教程:创建策略分配以识别不合规资源

若要了解 Azure 中的符合性,第一步是确定资源的状态。 Azure Policy 支持通过来宾配置策略来审核已启用 Azure Arc 的服务器的状态。 Azure Policy 来宾配置定义可以审核或应用计算机中的设置。

本教程将指导你完成创建和分配策略的过程,并确定已启用 Azure Arc 的服务器中哪些服务器未安装 Log Analytics agent for Windows or Linux。 这些计算机被视为不合规的策略分配。

在本教程中,您将学习如何执行以下操作:

  • 创建策略分配并为其分配定义
  • 识别不符合新策略的资源
  • 从不合规的资源中删除策略

先决条件

如果没有 Azure 订阅,请在开始前创建一个试用版订阅帐户。

创建策略分配

按照以下步骤创建策略分配,并分配策略定义 [预览]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机上

  1. 在 Azure 门户中选择“所有服务”,然后搜索并选择“策略”,启动 Azure Policy 服务 。

    Screenshot of All services window showing search for policy service.

  2. 选择“Azure Policy”页左侧的“分配”。 分配即为在特定范围内分配策略以供执行。

    Screenshot of All services Policy window showing policy assignments.

  3. 在“策略 - 分配”页的顶部选择“分配策略” 。

  4. 在“分配策略”页上,通过单击省略号并选择管理组或订阅,选择“范围”。 或者,请选择一个资源组。 范围用于确定对其强制执行策略分配的资源或资源组。 然后在“范围”页的底部单击“选择”。

    此示例使用“Parnell Aerospace”订阅。 你的订阅将有所不同。

  5. 可基于“范围”排除资源。 “排除”从低于“范围”级别的一个级别开始。 “排除”是可选的,因此暂时将其留空

  6. 选择“策略定义”旁边的省略号打开可用定义的列表。 Azure Policy 附带可供使用的内置策略定义。 许多是可用的,例如:

    • 强制实施标记和值
    • 应用标记和值
    • 从资源组继承标记(如果缺少此标记)

    有关可用内置策略的部分列表,请参阅 Azure Policy 示例

  7. 搜索策略定义列表,找到“[预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机上”定义(如果已在基于 Windows 的计算机上启用 Azure Connected Machine 代理)。 对于基于 Linux 的计算机,请找到相应的“[预览]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中”策略定义。 单击该策略,然后单击“添加”

  8. “分配名称”中自动填充了所选的策略名称,但可以更改它。 对于此示例,请将策略名称保留原样,并且不会更改页面上的任何剩余选项。

  9. 对于此示例,我们不需要更改其他选项卡上的任何设置。 选择“查看 + 创建”以查看新策略分配,然后选择“创建”

你现已准备好识别不合规的资源,了解环境的符合性状态。

识别不合规的资源

选择页面左侧的“符合性”。 然后找到创建的“[预览]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中”或“[预览]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中”策略分配。

Screenshot of Policy Compliance page showing policy compliance for the selected scope.

如果存在与此新分配不相符的任何现有资源,这些资源会在“不符合的资源”下显示

针对现有资源评估某条件时,如果结果为 true,则会将这些资源标记为与策略不符。 下表显示了对于生成的符合性状态,不同的策略效果是如何与条件评估配合使用的。 尽管在 Azure 门户中看不到评估逻辑,但会显示符合性状态结果。 符合性状态结果为符合或不符合。

资源状态 效果 策略评估 符合性状态
Exists Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* True 不符合
Exists Deny、Audit、Append*、DeployIfNotExist*、AuditIfNotExist* False 符合
新建 Audit、AuditIfNotExist* True 不符合
新建 Audit、AuditIfNotExist* False 符合

* Append、DeployIfNotExist 和 AuditIfNotExist 效果要求 IF 语句为 TRUE。 这些效果还要求存在条件为 FALSE 才能将资源判定为不合规。 如果为 TRUE,则 IF 条件会触发相关资源存在条件的计算。

清理资源

删除创建的分配,请执行以下步骤:

  1. 选择 Azure Policy 页面左侧的“合规性”(或“分配”)并找到创建的“[预览]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中”或“[预览]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中”策略分配。

  2. 右键单击策略分配,然后选择“删除分配”。

后续步骤

在本教程中,你向某个范围分配了策略定义并评估了其合规性报告。 策略定义可验证范围内的所有资源都符合策略,并可标识不符合策略的资源。

若要了解如何监视和查看计算机的性能、正在运行的进程及其依赖项,请继续学习教程: