Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób zarządzania usługą Azure Policy na dużą skalę przy użyciu infrastruktury jako kodu (IaC). Ład oparty na zasadach jest zasadą projektowania stref docelowych platformy Azure. Pomaga to zapewnić zgodność wdrożonych aplikacji z platformą organizacji. Zarządzanie obiektami zasad i testowanie ich w środowisku może zająć znaczne nakłady pracy, aby upewnić się, że zgodność jest spełniona. Architektury referencyjne strefy docelowej platformy Azure ułatwiają ustanowienie bezpiecznego punktu odniesienia, ale organizacja może mieć dodatkowe wymagania dotyczące zgodności, które należy spełnić, wdrażając inne zasady.
Co to jest zasady przedsiębiorstwa jako kod (EPAC)?
EPAC to projekt open source, którego można użyć do zintegrowania rozwiązania IaC i zarządzania usługą Azure Policy. Usługa EPAC jest oparta na module programu PowerShell i opublikowana w galerii programu PowerShell. Za pomocą funkcji tego projektu można wykonywać następujące czynności:
Tworzenie wdrożeń zasad stanowych. Obiekty zdefiniowane w kodzie stają się źródłem prawdy dla obiektów zasad wdrożonych na platformie Azure.
Zaimplementuj złożone scenariusze zarządzania polityką, takie jak wdrożenia wielozasobowe i suwerenne wdrożenia w chmurze.
Eksportowanie i integrowanie zasad w celu uwzględnienia istniejących zasad niestandardowych opracowanych przed wdrożeniem strefy docelowej platformy Azure.
Tworzenie wyjątków od polityk i dokumentacji polityk oraz zarządzanie nimi.
Przykładowe przepływy pracy umożliwiają zademonstrowanie wdrożeń usługi Azure Policy za pomocą funkcji GitHub Actions lub usługi Azure Pipelines.
Eksportowanie raportów o niezgodności i tworzenie zadań korygowania.
Powody korzystania z EPAC
Możesz użyć EPAC do wdrażania i zarządzania zasadami stref lądowania platformy Azure. Warto rozważyć wdrożenie EPAC do zarządzania zasadami, jeśli:
Masz zasady niezarządzane przez użytkownika w istniejącym środowisku typu brownfield, które chciałbyś wdrożyć w nowym środowisku strefy początkowej na platformie Azure. Wyeksportuj istniejące zasady i zarządzaj nimi za pomocą EPAC wraz z obiektami zasad strefy docelowej Azure.
Masz wdrożenie platformy Azure, które nie jest w pełni zgodne ze strefą lądowania platformy Azure, na przykład z wieloma strukturami grup zarządzania na potrzeby testowania lub niekonwencjonalnymi strukturami grup zarządzania. Domyślna struktura przypisania, którą zapewniają inne metody wdrażania strefy docelowej platformy Azure, może nie pasować do twojej strategii.
Masz zespół, który nie jest odpowiedzialny za wdrażanie infrastruktury, na przykład zespół ds. zabezpieczeń, który może chcieć wdrożyć zasady i zarządzać nimi.
Potrzebujesz funkcji z zasad, które nie są dostępne we wdrożeniach architektury referencyjnej strefy bazowej platformy Azure, na przykład wykluczeń zasad i dokumentacji.
Wprowadzenie
Repozytorium GitHub EPAC zawiera szczegółowe kroki umożliwiające rozpoczęcie zarządzania usługą Azure Policy. Podczas określania, czy projekt jest odpowiedni dla danego środowiska, należy wziąć pod uwagę następujące czynniki:
Topologia środowiska: obsługiwane są wiele dzierżaw i skomplikowanych struktur grup zarządzania. Rozważ sposób tworzenia struktury zasad jako wdrożeń kodu w celu dopasowania ich do topologii, dzięki czemu wiele zespołów może zarządzać zasadami i testować nowe wdrożenia zasad.
Uprawnienia: Rozważ sposób zarządzania uprawnieniami do wdrożenia, szczególnie w przypadku ról i tożsamości. EpaC zapewnia wiele etapów wdrażania zarówno zasad, jak i przypisań ról, dzięki czemu można używać oddzielnych tożsamości.
Istniejące wdrożenia polityk: w scenariuszu brownfield mogą obowiązywać już istniejące polityki, które muszą pozostać niezmienione podczas wdrażania EPAC. Możesz użyć żądanej strategii stanu , aby zapewnić, że EPAC zarządza tylko zdefiniowanymi zasadami i zachowuje istniejące zasady.
Metodologia wdrażania: usługa EPAC obsługuje usługi Azure DevOps, GitHub Actions i moduł programu PowerShell w celu ułatwienia wdrażania zasad. Możesz użyć przykładowych potoków danych w zestawie startowym EPAC i dostosować je do środowiska i wymagań.
Postępuj zgodnie z przewodnikiem szybkiego startu, aby wyeksportować obiekty zasad w twoim środowisku i zapoznać się z tym, jak EPAC zarządza usługą Azure Policy.
W przypadku problemów z kodem lub dokumentacją prześlij problem w repozytorium GitHub.
Zastępowanie istniejących rozwiązań wdrażania zasad
EPAC zastępuje funkcjonalność wdrażania polityk architektur odniesienia strefy lądowania Azure. Korzystając z tych akceleratorów, nie należy ich używać do wdrażania Azure Policy, ponieważ EPAC stanowi ostateczne źródło prawdy dla polityk środowiskowych.
Aby uzyskać więcej informacji, zobacz następujące zasoby dotyczące zarządzania zasadami za pomocą Bicep i Terraform w ramach architektur referencyjnych stref docelowych w Azure.