Tutorial: Erstellen einer Richtlinienzuweisung zum Identifizieren nicht konformer Ressourcen
Zum Verständnis der Konformität in Azure müssen Sie zunächst wissen, wie Sie den Status Ihrer Ressourcen ermitteln. Azure Policy unterstützt die Überwachung des Zustands Ihres Servers mit Azure Arc-Unterstützung mithilfe von Gastkonfigurationsrichtlinien. Die Gastkonfigurationsdefinitionen von Azure Policy können Einstellungen auf dem Computer überwachen oder anwenden.
In diesem Tutorial durchlaufen Sie den Prozess zum Erstellen und Zuweisen einer Richtlinie und identifizieren, auf welchen Ihrer Server mit Azure Arc-Unterstützung der Log Analytics-Agent für Windows oder Linux nicht installiert ist. Diese Computer gelten als nicht konform mit der Richtlinienzuweisung.
In diesem Tutorial lernen Sie Folgendes:
- Erstellen einer Richtlinienzuweisung und Zuweisen einer Definition dafür
- Identifizieren von Ressourcen, die nicht mit der neuen Richtlinie kompatibel sind
- Entfernen der Richtlinie aus nicht kompatiblen Ressourcen
Voraussetzungen
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Erstellen einer Richtlinienzuweisung
Folgen sie den Schritten hier unten, um eine Richtlinienzuweisung zu erstellen und weisen Sie die folgende Richtliniendefinition zu: [Vorschau]: Die Log Analytics-Erweiterung muss auf Ihren Azure Arc-Computern unter Linux installiert sein:
Starten Sie den Azure Policy-Dienst über das Azure-Portal, indem Sie die Option Alle Dienste auswählen und dann nach Policy suchen und die entsprechende Option auswählen.
Wählen Sie links auf der Seite „Azure Policy“ die Option Zuweisungen. Eine Zuweisung ist eine zugewiesene Richtlinie, die innerhalb eines bestimmten Bereichs angewendet werden soll.
Wählen Sie im oberen Bereich der Seite Richtlinien – Zuweisungen die Option Richtlinie zuweisen.
Wählen Sie auf der Seite Richtlinie zuweisen den Bereich aus, indem Sie auf die Auslassungspunkte klicken und entweder eine Verwaltungsgruppe oder ein Abonnement auswählen. Wählen Sie optional eine Ressourcengruppe aus. Ein Bereich bestimmt, für welche Ressourcen oder Ressourcengruppe die Richtlinienzuweisung erzwungen wird. Klicken Sie dann unten im Abschnitt der Seite Bereich auf Auswählen.
In diesem Beispiel wird das Abonnement Parnell Aerospace verwendet. Ihr Abonnement wird sich davon unterscheiden.
Ressourcen können basierend auf dem Bereich ausgeschlossen werden. Ausschlüsse beginnen auf einer Ebene unterhalb der Ebene des Bereichs. Ausschlüsse sind optional, lassen Sie sie daher vorerst leer.
Wählen Sie die Richtliniendefinition mit den Auslassungspunkten, um die Liste der verfügbaren Definitionen zu öffnen. Azure Policy umfasst integrierte Richtliniendefinitionen, die Sie verwenden können. Zu den vielen verfügbaren Definitionen zählen z.B.:
- Enforce tag and its value (Tag und zugehörigen Wert erzwingen)
- Apply tag and its value (Tag und zugehörigen Wert anwenden)
- Tag von der Ressourcengruppe erben, falls nicht vorhanden
Eine Liste mit einem Teil der verfügbaren integrierten Richtlinien finden Sie unter Azure Policy-Beispiele.
Durchsuchen Sie die Liste mit den Richtliniendefinitionen nach der Definition [Vorschau]: Die Log Analytics-Erweiterung muss auf Ihren Azure Arc-Computern unter Windows installiert sein (falls Sie den Azure Connected Machine-Agent auf einem Windows-basierten Computer aktiviert haben). Suchen Sie für einen Linux-basierten Computer nach der entsprechenden Richtliniendefinition: [Vorschau]\: Log Analytics extension should be installed on your Linux Azure Arc machines (Die Log Analytics-Erweiterung muss auf Ihren Azure Arc-Computern unter Linux installiert sein). Klicken Sie auf diese Richtlinie und anschließend auf Hinzufügen.
