今天再來分享一波Azure管理的經(jīng)驗，熟悉Azure的朋友都知道，Azure有托管磁盤和非托管磁盤之分，早期的VM全都是非托管磁盤的，需要我們手動維護以及規(guī)劃磁盤的使用情況，還有20000 IOPS的限制等問題，為了解決這種問題，微軟引入了托管磁盤的概念，托管磁盤相對于非托管磁盤來說，有很多的優(yōu)勢，主要有以下幾點：

創(chuàng)新互聯(lián)公司專注于企業(yè)網(wǎng)絡(luò)營銷推廣、網(wǎng)站重做改版、北安網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、H5網(wǎng)站設(shè)計、商城系統(tǒng)網(wǎng)站開發(fā)、集團公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)公司、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為北安等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

 簡單且可縮放的 VM 部署

 托管磁盤在幕后處理存儲。 以前，必須創(chuàng)建存儲帳戶才能存儲 Azure VM 的磁盤（VHD 文件）。 進行擴展時，必須確保創(chuàng)建了額外的存儲帳戶，以便任何磁盤都不會超出對存儲的 IOPS 限制。 使用托管磁盤處理存儲時，不再受到存儲帳戶限制（例如每個帳戶 20,000 IOPS）的約束。 另外，不再需要將自定義映像（VHD 文件）復制到多個存儲帳戶。 可在一個中心位置管理自定義映像（每個 Azure 區(qū)域保存一個存儲帳戶），并使用它們在一個訂閱中創(chuàng)建數(shù)百個 VM。

托管磁盤支持在每個區(qū)域中的一個訂閱中創(chuàng)建最多 50,000 個同一類型的 VM 磁盤，這使得可以在單個訂閱中創(chuàng)建數(shù)以萬計的 VM

 可用性集的可靠性更高

 通過確?？捎眯约械?VM 的磁盤彼此之間完全隔離以避免單點故障，托管磁盤為可用性集提供了更佳的可靠性。 磁盤自動放置于不同的存儲縮放單元（模塊）。 如果某個模塊因硬件或軟件故障而失敗，則只有其磁盤在該模塊上的 VM 實例會失敗。 例如，假定某個應(yīng)用程序在 5 臺 VM 上運行并且這些 VM 位于一個可用性集中。 這些 VM 的磁盤不會存儲在同一個模塊中，因此，如果一個模塊失敗，該應(yīng)用程序的其他實例可以繼續(xù)運行。

 高度持久和可用

 Azure 磁盤具備 99.999% 的可用性。 數(shù)據(jù)具有三個副本，高持久性可讓用戶高枕無憂。 如果其中一個或兩個副本出現(xiàn)問題，剩下的副本能夠確保數(shù)據(jù)的持久性和對故障的高耐受性。 此架構(gòu)有助于 Azure 為 IaaS 磁盤持續(xù)提供企業(yè)級的持久性，年化故障率為 0%，達到行業(yè)領(lǐng)先水平。

    粒度訪問控制

 可以使用 Azure 基于角色的訪問控制 (RBAC) 將對托管磁盤的特定權(quán)限分配給一個或多個用戶。 托管磁盤公開了各種操作，包括讀取、寫入（創(chuàng)建/更新）、刪除，以及檢索磁盤的共享訪問簽名 (SAS) URI。 可以僅將某人員執(zhí)行其工作所需的操作的訪問權(quán)限授予該人員。 例如，如果不希望某人員將某個托管磁盤復制到存儲帳戶，則可以選擇不授予對該托管磁盤的導出操作的訪問權(quán)限。 類似地，如果不希望某人員使用 SAS URI 復制某個托管磁盤，則可以選擇不授予對該托管磁盤的該權(quán)限。

 所以現(xiàn)在微軟也是大力的推動托管磁盤的使用。那么在實際應(yīng)用中，企業(yè)IT管理員也肯定希望用戶能夠更多地去使用托管磁盤，但如何來實施這點呢，光靠嘴說可能很多時候并不好使，最好是能夠有一些技術(shù)手段限制創(chuàng)建非托管磁盤VM

 Azure Policy是個很好的解決辦法

 Azure Policy 是 Azure 中的一項服務(wù)，可用于創(chuàng)建、分配和管理策略。 這些策略將在整個資源中強制實施不同的規(guī)則和效果，以便這些資源符合公司標準和服務(wù)級別協(xié)議。 Azure Policy 通過評估資源是否符合指定策略來滿足此需求。 例如，可以設(shè)置一項策略，僅允許環(huán)境中有特定 SKU 大小的虛擬機。 實施此策略后，將評估新資源和現(xiàn)有資源的符合性。 通過使用正確的策略類型，可以確保現(xiàn)有資源的符合性。 也可以通過Policy明確禁止一些管理員不希望發(fā)生的操作

 下邊來看如何來實施policy吧，policy其實也是通過JSON文件的形式進行了一些定義，所以我們只需要編寫一些policy的JSON文件即可

    限制非托管磁盤VM的JSON文件如下：

{       "if": {             "allOf": [               {                 "field": "type",                 "equals": "Microsoft.Compute/virtualMachines"               },               {                 "field": "Microsoft.Compute/virtualMachines/osDisk.uri",                 "exists": true               }             ]       },       "then": {         "effect": "deny"       }     }

 如何將這個定義轉(zhuǎn)換為Policy呢？可以通過PowerShell

 運行如下PowerShell命令

 第一步：創(chuàng)建policydefinition

 第二步：創(chuàng)建role assignment

 之后可以看到在Azure Portal的policy里，也能夠看到這些內(nèi)容了

 下邊來嘗試一下吧！在Portal中創(chuàng)建一個非托管磁盤的Linux VM

 可以發(fā)現(xiàn)，在最后驗證的時候，會提示被policy deny掉了！

 Azure Policy是個很不錯的東東，后續(xù)有機會繼續(xù)和各位分享！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站標題：使用AzurePolcy強制禁止非托管磁盤VM-創(chuàng)新互聯(lián)
本文來源：http://www.rwnh.cn/article20/dosdco.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、域名注冊、網(wǎng)站內(nèi)鏈、電子商務(wù)、品牌網(wǎng)站建設(shè)、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)