Principy konfigurace počítače Azure
Upozornění
Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.
Funkce konfigurace počítače služby Azure Policy poskytuje nativní schopnost auditovat nebo konfigurovat nastavení operačního systému jako kód pro počítače spuštěné v Azure a hybridní počítače s podporou Arc. Tuto funkci můžete použít přímo pro jednotlivé počítače nebo ji orchestrovat ve velkém měřítku pomocí služby Azure Policy.
Prostředky konfigurace v Azure jsou navržené jako prostředek rozšíření. Každou konfiguraci si můžete představit jako další sadu vlastností počítače. Konfigurace můžou zahrnovat nastavení, jako jsou:
- Nastavení operačního systému
- Konfigurace nebo přítomnost aplikací
- Nastavení prostředí
Konfigurace se liší od definic zásad. Konfigurace počítače používá Azure Policy k dynamickému přiřazování konfigurací počítačům. Ke počítačům můžete také přiřadit konfigurace ručně nebo pomocí jiných služeb Azure, jako je například Automanage.
Příklady jednotlivých scénářů najdete v následující tabulce.
| Typ | Popis | Příklad scénáře |
|---|---|---|
| Správa konfigurace | Chcete mít úplnou reprezentaci serveru jako kód ve správě zdrojového kódu. Nasazení by mělo zahrnovat vlastnosti serveru (velikost, síť, úložiště) a konfiguraci operačního systému a nastavení aplikace. | "Tento počítač by měl být webový server nakonfigurovaný pro hostování mého webu." |
| Splnění předpisů | Chcete auditovat nebo nasadit nastavení pro všechny počítače v oboru, a to buď reaktivně na existující počítače, nebo proaktivně na nové počítače při jejich nasazení. | Všechny počítače by měly používat protokol TLS 1.2. Auditovat stávající počítače, abych mohl uvolnit změny v místě, kde je potřeba, řízeným způsobem ve velkém. U nových počítačů vynucujte nastavení, když jsou nasazené." |
Výsledky nastavení můžete zobrazit z konfigurací na stránce Přiřazení hostů. Pokud je orchestrace konfigurace orchestrace přiřazená službou Azure Policy, můžete na stránce Podrobnosti o dodržování předpisů vybrat odkaz Poslední vyhodnocený prostředek.
K dispozici je video s návodem k tomuto dokumentu. (Připravujeme aktualizaci)
Povolení konfigurace počítače
Pokud chcete spravovat stav počítačů ve vašem prostředí, včetně počítačů na serverech s podporou Azure a Arc, projděte si následující podrobnosti.
Poskytovatel prostředků
Než budete moct použít funkci konfigurace počítače služby Azure Policy, musíte poskytovatele prostředků zaregistrovat Microsoft.GuestConfiguration . Pokud se přiřazení zásad konfigurace počítače provádí prostřednictvím portálu nebo pokud je předplatné zaregistrované v programu Microsoft Defender for Cloud, poskytovatel prostředků se zaregistruje automaticky. Ručně se můžete zaregistrovat prostřednictvím portálu, Azure PowerShellu nebo Azure CLI.
Požadavky na nasazení pro virtuální počítače Azure
Pokud chcete spravovat nastavení uvnitř počítače, musí být povolené rozšíření virtuálního počítače a počítač musí mít identitu spravovanou systémem. Rozšíření stáhne příslušná přiřazení konfigurace počítače a odpovídající závislosti. Identita se používá k ověření počítače při čtení a zápisu do konfigurační služby počítače. U serverů s podporou služby Arc se toto rozšíření nevyžaduje, protože je součástí agenta Arc Connected Machine Agent.
Důležité
Ke správě virtuálních počítačů Azure se vyžaduje rozšíření konfigurace počítače a spravovaná identita.
Pokud chcete nasadit rozšíření ve velkém měřítku napříč mnoha počítači, přiřaďte iniciativu zásad. Deploy prerequisites to enable Guest Configuration policies on virtual machines skupiny pro správu, předplatného nebo skupiny prostředků obsahující počítače, které chcete spravovat.
Pokud dáváte přednost nasazení rozšíření a spravované identity do jednoho počítače, přečtěte si téma Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači pomocí webu Azure Portal.
Pokud chcete použít konfigurační balíčky počítače, které používají konfigurace, je potřeba rozšíření konfigurace hosta virtuálního počítače Azure verze 1.26.24 nebo novější.
