Sdílet prostřednictvím


Principy konfigurace počítače Azure

Upozornění

Tento článek odkazuje na CentOS, což je linuxová distribuce se stavem Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Funkce konfigurace počítače služby Azure Policy poskytuje nativní schopnost auditovat nebo konfigurovat nastavení operačního systému jako kód pro počítače spuštěné v Azure a hybridní počítače s podporou Arc. Tuto funkci můžete použít přímo pro jednotlivé počítače nebo ji orchestrovat ve velkém měřítku pomocí služby Azure Policy.

Prostředky konfigurace v Azure jsou navržené jako prostředek rozšíření. Každou konfiguraci si můžete představit jako další sadu vlastností počítače. Konfigurace můžou zahrnovat nastavení, jako jsou:

  • Nastavení operačního systému
  • Konfigurace nebo přítomnost aplikací
  • Nastavení prostředí

Konfigurace se liší od definic zásad. Konfigurace počítače používá Azure Policy k dynamickému přiřazování konfigurací počítačům. Konfigurace můžete také přiřadit počítačům ručně.

Příklady jednotlivých scénářů najdete v následující tabulce.

Typ Popis Příklad scénáře
Správa konfigurace Chcete mít kompletní reprezentaci serveru uloženou jako kód ve správě verzí. Nasazení by mělo zahrnovat vlastnosti serveru (velikost, síť, úložiště) a konfiguraci operačního systému a nastavení aplikace. "Tento počítač by měl být webový server nakonfigurovaný pro hostování mého webu."
Splnění předpisů Chcete auditovat nebo nasadit nastavení pro všechny počítače v oboru, a to buď reaktivně na existující počítače, nebo proaktivně na nové počítače při jejich nasazení. Všechny počítače by měly používat protokol TLS 1.2. Auditovat stávající stroje, abych mohl provést změny tam, kde je potřeba, řízeným způsobem ve větším měřítku. U nových počítačů vynucujte nastavení, když jsou nasazené."

Na stránce Přiřazení hostů můžete zobrazit výsledky jednotlivých nastavení z konfigurací. Pokud je konfigurace orchestrace přiřazená službou Azure Policy, můžete na stránce Podrobnosti o dodržování předpisů vybrat odkaz Poslední vyhodnocený prostředek.

Poznámka:

Konfigurace počítače v současné době podporuje vytváření až 50 přiřazení hostů na počítač.

Režimy vynucení pro vlastní zásady

Aby bylo možné zajistit větší flexibilitu vynucování a monitorování nastavení serveru, aplikací a úloh, nabízí Konfigurace počítače tři hlavní režimy vynucení pro každé přiřazení zásad, jak je popsáno v následující tabulce.

Režim Popis
Kontrola Pouze hlášení o stavu počítače
Použití a monitorování Konfigurace byla aplikována na stroj a poté byla sledována kvůli změnám.
Použít a automatická oprava Konfigurace použitá na počítač a vrácená zpět do souladu v případě posunu

K dispozici je video s návodem k tomuto dokumentu. (Připravujeme aktualizaci)

Povolení konfigurace počítače

Pokud chcete spravovat stav počítačů ve vašem prostředí, včetně počítačů na serverech s podporou Azure a Arc, projděte si následující podrobnosti.

Poskytovatel prostředků

Než budete moct použít funkci konfigurace stroje služby Azure Policy, musíte zaregistrovat poskytovatele prostředků Microsoft.GuestConfiguration. Pokud se přiřazení zásad konfigurace počítače provádí prostřednictvím portálu nebo pokud je předplatné zaregistrované v programu Microsoft Defender for Cloud, poskytovatel prostředků se zaregistruje automaticky. Ručně se můžete zaregistrovat prostřednictvím portálu, Azure PowerShellu nebo Azure CLI.

Požadavky na nasazení pro virtuální počítače Azure

Pokud chcete spravovat nastavení uvnitř počítače, musí být povolené rozšíření virtuálního počítače a počítač musí mít identitu spravovanou systémem. Rozšíření stáhne příslušná přiřazení konfigurace počítače a odpovídající závislosti. Identita se používá k ověření počítače při čtení a zápisu do konfigurační služby počítače. U serverů s podporou služby Arc se toto rozšíření nevyžaduje, protože je součástí agenta Arc Connected Machine Agent.

Důležité

Ke správě virtuálních počítačů Azure se vyžaduje rozšíření konfigurace počítače a spravovaná identita.

Pokud chcete nasadit rozšíření ve velkém měřítku napříč mnoha počítači, přiřaďte iniciativu zásad. Deploy prerequisites to enable Guest Configuration policies on virtual machines do skupiny pro správu, předplatného nebo skupiny prostředků, které obsahují počítače, jež plánujete spravovat.

Pokud dáváte přednost nasazení rozšíření a spravované identity do jednoho počítače, přečtěte si téma Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači pomocí webu Azure Portal.

Pokud chcete použít konfigurační balíčky počítače, které aplikují konfigurace, je potřeba zásuvný modul konfigurace hosta virtuálního počítače Azure verze 1.26.24 nebo novější.

Důležité

Vytvoření spravované identity nebo přiřazení zásady s rolí Přispěvatel prostředků konfigurace hosta jsou akce, které vyžadují příslušná oprávnění Azure RBAC pro jejich provedení. Další informace o Azure Policy a Azure RBAC najdete v tématu Řízení přístupu na základě role ve službě Azure Policy.

Omezení nastavená na rozšíření

Pokud chcete omezit rozšíření z ovlivnění aplikací spuštěných v počítači, agent konfigurace počítače nesmí překročit více než 5 % procesoru. Toto omezení platí pro předdefinované i vlastní definice. Totéž platí pro službu konfigurace počítače v agentu Arc Connected Machine.

Nástroje pro ověřování

V počítači agent konfigurace počítače používá k provádění úloh místní nástroje.

V následující tabulce najdete seznam místních nástrojů, které se používají v jednotlivých podporovaných operačních systémech. U integrovaného obsahu zpracovává konfigurace počítače automatické načítání těchto nástrojů.

Operační systém Nástroj pro ověřování Poznámky
Windows Konfigurace požadovaného stavu PowerShellu Instaluje se přímo do složky, kterou používá výhradně Azure Policy. Není v konfliktu s Windows PowerShell DSC. PowerShell není přidán do systémové cesty.
Operační systém Linux Konfigurace požadovaného stavu PowerShellu Instaluje se přímo do složky, kterou používá výhradně Azure Policy. PowerShell není přidán do systémové cesty.
Operační systém Linux Chef InSpec Nainstaluje Chef InSpec verze 2.2.61 do výchozího umístění a přidá ho do systémové cesty. Nainstaluje také závislosti InSpec, včetně Ruby a Pythonu.

Frekvence ověřování

Agent konfigurace počítače každých 5 minut kontroluje nová nebo změněná přiřazení hostů. Po přijetí přiřazení hosta se nastavení této konfigurace znovu zkontroluje v 15minutovém intervalu. Pokud je přiřazeno více konfigurací, každý se vyhodnocuje postupně. Dlouhodobě probíhající konfigurace ovlivňují časový interval pro všechny konfigurace, protože další nemůže běžet, dokud předchozí konfigurace nedokončila.

Po dokončení auditu se výsledky odešlou do služby konfigurace počítače. Když dojde k triggeru vyhodnocení zásad, stav počítače se zapíše poskytovateli prostředků konfigurace počítače. Tato aktualizace způsobí, že Azure Policy vyhodnotí vlastnosti Azure Resource Manageru. Vyhodnocení Azure Policy na požádání načte aktuální hodnotu od poskytovatele prostředků pro konfiguraci počítače. Neaktivuje ale novou aktivitu v rámci počítače. Stav se pak zapíše do Azure Resource Graphu.

Podporované typy klientů

Definice zásad konfigurace počítače zahrnují nové verze. Starší verze operačních systémů, které jsou k dispozici na Azure Marketplace, jsou vyloučeny, pokud klient konfigurace hosta není kompatibilní. Kromě toho jsou verze serverů s Linuxem, které nejsou podporovány jejich příslušnými vydavateli, vyloučeny z matice podpory.

Následující tabulka uvádí seznam podporovaných operačních systémů v imagích Azure. Text .x je symbolický, aby představoval nové podverze linuxových distribucí.

Vydavatel Název Verze
Matka živitelka AlmaLinux 9
Amazonka Operační systém Linux 2
Kanonický Ubuntu Server 16.04 - 24.x
Credativ Debian 10.x - 12.x
Microsoft CBL-Mariner 1 - 2
Microsoft Azure Linux 3
Microsoft Klient Windows Windows 10, 11
Microsoft Windows Server 2012 - 2025
Věštírna Oracle-Linux 7.x - 8.x
OpenLogic Centos 7.3 – 8.x
Red Hat Red Hat Enterprise Linux* 7,4 – 9,x
Skalnatý Rocky Linux 8
SUSE SLES 12 SP5, 15.x

* Red Hat CoreOS se nepodporuje.

Definice zásad konfigurace strojů podporují vlastní obrazy virtuálních počítačů, pokud patří mezi operační systémy uvedené v předchozí tabulce. Konfigurace počítače nepodporuje jednotné VMSS, ale podporuje VMSS Flex.

Síťové požadavky

Virtuální počítače Azure můžou ke komunikaci se službou konfigurace počítače použít buď místní virtuální síťový adaptér (vNIC), nebo Azure Private Link.

Počítače s podporou Azure Arc se připojují pomocí místní síťové infrastruktury, aby se dostaly ke službám Azure a hlásily stav dodržování předpisů.

Následující tabulka uvádí podporované koncové body pro počítače s podporou Azure a Azure Arc:

Oblast Zeměpisné oblasti Adresa URL Koncový bod úložiště
EastAsia Asie a Tichomoří
agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com

oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
jihovýchodní Asie Asie a Tichomoří
agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com
sea-gas.guestconfiguration.azure.com

oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
AustrálieEast Austrálie
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com

oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
AustrálieSoutheast Austrálie
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com

oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
BrazílieSouth Brazílie
agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com

oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
Střední Kanada Kanada
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com
cc-gas.guestconfiguration.azure.com

oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
CanadaEast Kanada
agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com

oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ChinaEast2 Čína
agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn
chne2-gas.guestconfiguration.azure.cn
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn
ČínaNorth Čína
chnn-gas.guestconfiguration.azure.cn agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn
oaasguestconfigchnns2.blob.core.chinacloudapi.cn
ČínaNorth2 Čína agentserviceapi.guestconfiguration.azure.cn
chinanorth2-gas.guestconfiguration.azure.cn
chnn2-gas.guestconfiguration.azure.cn
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn
ČínaNorth3 Čína
agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn
Severní Evropa Evropa
agentserviceapi.guestconfiguration.azure.com
northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com

oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net
oaasguestconfigwcuss1.blob.core.windows.net
WestEurope Evropa
we-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com

oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net
oaasguestconfigwcuss1.blob.core.windows.net
Francie – střed Francie
agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com

oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
NěmeckoSever Německo
gen-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com
oaasguestconfiggens1.blob.core.windows.net
oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
NěmeckoStředozápad Německo
agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com
oaasguestconfiggens1.blob.core.windows.net
oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
CentralIndia Indie
agentserviceapi.guestconfiguration.azure.com
centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com

oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net
oaasguestconfigwcuss1.blob.core.windows.net
SouthIndia Indie
agentserviceapi.guestconfiguration.azure.com
southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com

oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net
oaasguestconfigwcuss1.blob.core.windows.net
IzraelCentral Izrael
agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com

oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ItálieNorth Itálie
agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com

oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
JapanEast Japonsko
agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com
jpe-gas.guestconfiguration.azure.com

oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
JapanWest Japonsko
agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com
jpw-gas.guestconfiguration.azure.com

oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
KoreaCentral Korea
agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com

oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
MexicoCentral Mexiko
agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com
mxc-gas.guestconfiguration.azure.com

oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
Norsko Východ Norsko
agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com
noe-gas.guestconfiguration.azure.com

oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
Polsko – střed Polsko
agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com
plc-gas.guestconfiguration.azure.com
oaasguestconfigwcuss1.blob.core.windows.net
KatarCentral Katar
agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com

oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
SouthAfricaNorth SouthAfrica agentserviceapi.guestconfiguration.azure.com
southafricanorth-gas.guestconfiguration.azure.com
san-gas.guestconfiguration.azure.com

oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
SouthAfricaWest SouthAfrica agentserviceapi.guestconfiguration.azure.com
southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com

oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ŠpanělskoCentral Španělsko
agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com

oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
Švédsko – střed Švédsko
agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com
swc-gas.guestconfiguration.azure.com

oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ŠvýcarskoNorth Švýcarsko
agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com
stzn-gas.guestconfiguration.azure.com

oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ŠvýcarskoWest Švýcarsko
agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com

oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
TaiwanNorth Tchaj-wan
twn-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com

oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
Spojené arabské emiráty Spojené arabské emiráty
agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com
uaen-gas.guestconfiguration.azure.com

oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
UkSouth Spojené království agentserviceapi.guestconfiguration.azure.com
uksouth-gas.guestconfiguration.azure.com
uks-gas.guestconfiguration.azure.com

oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
UkWest Spojené království
agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com

oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
EastUS USA
agentserviceapi.guestconfiguration.azure.com
eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
EastUS2 USA
agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com
eus2-gas.guestconfiguration.azure.com
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
WestUS USA
agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com
wus-gas.guestconfiguration.azure.com
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
WestUS2 USA agentserviceapi.guestconfiguration.azure.com
westus2-gas.guestconfiguration.azure.com
wus2-gas.guestconfiguration.azure.com
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
WestUS3 USA
agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
Centrální jednotky (CENTRALUS) USA agentserviceapi.guestconfiguration.azure.com
centralus-gas.guestconfiguration.azure.com
cus-gas.guestconfiguration.azure.com
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
NorthCentralUS USA
agentserviceapi.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com
ncus-gas.guestconfiguration.azure.com
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
SouthCentralUS USA agentserviceapi.guestconfiguration.azure.com
southcentralus-gas.guestconfiguration.azure.com
scus-gas.guestconfiguration.azure.com
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
WestCentralUS USA
agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
USGovArizona Vláda USA
agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us
oaasguestconfigusgas1.blob.core.usgovcloudapi.net
USGovTexas Vláda USA
agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us
usgt-gas.guestconfiguration.azure.us
oaasguestconfigusgts1.blob.core.usgovcloudapi.net
USGovVirginia Vláda USA
agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net

Komunikace přes virtuální sítě v Azure

Pokud chcete komunikovat s poskytovatelem prostředků konfigurace počítače v Azure, počítače vyžadují odchozí přístup k datacentrům Azure na portu 443*. Pokud síť v Azure nepovoluje odchozí provoz, nakonfigurujte výjimky s pravidly skupiny zabezpečení sítě. Značky AzureArcInfrastructure služeb a Storage lze je použít k odkazování na konfiguraci hosta a služby Storage místo ruční údržby seznamu rozsahů IP adres pro datacentra Azure. Obě značky se vyžadují, protože Azure Storage hostuje balíčky obsahu konfigurace počítače.

Virtuální počítače můžou pro komunikaci se službou konfigurace počítače používat privátní propojení . Tuto funkci povolíte použitím značky s názvem EnablePrivateNetworkGC a hodnotou TRUE . Značku lze aplikovat na počítač buď před, nebo po aplikaci definic zásad konfigurace počítače.

Důležité

Aby bylo možné komunikovat přes privátní propojení pro vlastní balíčky, musí být odkaz na umístění balíčku přidán do seznamu povolených adres URL.

Provoz se směruje pomocí virtuální veřejné IP adresy Azure k vytvoření zabezpečeného ověřeného kanálu s prostředky platformy Azure.

Komunikace přes veřejné koncové body mimo Azure

Servery umístěné místně nebo v jiných cloudech je možné spravovat pomocí konfigurace počítače tím, že je připojíte ke službě Azure Arc.

Provoz na serverech povolených pro Službu Azure Arc umožněte podle následujících vzorů.

  • Port: Vyžaduje se pouze port TCP 443 pro odchozí internetový přístup.
  • Globální adresa URL: *.guestconfiguration.azure.com

Úplný seznam všech koncových bodů sítě vyžadovaných agentem Azure Connected Machine Agent pro základní scénáře konfigurace azure Arc a počítačů najdete v požadavcích na síť serverů s podporou Azure Arc.

Pokud používáte privátní propojení se servery s podporou Arc, předdefinované balíčky zásad se automaticky stáhnou přes privátní propojení. Aby bylo možné tuto funkci povolit, nemusíte na serveru podporujícím Arc nastavovat žádné značky.

Přiřazení zásad počítačům mimo Azure

Definice zásad auditu, které jsou k dispozici pro konfiguraci počítače, zahrnují typ prostředku Microsoft.HybridCompute/machines . Všechny počítače nasazené na servery s podporou Azure Arc, které jsou v oboru přiřazení zásad, se automaticky zahrnou.

Požadavky na spravovanou identitu

Definice zásad v iniciativě Deploy prerequisites to enable guest configuration policies on virtual machines umožňují spravovanou identitu přiřazenou systémem, pokud neexistuje. V iniciativě existují dvě definice zásad, které spravují vytváření identit. Podmínky if v definicích zásad zajišťují správné chování na základě aktuálního stavu prostředku počítače v Azure.

Důležité

Tyto definice vytvoří spravovanou identitu přiřazenou systémem na cílových prostředcích a kromě existujících identit přiřazených uživatelem (pokud existuje). Pro existující aplikace, pokud nezadají identitu přiřazenou uživatelem v požadavku, počítač místo toho použije identitu přiřazenou systémem. Další informace

Pokud počítač aktuálně nemá žádné spravované identity, efektivní zásada je: Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit

Pokud má počítač aktuálně systémovou identitu přiřazenou uživatelem, účinná zásada je: Přidat systémově přiřazenou spravovanou identitu pro umožnění přiřazení konfigurace hosta na VM s uživatelskou identitou

Dostupnost

Zákazníci, kteří navrhují vysoce dostupné řešení, by měli zvážit požadavky na plánování redundance pro virtuální počítače , protože přiřazení hostů jsou rozšířením prostředků počítačů v Azure. Když jsou prostředky přiřazení hostů zřízeny ve spárované oblasti Azure, můžete zobrazit sestavy přiřazení hostů, pokud je k dispozici aspoň jeden spárovaný region. Pokud oblast Azure není spárovaná a stane se nedostupnou, nemůžete získat přístup k sestavám pro přiřazení hosta. Po obnovení oblasti se k reportům dostanete znovu.

Osvědčeným postupem je přiřadit stejné definice zásad se stejnými parametry všem počítačům v řešení pro aplikace s vysokou dostupností. To platí zejména pro scénáře, kdy se virtuální počítače zřizují ve sadech dostupnosti za řešením pro vyrovnávání zatížení. Jedno přiřazení zásad, které zahrnuje všechny počítače, má nejmenší režii na správu.

U počítačů chráněných službou Azure Site Recovery se ujistěte, že jsou počítače v primární a sekundární lokalitě v rozsahu přiřazení služby Azure Policy pro stejné definice. Pro obě lokality použijte stejné hodnoty parametrů.

Umístění dat

Konfigurace počítače ukládá a zpracovává zákaznická data. Ve výchozím nastavení se zákaznická data replikují do spárované oblasti. V oblastech Singapur, Brazílie – jih a Východní Asie se všechna zákaznická data ukládají a zpracovávají v dané oblasti.

Řešení potíží s konfigurací počítače

Další informace o řešení potíží s konfigurací počítače najdete v tématu Řešení potíží se službou Azure Policy.

Více úkolů

V tuto chvíli podporují více přiřazení jenom některé předdefinované definice zásad konfigurace počítače. Všechny vlastní zásady ale ve výchozím nastavení podporují více přiřazení, pokud jste k vytvoření balíčků a zásad konfigurace počítače použili nejnovější verzi modulu PowerShellu Konfigurace hosta.

Následuje seznam předdefinovaných definic zásad konfigurace počítače, které podporují více přiřazení:

Průkaz totožnosti Zobrazované jméno
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce Místní metody ověřování by měly být na Windows Serverech zakázané.
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a Místní metody ověřování by měly být na počítačích s Linuxem zakázané.
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 [Preview]: Přidání uživatelsky přiřazené spravované identity ke umožnění přiřazení Guest Configuration na virtuálních počítačích
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 [Preview]: Počítače s Linuxem by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure.
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c [Preview]: Počítače s Windows by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure.
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f [Preview]: Počítače s Linuxem s nainstalovaným OMI by měly mít verzi 1.6.8-1 nebo novější.
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b Auditovat počítače s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd Auditování počítačů s Windows, na kterých konfigurace DSC nedodržuje předpisy
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 Auditovat počítače s Windows, které nemají zadané zásady spouštění Windows PowerShellu
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 Auditování počítačů s Windows, které nemají nainstalované zadané moduly Windows PowerShellu
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb Auditovat počítače s Windows, na kterých není povolená sériová konzola systému Windows
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df Provádějte audit počítačů s Windows, na kterých nejsou zadané služby nainstalovány a spuštěny.
/providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 Auditovat počítače s Windows, které nejsou nastavené na zadané časové pásmo

Poznámka:

Na této stránce pravidelně vyhledejte aktualizace seznamu předdefinovaných definic zásad konfigurace počítače, které podporují více přiřazení.

Přiřazení ke skupinám pro správu Azure

Definice Azure Policy v kategorii Guest Configuration lze přiřadit skupinám pro správu, pokud je efekt AuditIfNotExists nebo DeployIfNotExists.

Důležité

Když se v zásadách konfigurace počítače vytvoří výjimky ze zásad, bude nutné odstranit přidružené přiřazení hosta, aby se agentovi zabránilo ve skenování.

Soubory protokolu klienta

Rozšíření konfigurace systému zapisuje soubory protokolu do následujících umístění:

Windows

  • Virtuální počítač Azure: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
  • Server s podporou Arc: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Operační systém Linux

  • Virtuální počítač Azure: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Server s podporou Arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Vzdálené shromažďování protokolů

Prvním krokem při řešení potíží s konfiguracemi počítačů nebo moduly by mělo být použití rutin podle kroků v Jak testovat artefakty balíčku konfigurace počítače. Pokud to není úspěšné, může vám s diagnostikou problémů pomoct shromažďování protokolů klienta.

Windows

Při zachycování informací ze souborů protokolu může být užitečný následující příklad skriptu PowerShellu využívajícího Azure VM Run Command.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch  = 10
$params = @{
    Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
    Pattern = @(
        'DSCEngine'
        'DSCManagedEngine'
    )
    CaseSensitive = $true
    Context = @(
        $linesToIncludeBeforeMatch
        $linesToIncludeAfterMatch
    )
}
Select-String @params | Select-Object -Last 10

Operační systém Linux

Zachyťte informace ze souborů protokolu pomocí Azure VM Run Command. Následující příklad skriptu Bash může být užitečný.

LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail

Soubory agenta

Agent konfigurace počítače stáhne balíčky obsahu do počítače a extrahuje obsah. Pokud chcete ověřit, jaký obsah se stáhl a uložil, zobrazte umístění složek v následujícím seznamu.

  • Windows: C:\ProgramData\guestconfig\configuration
  • Linux: /var/lib/GuestConfig/Configuration

Funkce opensourcového modulu nxtools

Vydali jsme nový opensourcový modul nxtools, který uživatelům PowerShellu usnadní správu linuxových systémů.

Tento modul pomáhá při správě běžných úloh, jako jsou:

  • Správa uživatelů a skupin
  • Provádění operací systému souborů
  • Správa služeb
  • Provádění operací archivace
  • Správa balíčků

Tento modul obsahuje prostředky DSC založené na třídách pro Linux a vestavěné balíčky pro konfiguraci počítačů.

Pokud chcete poskytnout zpětnou vazbu k této funkci, otevřete problém v dokumentaci. V současné době nepřijímáme PR pro tento projekt a podpora je poskytována podle nejlepšího úsilí.

Ukázky konfigurace počítače

Ukázky předdefinovaných zásad konfigurace počítače jsou k dispozici v následujících umístěních:

Další kroky