Udostępnij przez

Przeprowadzanie inspekcji i wdrażanie dzienników przepływów sieci wirtualnej przy użyciu usługi Azure Policy

Usługa Azure Policy pomaga wymuszać standardy organizacyjne i oceniać zgodność na dużą skalę. Typowe przypadki użycia usługi Azure Policy obejmują implementowanie ładu na potrzeby spójności zasobów, zgodności z przepisami, bezpieczeństwa, kontroli kosztów i zarządzania. Aby dowiedzieć się więcej na temat zasad platformy Azure, zobacz Co to jest usługa Azure Policy? i Szybki start: tworzenie przypisania zasad w celu identyfikowania niezgodnych zasobów.

Z tego artykułu dowiesz się, jak używać dwóch wbudowanych zasad do zarządzania konfiguracją dzienników przepływu sieci wirtualnej. Pierwsza zasada oznacza każdą sieć wirtualną, która nie ma włączonego rejestrowania przepływów. Drugie zasady automatycznie wdrażają dzienniki przepływu sieci wirtualnej w sieciach wirtualnych, które nie mają włączonego rejestrowania przepływu.

Wymagania wstępne

Inspekcja konfiguracji dzienników przepływu dla sieci wirtualnych przy użyciu wbudowanych zasad

Konfiguracja dzienników przepływu inspekcji dla każdej sieci wirtualnej przeprowadza inspekcję wszystkich istniejących sieci wirtualnych w zakresie, sprawdzając wszystkie obiekty Azure Resource Manager typu Microsoft.Network/virtualNetworks dla dzienników przepływu powiązanych przez właściwość dziennika przepływu sieci wirtualnej. Następnie flaguje ona dowolną sieć wirtualną, która nie ma włączonego rejestrowania przepływów.

Aby przeprowadzić inspekcję dzienników przepływu przy użyciu wbudowanych zasad, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady z wyników wyszukiwania.

    Zrzut ekranu przedstawiający sposób wyszukiwania usługi Azure Policy w witrynie Azure Portal.

  3. Wybierz Przypisania, a następnie wybierz Przypisz politykę.

    Zrzut ekranu przedstawiający sposób przypisywania zasad w witrynie Azure Portal.

  4. Wybierz wielokropek (...) obok Zakresu, aby wybrać subskrypcję platformy Azure z sieciami wirtualnymi, które chcesz sprawdzić za pomocą zasad. Możesz również wybrać grupę zasobów, która ma sieci wirtualne. Po wybraniu opcji wybierz przycisk Wybierz .

    Zrzut ekranu przedstawiający sposób definiowania zakresu zasad w witrynie Azure Portal.

  5. Wybierz wielokropek (...) obok Definicji zasad policyjnych, aby wybrać wbudowaną politykę, którą chcesz przypisać. Wprowadź dziennik przepływu w polu wyszukiwania, a następnie wybierz wbudowany filtr. W wynikach wyszukiwania wybierz Konfiguracja audytu dzienników przepływu dla każdej sieci wirtualnej, a następnie wybierz Dodaj.

    Zrzut ekranu przedstawiający sposób wybierania zasad inspekcji w witrynie Azure Portal.

  6. Wprowadź nazwę w Nazwa zadania lub użyj nazwy domyślnej, a następnie wprowadź swoją nazwę w Przypisane przez.

    Te zasady nie wymagają żadnych parametrów. Nie zawiera ona również żadnych definicji ról, więc nie trzeba tworzyć przypisań ról dla tożsamości zarządzanej na karcie Korygowanie .

  7. Wybierz Przejrzyj i utwórz, a następnie Utwórz.

    Zrzut ekranu przedstawiający kartę Podstawy przypisywania zasad inspekcji w witrynie Azure Portal.

  8. Wybierz pozycję Zgodność i zmień filtr Stanu zgodności na Niezgodne, aby wyświetlić listę wszystkich niezgodnych zasad. Wyszukaj nazwę utworzonych zasad inspekcji, a następnie wybierz ją.

    Zrzut ekranu przedstawiający stronę Zgodność zawierającą listę niezgodnych zasad, w tym zasad inspekcji.

  9. Na stronie zgodności zasad zmień filtr Stan zgodności na Niezgodne, aby wyświetlić listę wszystkich niezgodnych sieci wirtualnych. W tym przykładzie istnieją trzy niezgodne sieci wirtualne z czterech.

    Zrzut ekranu przedstawiający niezgodne sieci wirtualne na podstawie zasad inspekcji.

Wdrażanie i konfigurowanie dzienników przepływu sieci wirtualnej przy użyciu wbudowanych zasad

Zasada Wdrażanie zasobu dziennika przepływu z docelową siecią wirtualną sprawdza wszystkie istniejące sieci wirtualne w danym zakresie, analizując wszystkie obiekty usługi typu Microsoft.Network/virtualNetworks Azure Resource Manager. Następnie sprawdza powiązane dzienniki przepływu za pośrednictwem właściwości dziennika przepływu sieci wirtualnej. Jeśli właściwość nie istnieje, zasada wdraża dziennik przepływu.

Ważne

Zalecamy wyłączenie dzienników przepływu grupy zabezpieczeń sieci przed włączeniem dzienników przepływu sieci wirtualnej na tych samych obciążeniach roboczych, aby uniknąć duplikowania rejestrowania ruchu i dodatkowych kosztów. Jeśli na przykład włączysz dzienniki przepływu dla grupy zabezpieczeń sieci w podsieci, a następnie także dzienniki przepływu sieci wirtualnej dla tej samej podsieci lub nadrzędnej sieci wirtualnej, możesz uzyskać zduplikowane rejestrowanie — zarówno dzienniki przepływu grupy zabezpieczeń sieci, jak i dzienniki przepływu sieci wirtualnej zostaną wygenerowane dla wszystkich obsługiwanych obciążeń w tej konkretnej podsieci.