Der Zuweisungsname wird automatisch mit dem ausgewählten Richtliniennamen gefüllt, kann aber geändert werden. Lassen Sie in diesem Beispiel den Richtliniennamen unverändert und ändern Sie keine der verbleibenden Optionen auf der Seite.
In diesem Beispiel müssen wir keine Einstellungen auf den anderen Registerkarten ändern. Wählen Sie Überprüfen+ Erstellen aus, um Ihre neue Richtlinienzuweisung zu überprüfen, und wählen Sie dann Erstellen aus.
Sie können nun nicht konforme Ressourcen identifizieren, um den Konformitätszustand Ihrer Umgebung nachzuvollziehen.
Identifizieren nicht konformer Ressourcen
Wählen Sie links auf der Seite die Option Konformität aus. Suchen Sie dann die von Ihnen erstellte Richtlinienzuweisung [Vorschau]\: Log Analytics extension should be installed on your Windows Azure Arc machines (Die Log Analytics-Erweiterung muss auf Ihren Windows-basierten Azure Arc-Computern installiert sein) oder [Vorschau]\: Log Analytics extension should be installed on your Linux Azure Arc machines (Die Log Analytics-Erweiterung muss auf Ihren Linux-basierten Azure Arc-Computern installiert sein).
Falls Ressourcen vorhanden sind, die mit dieser neuen Zuweisung nicht konform sind, werden diese unter Nicht konforme Ressourcen angezeigt.
Wenn eine Bedingung für einige Ihrer vorhandenen Ressourcen als erfüllt ausgewertet wird, werden diese Ressourcen als nicht mit der Richtlinie konform markiert. Die folgende Tabelle gibt Aufschluss über das Zusammenspiel zwischen den verschiedenen Richtlinienauswirkungen, der Bedingungsauswertung und dem resultierenden Konformitätszustand. Die Auswertungslogik wird zwar im Azure-Portal nicht angezeigt, Sie sehen aber die Ergebnisse für den Konformitätszustand. Das Ergebnis für den Konformitätszustand ist entweder „konform“ oder „nicht konform“.
Ressourcenzustand | Auswirkung | Richtlinienauswertung | Konformitätszustand |
---|---|---|---|
Exists | Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* | True | Nicht konform |
Exists | Deny, Audit, Append*, DeployIfNotExist*, AuditIfNotExist* | False | Konform |
Neu | Audit, AuditIfNotExist* | True | Nicht konform |
Neu | Audit, AuditIfNotExist* | False | Konform |
* Für die Auswirkungen „Append“, „DeployIfNotExist“ und „AuditIfNotExist“ muss die IF-Anweisung auf TRUE festgelegt sein. Für die Auswirkungen muss die Existenzbedingung außerdem auf FALSE festgelegt sein, damit sie nicht konform sind. Bei TRUE löst die IF-Bedingung die Auswertung der Existenzbedingung für die zugehörigen Ressourcen aus.
Bereinigen von Ressourcen
Um die erstellte Zuweisung zu entfernen, gehen Sie folgendermaßen vor:
Wählen Sie auf der linken Seite der Azure Policy-Seite Compliance (oder Zuweisungen), und suchen Sie die von Ihnen erstellte Richtlinienzuweisung [Vorschau]: Log Analytics extension should be installed on your Windows Azure Arc machines (Die Log Analytics-Erweiterung muss auf Ihren Windows-basierten Azure Arc-Computern installiert sein) oder [Vorschau]: Log Analytics extension should be installed on your Linux Azure Arc machines (Die Log Analytics-Erweiterung muss auf Ihren Linux-basierten Azure Arc-Computern installiert sein).
Klicken Sie mit der rechten Maustaste auf die Richtlinienzuweisung, und wählen Sie Zuweisung löschen aus.
Nächste Schritte
In diesem Tutorial haben Sie einem Bereich eine Richtliniendefinition zugewiesen und deren Konformitätsbericht ausgewertet. Die Richtliniendefinition überprüft, ob alle Ressourcen im Bereich konform sind, und identifiziert die Ressourcen, die nicht konform sind. Sie können Ihren Computer mit Servern mit Azure Arc-Unterstützt jetzt überwachen, indem Sie VM Insights aktivieren.
Fahren Sie mit dem folgenden Tutorial fort, um zu erfahren, wie Sie die Leistung, den aktiven Prozess und die zugehörigen Abhängigkeiten auf Ihrem Computer überwachen und anzeigen: