Tweet
Azure Policy là một công cụ rất quan trọng trong quản trị môi trường Azure, đặc biệt khi doanh nghiệp có nhiều subscription, nhiều nhóm kỹ thuật và cần kiểm soát tiêu chuẩn triển khai tài nguyên. Cách tạo Azure Policies
Để triển khai Azure Policy, chúng ta có thể đi theo các bước chính sau:
1. Xem các Policy Definitions
Policy Definition là nơi mô tả:
Azure cần đánh giá điều kiện gì?
Khi điều kiện đó đúng thì Azure sẽ thực hiện hành động gì?
Mỗi Policy Definition đều có hai phần quan trọng:
Điều kiện áp dụng policy
Effect, tức là hành động xảy ra khi điều kiện được đáp ứng
Ví dụ: doanh nghiệp có thể tạo policy để ngăn không cho triển khai máy ảo nếu máy ảo đó được gắn Public IP Address.
Điều này rất hữu ích trong môi trường production, vì nhiều rủi ro bảo mật đến từ việc tài nguyên bị expose trực tiếp ra Internet.
2. Tạo Initiative Definitions
Initiative Definition là một tập hợp nhiều Policy Definitions.
Thay vì quản lý từng policy riêng lẻ, chúng ta gom nhiều policy lại thành một initiative để dễ theo dõi trạng thái tuân thủ cho một mục tiêu lớn hơn.
Ví dụ:
Đảm bảo toàn bộ branch office tuân thủ chuẩn bảo mật
Đảm bảo toàn bộ workload chỉ được triển khai ở region được phép
Đảm bảo tài nguyên luôn có tag phục vụ quản lý chi phí
Đảm bảo VM chỉ dùng những SKU đã được phê duyệt
Ngay cả khi chỉ có vài Policy Definitions, Microsoft vẫn khuyến nghị nên tạo Initiative Definition. Lý do là initiative giúp quản lý, đánh giá compliance và mở rộng governance dễ hơn về sau.
3. Xác định phạm vi áp dụng Initiative
Sau khi tạo Initiative Definition, chúng ta cần xác định scope.
Scope có thể là:
Management Group
Subscription
Resource Group
Đây là điểm rất mạnh của Azure Policy. Nếu áp dụng policy ở Management Group, các subscription bên dưới sẽ tự động kế thừa policy đó.
Ví dụ: nếu công ty quy định chỉ được triển khai tài nguyên tại Southeast Asia và East Asia, chúng ta có thể áp policy ở cấp Management Group để toàn bộ subscription bên dưới đều phải tuân thủ. 4. Xem kết quả Policy Evaluation
Sau khi Initiative Definition được assign, Azure sẽ đánh giá trạng thái compliance của các tài nguyên trong phạm vi áp dụng.
Chúng ta có thể xem:
Resource nào compliant
Resource nào non-compliant
Subscription hoặc resource group nào đang vi phạm policy
Policy nào đang gây ra trạng thái không tuân thủ
Trong một số trường hợp đặc biệt, chúng ta có thể exempt một số resource, resource group hoặc subscription khỏi policy. Tuy nhiên, exclusion được xử lý riêng cho từng assignment, không nên dùng tùy tiện vì có thể làm giảm hiệu quả governance. Tạo Policy Definitions
Azure cung cấp rất nhiều Built-in Policy Definitions. Khi vào Azure Policy, chúng ta có thể lọc theo Category để tìm policy phù hợp.
Một số ví dụ phổ biến:
Allowed Virtual Machine SKUs
Policy này cho phép doanh nghiệp quy định những loại VM SKU nào được phép triển khai.
Ví dụ: chỉ cho phép dùng Standard_B2s, Standard_D2s_v5 hoặc một số SKU đã được phê duyệt để kiểm soát chi phí và chuẩn hóa hạ tầng.
Allowed Locations
Policy này dùng để giới hạn region được phép triển khai tài nguyên.
Ví dụ: doanh nghiệp chỉ cho phép triển khai tài nguyên tại Canada Central hoặc Southeast Asia để đáp ứng yêu cầu geo-compliance, data residency hoặc quy định nội bộ.
Khi không có policy phù hợp thì sao?
Nếu Built-in Policy không đáp ứng nhu cầu, chúng ta có thể tạo Custom Policy Definition.
Azure Policy Definition sử dụng định dạng JSON cụ thể. Ngoài ra, Microsoft cũng cung cấp nhiều mẫu policy trên GitHub để tham khảo hoặc import vào môi trường Azure.
Kho mẫu tham khảo:
Kết luận
Azure Policy không chỉ là công cụ “chặn sai phạm”, mà là nền tảng quan trọng để xây dựng cloud governance.
Với Azure Policy, doanh nghiệp có thể:
Chuẩn hóa cách triển khai tài nguyên
Kiểm soát bảo mật
Giảm rủi ro cấu hình sai
Quản lý chi phí tốt hơn
Đảm bảo compliance theo tiêu chuẩn nội bộ hoặc quy định pháp lý
Đối với người học AZ-104 hoặc người đang làm Azure Administrator, cần nắm rõ ba khái niệm cốt lõi:
Policy Definition là từng rule cụ thể
Initiative Definition là tập hợp nhiều policy
Assignment là hành động áp dụng policy vào scope cụ thể
Khi hiểu rõ ba thành phần này, bạn sẽ dễ dàng thiết kế mô hình quản trị Azure chuyên nghiệp hơn.
