Az Azure Policy-definíciók alapvető effektusai

Az Azure Policy minden szabályzatdefiníciója egyetlen effectpolicyRule. Ez effect határozza meg, hogy mi történik, ha a szabályzatszabály kiértékelése egyezik. Az effektusok eltérően viselkednek, ha új, frissített vagy meglévő erőforráshoz tartoznak.

A támogatott Azure Policy-definíciós effektusok a következők:

• addToNetworkGroup
• ráakaszt
• audit
• auditIfNotExists
• tagad
• denyAction
• deployIfNotExists
• fogyatékos
• kézikönyv
• módosít
• Változékonysága

Egymást keresztező effektusok

Néha több effektus is érvényes lehet egy adott szabályzatdefinícióra. A paramétereket gyakran használják az engedélyezett effektusértékek (allowedValues) megadására, hogy egyetlen definíció sokoldalúbb legyen a hozzárendelés során. Fontos azonban megjegyezni, hogy nem minden hatás felcserélhető. A szabályzatszabály erőforrás-tulajdonságai és logikája meghatározhatja, hogy egy adott hatás érvényes-e a szabályzatdefinícióra. A hatályos auditIfNotExists szabályzatdefiníciókhoz például a szabályzatszabály olyan egyéb részleteire van szükség, amelyek nem szükségesek az érvényes auditszabályzatokhoz. A hatások is másképp viselkednek. audit A szabályzatok az erőforrások saját tulajdonságai alapján értékelik az erőforrások megfelelőségét, míg auditIfNotExists a szabályzatok egy erőforrás megfelelőségi állapotát egy gyermek- vagy bővítményerőforrás tulajdonságai alapján értékelik.

Az alábbi lista általános útmutatást nyújt a felcserélhető hatásokról:

• audit, denyés vagy modifyappend vagy gyakran felcserélhetők.
• auditIfNotExists és deployIfNotExists gyakran felcserélhetők.
• manual nem cserélhető fel.
• disabled bármilyen hatással felcserélhető.

Kiértékelési sorrend

Az Azure Policy első kiértékelése az erőforrások létrehozására vagy frissítésére irányuló kérelmekre érvényes. Az Azure Policy létrehozza az erőforrásra vonatkozó összes hozzárendelés listáját, majd kiértékeli az erőforrást minden egyes definíció alapján. Resource Manager-mód esetén az Azure Policy több effektust is feldolgoz, mielőtt átadja a kérést a megfelelő erőforrás-szolgáltatónak. Ez a sorrend megakadályozza az erőforrás-szolgáltató szükségtelen feldolgozását, ha egy erőforrás nem felel meg az Azure Policy tervezett szabályozási vezérlőinek. Erőforrás-szolgáltatói mód esetén az erőforrás-szolgáltató kezeli az értékelést és az eredményt, és jelentést készít az eredményekről az Azure Policynak.

• disabled a rendszer először ellenőrzi, hogy a szabályzatszabályt ki kell-e értékelni.
• append majd modify kiértékelik. Mivel bármelyik módosíthatja a kérést, a végrehajtott módosítások megakadályozhatják a naplózási vagy a megtagadási effektus aktiválását. Ezek a műveletek csak Resource Manager módban érhetők el.
• deny ezután kiértékeljük. A megtagadás naplózás előtti értékelésével megakadályozható a nem kívánt erőforrások ismétlődő naplózása.
• audit kiértékelésre kerül.
• manual kiértékelésre kerül.
• auditIfNotExists kiértékelésre kerül.
• denyAction kiértékelése utolsóként történik.

Miután az erőforrás-szolgáltató sikeres kódot ad vissza egy Resource Manager módú kéréshez, és deployIfNotExists kiértékeli, auditIfNotExists hogy szükség van-e további megfelelőségi naplózásra vagy műveletre.

PATCH A csak a kapcsolódó mezőket módosító tags kérések a szabályzatok kiértékelését a kapcsolódó mezőket vizsgáló tags feltételeket tartalmazó szabályzatokra korlátozzák.

Szabályzatdefiníciók rétegezése

Több hozzárendelés is befolyásolhatja az erőforrásokat. Ezek a hozzárendelések lehetnek azonos hatókörben vagy különböző hatókörökben. Ezen hozzárendelések mindegyike valószínűleg más effektussal is rendelkezik. Az egyes szabályzatok feltételét és hatását a rendszer egymástól függetlenül értékeli ki. Példa:

• Szabályzat 1
  • Az erőforrás helyének korlátozása westus
  • A előfizetéshez rendelve
  • Megtagadási effektus
• Szabályzat 2
  • Az erőforrás helyének korlátozása eastus
  • A B erőforráscsoporthoz rendelve az A előfizetésben
  • Naplózási effektus

Ez a beállítás a következő eredményt eredményezné:

• A B erőforráscsoportban eastus lévő összes erőforrás megfelel a 2. szabályzatnak, és nem felel meg az 1. szabályzatnak
• A B erőforráscsoportban eastus már nem szereplő erőforrások nem felelnek meg a 2. szabályzatnak, és nem felelnek meg az 1. szabályzatnak, ha nem westus
• Az 1. szabályzat letiltja az A előfizetésben lévő új erőforrásokat, westus
• Az A előfizetésben és a B erőforráscsoportban lévő westus összes új erőforrás létrejön, és nem felel meg a 2. szabályzatnak

Ha az 1. és a 2. szabályzat egyaránt megtagadási hatással volt, a helyzet a következőre változik:

• A B erőforráscsoportban már nem szereplő eastus erőforrások nem felelnek meg a 2. szabályzatnak
• A B erőforráscsoportban westus már nem szereplő erőforrások nem felelnek meg az 1. szabályzatnak
• Az 1. szabályzat letiltja az A előfizetésben lévő új erőforrásokat, westus
• Az A előfizetés B erőforráscsoportjában lévő új erőforrásokat a rendszer megtagadja

Minden hozzárendelés külön-külön lesz kiértékelve. Így nincs lehetőség arra, hogy egy erőforrás átússzon a hatókörbeli különbségek közötti résen. A rétegzési házirend-definíciók nettó eredménye kumulatívan legkorlátozóbbnak tekinthető. Ha például az 1. és a 2 deny . szabályzatnak is van hatása, az erőforrásokat az átfedésben lévő és ütköző szabályzatdefiníciók blokkolják. Ha továbbra is létre kell hoznia az erőforrást a célhatókörben, tekintse át az egyes hozzárendelések kizárásait annak ellenőrzéséhez, hogy a megfelelő szabályzat-hozzárendelések befolyásolják-e a megfelelő hatóköröket.

Következő lépések

• Tekintse át az Azure Policy-minták példáit.
• Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
• Megtudhatja, hogyan hozhat létre programozott módon szabályzatokat.
• Megtudhatja, hogyan kérhet le megfelelőségi adatokat.
• Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.
• Tekintse át az Azure felügyeleti csoportjait.