如何通过策略将 public IP 限制到所有 Azure 开发测试实验室
How to restrict public IP to all Azure DevTest Labs by policy
我们目前有内置策略来禁止 public 管理组级别范围内的 ips,这在我们的环境中创建常规 VM 时有效。此策略不会阻止在开发测试实验室中创建具有 public IP 的 VM,即使它们是在具有阻止 IP 的策略的管理组中创建的。有人 运行 参与其中吗?
有内置策略在 Microsoft.Network/networkInterfaces 级别运行以阻止 NIC 具有 public IP,但开发测试实验室中的 VM 具有与常规 VM 不同类型的资源。
例如,您可以通过如下策略限制 Azure 开发测试实验室中 VM 上的 public IP:
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.DevTestLab/labs/virtualmachines"
},
{
"not": {
"field": "Microsoft.DevTestLab/labs/virtualmachines/disallowPublicIpAddress",
"equals": true
}
}
]
},
"then": {
"effect": "deny"
}
}
},
我们目前有内置策略来禁止 public 管理组级别范围内的 ips,这在我们的环境中创建常规 VM 时有效。此策略不会阻止在开发测试实验室中创建具有 public IP 的 VM,即使它们是在具有阻止 IP 的策略的管理组中创建的。有人 运行 参与其中吗?
有内置策略在 Microsoft.Network/networkInterfaces 级别运行以阻止 NIC 具有 public IP,但开发测试实验室中的 VM 具有与常规 VM 不同类型的资源。
例如,您可以通过如下策略限制 Azure 开发测试实验室中 VM 上的 public IP:
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.DevTestLab/labs/virtualmachines"
},
{
"not": {
"field": "Microsoft.DevTestLab/labs/virtualmachines/disallowPublicIpAddress",
"equals": true
}
}
]
},
"then": {
"effect": "deny"
}
}
},