当前位置: 首页 > Microsoft Azure > 正文

Microsoft Azure Policy介绍

越来越多的企业,开始将企业环境迁移到公有云环境以便加速企业转型,通常在这个过程中会遇到很多IT治理问题,例如资源分配,为了解决这一问题,近日Azure China上线了新的服务——Azure 策略。

Azure 策略是Azure中的一项服务,可用于创建、分配和管理策略定义。 策略定义将在整个资源中强制实施不同的规则和效果,以便这些资源符合公司标准和服务级别协议。Azure策略对资源进行计算和扫描,并找到与所定义策略不相符的资源。例如,可以设置一个策略,只允许特定类型的虚拟机。或者,可要求所有资源都拥有特定标记。在创建和更新资源时评估策略。


Azure 策略与Azure RBAC有何区别:

RBAC,全称Role-based access control,中文叫做基于角色的权限访问控制

在RBAC中,权限与角色相关联,用户通过「角色」而得到这个角色的相对应权限。这就极大简化了权限的管理。

用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和系统的合并而被赋予新的权限,而权限也可根据需要而从某角色中回收。角色与角色的关系可以建立起来,来囊括更广泛的客观情况。

RBAC关注不同范围内的用户操作。例如,您可能被添加到所需范围的资源组的参与者角色。该角色允许你对该资源组做出更改。 策略关注部署期间的资源属性,以及现有资源。例如,可通过策略控制能够预配的资源类型。 或者,可限制能够预配资源的位置。不同于RBAC,策略是默认的允许和明确拒绝系统。

当然如果您希望使用Azure 策略,作为用户的您,必须通过 RBAC 进行身份验证。具体而言,帐户需要:

  • 定义策略的 Microsoft.Authorization/policydefinitions/write 权限。
  • 分配策略的 Microsoft.Authorization/policyassignments/write 权限。
  • 定义计划的 Microsoft.Authorization/policySetDefinitions/write 权限。
  • 分配计划的 Microsoft.Authorization/policyassignments/write 权限。

“参与者”角色不包括这些权限。

目前,Azure平台已经默认提供一些可使用的策略。例如:

  • 需要 SQL Server 12.0:此策略定义具有条件/规则,以确保所有 SQL Server 均使用版本 12.0。 其效果是拒绝所有不符合这些条件的服务器。
  • 允许的存储帐户 SKU:此策略定义具有一组条件/规则,可确定正在部署的存储帐户是否在 SKU 大小集内。 其效果是拒绝所有不符合定义的 SKU 大小集的服务器。
  • 允许的资源类型:此策略定义具有一组条件/规则,以指定贵组织可以部署的资源类型。 其效果是拒绝所有不属于此定义列表的资源。
  • 允许的位置:通过此策略,可限制组织在部署资源时可指定的位置。 其效果是用于强制执行异地符合性要求。
  • 允许的虚拟机 SKU:通过此策略,可指定组织可部署的一组虚拟机 SKU。
  • 应用标记及其默认值:若用户未指定所需的标记及其默认值,则通过此策略来应用所需的标记及其默认值。
  • 强制执行标记和值:此策略将对资源强制执行所需的标记和值。
  • 不允许的资源类型:此策略用于指定组织不得部署的资源类型。

当您在您的环境中使用Azure策略时,微软建议:

  • 如果在环境中创建策略定义,建议从审核效果(而不是拒绝效果)开始,以跟踪环境中资源上策略定义的影响。如果有用于自动纵向扩展应用程序的脚本,那么设置拒绝效果可能会影响这些已经执行的自动化任务。
  • 请务必在创建定义和分配时考虑组织的层次结构。 建议在更高级别创建定义,例如,在订阅级别进行创建,并在下一子级别进行分配。例如,如果在订阅组级别创建策略定义,则可以在订阅中将该定义的一个策略分配缩小到资源组。
  • 即使在只需考虑一个策略的情况下,也建议始终使用计划定义,而不使用策略定义。例如,假设你有一个策略定义-policyDefA,并在计划定义 – initiativeDefC 下创建它,如果你决定在稍后使用类似policyDefA的目标为 policyDefB创建另一个策略定义,则只需将其添加到initiativeDefC 下,并通过这种方式来更好地跟踪它们。

请记住,从计划定义创建计划分配后,添加到计划定义的任何新策略定义都将在该计划定义下的计划分配下自动滚动。但是,如果为新的策略定义引入一个新参数,则需要通过编辑计划定义或分配来更新计划定义和分配。

请注意,一旦触发计划分配,也将会触发该计划中的所有策略。 但是,如果需要单独执行某个策略,最好不要将其包含在计划中。

您可以使用Azure Portal、Azure PowerShell、Azure CLI进行创建与管理策略。

接下来将介绍几个常见的使用场景:识别Azure环境中的不合规资源、只能创建指定型号机型,禁止创建大实例机型,例如F系列以及如果Azure VM没有安装扩展程序则进行审核。

本文固定链接: http://365vcloud.net/2018/07/11/microsoft-azure-policy-introduction/ | Eric的学习之路

该日志由 TingXu 于2018年07月11日发表在 Microsoft Azure 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: Microsoft Azure Policy介绍 | Eric的学习之路
关键字: