Azure Policy を使って、作れる仮想マシンの SKU を制限してみたよ

Azure

こんにちは。

今回は、Azure Policy を使って、作れる仮想マシンの SKU を制限をかけてみました。

 

Azure Policy とは

Policy の割り当て

今回のポリシーは、組み込みポリシーを使います。

組み込みポリシーの一覧は、ここから。

組み込みのポリシー定義の一覧 – Azure Policy | Microsoft Learn

 

サイトを開くと、こんな感じで組み込みポリシーが一覧化されてます。

今回は、「許可されている仮想マシンサイズ SKU」を選択します。リンクされてるところをクリックすると、Azure ポータルが開きます。

 

Azure ポータルでポリシー定義が開かれたら、「割り当て」をします。

 

まずは、このポリシーの割り当てるスコープの設定です。

今回は、他の検証とかに影響を与えないように、リソースグループにしました。

でも、作れる VM を制限する場合は、多分、サブスクリプション単位とかにするケースが多いような気がします。

 

リソースセレクターとオーバーライドは既定のままにしました。

これらについて知りたい方は、ドキュメントをご覧ください。

ポリシー割り当て構造の詳細 – Azure Policy | Microsoft Learn

 

今回許可する SKU は、Standard_D1 と D2 の各種プランにしました。

スクリーンショットでは見えないけどw

 

今回は既定のままで、作成までやっちゃいます。

 

割り当てが有効になるのに、約 30 分かかるそうです。

 

動作確認

VM を新規作成する時

ポリシーで、D1 および D2 に制限を指定rので、B1 を作ろうとすると VM を作成する時の SKU の選択でちゃんと怒られましたw

 

ちなみに、D2 を選択したら怒られなくなりましたが、ポリシーが適用されていることがわかる表示はされてます。制限を破ってないから何も表示されないよりも、こっちの方がいいですよね。

 

ポリシーの画面を見ると、全ての対象の VM にポリシーが適用されていて、ポリシーを割り当てする前に作成した VM も D2 で作成していたので、準拠しているにカウントされています。

 

ここで実験的に、D1 しか使っちゃいけないポリシー変更をしてみます。

 

D1 のを選んで割り当てします。

 

結果は、ポリシーの割り当ての変更前は準拠していた、D2 の VM は、準拠してないリストに上がってきました。

 

まとめ

ということで、今回は、Azure Policy を使って、社内ルールを適用するという簡易的なデモになりそうなことをやってみました。

Azure Policy を使用して、Azure 利用にガバナンスを効かせていきましょう♪

 

 

 

コメント

タイトルとURLをコピーしました