本文共 1467 字，大约阅读时间需要 4 分钟。

随着全球范围内的上云趋势日益推进，如何上好云、用好云成为企业上云的关键。为了加强企业数据在Azure 上的安全合规性，我们进一步将云治理、云安全等话题视为重中之重。而 Azure Policy 是其中的一个主要环节。

 什么是 Azure Policy

一般来说，在基础架构完善的企业IT环境，有一系列的规章制度保障IT的正常运行，例如哪些服务器需要备份，是否做了定时更新，防火墙等配置是否完善等。但是我们看到很多情况下，这些规章制度的执行和检查都是靠人工完成，随着企业IT规模的扩大，很容易有遗漏。

Azure Policy （策略）可帮助实施组织标准并大规模评估合规性。通过其合规性仪表板提供一个聚合视图来评估环境的整体状态，并允许用户按资源、按策略粒度向下取。它还可以通过对现有资源的批量修正以及对新资源的自动修正，帮助资源符合规范。Azure Policy 提供了一个自动化的管理方式，定期扫描Azure的各种资源，检查是否符合规定的策略。这样减轻了人工工作量，同时也避免人为遗漏错误。

 如何配置 Azure Policy

我们可以通过一个Demo展示Azure Policy的工作方式。

本Demo中，我们有两个资源组（rg01、rg02），rg01是生产环境，虚机需要日常备份；rg02是测试环境，虚机无需备份。Demo通过Policy进行检查，如果发现rg01中有未配置备份的虚机，则不合规。

首先创建两个空的资源组rg01和rg02：

在Azure的所有服务中选择Policy（策略）：

Azure Policy的工作原理是选择或新建一个策略或计划（计划是一组策略的集合），分配给指定范围的资源，然后定期（24小时左右）Policy会检查这些资源是否符合策略或计划，并列出不合规项。

首先进入定义，可以看到已经内置了一系列的策略和计划：

可以看到，是否启用了备份就是一个内置的策略。当然，如果内置策略不满足要求，也可以通过策略定义自己创建：

或者根据需要将若干已有策略组合成一个计划：

现在进入分配页面，按Demo需求，通过分配策略将检查是否备份分配到rg01：

点击分配策略：

首先选择范围，指定订阅和资源组：

如果rg01里有vm无需备份，可以在排除里填入，这里忽略。

在策略定义里按需选择策略，包括内置和自定义的，这里选择启用备份：

分配名称和说明按需填写即可，基本信息完成如下：

参数和修正保持默认即可，点击创建即可完成分配：

现在分别在rg01和rg02里各创建两台虚机（vm01，vm02，vm03，vm04），均不启用备份：

由于Azure Policy的检查是定期执行，所以这里我们可以通过Azure CLI手工启动检查：

执行完成，到Policy可以看到，有一条不符合的策略，两个资源（虚机）不符合：

进入详细信息可以看到，vm01和vm02不符合策略：

vm03和vm04虽然也没配置备份，但是因为策略并没有分配给这两台vm所在的rg02，所以不对其进行策略检查。

现在为vm01启用备份：

再次手工执行策略检查后，可以看到只有vm02不合规：

 小结

Azure Policy虽然不是直接可使用的计算存储网络等资源，但其能帮我们做环境合规检查，特别是大型复杂的环境，很容易出现纰漏，完全靠人工的方式存在太多瑕疵，而Policy弥补上了这个问题，是用好云，合规化的重要助手。

Demo只是用内置的策略做简单演示，实际环境中可以根据需要自定义各种复杂的策略和计划来满足需求。抛砖引玉，希望对大家有所帮助。

转载地址：https://microsoftchina.blog.csdn.net/article/details/108795271 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！