使用AzurePolcy強(qiáng)制禁止非托管磁盤VM-創(chuàng)新互聯(lián)

今天再來分享一波Azure管理的經(jīng)驗(yàn)，熟悉Azure的朋友都知道，Azure有托管磁盤和非托管磁盤之分，早期的VM全都是非托管磁盤的，需要我們手動(dòng)維護(hù)以及規(guī)劃磁盤的使用情況，還有20000 IOPS的限制等問題，為了解決這種問題，微軟引入了托管磁盤的概念，托管磁盤相對(duì)于非托管磁盤來說，有很多的優(yōu)勢(shì)，主要有以下幾點(diǎn)：

創(chuàng)新互聯(lián)公司專注于企業(yè)網(wǎng)絡(luò)營(yíng)銷推廣、網(wǎng)站重做改版、北安網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5網(wǎng)站設(shè)計(jì)、商城系統(tǒng)網(wǎng)站開發(fā)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)公司、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為北安等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

簡(jiǎn)單且可縮放的 VM 部署

托管磁盤在幕后處理存儲(chǔ)。以前，必須創(chuàng)建存儲(chǔ)帳戶才能存儲(chǔ) Azure VM 的磁盤（VHD 文件）。進(jìn)行擴(kuò)展時(shí)，必須確保創(chuàng)建了額外的存儲(chǔ)帳戶，以便任何磁盤都不會(huì)超出對(duì)存儲(chǔ)的 IOPS 限制。使用托管磁盤處理存儲(chǔ)時(shí)，不再受到存儲(chǔ)帳戶限制（例如每個(gè)帳戶 20,000 IOPS）的約束。另外，不再需要將自定義映像（VHD 文件）復(fù)制到多個(gè)存儲(chǔ)帳戶。可在一個(gè)中心位置管理自定義映像（每個(gè) Azure 區(qū)域保存一個(gè)存儲(chǔ)帳戶），并使用它們?cè)谝粋€(gè)訂閱中創(chuàng)建數(shù)百個(gè) VM。

托管磁盤支持在每個(gè)區(qū)域中的一個(gè)訂閱中創(chuàng)建最多 50,000 個(gè)同一類型的 VM 磁盤，這使得可以在單個(gè)訂閱中創(chuàng)建數(shù)以萬(wàn)計(jì)的 VM

可用性集的可靠性更高

通過確保可用性集中的 VM 的磁盤彼此之間完全隔離以避免單點(diǎn)故障，托管磁盤為可用性集提供了更佳的可靠性。磁盤自動(dòng)放置于不同的存儲(chǔ)縮放單元（模塊）。如果某個(gè)模塊因硬件或軟件故障而失敗，則只有其磁盤在該模塊上的 VM 實(shí)例會(huì)失敗。例如，假定某個(gè)應(yīng)用程序在 5 臺(tái) VM 上運(yùn)行并且這些 VM 位于一個(gè)可用性集中。這些 VM 的磁盤不會(huì)存儲(chǔ)在同一個(gè)模塊中，因此，如果一個(gè)模塊失敗，該應(yīng)用程序的其他實(shí)例可以繼續(xù)運(yùn)行。

高度持久和可用

Azure 磁盤具備 99.999% 的可用性。數(shù)據(jù)具有三個(gè)副本，高持久性可讓用戶高枕無(wú)憂。如果其中一個(gè)或兩個(gè)副本出現(xiàn)問題，剩下的副本能夠確保數(shù)據(jù)的持久性和對(duì)故障的高耐受性。此架構(gòu)有助于 Azure 為 IaaS 磁盤持續(xù)提供企業(yè)級(jí)的持久性，年化故障率為 0%，達(dá)到行業(yè)領(lǐng)先水平。

粒度訪問控制

可以使用 Azure 基于角色的訪問控制 (RBAC) 將對(duì)托管磁盤的特定權(quán)限分配給一個(gè)或多個(gè)用戶。托管磁盤公開了各種操作，包括讀取、寫入（創(chuàng)建/更新）、刪除，以及檢索磁盤的共享訪問簽名 (SAS) URI。可以僅將某人員執(zhí)行其工作所需的操作的訪問權(quán)限授予該人員。例如，如果不希望某人員將某個(gè)托管磁盤復(fù)制到存儲(chǔ)帳戶，則可以選擇不授予對(duì)該托管磁盤的導(dǎo)出操作的訪問權(quán)限。類似地，如果不希望某人員使用 SAS URI 復(fù)制某個(gè)托管磁盤，則可以選擇不授予對(duì)該托管磁盤的該權(quán)限。

所以現(xiàn)在微軟也是大力的推動(dòng)托管磁盤的使用。那么在實(shí)際應(yīng)用中，企業(yè)IT管理員也肯定希望用戶能夠更多地去使用托管磁盤，但如何來實(shí)施這點(diǎn)呢，光靠嘴說可能很多時(shí)候并不好使，最好是能夠有一些技術(shù)手段限制創(chuàng)建非托管磁盤VM

Azure Policy是個(gè)很好的解決辦法

Azure Policy 是 Azure 中的一項(xiàng)服務(wù)，可用于創(chuàng)建、分配和管理策略。這些策略將在整個(gè)資源中強(qiáng)制實(shí)施不同的規(guī)則和效果，以便這些資源符合公司標(biāo)準(zhǔn)和服務(wù)級(jí)別協(xié)議。 Azure Policy 通過評(píng)估資源是否符合指定策略來滿足此需求。例如，可以設(shè)置一項(xiàng)策略，僅允許環(huán)境中有特定 SKU 大小的虛擬機(jī)。實(shí)施此策略后，將評(píng)估新資源和現(xiàn)有資源的符合性。通過使用正確的策略類型，可以確保現(xiàn)有資源的符合性。也可以通過Policy明確禁止一些管理員不希望發(fā)生的操作

下邊來看如何來實(shí)施policy吧，policy其實(shí)也是通過JSON文件的形式進(jìn)行了一些定義，所以我們只需要編寫一些policy的JSON文件即可

限制非托管磁盤VM的JSON文件如下：

{ "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Compute/virtualMachines" }, { "field": "Microsoft.Compute/virtualMachines/osDisk.uri", "exists": true } ] }, "then": { "effect": "deny" } }

如何將這個(gè)定義轉(zhuǎn)換為Policy呢？可以通過PowerShell

運(yùn)行如下PowerShell命令

第一步：創(chuàng)建policydefinition