前言

在當(dāng)今數(shù)字化的云計(jì)算時(shí)代，Azure云平臺(tái)作為全球領(lǐng)先的云服務(wù)提供商，為組織和企業(yè)提供了強(qiáng)大的資源管理和安全性功能。本文主要針對(duì) Azure 初學(xué)者，或者備考AZ-900的同學(xué)，帶領(lǐng)大家探討幾個(gè)關(guān)鍵的 Azure 服務(wù)，幫助讀者全面了解 Azure 藍(lán)圖、Azure 策略和 Azure 資源鎖以及 Azure 服務(wù)信任門戶的功能和用途。

一、Azure 藍(lán)圖

1.1 什么是 Azure 藍(lán)圖？

Azure藍(lán)圖是Azure平臺(tái)中用于快速部署和管理資源的一種服務(wù)。它是一種基礎(chǔ)設(shè)施即代碼（Infrastructure as Code）的概念，用于定義和自動(dòng)化Azure資源的部署和配置。

具體來說，Azure藍(lán)圖是一個(gè)模板或定義，其中包含一個(gè)或多個(gè)Azure資源的配置和設(shè)置。通過創(chuàng)建藍(lán)圖，您可以將一組資源和策略打包在一起，以便在多個(gè)Azure訂閱或目錄中重復(fù)使用。這樣可以確保在不同環(huán)境中使用相同的標(biāo)準(zhǔn)配置，減少錯(cuò)誤和避免重復(fù)的手動(dòng)配置過程。

藍(lán)圖是 JSON 文件，是一種聲明性方法，用于協(xié)調(diào)各個(gè)資源模板和其他項(xiàng)目的部署。由下列項(xiàng)目組成：

• 角色分配
• 策略分配
• Azure 資源管理器模板
• 資源組

這些項(xiàng)目被嵌入到包中，然后可以進(jìn)行組合、版本控制并分配到包含多個(gè)訂閱的管理組，也可直接分配到單個(gè)訂閱。

分配后，包將根據(jù)管理組或所選的訂閱開始部署角色、策略、模板或資源組。

1.2 Azure 藍(lán)圖的用途

從 Azure 藍(lán)圖的定義可以總結(jié)出來 Azure 藍(lán)圖有如下主要的功能（重要）：

1. Azure 藍(lán)圖可用于定義一組可重復(fù)的 Azure 資源，這些資源實(shí)施并遵守組織的標(biāo)準(zhǔn)、模式和要求。
2. 借助藍(lán)圖，開發(fā)團(tuán)隊(duì)可以快速生成和部署新環(huán)境，并確信生成的這些環(huán)境符合組織規(guī)定。

1.3 Azure 藍(lán)圖的總結(jié)（重點(diǎn)）

• 使用 Azure 藍(lán)圖更容易遵守安全或合規(guī)性要求，無論是政府要求還是行業(yè)要求。

• 云架構(gòu)師會(huì)經(jīng)常使用。

• Azure藍(lán)圖是一種聲明式的方式來編排部署:

  • 角色分配
  • 政策的作業(yè)
  • Azure資源管理器模板
  • 資源組

• Azure 藍(lán)圖在 Azure DevOps 場(chǎng)景中很有用，因?yàn)樗棺詣?dòng)化變得更容易。

• 實(shí)現(xiàn) Azure 藍(lán)圖的步驟基本可以總結(jié)為：

  1. 創(chuàng)建 Azure 藍(lán)圖
  2. 分配藍(lán)圖
  3. 跟蹤藍(lán)圖分配

• 跟蹤和審核：觀察定義（應(yīng)該部署什么）和藍(lán)圖分配（部署了什么）之間的關(guān)系

1.4 Azure 藍(lán)圖與 Azure 資源管理模板區(qū)別

事實(shí)上這兩個(gè)東西是可以同時(shí)結(jié)合使用的。每個(gè)藍(lán)本可以由零個(gè)或多個(gè)資源管理器模板構(gòu)件組成。
但是這里為了記憶，還是總結(jié)下 Azure 藍(lán)圖和 Azure 資源管理模板區(qū)別：

1.5 Azure 藍(lán)圖與 Azure 策略（Policy） 區(qū)別

• 策略是一個(gè)默認(rèn)允許和明確拒絕的系統(tǒng)，在部署期間關(guān)注資源屬性和已經(jīng)存在的資源。策略可以作為藍(lán)圖定義中的眾多構(gòu)件之一。

• 藍(lán)圖還支持在策略和計(jì)劃中使用參數(shù)。

二、Azure Policy（策略）

Azure Policy 是 Azure 云平臺(tái)中的一項(xiàng)服務(wù)，用于定義、強(qiáng)制執(zhí)行和審計(jì)資源配置規(guī)則。它允許組織在Azure環(huán)境中實(shí)施策略，以確保資源的合規(guī)性和一致性。

通過 Azure Policy，你可以定義單獨(dú)的策略和相關(guān)策略組（稱為“計(jì)劃”）。 Azure Policy 將評(píng)估資源并突出顯示不符合你創(chuàng)建的策略的資源。 Azure Policy 還可阻止創(chuàng)建不合規(guī)的資源。

在 Azure 門戶中的 Azure 策略：

2.1 Azure 策略總結(jié)（重要）

• 用于定義、分配和管理環(huán)境中的資源標(biāo)準(zhǔn)。
• 它可以防止創(chuàng)建不允許使用的資源，確保新資源應(yīng)用特定設(shè)置。
  并對(duì)現(xiàn)有資源運(yùn)行評(píng)估以掃描不合規(guī)的情況。
• 使用 Azure 策略, 提供以下內(nèi)容:
  • Azure 策略使用策略和計(jì)劃來運(yùn)行資源評(píng)估, 并掃描不符合您創(chuàng)建的策略的資源。
  • Azure 策略附帶了許多內(nèi)置的策略和計(jì)劃定義, 您可以在存儲(chǔ)、網(wǎng)絡(luò)、計(jì)算、安全中心和監(jiān)視等類別下使用這些定義。
• Azure 藍(lán)圖由全球分布的 Azure Cosmos DB 提供支持。

2.2 Azure 策略 與 RBAC

• RBAC關(guān)注不同作用域上的用戶操作。
  • 例如，資源組的貢獻(xiàn)者角色允許對(duì)資源組做出貢獻(xiàn)
• Azure策略側(cè)重于資源屬性
  • 無論是在部署期間還是對(duì)于現(xiàn)有資源。
• Azure 策略控制諸如資源類型或位置之類的屬性。
• 與 RBAC 不同，Azure策略是一個(gè)默認(rèn)允許并明確拒絕的系統(tǒng)。

2.3 創(chuàng)建 Azure 策略步驟

若要?jiǎng)?chuàng)建并實(shí)施 Azure Policy，請(qǐng)先創(chuàng)建策略定義。 每種策略定義在其特定的條件下將被強(qiáng)制執(zhí)行。 并且，在滿足條件時(shí)將出現(xiàn)
隨附效果。

將策略應(yīng)用于您的資源包括以下步驟：

1. 創(chuàng)建策略定義

這一個(gè)步驟中主要來做評(píng)估什么，應(yīng)該采取什么行動(dòng)。有強(qiáng)制執(zhí)行的條件、有伴隨效應(yīng)即在條件滿足時(shí)發(fā)生的伴隨效應(yīng)

例如，在部署資源時(shí)限制你的組織可以指定的位置

創(chuàng)建策略定義是以 JSON 格式表示，GitHub上有很多示例：https://github.com/Azure/azure-policy

例如，只允許指定虛擬機(jī)大小的策略：

  {
    "if": {
      "allOf": [
        {
          "field": "type",
          "equals": "Microsoft.Compute/virtualMachines"
        },
        {
          "not": {
            "field": "Microsoft.Compute/virtualMachines/sku.name",
            "in": "[parameters('listOfAllowedSKUs')]" // 將策略定義應(yīng)用于范圍時(shí)填充的替換令牌
          }
        }
      ]
    },
    "then": {
      "effect": "Deny"
    }
  }

2. 將定義分配給資源范圍

確定在哪些資源或資源組上執(zhí)行策略分配。從管理組到資源組。

3. 查看策略評(píng)估結(jié)果

三、Azure 資源鎖

Azure 資源鎖是一種在 Azure 云平臺(tái)中用于保護(hù)和防止資源被刪除或修改的安全功能。通過應(yīng)用資源鎖，可以確保在資源上執(zhí)行某些操作時(shí)保持?jǐn)?shù)據(jù)的完整性和穩(wěn)定性。

具體來說，Azure資源鎖有兩種級(jí)別：

1. 刪除鎖（Delete Lock）：刪除鎖是最嚴(yán)格的資源鎖級(jí)別。當(dāng)資源被應(yīng)用了刪除鎖之后，任何試圖刪除該資源的操作都會(huì)被阻止，包括通過Azure門戶、Azure CLI、Azure PowerShell等方式進(jìn)行刪除。刪除鎖是為了確保重要資源不會(huì)意外或非法地被刪除。

2. 只讀鎖（Read-only Lock）：只讀鎖允許對(duì)資源進(jìn)行讀取操作，但阻止對(duì)資源進(jìn)行修改操作。這意味著資源的配置和屬性可以被查看，但不能進(jìn)行更改。只讀鎖適用于需要保護(hù)資源免受意外修改的情況。

四、Azure 服務(wù)信任門戶

服務(wù)信任門戶 (STP) 是 Microsoft 公共網(wǎng)站, 用于發(fā)布與 Microsoft 云服務(wù)相關(guān)的審計(jì)報(bào)告和其他合規(guī)性信息。

訪問信任文檔, 幫助您了解 Microsoft 云服務(wù)如何幫助保護(hù)您的數(shù)據(jù)。

Azure 服務(wù)信任門戶官方鏈接： https://servicetrust.microsoft.com/

文末送書

本文探討了 Azure 云平臺(tái)中的幾個(gè)關(guān)鍵服務(wù)：Azure 藍(lán)圖、Azure 策略、Azure 資源鎖以及 Azure 服務(wù)信任門戶。通過了解這些服務(wù)的概念、用途和區(qū)別，讀者可以更好地管理和保護(hù)在 Azure 云中的資源。

現(xiàn)在是文末送書福利時(shí)間：

參與評(píng)論有機(jī)會(huì)獲得博主送書，我們會(huì)抽取1~2個(gè)小伙伴分別送出下面圖書。

《Java從入門到精通（第7版）》從初學(xué)者角度出發(fā)，通過通俗易懂的語(yǔ)言、豐富多彩的實(shí)例，詳細(xì)講解了使用Java語(yǔ)言進(jìn)行程序開發(fā)需要掌握的知識(shí)。全書分為4篇共24章，內(nèi)容包括初識(shí)Java，開發(fā)工具（IDEA、Eclipse），Java語(yǔ)言基礎(chǔ)，流程控制，數(shù)組，類和對(duì)象，繼承、多態(tài)、抽象類與接口，包和內(nèi)部類，異常處理，字符串，常用類庫(kù)，集合類，枚舉類型與泛型，lambda表達(dá)式與流處理，I/O（輸入/輸出），反射與注解，數(shù)據(jù)庫(kù)操作，Swing程序設(shè)計(jì)，Java繪圖，多線程，并發(fā)，網(wǎng)絡(luò)通信，飛機(jī)大戰(zhàn)游戲，MR人臉識(shí)別打卡系統(tǒng)。書中所有知識(shí)都結(jié)合具體實(shí)例進(jìn)行講解，涉及的程序代碼都給出了詳細(xì)的注釋，這可以幫助讀者輕松領(lǐng)會(huì)Java程序開發(fā)的精髓，并快速提高開發(fā)技能。文章來源地址http://www.zghlxwxcb.cn/news/detail-595181.html

• 《Java從入門到精通（第7版）》京東官方購(gòu)買鏈接：https://item.jd.com/14067396.html

[ 本文作者 ]   bluetata
[ 原文鏈接 ]   https://bluetata.blog.csdn.net/article/details/131842152
[ 最后更新 ]   07/21/2023 1:18
[ 版權(quán)聲明 ]   如果您在非 CSDN 網(wǎng)站內(nèi)看到這一行，
說明網(wǎng)絡(luò)爬蟲可能在本人還沒有完整發(fā)布的時(shí)候就抓走了我的文章，
可能導(dǎo)致內(nèi)容不完整，請(qǐng)去上述的原文鏈接查看原文。

到了這里，關(guān)于【Azure】發(fā)掘 Azure 用于治理和合規(guī)性工具：探索 Azure 藍(lán)圖、策略、資源鎖和信任門戶 | 文末送書的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！