Aby przypisać zasadę deployIfNotExists, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.

  2. W polu wyszukiwania w górnej części portalu wprowadź zasady. Wybierz pozycję Zasady z wyników wyszukiwania.

    Zrzut ekranu przedstawiający sposób wyszukiwania usługi Azure Policy w witrynie Azure Portal.

  3. Wybierz Przypisania, a następnie wybierz Przypisz politykę.

    Zrzut ekranu przedstawiający sposób przypisywania zasad w witrynie Azure Portal.

  4. Wybierz wielokropek (...) obok Zakresu, aby wybrać subskrypcję platformy Azure z sieciami wirtualnymi, które chcesz sprawdzić za pomocą zasad. Możesz również wybrać grupę zasobów, która ma sieci wirtualne. Po wybraniu opcji wybierz przycisk Wybierz .

    Zrzut ekranu przedstawiający sposób definiowania zakresu zasad w witrynie Azure Portal.

  5. Wybierz wielokropek (...) obok Definicji zasad policyjnych, aby wybrać wbudowaną politykę, którą chcesz przypisać. Wprowadź dziennik przepływu w polu wyszukiwania, a następnie wybierz wbudowany filtr. W wynikach wyszukiwania wybierz pozycję Wdrażaj zasób logu przepływu dla docelowej sieci wirtualnej, a następnie wybierz Dodaj.

    Zrzut ekranu przedstawiający sposób wybierania zasad wdrażania w witrynie Azure Portal.

    Uwaga

    Aby korzystać z tej zasady, musisz mieć uprawnienia Współautora lub Właściciela.

  6. Wprowadź nazwę w Nazwa zadania lub użyj nazwy domyślnej, a następnie wprowadź swoją nazwę w Przypisane przez.

    Zrzut ekranu pokazujący zakładkę Podstawowe przypisywania zasad wdrażania w Azure.

  7. Wybierz przycisk Dalej dwa razy lub wybierz kartę Parametry . Następnie wybierz następujące wartości:

    Ustawienie Wartość
    Efekt Wybierz DeployIfNotExists, aby umożliwić wykonywanie zasady. Inną dostępną opcją jest: Wyłączone.
    Region sieci wirtualnej Wybierz region swojej sieci wirtualnej, który zamierzasz objąć polityką.
    Konto magazynu Wybierz konto storage. Konto przechowywania musi znajdować się w tym samym regionie co sieć wirtualna.
    Network Watcher RG Wybierz grupę zasobów wystąpienia usługi Network Watcher. Dzienniki przepływu utworzone przez politykę są zapisywane w tej grupie zasobów.
    Network Watcher Wybierz wystąpienie usługi Network Watcher wybranego regionu.
    Liczba dni przechowywania dzienników przepływów Wybierz liczbę dni, przez które chcesz przechowywać dane dzienników przepływu w koncie magazynowym. Wartość domyślna to 30 dni. Jeśli nie chcesz stosować żadnych zasad przechowywania, wprowadź wartość 0.

    Zrzut ekranu przedstawiający kartę Parametry w kontekście przypisywania zasad wdrażania w portalu Azure.

  8. Wybierz przycisk Dalej lub kartę Korygowanie .

  9. Zaznacz pole wyboru Utwórz zadanie korygowania.

    Zrzut ekranu przedstawiający kartę Korygowanie przypisywania zasad wdrażania w witrynie Azure Portal.

  10. Wybierz Przejrzyj i utwórz, a następnie Utwórz.

  11. Wybierz pozycję Zgodność i zmień filtr Stanu zgodności na Niezgodne, aby wyświetlić listę wszystkich niezgodnych zasad. Wyszukaj nazwę utworzonych zasad wdrażania, a następnie wybierz ją.

    Zrzut ekranu przedstawiający stronę Zgodność zawierającą listę niezgodnych zasad, w tym zasad wdrażania.

  12. Na stronie zgodności zasad zmień filtr Stan zgodności na Niezgodne, aby wyświetlić listę wszystkich niezgodnych sieci wirtualnych. W tym przykładzie istnieją trzy niezgodne sieci wirtualne z czterech.

    Zrzut ekranu przedstawiający niezgodne sieci wirtualne na podstawie zasad wdrażania.

    Uwaga

    Ocena sieci wirtualnych w określonym zakresie i wdrożenie dzienników przepływu dla niezgodnych sieci wirtualnych zajmuje trochę czasu.

  13. Przejdź do dzienników przepływu w Dziennikach w Network Watcher, aby wyświetlić dzienniki przepływu wdrożone przez politykę.

    Zrzut ekranu przedstawiający listę dzienników przepływu w usłudze Network Watcher.

  14. Na stronie zgodność zasad sprawdź, czy wszystkie sieci wirtualne w określonym zakresie są zgodne.

    Zrzut ekranu pokazujący, że nie ma żadnych niezgodnych sieci wirtualnych po wdrożeniu dzienników przepływu przez politykę wdrażania w zdefiniowanym zakresie.

    Uwaga

    Zaktualizowanie stanu zgodności zasobów na stronie zgodności usługi Azure Policy może potrwać do 24 godzin. Aby uzyskać więcej informacji, zobacz Omówienie wyników oceny.

Powiązana zawartość

  • Last updated on