快速入门：使用 Terraform 创建策略分配以识别不符合的资源

若要了解 Azure 中的符合性，第一步是确定资源的状态。 本快速入门逐步讲解如何创建策略分配，以识别不使用托管磁盘的虚拟机。

分配内置策略或计划定义时，可以选择引用一个版本。 内置定义的策略分配默认为最新版本，并将自动继承次要版本更改，除非另有指定。

使用 Terraform 可以定义、预览和部署云基础结构。 使用 Terraform 时，请使用 HCL 语法来创建配置文件。 利用 HCL 语法，可指定 Azure 这样的云提供程序和构成云基础结构的元素。 创建配置文件后，请创建一个执行计划，利用该计划，可在部署基础结构更改之前先预览这些更改。 验证了更改后，请应用该执行计划以部署基础结构。

在这篇文章中，你将学会如何：

先决条件

• 创建具有活动订阅的 Azure 帐户。 你可以免费创建一个帐户。

• 安装和配置 Terraform

实现 Terraform 代码

本文中的示例代码位于 Azure Terraform GitHub 存储库中。 你可以查看包含当前和以前 Terraform 版本的测试结果的日志文件。 查看更多 文章和示例代码，演示如何使用 Terraform 管理 Azure 资源

1. 创建用于测试和运行示例 Terraform 代码的目录，并将其设为当前目录。

2. 创建名为 providers.tf 的文件并插入下列代码。

   terraform {
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>4.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. 创建名为 main.tf 的文件并插入下列代码。

   # Create a random pet name to ensure unique resource group name
   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   # Create a resource group
   resource "azurerm_resource_group" "example" {
     ___location = var.resource_group_location
     name     = random_pet.rg_name.id
   }
   
   # Get the current subscription
   data "azurerm_subscription" "current" {}
   
   # Create a subscription policy assignment
   resource "azurerm_subscription_policy_assignment" "auditvms" {
     name                 = "audit-vm-manageddisks"
     subscription_id      = coalesce(var.scope, "/subscriptions/${data.azurerm_subscription.current.subscription_id}")
     policy_definition_id = "/providers/Microsoft.Authorization/policyDefinitions/06a78e20-9358-41c9-923c-fb736d382a4d"
     description          = "Shows all virtual machines not using managed disks"
     display_name         = "Audit VMs without managed disks assignment"
   }
   

4. 创建名为 variables.tf 的文件并插入下列代码。

   variable "resource_group_location" {
     type        = string
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     type        = string
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   
   variable "scope" {
     type        = string
     default     = ""
     description = "Scope of the policy assignment."
   }
   

5. 创建名为 outputs.tf 的文件并插入下列代码。

   output "resource_group_name" {
     value = azurerm_resource_group.example.name
   }
   
   output "assignment_id" {
     value = azurerm_subscription_policy_assignment.auditvms.id
   }
   
   output "subscription_id" {
     value = data.azurerm_subscription.current.subscription_id
   }
   

指定范围

范围用于确定对其强制执行策略分配的资源或资源组。 它的范围可以从管理组到单个资源。 若要使用以下任何作用域，请更新文件中的scopevariables.tf变量。 如果将 scope 变量值留空，则使用“订阅”范围。

• 订阅：/subscriptions/<subscription_id>
• 资源组：/subscriptions/<subscription_id>/resourceGroups/<resource_group_name>
• 资源：/subscriptions/<subscription_id>/resourceGroups/<resource_group_name>/providers/<resource_provider_namespace>/[{parentResourcePath}/]

初始化 Terraform

运行 terraform init，将 Terraform 部署进行初始化。 此命令将下载管理 Azure 资源所需的 Azure 提供程序。

terraform init -upgrade

要点：

• 参数 -upgrade 可将必要的提供程序插件升级到符合配置版本约束的最新版本。

创建 Terraform 执行计划

运行 terraform plan 以创建执行计划。

terraform plan -out main.tfplan

要点：

• terraform plan 命令将创建一个执行计划，但不会执行它。 相反，它会确定需要执行哪些操作，以创建配置文件中指定的配置。 此模式允许你在对实际资源进行任何更改之前验证执行计划是否符合预期。
• 使用可选 -out 参数可以为计划指定输出文件。 使用 -out 参数可以确保所查看的计划与所应用的计划完全一致。

应用 Terraform 执行计划

运行 terraform apply 以将执行计划应用到您的云基础架构。

terraform apply main.tfplan

要点：

• 示例 terraform apply 命令假设你先前运行了 terraform plan -out main.tfplan。
• 如果为 -out 参数指定了不同的文件名，请在对 terraform apply 的调用中使用该相同文件名。
• 如果未使用 -out 参数，请调用不带任何参数的 terraform apply。

验证结果

1. 获取 terraform apply 返回的 _assignment\_id_。

2. 运行以下命令，查看新策略分配下不符合的资源。

   armclient post "/subscriptions/<subscription_id>/providers/Microsoft.PolicyInsights/policyStates/latest/queryResults?api-version=2019-10-01&$filter=IsCompliant eq false and PolicyAssignmentId eq '<policyAssignmentID>'&$apply=groupby((ResourceId))" > <json file to direct the output with the resource IDs into>
   

3. 这些结果与 Azure 门户视图中“不合规资源”下所列的结果类似。

清理资源

不再需要通过 Terraform 创建的资源时，请执行以下步骤：

1. 运行 terraform plan 并指定 destroy 标志。

   terraform plan -destroy -out main.destroy.tfplan
   

   要点：

   • terraform plan 命令将创建一个执行计划，但不会执行它。 相反，它会确定需要执行哪些操作，以创建配置文件中指定的配置。 此模式允许你在对实际资源进行任何更改之前验证执行计划是否符合预期。
   • 使用可选 -out 参数可以为计划指定输出文件。 使用 -out 参数可以确保所查看的计划与所应用的计划完全一致。

2. 运行 terraform apply 来应用执行计划。

   terraform apply main.destroy.tfplan
   

Azure 上的 Terraform 故障排除

排查在 Azure 上使用 Terraform 时遇到的常见问题。

后续步骤