Để triển khai Azure Policy, chúng ta có thể đi theo các bước chính sau:
1. Xem các Policy Definitions
Policy Definition là nơi mô tả:
Azure cần đánh giá điều kiện gì?
Khi điều kiện đó đúng thì Azure sẽ thực hiện hành động gì?
Mỗi Policy Definition đều có hai phần quan trọng:
Điều kiện áp dụng policy
Effect, tức là hành động xảy ra khi điều kiện được đáp ứng
Ví dụ: doanh nghiệp có thể tạo policy để ngăn không cho triển khai máy ảo nếu máy ảo đó được gắn Public IP Address.
Điều này rất hữu ích trong môi trường production, vì nhiều rủi ro bảo mật đến từ việc tài nguyên bị expose trực tiếp ra Internet.
2. Tạo Initiative Definitions
Initiative Definition là một tập hợp nhiều Policy Definitions.
Thay vì quản lý từng policy riêng lẻ, chúng ta gom nhiều policy lại thành một initiative để dễ theo dõi trạng thái tuân thủ cho một mục tiêu lớn hơn.
Ví dụ:
Đảm bảo toàn bộ branch office tuân thủ chuẩn bảo mật
Đảm bảo toàn bộ workload chỉ được triển khai ở region được phép
Đảm bảo tài nguyên luôn có tag phục vụ quản lý chi phí
Đảm bảo VM chỉ dùng những SKU đã được phê duyệt
Ngay cả khi chỉ có vài Policy Definitions, Microsoft vẫn khuyến nghị nên tạo Initiative Definition. Lý do là initiative giúp quản lý, đánh giá compliance và mở rộng governance dễ hơn về sau.
3. Xác định phạm vi áp dụng Initiative
Sau khi tạo Initiative Definition, chúng ta cần xác định scope.
Scope có thể là:
Management Group
Subscription
Resource Group
Đây là điểm rất mạnh của Azure Policy. Nếu áp dụng policy ở Management Group, các subscription bên dưới sẽ tự động kế thừa policy đó.
Ví dụ: nếu công ty quy định chỉ được triển khai tài nguyên tại Southeast Asia và East Asia, chúng ta có thể áp policy ở cấp Management Group để toàn bộ subscription bên dưới đều phải tuân thủ. 4. Xem kết quả Policy Evaluation
Sau khi Initiative Definition được assign, Azure sẽ đánh giá trạng thái compliance của các tài nguyên trong phạm vi áp dụng.
Chúng ta có thể xem:
Resource nào compliant
Resource nào non-compliant
Subscription hoặc resource group nào đang vi phạm policy
Policy nào đang gây ra trạng thái không tuân thủ
Trong một số trường hợp đặc biệt, chúng ta có thể exempt một số resource, resource group hoặc subscription khỏi policy. Tuy nhiên, exclusion được xử lý riêng cho từng assignment, không nên dùng tùy tiện vì có thể làm giảm hiệu quả governance. Tạo Policy Definitions
Azure cung cấp rất nhiều Built-in Policy Definitions. Khi vào Azure Policy, chúng ta có thể lọc theo Category để tìm policy phù hợp.
Một số ví dụ phổ biến:
Allowed Virtual Machine SKUs
Policy này cho phép doanh nghiệp quy định những loại VM SKU nào được phép triển khai.
Ví dụ: chỉ cho phép dùng Standard_B2s, Standard_D2s_v5 hoặc một số SKU đã được phê duyệt để kiểm soát chi phí và chuẩn hóa hạ tầng.
Allowed Locations
Policy này dùng để giới hạn region được phép triển khai tài nguyên.
Ví dụ: doanh nghiệp chỉ cho phép triển khai tài nguyên tại Canada Central hoặc Southeast Asia để đáp ứng yêu cầu geo-compliance, data residency hoặc quy định nội bộ.
Khi không có policy phù hợp thì sao?
Nếu Built-in Policy không đáp ứng nhu cầu, chúng ta có thể tạo Custom Policy Definition.
Azure Policy Definition sử dụng định dạng JSON cụ thể. Ngoài ra, Microsoft cũng cung cấp nhiều mẫu policy trên GitHub để tham khảo hoặc import vào môi trường Azure.
Kho mẫu tham khảo:
Kết luận
Azure Policy không chỉ là công cụ “chặn sai phạm”, mà là nền tảng quan trọng để xây dựng cloud governance.
Với Azure Policy, doanh nghiệp có thể:
Chuẩn hóa cách triển khai tài nguyên
Kiểm soát bảo mật
Giảm rủi ro cấu hình sai
Quản lý chi phí tốt hơn
Đảm bảo compliance theo tiêu chuẩn nội bộ hoặc quy định pháp lý
Đối với người học AZ-104 hoặc người đang làm Azure Administrator, cần nắm rõ ba khái niệm cốt lõi:
Policy Definition là từng rule cụ thể
Initiative Definition là tập hợp nhiều policy
Assignment là hành động áp dụng policy vào scope cụ thể
Khi hiểu rõ ba thành phần này, bạn sẽ dễ dàng thiết kế mô hình quản trị Azure chuyên nghiệp hơn.
Attached Files