本文共 1467 字,大约阅读时间需要 4 分钟。
随着全球范围内的上云趋势日益推进,如何上好云、用好云成为企业上云的关键。为了加强企业数据在Azure 上的安全合规性,我们进一步将云治理、云安全等话题视为重中之重。而 Azure Policy 是其中的一个主要环节。
什么是 Azure Policy
一般来说,在基础架构完善的企业IT环境,有一系列的规章制度保障IT的正常运行,例如哪些服务器需要备份,是否做了定时更新,防火墙等配置是否完善等。但是我们看到很多情况下,这些规章制度的执行和检查都是靠人工完成,随着企业IT规模的扩大,很容易有遗漏。
Azure Policy (策略)可帮助实施组织标准并大规模评估合规性。通过其合规性仪表板提供一个聚合视图来评估环境的整体状态,并允许用户按资源、按策略粒度向下取。它还可以通过对现有资源的批量修正以及对新资源的自动修正,帮助资源符合规范。Azure Policy 提供了一个自动化的管理方式,定期扫描Azure的各种资源,检查是否符合规定的策略。这样减轻了人工工作量,同时也避免人为遗漏错误。
如何配置 Azure Policy
我们可以通过一个Demo展示Azure Policy的工作方式。
本Demo中,我们有两个资源组(rg01、rg02),rg01是生产环境,虚机需要日常备份;rg02是测试环境,虚机无需备份。Demo通过Policy进行检查,如果发现rg01中有未配置备份的虚机,则不合规。
首先创建两个空的资源组rg01和rg02:
在Azure的所有服务中选择Policy(策略):
Azure Policy的工作原理是选择或新建一个策略或计划(计划是一组策略的集合),分配给指定范围的资源,然后定期(24小时左右)Policy会检查这些资源是否符合策略或计划,并列出不合规项。
首先进入定义,可以看到已经内置了一系列的策略和计划:
可以看到,是否启用了备份就是一个内置的策略。当然,如果内置策略不满足要求,也可以通过策略定义自己创建:
或者根据需要将若干已有策略组合成一个计划:
现在进入分配页面,按Demo需求,通过分配策略将检查是否备份分配到rg01:
点击分配策略:
首先选择范围,指定订阅和资源组:
如果rg01里有vm无需备份,可以在排除里填入,这里忽略。
在策略定义里按需选择策略,包括内置和自定义的,这里选择启用备份:
分配名称和说明按需填写即可,基本信息完成如下:
参数和修正保持默认即可,点击创建即可完成分配:
现在分别在rg01和rg02里各创建两台虚机(vm01,vm02,vm03,vm04),均不启用备份:
由于Azure Policy的检查是定期执行,所以这里我们可以通过Azure CLI手工启动检查:
执行完成,到Policy可以看到,有一条不符合的策略,两个资源(虚机)不符合:
进入详细信息可以看到,vm01和vm02不符合策略:
vm03和vm04虽然也没配置备份,但是因为策略并没有分配给这两台vm所在的rg02,所以不对其进行策略检查。
现在为vm01启用备份:
再次手工执行策略检查后,可以看到只有vm02不合规:
小结
Azure Policy虽然不是直接可使用的计算存储网络等资源,但其能帮我们做环境合规检查,特别是大型复杂的环境,很容易出现纰漏,完全靠人工的方式存在太多瑕疵,而Policy弥补上了这个问题,是用好云,合规化的重要助手。
Demo只是用内置的策略做简单演示,实际环境中可以根据需要自定义各种复杂的策略和计划来满足需求。抛砖引玉,希望对大家有所帮助。
转载地址:https://microsoftchina.blog.csdn.net/article/details/108795271 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!