Omezení nastavená na rozšíření
Pokud chcete omezit rozšíření z ovlivnění aplikací spuštěných v počítači, agent konfigurace počítače nesmí překročit více než 5 % procesoru. Toto omezení platí pro předdefinované i vlastní definice. Totéž platí pro službu konfigurace počítače v agentu arc Připojení ed Machine.
Nástroje pro ověřování
V počítači agent konfigurace počítače používá k provádění úloh místní nástroje.
V následující tabulce najdete seznam místních nástrojů, které se používají v jednotlivých podporovaných operačních systémech. U integrovaného obsahu zpracovává konfigurace počítače automatické načítání těchto nástrojů.
| Operační systém | Nástroj pro ověřování | Notes |
|---|---|---|
| Windows | PowerShell Desired State Configuration v2 | Nainstaluje se bokem do složky, kterou používá pouze služba Azure Policy. Není v konfliktu s Windows PowerShell DSC. Do systémové cesty se nepřidá PowerShell. |
| Linux | PowerShell Desired State Configuration v3 | Nainstaluje se bokem do složky, kterou používá pouze služba Azure Policy. Do systémové cesty se nepřidá PowerShell. |
| Linux | Chef InSpec | Nainstaluje Chef InSpec verze 2.2.61 do výchozího umístění a přidá ho do systémové cesty. Nainstaluje také závislosti InSpec, včetně Ruby a Pythonu. |
Frekvence ověřování
Agent konfigurace počítače každých 5 minut kontroluje nová nebo změněná přiřazení hostů. Po přijetí přiřazení hosta se nastavení této konfigurace znovu zkontroluje v 15minutovém intervalu. Pokud je přiřazeno více konfigurací, každý se vyhodnocuje postupně. Dlouhotrvající konfigurace ovlivňují interval pro všechny konfigurace, protože další nejde spustit, dokud předchozí konfigurace nedokončí.
Po dokončení auditu se výsledky odešlou do služby konfigurace počítače. Když dojde k triggeru vyhodnocení zásad, stav počítače se zapíše poskytovateli prostředků konfigurace počítače. Tato aktualizace způsobí, že Azure Policy vyhodnotí vlastnosti Azure Resource Manageru. Vyhodnocení služby Azure Policy na vyžádání načte nejnovější hodnotu od poskytovatele prostředků konfigurace počítače. Neaktivuje ale novou aktivitu v rámci počítače. Stav se pak zapíše do Azure Resource Graphu.
Podporované typy klientů
Definice zásad konfigurace počítače zahrnují nové verze. Starší verze operačních systémů, které jsou k dispozici na Azure Marketplace, jsou vyloučeny, pokud klient konfigurace hosta není kompatibilní. Následující tabulka uvádí seznam podporovaných operačních systémů v imagích Azure. Text .x je symbolický, aby představoval nové podverze linuxových distribucí.
| Publisher | Název | Verze |
|---|---|---|
| Alma | AlmaLinux | 9 |
| Amazon | Linux | 2 |
| Canonical | Ubuntu Server | 14.04 - 22.x |
| Credativ | Debian | 8–10.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Klient Windows | Windows 10 |
| Microsoft | Windows Server | 2012–2022 |
| Oracle | Oracle-Linux | 7.x - 8.x |
| OpenLogic | CentOS | 7.3 – 8.x |
| Red Hat | Red Hat Enterprise Linux* | 7,4 – 9,x |
| Rocky | Rocky Linux | 9 |
| SUSE | SLES | 12 SP3–SP5, 15.x |
* Red Hat CoreOS se nepodporuje.
Definice zásad konfigurace počítače podporují vlastní image virtuálních počítačů, pokud jsou jedním z operačních systémů v předchozí tabulce.
Síťové požadavky
Virtuální počítače Azure můžou ke komunikaci se službou konfigurace počítače použít buď místní virtuální síťový adaptér (vNIC), nebo Azure Private Link.
Počítače s podporou Azure Arc se připojují pomocí místní síťové infrastruktury, aby se dostaly ke službám Azure a hlásily stav dodržování předpisů.
