Azure Arc を導入することで、Azure Policy をオンプレミスの環境でも使用することができるようになります。
Policy の割り当てや解除をすると、次のようなメッセージが表示され、変更が有効になるまで 30 分程度時間がかかることが表示されます。
評価の間隔にはいくつかの待機時間のパターンがあるようなので、情報を残しておきたいと思います。
ドキュメントレベルで確認をしており、Arc エージェントの実際のログからの確認は行っていません。
Azure Policy に関しての情報はいくつかありますが、評価 / 更新間隔について記載されているものは次の情報になるのではないでしょうか。
- 評価のトリガー (Azure Policy)
- Container / k8s については Azure Policy の効果 について評価タイミングも見ておくとよさそうでした。
- 検証の頻度 (Azure Automanage マシン構成 (Azure Policy ゲスト構成)
上記のドキュメントでは評価間隔について次のような記載があります。
- Azure Policy
- ポリシーまたはイニシアティブがスコープに新たに割り当てられる。 定義されたスコープに割り当てが適用されるまで、約 30 分かかります。
- Azure Resource Manager、REST API、またはサポート対象の SDK を介した割り当てで、リソースがスコープでデプロイまたは更新される。 このシナリオでは、個々のリソースに対する効果的なイベント (追加、監査、拒否、展開) とコンプライアンス ステータスの情報が、約 15 分後にポータルおよび SDKで利用可能です。
-
サブスクリプション (リソースの種類
Microsoft.Resource/subscriptions) が、サブスクリプション リソースの種類をターゲットとしたポリシー定義が割り当てられているMicrosoft.Resource/subscriptions内で、作成または移動されています。 サブスクリプションでサポートされている影響 (audit、auditIfNotExist、deployIfNotExists、modify)、ログ記録、および修復アクションの評価には、約 30 分かかります。 -
標準コンプライアンス評価サイクル。 24 時間に 1 回、割り当てが自動的に再評価されます。
- Azure Automanage マシン構成
- マシン構成エージェントによって、新しい、または変更されたゲスト割り当てが、5 分ごとにチェックされます。
- ゲスト割り当てを受信すると、その構成の設定が 15 分間隔でチェックされます。
実施する操作によって、5 分 / 15 分 / 30 分 / 24 時間というタクトがあります。
Policy の設定後には、実施した動作がどのタイミングで反映 / 評価されるものなのかを意識しておくと「なかなか反映されない」というような状態になった場合に、どの時間待機すればよいかの判断材料になるのではないでしょうか。
また、Azure Arc の場合、ポリシーの適用状況は使用される機能によって、確認箇所が変わりますが、「ポリシー」「マシン構成」のどちらかで確認することになるのではないでしょうか。
ポリシーの場合は「最終評価日時」
マシン構成の場合は「最終更新」
の情報から、「どのタイミングで評価された内容を基に準拠状態が判断されたか」を確認することができます。
上記の画面は「再起動要求の保留状態」という同一の情報を取得したものとなりますが、表示されている日時が違う (「2022/8/24 2:30」「2022/8/24 14:17」) ことが確認できます。
同一の情報を見ていますが、評価されている情報の日時が異なってますので、自分がどの画面を確認し、どの日時の情報によって、評価状況を判断したのかということも意識しておくとよいかと思いました。
「ポリシー」から確認した場合、評価されたのが直近でない場合は「Start-AzPolicyComplianceScan」を実行して、オンデマンドの評価を実施してみて状況がどう変わるかということも確認しておくとよさそうでした。