Az Azure Policy-definíciók alapvető effektusai
Az Azure Policy minden szabályzatdefiníciója egyetlen effect
policyRule
. Ez effect
határozza meg, hogy mi történik, ha a szabályzatszabály kiértékelése egyezik. Az effektusok eltérően viselkednek, ha új, frissített vagy meglévő erőforráshoz tartoznak.
A támogatott Azure Policy-definíciós effektusok a következők:
- addToNetworkGroup
- ráakaszt
- audit
- auditIfNotExists
- tagad
- denyAction
- deployIfNotExists
- fogyatékos
- kézikönyv
- módosít
- Változékonysága
Egymást keresztező effektusok
Néha több effektus is érvényes lehet egy adott szabályzatdefinícióra. A paramétereket gyakran használják az engedélyezett effektusértékek (allowedValues
) megadására, hogy egyetlen definíció sokoldalúbb legyen a hozzárendelés során. Fontos azonban megjegyezni, hogy nem minden hatás felcserélhető. A szabályzatszabály erőforrás-tulajdonságai és logikája meghatározhatja, hogy egy adott hatás érvényes-e a szabályzatdefinícióra. A hatályos auditIfNotExists
szabályzatdefiníciókhoz például a szabályzatszabály olyan egyéb részleteire van szükség, amelyek nem szükségesek az érvényes audit
szabályzatokhoz. A hatások is másképp viselkednek.
audit
A szabályzatok az erőforrások saját tulajdonságai alapján értékelik az erőforrások megfelelőségét, míg auditIfNotExists
a szabályzatok egy erőforrás megfelelőségi állapotát egy gyermek- vagy bővítményerőforrás tulajdonságai alapján értékelik.
Az alábbi lista általános útmutatást nyújt a felcserélhető hatásokról:
-
audit
,deny
és vagymodify
append
vagy gyakran felcserélhetők. -
auditIfNotExists
ésdeployIfNotExists
gyakran felcserélhetők. -
manual
nem cserélhető fel. -
disabled
bármilyen hatással felcserélhető.
Kiértékelési sorrend
Az Azure Policy első kiértékelése az erőforrások létrehozására vagy frissítésére irányuló kérelmekre érvényes. Az Azure Policy létrehozza az erőforrásra vonatkozó összes hozzárendelés listáját, majd kiértékeli az erőforrást minden egyes definíció alapján. Resource Manager-mód esetén az Azure Policy több effektust is feldolgoz, mielőtt átadja a kérést a megfelelő erőforrás-szolgáltatónak. Ez a sorrend megakadályozza az erőforrás-szolgáltató szükségtelen feldolgozását, ha egy erőforrás nem felel meg az Azure Policy tervezett szabályozási vezérlőinek. Erőforrás-szolgáltatói mód esetén az erőforrás-szolgáltató kezeli az értékelést és az eredményt, és jelentést készít az eredményekről az Azure Policynak.
-
disabled
a rendszer először ellenőrzi, hogy a szabályzatszabályt ki kell-e értékelni. -
append
majdmodify
kiértékelik. Mivel bármelyik módosíthatja a kérést, a végrehajtott módosítások megakadályozhatják a naplózási vagy a megtagadási effektus aktiválását. Ezek a műveletek csak Resource Manager módban érhetők el. -
deny
ezután kiértékeljük. A megtagadás naplózás előtti értékelésével megakadályozható a nem kívánt erőforrások ismétlődő naplózása. -
audit
kiértékelésre kerül. -
manual
kiértékelésre kerül. -
auditIfNotExists
kiértékelésre kerül. -
denyAction
kiértékelése utolsóként történik.
Miután az erőforrás-szolgáltató sikeres kódot ad vissza egy Resource Manager módú kéréshez, és deployIfNotExists
kiértékeli, auditIfNotExists
hogy szükség van-e további megfelelőségi naplózásra vagy műveletre.
PATCH
A csak a kapcsolódó mezőket módosító tags
kérések a szabályzatok kiértékelését a kapcsolódó mezőket vizsgáló tags
feltételeket tartalmazó szabályzatokra korlátozzák.
Szabályzatdefiníciók rétegezése
Több hozzárendelés is befolyásolhatja az erőforrásokat. Ezek a hozzárendelések lehetnek azonos hatókörben vagy különböző hatókörökben. Ezen hozzárendelések mindegyike valószínűleg más effektussal is rendelkezik. Az egyes szabályzatok feltételét és hatását a rendszer egymástól függetlenül értékeli ki. Példa:
- Szabályzat 1
- Az erőforrás helyének korlátozása
westus
- A előfizetéshez rendelve
- Megtagadási effektus
- Az erőforrás helyének korlátozása
- Szabályzat 2
- Az erőforrás helyének korlátozása
eastus
- A B erőforráscsoporthoz rendelve az A előfizetésben
- Naplózási effektus
- Az erőforrás helyének korlátozása
Ez a beállítás a következő eredményt eredményezné:
- A B erőforráscsoportban
eastus
lévő összes erőforrás megfelel a 2. szabályzatnak, és nem felel meg az 1. szabályzatnak - A B erőforráscsoportban
eastus
már nem szereplő erőforrások nem felelnek meg a 2. szabályzatnak, és nem felelnek meg az 1. szabályzatnak, ha nemwestus
- Az 1. szabályzat letiltja az A előfizetésben lévő új erőforrásokat,
westus
- Az A előfizetésben és a B erőforráscsoportban lévő
westus
összes új erőforrás létrejön, és nem felel meg a 2. szabályzatnak
Ha az 1. és a 2. szabályzat egyaránt megtagadási hatással volt, a helyzet a következőre változik:
- A B erőforráscsoportban már nem szereplő
eastus
erőforrások nem felelnek meg a 2. szabályzatnak - A B erőforráscsoportban
westus
már nem szereplő erőforrások nem felelnek meg az 1. szabályzatnak - Az 1. szabályzat letiltja az A előfizetésben lévő új erőforrásokat,
westus
- Az A előfizetés B erőforráscsoportjában lévő új erőforrásokat a rendszer megtagadja
Minden hozzárendelés külön-külön lesz kiértékelve. Így nincs lehetőség arra, hogy egy erőforrás átússzon a hatókörbeli különbségek közötti résen. A rétegzési házirend-definíciók nettó eredménye kumulatívan legkorlátozóbbnak tekinthető. Ha például az 1. és a 2 deny
. szabályzatnak is van hatása, az erőforrásokat az átfedésben lévő és ütköző szabályzatdefiníciók blokkolják. Ha továbbra is létre kell hoznia az erőforrást a célhatókörben, tekintse át az egyes hozzárendelések kizárásait annak ellenőrzéséhez, hogy a megfelelő szabályzat-hozzárendelések befolyásolják-e a megfelelő hatóköröket.
Következő lépések
- Tekintse át az Azure Policy-minták példáit.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- Megtudhatja, hogyan hozhat létre programozott módon szabályzatokat.
- Megtudhatja, hogyan kérhet le megfelelőségi adatokat.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.
- Tekintse át az Azure felügyeleti csoportjait.