Azure Policy 的工作原理
Azure Policy 概念
在这里,我们将介绍使用 Azure Policy 需要提前了解的一些概念。
策略:策略是在组织内应用的业务规则。
计划:计划是结合使用以简化管理的一组策略。 策略和计划都采用 JSON 格式编写。
定义:定义是可分配的内置或自定义计划和策略的列表。
分配:分配是计划或策略与范围的关联。 Azure Policy 的范围可以是管理组、Azure 订阅或资源组。 所有子资源都继承父资源的分配。
豁免:豁免用于在层次结构上豁免资源,或豁免对单个资源进行计划或定义评估。
修正:修正是处理不合规资源的一种方法。 它允许创建修正任务,确保资源保持所需状态。
策略版本控制(预览版):内置策略定义和计划可以采用定义 ID 相同的多个版本。 默认设置是使用最新主要版本。 可以选择接受新的次要版本或固定使用特定的次要版本。 出于安全考虑,系统会自动接受修补程序版本。
覆盖的资源
Azure 策略覆盖所有 Azure 资源,包括启用了 Arc 的资源。 例如,你可以扩展对 Windows 和 Linux 物理服务器以及 Azure 外部、公司网络或其他云提供商上托管的虚拟机的控制范围。 Azure 资源可以免费使用 Azure Policy,但 Arc 资源需要支付相关费用。
Azure Arc 是一种服务,可用于管理托管在 Azure 之外的资源类型。 目前支持以下资源类型:
- 物理和虚拟 Windows 或 Linux 服务器。
- Kubernetes 群集。
- Azure 数据服务(例如 Azure SQL 托管实例)。
- SQL Server。
还可以基于 VMware vSphere 或 Azure Stack HCI 对虚拟机进行预配、重设大小、删除和管理操作,并通过基于角色的访问启用 VM 自助服务。
相关服务
- Azure 蓝图:策略分配是 Azure 蓝图的一个项目类型,意味着你可以使用 Azure 蓝图来分配策略分配。 也可以通过 .NET、JavaScript、Python、REST API、PowerShell、Azure CLI、ARM 模板、Bicep 和 Terraform 分配策略。
- Azure Resource Graph:可以通过 Azure Resource Graph 运行查询,按分配和资源类型获取有关合规性的详细信息、列出所有不合规资源、按状态汇总资源合规性等。
- Azure 安全中心:Azure 安全中心的建议来自内置的安全策略计划。
Azure Policy 的费用
对 Azure 资源使用 Azure Policy 是免费的。
但是,如果计划使用 Azure Policy 来处理 Azure Arc 资源,则在特定情况下需要付费。 若要估算成本,请使用 Azure Policy 定价或定价计算器。