Azure Policy

Azure policy xidməti vasitəsilə siz bir çox qaydaları şirkət resurslarına təyin edərək, bu qaydalar və standartların hansı səviyyədə icra edildiyinə nəzarət etdə bilərsiniz. Ümumi stadartlardan yayınma halları artdıqda isə məcburi şəkildə riayət olunmasını təmin etmək mümkündür.
Nümunə: Şirkət qaydalarına əsasən siz, bütün resursların yaradılması zamanı tag ilə təmin olunmasını və konkret olaraq bütün resursların yalnız West Europe-da deploy edilməsini konfiqurasiya etməlisiniz. Bu və bunun kimi bir çox konfiqurasiyaları Azure Policy funksiyasının imkanlarından istifadə edərək tətbiq edə bilərsiniz.

Azure portalında built-in olaraq çox sayda Azure policy template-lər vardır. Siz bunlardan istifadə edə və ya custom olaraq yeni template-lər yaradaraq assign edə bilərsiniz. Built-in siyasətlərdən bəziləri ilə tanış olaq:

• Require SQL Server 12.0: Bu policy bütün SQL serverlərin 12.0 versiyası olmağına nəzarət edir. Digər versiyalarda olan bütün SQL Serverlərin yaradılması qadağan olunur.
• Allowed Storage Account SKUs: Yaradılan Storage account-ların müəyyən SKU ölçülərinə uyğunluğunu yoxlayır. Uyğun gəlməyən Storage Accountların yaradılması qadağan edilir.
• Allowed Resource Type: Yaratmaq istədiyiniz resursların tiplərin kontrolda saxlayır və yalnız bu policy-də göstərilmiş resursların yaradılmasına icazə verir.
• Allowed Locations: Yeni yaradılan resursların hansı lokasiyada olacağını təyin edir. Nümunə üçün: bu siyasət vasitəsilə bütün resursların yalnız North USA-da yaradılmasına icazə verə bilərik.
• Allowed Virtual Machine SKUs: Virtual maşınların hansı ölçüdə olacağını təyin edir. Bu policy aktiv edildikdən sonra, yalnız icazə verilmiş SKU ölçüdə VM-lər yaratamaq mümkün olacaqdır.
• Apply tag and its default value: Resurs yaradılan zaman tag qeyd olunmayıbsa, bu siyasət vasitəsilə biz, hər hansı tag və onun dəyərini avtomatik əlavə edə bilərik.
• Enforce tag and its value: Hər bir resurs yaradılarkən, məcburi qaydada Tag əlavə edilməsi bu siyasət vasitəsilə həyata keçirilir.
• Not allowed resource types: Siyahı üzrə yaradılması qadağan olmuş resursları təyin edirik.

Policy-lərin işləməsi üçün (istər built-in və ya Custom) onları assign etmək lazımdır. Assign prossesi Azure portal, PowerShell və ya Azure CLI vasitəsilə həyata keçirilə bilər.

Azure Policy Terminologiyası

• Initiative – özündə bir neçə policy-ni birləşdirən object.
• Scope – Policy və İnitiative-lərin təyin edildiyi səviyyə. Bunlar -management Group, Subscription və ya Resource Group ola bilər.
• Exclusions – Policy və ya İnitiative-in təsir dairəsində istisnalar.
• Policy Location – Policy definition-un saxlandığı yer. Adətən Management Group və Subscription olur.
• Assignment – Policy və ya initiative servisinin hər hansı bir Scope-a təyin edilməsi.

Azure Policy deployment.

1. Azure Portal-a daxil olun
2. ”All Services” düyməsi vasitəsilə servislər pəncərəsinə keçin
3. Burada ”Policy” servisinə daxil olun.

4. Açılmış pəncərədə ”Definitions” bölməsin seçin.
5. Definitions hissəsində built-in policy template-lər yerləşir. Eləcə də, Json vasitəsilə custom Policy-ləri ”+Policy definition” düyməsinə click edərək yarada bilərsiniz.
6. Demo məqsədilə hər hansı bir template seçək. Nümunədə “Deploy default Microsoft IaaSAntimalware extension for Windows Server” seçimini edək. Bu Policy təyin edilmiş Resource Groupda yaradılan bütün VM-lərə avtomatik olaraq Antimalware tətbiqi deploy ediləcəkdir.

7. Açılmış pəncərədə Definition-un tərkibin görə bilərik. Heç bir əlavəyə ehtiyac görmürüksə Assign düyməsinə click edirik. Burada siz bir çox parametrlərdə dəyişiklik etmək imkanı əldə edirsiniz. Ən əsası isə Policy-nin tətbiq olunacağı Scope-u seçməliyik. Scope xanasının üzərinə basdıqda aşağıda gördüyünüz kimi Managment Group və Resource Group siyahısı görsənəcəkdir.

8. İstədiyiniz Scope-u seçdikdən sonra “Select” və “Assign” düymələrinə click edərək Policy-ni tətbiq edə bilərik.

Təyin olunmuş Policy-yə əsasən AzSecurityRg Resource Group-unda  yaradılan yeni VM-lərə avtomatik olaraq Antimalware deploy ediləcəkdir.