前言
在当今数字化的云计算时代,azure云平台作为全球领先的云服务提供商,为组织和企业提供了强大的资源管理和安全性功能。本文主要针对 Azure 初学者,或者备考AZ-900的同学,带领大家探讨几个关键的 Azure 服务,帮助读者全面了解 Azure 蓝图、Azure 策略和 Azure 资源锁以及 Azure 服务信任门户的功能和用途。
一、Azure 蓝图
1.1 什么是 Azure 蓝图?
Azure蓝图是Azure平台中用于快速部署和管理资源的一种服务。它是一种基础设施即代码(Infrastructure as Code)的概念,用于定义和自动化Azure资源的部署和配置。
具体来说,Azure蓝图是一个模板或定义,其中包含一个或多个Azure资源的配置和设置。通过创建蓝图,您可以将一组资源和策略打包在一起,以便在多个Azure订阅或目录中重复使用。这样可以确保在不同环境中使用相同的标准配置,减少错误和避免重复的手动配置过程。
蓝图是 JSON 文件,是一种声明性方法,用于协调各个资源模板和其他项目的部署。由下列项目组成:
- 角色分配
- 策略分配
- Azure 资源管理器模板
- 资源组
这些项目被嵌入到包中,然后可以进行组合、版本控制并分配到包含多个订阅的管理组,也可直接分配到单个订阅。
分配后,包将根据管理组或所选的订阅开始部署角色、策略、模板或资源组。
1.2 Azure 蓝图的用途
从 Azure 蓝图的定义可以总结出来 Azure 蓝图有如下主要的功能(重要):
- Azure 蓝图可用于定义一组可重复的 Azure 资源,这些资源实施并遵守组织的标准、模式和要求。
- 借助蓝图,开发团队可以快速生成和部署新环境,并确信生成的这些环境符合组织规定。
1.3 Azure 蓝图的总结(重点)
-
使用 Azure 蓝图更容易遵守安全或合规性要求,无论是政府要求还是行业要求。
-
云架构师会经常使用。
-
Azure蓝图是一种声明式的方式来编排部署:
- 角色分配
- 政策的作业
- Azure资源管理器模板
- 资源组
-
Azure 蓝图在 Azure DevOps 场景中很有用,因为它使自动化变得更容易。
-
实现 Azure 蓝图的步骤基本可以总结为:
- 创建 Azure 蓝图
- 分配蓝图
- 跟踪蓝图分配
-
跟踪和审核:观察定义(应该部署什么)和蓝图分配(部署了什么)之间的关系
1.4 Azure 蓝图与 Azure 资源管理模板区别
事实上这两个东西是可以同时结合使用的。每个蓝本可以由零个或多个资源管理器模板构件组成。
但是这里为了记忆,还是总结下 Azure 蓝图和 Azure 资源管理模板区别:
Azure 蓝图 | Azure 资源管理模板 | |
---|---|---|
包组成 | 资源组、策略、角色分配和资源管理器模板部署 | 资源组、策略、角色分配 |
存储位置 | 原生在Azure中 | 要么在本地,要么在版本控制中。 |
追踪 | 观察应该部署和已经部署的内容 | 从部署的资源到模板没有活动的连接/关系 |
部署范围 | Several subscription | 订阅或资源组 |
1.5 Azure 蓝图与 Azure 策略(Policy) 区别
-
策略是一个默认允许和明确拒绝的系统,在部署期间关注资源属性和已经存在的资源。策略可以作为蓝图定义中的众多构件之一。
-
蓝图还支持在策略和计划中使用参数。
二、Azure Policy(策略)
Azure Policy 是 Azure 云平台中的一项服务,用于定义、强制执行和审计资源配置规则。它允许组织在Azure环境中实施策略,以确保资源的合规性和一致性。
通过 Azure Policy,你可以定义单独的策略和相关策略组(称为“计划”)。 Azure Policy 将评估资源并突出显示不符合你创建的策略的资源。 Azure Policy 还可阻止创建不合规的资源。
在 Azure 门户中的 Azure 策略:
2.1 Azure 策略总结(重要)
- 用于定义、分配和管理环境中的资源标准。
- 它可以防止创建不允许使用的资源,确保新资源应用特定设置。
并对现有资源运行评估以扫描不合规的情况。 - 使用 Azure 策略, 提供以下内容:
- Azure 策略使用策略和计划来运行资源评估, 并扫描不符合您创建的策略的资源。
- Azure 策略附带了许多内置的策略和计划定义, 您可以在存储、网络、计算、安全中心和监视等类别下使用这些定义。
- Azure 蓝图由全球分布的 Azure Cosmos DB 提供支持。
2.2 Azure 策略 与 RBAC
- RBAC关注不同作用域上的用户操作。