Následuje seznam koncových bodů služby Azure Storage vyžadovaných pro virtuální počítače s podporou Azure a Azure Arc ke komunikaci s poskytovatelem prostředků konfigurace počítače v Azure:
oaasguestconfigac2s1.blob.core.windows.netoaasguestconfigacs1.blob.core.windows.netoaasguestconfigaes1.blob.core.windows.netoaasguestconfigases1.blob.core.windows.netoaasguestconfigbrses1.blob.core.windows.netoaasguestconfigbrss1.blob.core.windows.netoaasguestconfigccs1.blob.core.windows.netoaasguestconfigces1.blob.core.windows.netoaasguestconfigcids1.blob.core.windows.netoaasguestconfigcuss1.blob.core.windows.netoaasguestconfigeaps1.blob.core.windows.netoaasguestconfigeas1.blob.core.windows.netoaasguestconfigeus2s1.blob.core.windows.netoaasguestconfigeuss1.blob.core.windows.netoaasguestconfigfcs1.blob.core.windows.netoaasguestconfigfss1.blob.core.windows.netoaasguestconfiggewcs1.blob.core.windows.netoaasguestconfiggns1.blob.core.windows.netoaasguestconfiggwcs1.blob.core.windows.netoaasguestconfigjiws1.blob.core.windows.netoaasguestconfigjpes1.blob.core.windows.netoaasguestconfigjpws1.blob.core.windows.netoaasguestconfigkcs1.blob.core.windows.netoaasguestconfigkss1.blob.core.windows.netoaasguestconfigncuss1.blob.core.windows.netoaasguestconfignes1.blob.core.windows.netoaasguestconfignres1.blob.core.windows.netoaasguestconfignrws1.blob.core.windows.netoaasguestconfigqacs1.blob.core.windows.netoaasguestconfigsans1.blob.core.windows.netoaasguestconfigscuss1.blob.core.windows.netoaasguestconfigseas1.blob.core.windows.netoaasguestconfigsecs1.blob.core.windows.netoaasguestconfigsfns1.blob.core.windows.netoaasguestconfigsfws1.blob.core.windows.netoaasguestconfigsids1.blob.core.windows.netoaasguestconfigstzns1.blob.core.windows.netoaasguestconfigswcs1.blob.core.windows.netoaasguestconfigswns1.blob.core.windows.netoaasguestconfigswss1.blob.core.windows.netoaasguestconfigswws1.blob.core.windows.netoaasguestconfiguaecs1.blob.core.windows.netoaasguestconfiguaens1.blob.core.windows.netoaasguestconfigukss1.blob.core.windows.netoaasguestconfigukws1.blob.core.windows.netoaasguestconfigwcuss1.blob.core.windows.netoaasguestconfigwes1.blob.core.windows.netoaasguestconfigwids1.blob.core.windows.netoaasguestconfigwus2s1.blob.core.windows.netoaasguestconfigwus3s1.blob.core.windows.netoaasguestconfigwuss1.blob.core.windows.net
Komunikace přes virtuální sítě v Azure
Pokud chcete komunikovat s poskytovatelem prostředků konfigurace počítače v Azure, počítače vyžadují odchozí přístup k datacentrům Azure na portu 443*. Pokud síť v Azure nepovoluje odchozí provoz, nakonfigurujte výjimky s pravidly skupiny zabezpečení sítě. Značky AzureArcInfrastructure služeb a Storage lze je použít k odkazování na konfiguraci hosta a služby Storage místo ruční údržby seznamu rozsahů IP adres pro datacentra Azure. Obě značky se vyžadují, protože Azure Storage hostuje balíčky obsahu konfigurace počítače.
Komunikace přes Private Link v Azure
Virtuální počítače můžou pro komunikaci se službou konfigurace počítače používat privátní propojení .
Tuto funkci povolíte použitím značky s názvem EnablePrivateNetworkGC a hodnotou TRUE . Značku lze použít před nebo po definicích zásad konfigurace počítače na počítač.
Důležité
Aby bylo možné komunikovat přes privátní propojení pro vlastní balíčky, musí být odkaz na umístění balíčku přidán do seznamu povolených adres URL.
Provoz se směruje pomocí virtuální veřejné IP adresy Azure k vytvoření zabezpečeného ověřeného kanálu s prostředky platformy Azure.
Komunikace přes veřejné koncové body mimo Azure
Servery umístěné místně nebo v jiných cloudech je možné spravovat pomocí konfigurace počítače tím, že je připojíte ke službě Azure Arc.
