Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Upozornění
Tento článek odkazuje na CentOS, což je linuxová distribuce se stavem Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.
Funkce konfigurace počítače služby Azure Policy poskytuje nativní schopnost auditovat nebo konfigurovat nastavení operačního systému jako kód pro počítače spuštěné v Azure a hybridní počítače s podporou Arc. Tuto funkci můžete použít přímo pro jednotlivé počítače nebo ji orchestrovat ve velkém měřítku pomocí služby Azure Policy.
Prostředky konfigurace v Azure jsou navržené jako prostředek rozšíření. Každou konfiguraci si můžete představit jako další sadu vlastností počítače. Konfigurace můžou zahrnovat nastavení, jako jsou:
- Nastavení operačního systému
- Konfigurace nebo přítomnost aplikací
- Nastavení prostředí
Konfigurace se liší od definic zásad. Konfigurace počítače používá Azure Policy k dynamickému přiřazování konfigurací počítačům. Konfigurace můžete také přiřadit počítačům ručně.
Příklady jednotlivých scénářů najdete v následující tabulce.
| Typ | Popis | Příklad scénáře |
|---|---|---|
| Správa konfigurace | Chcete mít kompletní reprezentaci serveru uloženou jako kód ve správě verzí. Nasazení by mělo zahrnovat vlastnosti serveru (velikost, síť, úložiště) a konfiguraci operačního systému a nastavení aplikace. | "Tento počítač by měl být webový server nakonfigurovaný pro hostování mého webu." |
| Splnění předpisů | Chcete auditovat nebo nasadit nastavení pro všechny počítače v oboru, a to buď reaktivně na existující počítače, nebo proaktivně na nové počítače při jejich nasazení. | Všechny počítače by měly používat protokol TLS 1.2. Auditovat stávající stroje, abych mohl provést změny tam, kde je potřeba, řízeným způsobem ve větším měřítku. U nových počítačů vynucujte nastavení, když jsou nasazené." |
Na stránce Přiřazení hostů můžete zobrazit výsledky jednotlivých nastavení z konfigurací. Pokud je konfigurace orchestrace přiřazená službou Azure Policy, můžete na stránce Podrobnosti o dodržování předpisů vybrat odkaz Poslední vyhodnocený prostředek.
Poznámka:
Konfigurace počítače v současné době podporuje vytváření až 50 přiřazení hostů na počítač.
Režimy vynucení pro vlastní zásady
Aby bylo možné zajistit větší flexibilitu vynucování a monitorování nastavení serveru, aplikací a úloh, nabízí Konfigurace počítače tři hlavní režimy vynucení pro každé přiřazení zásad, jak je popsáno v následující tabulce.
| Režim | Popis |
|---|---|
| Kontrola | Pouze hlášení o stavu počítače |
| Použití a monitorování | Konfigurace byla aplikována na stroj a poté byla sledována kvůli změnám. |
| Použít a automatická oprava | Konfigurace použitá na počítač a vrácená zpět do souladu v případě posunu |
K dispozici je video s návodem k tomuto dokumentu. (Připravujeme aktualizaci)
Povolení konfigurace počítače
Pokud chcete spravovat stav počítačů ve vašem prostředí, včetně počítačů na serverech s podporou Azure a Arc, projděte si následující podrobnosti.
Poskytovatel prostředků
Než budete moct použít funkci konfigurace stroje služby Azure Policy, musíte zaregistrovat poskytovatele prostředků Microsoft.GuestConfiguration. Pokud se přiřazení zásad konfigurace počítače provádí prostřednictvím portálu nebo pokud je předplatné zaregistrované v programu Microsoft Defender for Cloud, poskytovatel prostředků se zaregistruje automaticky. Ručně se můžete zaregistrovat prostřednictvím portálu, Azure PowerShellu nebo Azure CLI.
Požadavky na nasazení pro virtuální počítače Azure
Pokud chcete spravovat nastavení uvnitř počítače, musí být povolené rozšíření virtuálního počítače a počítač musí mít identitu spravovanou systémem. Rozšíření stáhne příslušná přiřazení konfigurace počítače a odpovídající závislosti. Identita se používá k ověření počítače při čtení a zápisu do konfigurační služby počítače. U serverů s podporou služby Arc se toto rozšíření nevyžaduje, protože je součástí agenta Arc Connected Machine Agent.
Důležité
Ke správě virtuálních počítačů Azure se vyžaduje rozšíření konfigurace počítače a spravovaná identita.
Pokud chcete nasadit rozšíření ve velkém měřítku napříč mnoha počítači, přiřaďte iniciativu zásad.
Deploy prerequisites to enable Guest Configuration policies on virtual machines do skupiny pro správu, předplatného nebo skupiny prostředků, které obsahují počítače, jež plánujete spravovat.
Pokud dáváte přednost nasazení rozšíření a spravované identity do jednoho počítače, přečtěte si téma Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači pomocí webu Azure Portal.
Pokud chcete použít konfigurační balíčky počítače, které aplikují konfigurace, je potřeba zásuvný modul konfigurace hosta virtuálního počítače Azure verze 1.26.24 nebo novější.
Důležité
Vytvoření spravované identity nebo přiřazení zásady s rolí Přispěvatel prostředků konfigurace hosta jsou akce, které vyžadují příslušná oprávnění Azure RBAC pro jejich provedení. Další informace o Azure Policy a Azure RBAC najdete v tématu Řízení přístupu na základě role ve službě Azure Policy.
Omezení nastavená na rozšíření
Pokud chcete omezit rozšíření z ovlivnění aplikací spuštěných v počítači, agent konfigurace počítače nesmí překročit více než 5 % procesoru. Toto omezení platí pro předdefinované i vlastní definice. Totéž platí pro službu konfigurace počítače v agentu Arc Connected Machine.
Nástroje pro ověřování
V počítači agent konfigurace počítače používá k provádění úloh místní nástroje.
V následující tabulce najdete seznam místních nástrojů, které se používají v jednotlivých podporovaných operačních systémech. U integrovaného obsahu zpracovává konfigurace počítače automatické načítání těchto nástrojů.
| Operační systém | Nástroj pro ověřování | Poznámky |
|---|---|---|
| Windows | Konfigurace požadovaného stavu PowerShellu | Instaluje se přímo do složky, kterou používá výhradně Azure Policy. Není v konfliktu s Windows PowerShell DSC. PowerShell není přidán do systémové cesty. |
| Operační systém Linux | Konfigurace požadovaného stavu PowerShellu | Instaluje se přímo do složky, kterou používá výhradně Azure Policy. PowerShell není přidán do systémové cesty. |
| Operační systém Linux | Chef InSpec | Nainstaluje Chef InSpec verze 2.2.61 do výchozího umístění a přidá ho do systémové cesty. Nainstaluje také závislosti InSpec, včetně Ruby a Pythonu. |
Frekvence ověřování
Agent konfigurace počítače každých 5 minut kontroluje nová nebo změněná přiřazení hostů. Po přijetí přiřazení hosta se nastavení této konfigurace znovu zkontroluje v 15minutovém intervalu. Pokud je přiřazeno více konfigurací, každý se vyhodnocuje postupně. Dlouhodobě probíhající konfigurace ovlivňují časový interval pro všechny konfigurace, protože další nemůže běžet, dokud předchozí konfigurace nedokončila.
Po dokončení auditu se výsledky odešlou do služby konfigurace počítače. Když dojde k triggeru vyhodnocení zásad, stav počítače se zapíše poskytovateli prostředků konfigurace počítače. Tato aktualizace způsobí, že Azure Policy vyhodnotí vlastnosti Azure Resource Manageru. Vyhodnocení Azure Policy na požádání načte aktuální hodnotu od poskytovatele prostředků pro konfiguraci počítače. Neaktivuje ale novou aktivitu v rámci počítače. Stav se pak zapíše do Azure Resource Graphu.
Podporované typy klientů
Definice zásad konfigurace počítače zahrnují nové verze. Starší verze operačních systémů, které jsou k dispozici na Azure Marketplace, jsou vyloučeny, pokud klient konfigurace hosta není kompatibilní. Kromě toho jsou verze serverů s Linuxem, které nejsou podporovány jejich příslušnými vydavateli, vyloučeny z matice podpory.
Následující tabulka uvádí seznam podporovaných operačních systémů v imagích Azure. Text .x je symbolický, aby představoval nové podverze linuxových distribucí.
| Vydavatel | Název | Verze |
|---|---|---|
| Matka živitelka | AlmaLinux | 9 |
| Amazonka | Operační systém Linux | 2 |
| Kanonický | Ubuntu Server | 16.04 - 24.x |
| Credativ | Debian | 10.x - 12.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Azure Linux | 3 |
| Microsoft | Klient Windows | Windows 10, 11 |
| Microsoft | Windows Server | 2012 - 2025 |
| Věštírna | Oracle-Linux | 7.x - 8.x |
| OpenLogic | Centos | 7.3 – 8.x |
| Red Hat | Red Hat Enterprise Linux* | 7,4 – 9,x |
| Skalnatý | Rocky Linux | 8 |
| SUSE | SLES | 12 SP5, 15.x |
* Red Hat CoreOS se nepodporuje.
Definice zásad konfigurace strojů podporují vlastní obrazy virtuálních počítačů, pokud patří mezi operační systémy uvedené v předchozí tabulce. Konfigurace počítače nepodporuje jednotné VMSS, ale podporuje VMSS Flex.
Síťové požadavky
Virtuální počítače Azure můžou ke komunikaci se službou konfigurace počítače použít buď místní virtuální síťový adaptér (vNIC), nebo Azure Private Link.
Počítače s podporou Azure Arc se připojují pomocí místní síťové infrastruktury, aby se dostaly ke službám Azure a hlásily stav dodržování předpisů.
Následující tabulka uvádí podporované koncové body pro počítače s podporou Azure a Azure Arc:
| Oblast | Zeměpisné oblasti | Adresa URL | Koncový bod úložiště |
|---|---|---|---|
| EastAsia | Asie a Tichomoří |
agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| jihovýchodní Asie | Asie a Tichomoří |
agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustrálieEast | Austrálie |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustrálieSoutheast | Austrálie |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| BrazílieSouth | Brazílie |
agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Střední Kanada | Kanada |
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaEast | Kanada |
agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ChinaEast2 | Čína |
agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn chne2-gas.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
| ČínaNorth | Čína |
chnn-gas.guestconfiguration.azure.cn agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
| ČínaNorth2 | Čína | agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
| ČínaNorth3 | Čína |
agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
| Severní Evropa | Evropa |
agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestEurope | Evropa |
we-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Francie – střed | Francie |
agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NěmeckoSever | Německo |
gen-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NěmeckoStředozápad | Německo |
agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralIndia | Indie | agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthIndia | Indie | agentserviceapi.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| IzraelCentral | Izrael |
agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com |
oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ItálieNorth | Itálie |
agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com |
oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanEast | Japonsko |
agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanWest | Japonsko |
agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| KoreaCentral | Korea |
agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| MexicoCentral | Mexiko |
agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Norsko Východ | Norsko |
agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com |
oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Polsko – střed | Polsko |
agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
| KatarCentral | Katar |
agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com |
oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaNorth | SouthAfrica | agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaWest | SouthAfrica | agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ŠpanělskoCentral | Španělsko |
agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com |
oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Švédsko – střed | Švédsko |
agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ŠvýcarskoNorth | Švýcarsko |
agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com stzn-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ŠvýcarskoWest | Švýcarsko |
agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| TaiwanNorth | Tchaj-wan |
twn-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Spojené arabské emiráty | Spojené arabské emiráty |
agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com |
oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UkSouth | Spojené království | agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UkWest | Spojené království |
agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS | USA | agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS2 | USA |
agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS | USA |
agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS2 | USA | agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS3 | USA |
agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Centrální jednotky (CENTRALUS) | USA | agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorthCentralUS | USA |
agentserviceapi.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com ncus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthCentralUS | USA | agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestCentralUS | USA |
agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| USGovArizona | Vláda USA |
agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
| USGovTexas | Vláda USA |
agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
| USGovVirginia | Vláda USA |
agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Komunikace přes virtuální sítě v Azure
Pokud chcete komunikovat s poskytovatelem prostředků konfigurace počítače v Azure, počítače vyžadují odchozí přístup k datacentrům Azure na portu 443*. Pokud síť v Azure nepovoluje odchozí provoz, nakonfigurujte výjimky s pravidly skupiny zabezpečení sítě. Značky AzureArcInfrastructure služeb a Storage lze je použít k odkazování na konfiguraci hosta a služby Storage místo ruční údržby seznamu rozsahů IP adres pro datacentra Azure. Obě značky se vyžadují, protože Azure Storage hostuje balíčky obsahu konfigurace počítače.
Komunikace přes Private Link v Azure
Virtuální počítače můžou pro komunikaci se službou konfigurace počítače používat privátní propojení .
Tuto funkci povolíte použitím značky s názvem EnablePrivateNetworkGC a hodnotou TRUE . Značku lze aplikovat na počítač buď před, nebo po aplikaci definic zásad konfigurace počítače.
Důležité
Aby bylo možné komunikovat přes privátní propojení pro vlastní balíčky, musí být odkaz na umístění balíčku přidán do seznamu povolených adres URL.
Provoz se směruje pomocí virtuální veřejné IP adresy Azure k vytvoření zabezpečeného ověřeného kanálu s prostředky platformy Azure.
Komunikace přes veřejné koncové body mimo Azure
Servery umístěné místně nebo v jiných cloudech je možné spravovat pomocí konfigurace počítače tím, že je připojíte ke službě Azure Arc.
Provoz na serverech povolených pro Službu Azure Arc umožněte podle následujících vzorů.
- Port: Vyžaduje se pouze port TCP 443 pro odchozí internetový přístup.
- Globální adresa URL:
*.guestconfiguration.azure.com
Úplný seznam všech koncových bodů sítě vyžadovaných agentem Azure Connected Machine Agent pro základní scénáře konfigurace azure Arc a počítačů najdete v požadavcích na síť serverů s podporou Azure Arc.
Komunikace přes Private Link mimo Azure
Pokud používáte privátní propojení se servery s podporou Arc, předdefinované balíčky zásad se automaticky stáhnou přes privátní propojení. Aby bylo možné tuto funkci povolit, nemusíte na serveru podporujícím Arc nastavovat žádné značky.
Přiřazení zásad počítačům mimo Azure
Definice zásad auditu, které jsou k dispozici pro konfiguraci počítače, zahrnují typ prostředku Microsoft.HybridCompute/machines . Všechny počítače nasazené na servery s podporou Azure Arc, které jsou v oboru přiřazení zásad, se automaticky zahrnou.
Požadavky na spravovanou identitu
Definice zásad v iniciativě Deploy prerequisites to enable guest configuration policies on virtual machines umožňují spravovanou identitu přiřazenou systémem, pokud neexistuje. V iniciativě existují dvě definice zásad, které spravují vytváření identit. Podmínky if v definicích zásad zajišťují správné chování na základě aktuálního stavu prostředku počítače v Azure.
Důležité
Tyto definice vytvoří spravovanou identitu přiřazenou systémem na cílových prostředcích a kromě existujících identit přiřazených uživatelem (pokud existuje). Pro existující aplikace, pokud nezadají identitu přiřazenou uživatelem v požadavku, počítač místo toho použije identitu přiřazenou systémem. Další informace
Pokud počítač aktuálně nemá žádné spravované identity, efektivní zásada je: Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit
Pokud má počítač aktuálně systémovou identitu přiřazenou uživatelem, účinná zásada je: Přidat systémově přiřazenou spravovanou identitu pro umožnění přiřazení konfigurace hosta na VM s uživatelskou identitou
Dostupnost
Zákazníci, kteří navrhují vysoce dostupné řešení, by měli zvážit požadavky na plánování redundance pro virtuální počítače , protože přiřazení hostů jsou rozšířením prostředků počítačů v Azure. Když jsou prostředky přiřazení hostů zřízeny ve spárované oblasti Azure, můžete zobrazit sestavy přiřazení hostů, pokud je k dispozici aspoň jeden spárovaný region. Pokud oblast Azure není spárovaná a stane se nedostupnou, nemůžete získat přístup k sestavám pro přiřazení hosta. Po obnovení oblasti se k reportům dostanete znovu.
Osvědčeným postupem je přiřadit stejné definice zásad se stejnými parametry všem počítačům v řešení pro aplikace s vysokou dostupností. To platí zejména pro scénáře, kdy se virtuální počítače zřizují ve sadech dostupnosti za řešením pro vyrovnávání zatížení. Jedno přiřazení zásad, které zahrnuje všechny počítače, má nejmenší režii na správu.
U počítačů chráněných službou Azure Site Recovery se ujistěte, že jsou počítače v primární a sekundární lokalitě v rozsahu přiřazení služby Azure Policy pro stejné definice. Pro obě lokality použijte stejné hodnoty parametrů.
Umístění dat
Konfigurace počítače ukládá a zpracovává zákaznická data. Ve výchozím nastavení se zákaznická data replikují do spárované oblasti. V oblastech Singapur, Brazílie – jih a Východní Asie se všechna zákaznická data ukládají a zpracovávají v dané oblasti.
Řešení potíží s konfigurací počítače
Další informace o řešení potíží s konfigurací počítače najdete v tématu Řešení potíží se službou Azure Policy.
Více úkolů
V tuto chvíli podporují více přiřazení jenom některé předdefinované definice zásad konfigurace počítače. Všechny vlastní zásady ale ve výchozím nastavení podporují více přiřazení, pokud jste k vytvoření balíčků a zásad konfigurace počítače použili nejnovější verzi modulu PowerShellu Konfigurace hosta.
Následuje seznam předdefinovaných definic zásad konfigurace počítače, které podporují více přiřazení:
| Průkaz totožnosti | Zobrazované jméno |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Místní metody ověřování by měly být na Windows Serverech zakázané. |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Místní metody ověřování by měly být na počítačích s Linuxem zakázané. |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Preview]: Přidání uživatelsky přiřazené spravované identity ke umožnění přiřazení Guest Configuration na virtuálních počítačích |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Preview]: Počítače s Linuxem by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Preview]: Počítače s Windows by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Preview]: Počítače s Linuxem s nainstalovaným OMI by měly mít verzi 1.6.8-1 nebo novější. |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Auditovat počítače s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Auditování počítačů s Windows, na kterých konfigurace DSC nedodržuje předpisy |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Auditovat počítače s Windows, které nemají zadané zásady spouštění Windows PowerShellu |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Auditování počítačů s Windows, které nemají nainstalované zadané moduly Windows PowerShellu |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Auditovat počítače s Windows, na kterých není povolená sériová konzola systému Windows |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Provádějte audit počítačů s Windows, na kterých nejsou zadané služby nainstalovány a spuštěny. |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Auditovat počítače s Windows, které nejsou nastavené na zadané časové pásmo |
Poznámka:
Na této stránce pravidelně vyhledejte aktualizace seznamu předdefinovaných definic zásad konfigurace počítače, které podporují více přiřazení.
Přiřazení ke skupinám pro správu Azure
Definice Azure Policy v kategorii Guest Configuration lze přiřadit skupinám pro správu, pokud je efekt AuditIfNotExists nebo DeployIfNotExists.
Důležité
Když se v zásadách konfigurace počítače vytvoří výjimky ze zásad, bude nutné odstranit přidružené přiřazení hosta, aby se agentovi zabránilo ve skenování.
Soubory protokolu klienta
Rozšíření konfigurace systému zapisuje soubory protokolu do následujících umístění:
Windows
- Virtuální počítač Azure:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Server s podporou Arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Operační systém Linux
- Virtuální počítač Azure:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Server s podporou Arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Vzdálené shromažďování protokolů
Prvním krokem při řešení potíží s konfiguracemi počítačů nebo moduly by mělo být použití rutin podle kroků v Jak testovat artefakty balíčku konfigurace počítače. Pokud to není úspěšné, může vám s diagnostikou problémů pomoct shromažďování protokolů klienta.
Windows
Při zachycování informací ze souborů protokolu může být užitečný následující příklad skriptu PowerShellu využívajícího Azure VM Run Command.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Operační systém Linux
Zachyťte informace ze souborů protokolu pomocí Azure VM Run Command. Následující příklad skriptu Bash může být užitečný.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Soubory agenta
Agent konfigurace počítače stáhne balíčky obsahu do počítače a extrahuje obsah. Pokud chcete ověřit, jaký obsah se stáhl a uložil, zobrazte umístění složek v následujícím seznamu.
- Windows:
C:\ProgramData\guestconfig\configuration - Linux:
/var/lib/GuestConfig/Configuration
Funkce opensourcového modulu nxtools
Vydali jsme nový opensourcový modul nxtools, který uživatelům PowerShellu usnadní správu linuxových systémů.
Tento modul pomáhá při správě běžných úloh, jako jsou:
- Správa uživatelů a skupin
- Provádění operací systému souborů
- Správa služeb
- Provádění operací archivace
- Správa balíčků
Tento modul obsahuje prostředky DSC založené na třídách pro Linux a vestavěné balíčky pro konfiguraci počítačů.
Pokud chcete poskytnout zpětnou vazbu k této funkci, otevřete problém v dokumentaci. V současné době nepřijímáme PR pro tento projekt a podpora je poskytována podle nejlepšího úsilí.
Ukázky konfigurace počítače
Ukázky předdefinovaných zásad konfigurace počítače jsou k dispozici v následujících umístěních:
- Předdefinované definice zásad – Konfigurace hosta
- Integrované iniciativy – Konfigurace hosta
- Ukázky Azure Policy v úložišti GitHub
- Ukázkové moduly prostředků DSC
Další kroky
- Nastavte vlastní konfigurační balíček vývojové prostředí.
- Vytvořte balíčkový artefakt pro konfiguraci počítače.
- Otestujte artefakt balíčku z vašeho vývojového prostředí
- Pomocí modulu GuestConfiguration vytvořte definici služby Azure Policy pro správu vašeho prostředí ve velkém měřítku.
- Přiřazení vlastní definice zásad pomocí webu Azure Portal
- Zjistěte, jak zobrazit podrobnosti o dodržování předpisů v přiřazeních zásad konfigurace počítače.