- 例如,资源组的贡献者角色允许对资源组做出贡献
- Azure策略侧重于资源属性
- 无论是在部署期间还是对于现有资源。
- Azure 策略控制诸如资源类型或位置之类的属性。
- 与 RBAC 不同,Azure策略是一个默认允许并明确拒绝的系统。
2.3 创建 Azure 策略步骤
若要创建并实施 Azure Policy,请先创建策略定义。 每种策略定义在其特定的条件下将被强制执行。 并且,在满足条件时将出现
随附效果。
将策略应用于您的资源包括以下步骤:
1. 创建策略定义
这一个步骤中主要来做评估什么,应该采取什么行动。有强制执行的条件、有伴随效应即在条件满足时发生的伴随效应
例如,在部署资源时限制你的组织可以指定的位置
创建策略定义是以 JSON 格式表示,GitHub上有很多示例:https://github.***/Azure/azure-policy
例如,只允许指定虚拟机大小的策略:
{
"if": {
"allOf": [
{
"field": "type",
"equals": "microsoft.***pute/virtualMachines"
},
{
"not": {
"field": "Microsoft.***pute/virtualMachines/sku.name",
"in": "[parameters('listOfAllowedSKUs')]" // 将策略定义应用于范围时填充的替换令牌
}
}
]
},
"then": {
"effect": "Deny"
}
}
2. 将定义分配给资源范围
确定在哪些资源或资源组上执行策略分配。从管理组到资源组。
3. 查看策略评估结果
三、Azure 资源锁
Azure 资源锁是一种在 Azure 云平台中用于保护和防止资源被删除或修改的安全功能。通过应用资源锁,可以确保在资源上执行某些操作时保持数据的完整性和稳定性。
具体来说,Azure资源锁有两种级别:
-
删除锁(Delete Lock):删除锁是最严格的资源锁级别。当资源被应用了删除锁之后,任何试图删除该资源的操作都会被阻止,包括通过Azure门户、Azure CLI、Azure PowerShell等方式进行删除。删除锁是为了确保重要资源不会意外或非法地被删除。
-
只读锁(Read-only Lock):只读锁允许对资源进行读取操作,但阻止对资源进行修改操作。这意味着资源的配置和属性可以被查看,但不能进行更改。只读锁适用于需要保护资源免受意外修改的情况。
四、Azure 服务信任门户
服务信任门户 (STP) 是 Microsoft 公共网站, 用于发布与 Microsoft 云服务相关的审计报告和其他合规性信息。
访问信任文档, 帮助您了解 Microsoft 云服务如何帮助保护您的数据。
Azure 服务信任门户官方链接: https://servicetrust.microsoft.***/
文末送书
本文探讨了 Azure 云平台中的几个关键服务:Azure 蓝图、Azure 策略、Azure 资源锁以及 Azure 服务信任门户。通过了解这些服务的概念、用途和区别,读者可以更好地管理和保护在 Azure 云中的资源。
现在是文末送书福利时间:
参与评论有机会获得博主送书,我们会抽取1~2个小伙伴分别送出下面图书。
《Java从入门到精通(第7版)》从初学者角度出发,通过通俗易懂的语言、丰富多彩的实例,详细讲解了使用Java语言进行程序开发需要掌握的知识。全书分为4篇共24章,内容包括初识Java,开发工具(IDEA、Eclipse),Java语言基础,流程控制,数组,类和对象,继承、多态、抽象类与接口,包和内部类,异常处理,字符串,常用类库,集合类,枚举类型与泛型,lambda表达式与流处理,I/O(输入/输出),反射与注解,数据库操作,Swing程序设计,Java绘图,多线程,并发,网络通信,飞机大战游戏,MR人脸识别打卡系统。书中所有知识都结合具体实例进行讲解,涉及的程序代码都给出了详细的注释,这可以帮助读者轻松领会Java程序开发的精髓,并快速提高开发技能。
- 《Java从入门到精通(第7版)》京东官方购买链接:https://item.jd.***/14067396.html
[ 本文作者 ] bluetata
[ 原文链接 ] https://bluetata.blog.csdn.***/article/details/131842152
[ 最后更新 ] 07/21/2023 1:18
[ 版权声明 ] 如果您在非 CSDN 网站内看到这一行,
说明网络爬虫可能在本人还没有完整发布的时候就抓走了我的文章,
可能导致内容不完整,请去上述的原文链接查看原文。