Kurz: Vytvoření přiřazení zásad k identifikaci nevyhovujících prostředků

Prvním krokem k porozumění dodržování předpisů v Azure je zjištění stavu vašich prostředků. Azure Policy podporuje auditování stavu serveru s podporou Služby Azure Arc pomocí zásad konfigurace hosta. Definice konfigurace hosta služby Azure Policy můžou auditovat nebo použít nastavení v počítači.

Tento kurz vás provede procesem vytváření a přiřazování zásad, abyste zjistili, které servery s podporou Azure Arc nemají nainstalovaného agenta Log Analytics pro Windows nebo Linux. Tyto počítače jsou považovány za nevyhovující přiřazení zásad.

V tomto kurzu se naučíte, jak:

  • Vytvoření přiřazení zásady a přiřazení definice k ní
  • Identifikace prostředků, které nevyhovují novým zásadám
  • Odebrání zásad z nevyhovujících prostředků

Požadavky

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření přiřazení zásady

Pomocí následujícího postupu vytvořte přiřazení zásady a přiřaďte definici zásady [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Linuxem Azure Arc:

  1. Spusťte službu Azure Policy na webu Azure Portal tak, že vyberete Všechny služby a pak vyhledáte a vyberete Zásady.

    Snímek obrazovky okna Všechny služby zobrazující hledání služby zásad

  2. Na levé straně stránky služby Azure Policy vyberte Přiřazení. Přiřazení je zásada, která byla přiřazena, aby proběhla v rámci zadaného oboru.

    Snímek obrazovky okna Všechny zásady služeb zobrazující přiřazení zásad

  3. V horní části stránky Zásady – Přiřazení vyberte Přiřadit zásadu.

  4. Na stránce Přiřadit zásadu vyberte Obor tak, že kliknete na tři tečky a vyberete skupinu pro správu nebo předplatné. Volitelně můžete vybrat skupinu prostředků. Obor určuje, pro které prostředky nebo seskupení prostředků se toto přiřazení zásady bude vynucovat. Pak v dolní části stránky Obor klikněte na Vybrat.

    V tomto příkladu se používá předplatné Parnell Aeroce . Vaše předplatné se bude lišit.

  5. Prostředky je možné vyloučit na základě oboru. Vyloučení začínají na úrovni o jednu nižší, než je úroveň oboru. Vyloučení jsou volitelná, takže toto pole prozatím ponechte prázdné.

  6. Výběrem tří teček Definice zásady otevřete seznam dostupných definic. Služba Azure Policy obsahuje integrované definice zásad, které můžete použít. K dispozici je jich celá řada, například:

    • Vynucení použití značky a její hodnoty
    • Použít značku a její hodnotu
    • Zdědit značku ze skupiny prostředků, pokud chybí

    Částečný seznam dostupných předdefinovaných zásad najdete v ukázkách azure Policy.

  7. Vyhledejte v seznamu definic zásad [Preview]: Rozšíření Log Analytics by se mělo nainstalovat do definice počítačů s Windows Azure Arc (pokud jste povolili agenta Azure Connected Machine na počítači s Windows). V případě počítače s Linuxem vyhledejte odpovídající rozšíření [Preview]: Rozšíření Log Analytics by se mělo nainstalovat do definice zásad počítačů Azure Arc s Linuxem. Klikněte na zásadu a klikněte na Přidat.

  8. Do pole Název přiřazení se automaticky vyplní název vybrané zásady, který však můžete změnit. V tomto příkladu ponechte název zásady tak, jak je, a neměňte žádné zbývající možnosti na stránce.

  9. V tomto příkladu nemusíme měnit žádná nastavení na ostatních kartách. Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte nové přiřazení zásad a pak vyberte Vytvořit.

Teď jste připraveni identifikovat nekompatibilní prostředky, abyste porozuměli stavu dodržování předpisů ve vašem prostředí.

Zjištění nevyhovujících prostředků

Na levé straně stránky vyberte Dodržování předpisů . Pak vyhledejte [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc nebo [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na přiřazení zásad počítačů Azure Arc s Linuxem, které jste vytvořili.

Snímek obrazovky se stránkou Dodržování zásad zobrazující dodržování předpisů zásad pro vybraný obor

Pokud existují nějaké prostředky, které nevyhovují tomuto novému přiřazení, zobrazí se v části Nedodržující prostředky.

Pokud je podmínka vyhodnocena proti vašim existujícím prostředkům a byla nalezena hodnota true, označí se tyto prostředky jako nekompligitantní se zásadami. Následující tabulka ukazuje, jak různé účinky zásad pracují s vyhodnocením podmínek pro zjištění výsledného stavu dodržování předpisů. I když se logika vyhodnocení na webu Azure Portal nezobrazuje, zobrazí se výsledky stavu dodržování předpisů. Výsledný stav je buď kompatibilní, nebo nekompatibilní.

Stav prostředku Účinek Vyhodnocení zásad Stav dodržování předpisů
Exists Odepřít, auditovat, připojit*, DeployIfNotExist*, AuditIfNotExist* True Neodpovídající
Exists Odepřít, auditovat, připojit*, DeployIfNotExist*, AuditIfNotExist* False Kompatibilní
Nová Audit, AuditIfNotExist* True Neodpovídající
Nová Audit, AuditIfNotExist* False Kompatibilní

* Účinky Append, DeployIfNotExist a AuditIfNotExist vyžadují, aby příkaz IF byl TRUE. Tyto účinky také vyžadují, aby existovala podmínka, která musí nabývat hodnoty FALSE, aby byla zásada vyhodnocena jako Nevyhovující předpisům. Pokud má hodnotu TRUE, aktivuje podmínka IF vyhodnocení podmínky existence pro související prostředky.

Vyčištění prostředků

Chcete-li odebrat vytvořené přiřazení, postupujte takto:

  1. Na levé straně stránky Azure Policy vyberte Dodržování předpisů (nebo přiřazení) a vyhledejte [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích s Windows Azure Arc nebo [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na přiřazení zásad počítačů Azure Arc s Linuxem, které jste vytvořili.

  2. Klikněte pravým tlačítkem myši na přiřazení zásady a vyberte Odstranit přiřazení.

Další kroky

V tomto kurzu jste přiřadili definici zásady k oboru a vyhodnotili její sestavu dodržování předpisů. Definice zásady ověří, že všechny prostředky v oboru jsou kompatibilní a identifikují, které prostředky nejsou. Teď jste připraveni monitorovat počítač se servery s podporou Azure Arc tím, že povolíte přehledy virtuálních počítačů.

Pokud chcete zjistit, jak monitorovat a zobrazit výkon, spustit proces a jejich závislosti z počítače, pokračujte kurzem: