לשחזור שליטה במשאבי Azure עם מדיניות Azure

A common theme in cloud environments today is the ability to define templates, policies, and procedures. These templates then dictate what can be done and verify that what does exist is correct. A service from Microsoft called Azure Policy is a great way to make that happen.

במאמר זה תלמד כיצד פועל תקן Azure ואז תראה איך ליצור מגוון של מדיניות ופעולות תיקון.

יצירת מדיניות Azure

ישנם כמה דרכים ליצירת מדיניות כמו דרך פורטל Azure, PowerShell, Azure CLI ותבניות ARM.

פורטל Azure

אם אתה מעדיף את המסלול הגרפי או חוקר את האפשרויות שלך, התחל כאן הוא הקדמה טובה למדיניות. הממשק פשוט ומאפשר לך לראות את האפשרויות שלך בקלות.

1. בתוך פורטל Azure, חפש מדיניות.
2. לחץ על מטמונים מתחת לקטגוריה יצירת
3. לחץ על הקצאת מדיניות
4. לחץ על הנקודות השלפות מתחת ל-טווח כדי לבחור את המינוי ליישם עליו ולחייב לבחור את קבוצת המשאבים אופציונלית
5. לחץ על הנקודות השלפות מתחת ל-הגדרת מדיניות כדי לבחור את המדיניות להגדרה
6. לחץ על הנקודות השלפות מתחת ל-שם הקצאה לבחירת שם המדיניות שנוצר באופן ברירת המחדל או הזן שם ייחודי
7. מלא את כל הפרמטרים לפי הצורך בהתאם למדיניות שנבחרה
8. סיים ביצירת זהות ניהול והגדר את המיקום שלה אם נדרש

פושרל

באושר ש- PowerShell הופך את זה מהיר וקל להקצאת הגדרת מדיניות Azure למטלת המדיניות. ישנם שני דרישות ראשוניות, וזה דורש את הגרסה האחרונה של Azure PowerShell מותקנת ורישום ספק משאבי התקן Azure Insights.

Register Policy Insights Resource Provider
PS51> Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'

PS51> $resourceGroup = Get-AzResourceGroup -Name '<resourceGroupName>'

PS51> $definition = Get-AzPolicyDefinition | Where-Object { $_.Properties.DisplayName -eq '<policyName>' }

PS51> New-AzPolicyAssignment -Name '<assignment-name>' -DisplayName '<friendlyName>' -Scope $resourceGroup.ResourceId -PolicyDefinition $definition -listOfResourceTypesAllowed '<parameterValues>'

CLI של Azure

אם PowerShell אינו זמין או לא מועדף, אז שימוש ב-Azure CLI מאפשר גם לבצע הרבה מהפעולות אותן ניתן לבצע עם PowerShell. זה יכול להיות שימושי גם בתר scenari מרובות פלטפורמות אם אין לך אפשרות להשתמש ב-PowerShell בכל מערכות ההפעלה.

> az policy assignment create --name '<policyName>' --display-name '<friendlyName>' --scope '<scope>' --policy '<policyDefinitionID>'

תבניות מדיניות Azure

תבניות מנהל המשאבים של Azure הן דרך נוספת ליצירה ולהקצאת מדיניות למשאבים. למטה יש תבנית התחלה שתוכל להשתמש בה כדי לבחור מדיניות להקצאה לקבוצת משאבים כדוגמה.

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "policyAssignmentName": {
      "type": "string",
      "metadata": {
        "description": "Specifies the name of the policy assignment."
      }
   },
    "rgName":{
      "type": "string",
      "defaultValue": "[resourceGroup().name]",
      "metadata": {
        "description": "Specifies the name of the resource group where you want to assign the policy."
      }
},
    "policyDefinitionID": {
      "type": "string",
      "metadata": {
        "description": "Specifies the ID of the policy definition or policy set definition being assigned."
      }
    }
},
  "resources": [
{
      "type": "Microsoft.Authorization/policyAssignments",
"name": "[parameters('policyAssignmentName')]",
"apiVersion": "2018-05-01",
"properties": {
   "scope": "[concat (subscription ( ).id, '/resourceGroups/', parameters('rgName'))]",
   

איך עובדת ההקצאה של מדיניות Azure

לאחר בחירה או יצירת הגדרות המדיניות שברצונך להחיל, הקצא אותן להשפיע על טווח ספציפי. הטווח מגדיר פשוט על מה ההקצאה של המדיניות המתקיימת, כמו לדוגמה ניהול או קבוצת משאבים. דבר לשים לב הוא שההקצאות של מדיניות מותרות לכל המשאבים הבני ילדים, אך יש לך את היכולת להוסיף תת-טווח אם נדרש.

דוגמאות למדיניות Azure

יש הרבה הגדרות מדיניות זמינות וזה יכול להיות קשה להחליט מה הכי טוב להחיל. אז מהם כמה מהאפשרויות, מתי ייתכן שתשתמש בהם ולמה?