U serverů s podporou Služby Azure Arc povolte provoz pomocí následujících vzorů:
- Port: Vyžaduje se pouze port TCP 443 pro odchozí internetový přístup.
- Globální adresa URL:
*.guestconfiguration.azure.com
Úplný seznam všechkoncovýchch služeb Azure najdete v požadavcích na síť pro všechny koncové body sítě vyžadované agentem počítače Azure Připojení pro základní scénáře konfigurace Azure Arc a počítače.
Komunikace přes Private Link mimo Azure
Pokud používáte privátní propojení se servery s podporou Arc, předdefinované balíčky zásad se automaticky stáhnou přes privátní propojení. Pro povolení této funkce nemusíte na serveru s podporou Arc nastavovat žádné značky.
Přiřazení zásad počítačům mimo Azure
Definice zásad auditu, které jsou k dispozici pro konfiguraci počítače, zahrnují typ prostředku Microsoft.HybridCompute/machines . Všechny počítače nasazené na servery s podporou Azure Arc, které jsou v oboru přiřazení zásad, se automaticky zahrnou.
Požadavky na spravovanou identitu
Definice zásad v iniciativě Deploy prerequisites to enable guest configuration policies on virtual machines umožňují spravovanou identitu přiřazenou systémem, pokud neexistuje. V iniciativě existují dvě definice zásad, které spravují vytváření identit. Podmínky if v definicích zásad zajišťují správné chování na základě aktuálního stavu prostředku počítače v Azure.
Důležité
Tyto definice vytvoří spravovanou identitu přiřazenou systémem na cílových prostředcích a kromě existujících identit přiřazených uživatelem (pokud existuje). Pro existující aplikace, pokud nezadají identitu přiřazenou uživatelem v požadavku, počítač místo toho použije identitu přiřazenou systémem. Další informace
Pokud počítač aktuálně nemá žádné spravované identity, efektivní zásada je: Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit
Pokud má počítač aktuálně identitu systému přiřazenou uživatelem, efektivní zásada je: Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem
Dostupnost
Zákazníci, kteří navrhují vysoce dostupné řešení, by měli zvážit požadavky na plánování redundance pro virtuální počítače , protože přiřazení hostů jsou rozšířením prostředků počítačů v Azure. Když se prostředky přiřazení hostů zřídí do spárované oblasti Azure, můžete zobrazit sestavy přiřazení hostů, pokud je k dispozici aspoň jedna oblast v páru. Pokud oblast Azure není spárovaná a stane se nedostupnou, nemůžete získat přístup k sestavám pro přiřazení hosta. Po obnovení oblasti se k sestavám dostanete znovu.
Osvědčeným postupem je přiřadit stejné definice zásad se stejnými parametry všem počítačům v řešení pro aplikace s vysokou dostupností. To platí zejména pro scénáře, kdy se virtuální počítače zřizují ve skupinách dostupnosti za řešením nástroje pro vyrovnávání zatížení. Jedno přiřazení zásad, které zahrnuje všechny počítače, má nejmenší režii na správu.
U počítačů chráněných službou Azure Site Recovery se ujistěte, že jsou počítače v primární a sekundární lokalitě v rozsahu přiřazení služby Azure Policy pro stejné definice. Pro obě lokality použijte stejné hodnoty parametrů.
Umístění dat
Konfigurace počítače ukládá a zpracovává zákaznická data. Ve výchozím nastavení se zákaznická data replikují do spárované oblasti. V oblastech Singapur, Brazílie – jih a Východní Asie se všechna zákaznická data ukládají a zpracovávají v dané oblasti.
Řešení potíží s konfigurací počítače
Další informace o řešení potíží s konfigurací počítače najdete v tématu Řešení potíží se službou Azure Policy.
Více přiřazení
V tuto chvíli podporují více přiřazení jenom některé předdefinované definice zásad konfigurace počítače. Všechny vlastní zásady ale ve výchozím nastavení podporují více přiřazení, pokud jste k vytvoření balíčků a zásad konfigurace počítače použili nejnovější verzi modulu PowerShellu Konfigurace hosta.
Následuje seznam předdefinovaných definic zásad konfigurace počítače, které podporují více přiřazení:
| ID | DisplayName |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Místní metody ověřování by měly být na Windows Serverech zakázané. |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Místní metody ověřování by měly být na počítačích s Linuxem zakázané. |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Preview]: Přidání spravované identity přiřazené uživatelem pro povolení přiřazení konfigurace hosta na virtuálních počítačích |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Preview]: Počítače s Linuxem by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Preview]: Počítače s Windows by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Preview]: Počítače s Linuxem s nainstalovaným OMI by měly mít verzi 1.6.8-1 nebo novější. |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Auditovat počítače s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Auditování počítačů s Windows, na kterých konfigurace DSC nedodržuje předpisy |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Auditovat počítače s Windows, které nemají zadané zásady spouštění Windows PowerShellu |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Auditování počítačů s Windows, které nemají nainstalované zadané moduly Windows PowerShellu |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Auditovat počítače s Windows, na kterých není povolená sériová konzola systému Windows |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Auditujte počítače s Windows, na kterých nejsou zadané služby nainstalovány, a "Spuštěno". |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Auditovat počítače s Windows, které nejsou nastavené na zadané časové pásmo |
Poznámka:
Na této stránce pravidelně vyhledejte aktualizace seznamu předdefinovaných definic zásad konfigurace počítače, které podporují více přiřazení.
Přiřazení ke skupinám pro správu Azure
Definice služby Azure Policy v kategorii Guest Configuration je možné přiřadit skupinám pro správu, pokud je AuditIfNotExists účinek nebo DeployIfNotExists.
Soubory protokolu klienta
Rozšíření konfigurace počítače zapisuje soubory protokolu do následujících umístění:
Windows
- Virtuální počítač Azure:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Server s podporou arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Virtuální počítač Azure:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Server s podporou arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Vzdálené shromažďování protokolů
Prvním krokem při řešení potíží s konfiguracemi počítačů nebo moduly by měly být použití rutin podle kroků v tématu Testování artefaktů balíčku konfigurace počítače. Pokud to není úspěšné, může vám s diagnostikou problémů pomoct shromažďování protokolů klienta.
Windows
Zachytávání informací ze souborů protokolu pomocí příkazu Spuštění virtuálního počítače Azure může být užitečné v následujícím příkladu skriptu PowerShellu.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Zachytávání informací ze souborů protokolu pomocí příkazu Spuštění virtuálního počítače Azure může být užitečné v následujícím příkladu skriptu Bash.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Soubory agenta
Agent konfigurace počítače stáhne balíčky obsahu do počítače a extrahuje obsah. Pokud chcete ověřit, jaký obsah se stáhl a uložil, zobrazte umístění složek v následujícím seznamu.
- Windows:
C:\ProgramData\guestconfig\configuration - Linux:
/var/lib/GuestConfig/Configuration
Funkce opensourcového modulu nxtools
Vydali jsme nový opensourcový modul nxtools, který uživatelům PowerShellu usnadní správu linuxových systémů.
Tento modul pomáhá při správě běžných úloh, jako jsou:
- Správa uživatelů a skupin
- Provádění operací systému souborů
- Správa služeb
- Provádění operací archivace
- Správa balíčků
Tento modul obsahuje prostředky DSC založené na třídách pro linuxové a integrované konfigurační balíčky počítačů.
Pokud chcete poskytnout zpětnou vazbu k této funkci, otevřete problém v dokumentaci. V současné době nepřijímáme žádosti o přijetí změn pro tento projekt a podpora je nejlepší.
Ukázky konfigurace počítače
Ukázky předdefinovaných zásad konfigurace počítače jsou k dispozici v následujících umístěních:
- Předdefinované definice zásad – Konfigurace hosta
- Integrované iniciativy – Konfigurace hosta
- Ukázky úložiště GitHub pro Azure Policy
- Ukázkové moduly prostředků DSC
Další kroky
- Nastavte vývojové prostředí vlastního konfiguračního balíčku počítače.
- Vytvořte artefakt balíčku pro konfiguraci počítače.
- Test artefaktu balíčku ve vlastním vývojovém prostředí
- Pomocí modulu GuestConfiguration vytvořte definici služby Azure Policy pro správu vašeho prostředí ve velkém měřítku.
- Přiřazení vlastní definice zásad pomocí webu Azure Portal
- Zjistěte, jak zobrazit podrobnosti o dodržování předpisů pro přiřazení zásad konfigurace počítače.