如何通过策略将 public IP 限制到所有 Azure 开发测试实验室

How to restrict public IP to all Azure DevTest Labs by policy

我们目前有内置策略来禁止 public 管理组级别范围内的 ips,这在我们的环境中创建常规 VM 时有效。此策略不会阻止在开发测试实验室中创建具有 public IP 的 VM,即使它们是在具有阻止 IP 的策略的管理组中创建的。有人 运行 参与其中吗?

有内置策略在 Microsoft.Network/networkInterfaces 级别运行以阻止 NIC 具有 public IP,但开发测试实验室中的 VM 具有与常规 VM 不同类型的资源。

例如,您可以通过如下策略限制 Azure 开发测试实验室中 VM 上的 public IP:

    "policyRule": {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.DevTestLab/labs/virtualmachines"
          },
          {
            "not": {
              "field": "Microsoft.DevTestLab/labs/virtualmachines/disallowPublicIpAddress",
              "equals": true
            }
          }
        ]
      },
      "then": {
        "effect": "deny"
      }
    }
  },