• דורש Tag וערכו – זה יכול לשמש למספר רב של דרכים, אך אחת האפשרויות היא לקודי עלויות, או לזיהוי של מספר משאבים שונים מתוך מספר קבוצות משאבים מרובות.
• סוגי משאבים מורשים – מה לעשות אם ברצונך לאפשר רק משאבים ספציפיים? זה יכול לאכוף את זה, לדוגמה רק יכולת ליצור משאב אחסון.
• בצע בדיקה עבור Windows VMs עם אימות הפעלה ממתינה – אולי ברצונך לדעת אילו Windows VMs דורשות הפעלה ממתינה, כדי לוודא שאלו לא יישארו לאחור? השתמש במדיניות זו כדי למצוא ואפשר אולי לתקן אותם לפי לוח זמנים.
• בדיקת הגדרות דיאגנוסטיקה – אם הגדרות הדיאגנוסטיקה לא מופעלות, אז המדיניות הזו תמצא את אלה שאינם עומדים בדרישות.
• יש לסגור יציאות ניהול על המכונות הווירטואליות שלך – וודא שיציאות הניהול על ה VMs שלך סגורות, מדיניות נהדרת לכאלה ששמים דגש על האבטחה.
• חשבונות מוסרדים צריכים להיות מסורסלים מהמינוי שלך – עבור כל החשבונות שחסמו מהכניסה בתוך הספרייה, מצא את אלה שיש לתקן בהתאם ככל הצורך. אף על פי שישנם רבים כאן, ואף יותר נוצרים כל יום, יש לך גם יכולת עצומה ליצירת הגדרות מדיניות מותאמות אישית. באמצעות סכמה פשוטה להגדרת שאילתות תוכל ליצור בניית קונסטרוקציות if-then עוצמתיות כדי להגדיר מה אתה רוצה ליישם מדיניות עליו.

כיצד להפוך מדיניות Azure ליותר ניתנות לשימוש

פרמטרים

אחד הכלים הכי שימושיים הם הגדרת פרמטרים לשימוש במדיניות שלך. אם היית צריך להגדיר מדיניות ייחודית עבור כל אחת ואחת מהשינויים במדיניות, יכול לקרות שתסתיים עם מאות. פתרון נהדר לכך הוא לייפרמטר את המדיניות. עם זאת, תוכל להתאים אישית את המדיניות בזמן השמה ולהפוך מדיניות אחת לחלק ממקרים שונים רבים.

מבצעים

השלב הלוגי הבא הוא לאסוף מספר הגדרות יחד לתוך קבוצה. זה מאפשר לך להקצות את כל ההגדרות השונות האלו לתחום בלעדי בלתי צורך להקצות כל אחת פרטית שוב ושוב.

פרמטרי יזמה

בסופו, ניתן להוסיף פרמטרים לייזמות שניתן להעביר למדיניות הפרטית. זה אומר שאין צורך להקצות פרמטרים לכל מדיניות בפרט בתוך ייזמה. זה יכול לחסוך המון זמן מאחר ואפשר להגדיר רק מספר ייזמות שיש להם תקנים שונים בצורות שונות בהתאם לפרמטרים שנבחרו.

משימות תיקון

אז מה עושים כשיש לך מדיניות שמעריכה אבל מוצאה כי משאבים אינם עומדים בתקנים? בנקוביות זו, תוכל להשיק משימת תיקון לתקן כל שהבעיה עשויה להיות. זה יכול להיות יעיל מאוד, אך גם מסוכן די אם הוא מוגדר באופן שגוי. פעם נוספת, ישנן מספר דרכים להגדיר משימות אלו, באמצעות פורטל ה-Azure, PowerShell או דרך ה-Azure CLI.

פורטל ה-Azure

כמו קודם, ניתן להשתמש בפורטל ה-Azure כדי לחקור את יצירת משימת תיקון. אם תגלה שאין מדיניות ברשימה, וודא שיש לך גם deployIfNotExists מדיניות וגם אלה שהוערכו כ-לא-תואמות אחרת הן לא יוצגו.

1. בתוך פורטל ה-Azure, חפש מדיניות
2. לחץ על תיקון בצד שמאל
3. לחץ על מדיניות מסוג deployIfNotExists שיש להם משאבים לא-תואמים
4. סנן את המשאבים לשיפור בעמוד המשימה משימת שיקום חדשה כדי להגביל את היישום של המשימה
5. לחץ על לשקם כדי להתחיל במשימה עצמה

PowerShell

זה די פשוט ליצור משימת שיקום דרך PowerShell. הדבר החשוב לזכור הוא שעליך להשתמש במדיניות deployIfNotExists

PS51> Start-AzPolicyRemediation -Name 'remediationTask' -PolicyAssignmentId '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{assignmentID}'

CLI של Azure

במקום להשתמש ב-PowerShell, ניתן גם להשתמש ב-CLI של Azure כדי להתחיל במשימת שיקום. הדבר הזה עובד גם עבור משימת PowerShell.

> az policy remediation create --name remediationTask --policy-assignment '/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/policyAssignments/{assignmentID}'

תקציר

הכוח בשימוש במדיניות Azure הוא שעבור כל מנוי ב-Azure תוכל להגדיר מספר רב של מדיניות גמישות כדי לעזור לך לנהל את הסביבה שלך. וכמובן, עם זמן, מאמץ וחשיבה הושקעו באופן שאתה מבנה את המדיניות, הייזמים והפרמטרים שלך תוכל ליצור הגדרה מוגדרת היטב וקלה לשיקום.

בהתחשב בכך שמדיניות Azure הן בחינם עבור כל מנוי ב-Azure, זה משפט ראוי לשקול להשקיע את הזמן ליישום מה שאתה צריך. בהתחשב בהגמישות ביצירה ובפיתוח של ההגדרות והמדיניות הללו, זה יכול להתייחס לכמעט כל דבר ולעזור לך לשמור על הסביבה שלך!