多是可用的,例如:
- 强制实施标记和值
- 应用标记和值
- 从资源组继承标记(如果缺少此标记)
有关可用内置策略的部分列表,请参阅 Azure Policy 示例。
搜索策略定义列表,找到“[预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机上”定义(如果已在基于 Windows 的计算机上启用 Azure Connected Machine 代理)。 对于基于 Linux 的计算机,请找到相应的“[预览]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中”策略定义。 单击该策略,然后单击“添加”。
“分配名称”中自动填充了所选的策略名称,但可以更改它。 对于此示例,请将策略名称保留原样,并且不会更改页面上的任何剩余选项。
对于此示例,我们不需要更改其他选项卡上的任何设置。 选择“查看 + 创建”以查看新策略分配,然后选择“创建”。
你现已准备好识别不合规的资源,了解环境的符合性状态。
识别不合规的资源
选择页面左侧的“符合性”。 然后找到创建的“[预览]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中”或“[预览]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中”策略分配。
如果存在与此新分配不相符的任何现有资源,这些资源会在“不符合的资源”下显示。
针对现有资源评估某条件时,如果结果为 true,则会将这些资源标记为与策略不符。 下表显示了对于生成的符合性状态,不同的策略效果是如何与条件评估配合使用的。 尽管在 Azure 门户中看不到评估逻辑,但会显示符合性状态结果。 符合性状态结果为符合或不符合。
资源状态 | 效果 | 策略评估 | 符合性状态 |
---|---|---|---|
Exists | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | True | 不符合 |
Exists | Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* | False | 符合 |
新建 | Audit、AuditIfNotExist* | True | 不符合 |
新建 | Audit、AuditIfNotExist* | False | 符合 |
* Append、DeployIfNotExist 和 AuditIfNotExist 效果要求 IF 语句为 TRUE。 这些效果还要求存在条件为 FALSE 才能将资源判定为不合规。 如果为 TRUE,则 IF 条件会触发相关资源存在条件的计算。
清理资源
删除创建的分配,请执行以下步骤:
选择 Azure Policy 页面左侧的“合规性”(或“分配”)并找到创建的“[预览]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中”或“[预览]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中”策略分配。
右键单击策略分配,然后选择“删除分配”。
后续步骤
在本教程中,你向某个范围分配了策略定义并评估了其合规性报告。 策略定义可验证范围内的所有资源都符合策略,并可标识不符合策略的资源。
若要了解如何监视和查看计算机的性能、正在运行的进程及其依赖项,请继续学习教程: