Vysvětlení funkce konfigurace počítače ve službě Azure Automanage

Poznámka

Azure Policy konfigurace hosta se teď nazývá Konfigurace počítače Azure Automanage. Přečtěte si další informace o nedávném přejmenování služeb microsoftu pro správu konfigurace.

Funkce konfigurace počítačů Azure Policy poskytuje nativní možnost auditovat nebo konfigurovat nastavení operačního systému jako kód pro počítače spuštěné v Azure a počítače s hybridní podporou Arc. Funkci můžete použít přímo pro jednotlivé počítače nebo ji orchestrovat ve velkém měřítku pomocí Azure Policy.

Prostředky konfigurace v Azure jsou navržené jako prostředek rozšíření. Každou konfiguraci si můžete představit jako další sadu vlastností počítače. Konfigurace můžou zahrnovat nastavení, jako jsou:

  • Nastavení operačního systému
  • Konfigurace nebo přítomnost aplikací
  • Nastavení prostředí

Konfigurace se liší od definic zásad. Konfigurace počítače používá Azure Policy k dynamickému přiřazování konfigurací počítačům. Konfigurace můžete počítačům přiřadit také ručně nebo pomocí jiných služeb Azure, jako je Automanage.

Příklady jednotlivých scénářů jsou uvedeny v následující tabulce.

Typ Popis Příklad scénáře
Správa konfigurace Chcete kompletní reprezentaci serveru jako kódu ve správě zdrojového kódu. Nasazení by mělo zahrnovat vlastnosti serveru (velikost, síť, úložiště) a konfiguraci nastavení operačního systému a aplikace. "Tento počítač by měl být webový server nakonfigurovaný pro hostování mého webu."
Dodržování předpisů Chcete auditovat nebo nasadit nastavení pro všechny počítače v oboru, a to buď reaktivně na existující počítače, nebo proaktivně na nové počítače při jejich nasazení. Všechny počítače by měly používat protokol TLS 1.2. Auditovat existující počítače, abych mohl (řízeným způsobem) ve velkém vydávat změny tam, kde je to potřeba. U nových počítačů vynucujte nastavení při jejich nasazení.

Výsledky jednotlivých nastavení z konfigurací můžete zobrazit na stránce Přiřazení hostů. Pokud je konfigurace orchestrovaná Azure Policy přiřazení, můžete na stránce Podrobnosti o dodržování předpisů vybrat odkaz Naposledy vyhodnocený prostředek.

K dispozici je video s návodem k tomuto dokumentu. (Připravujeme aktualizaci)

Povolení konfigurace počítače

Pokud chcete spravovat stav počítačů ve vašem prostředí, včetně počítačů v Azure a serverů s podporou Arc, projděte si následující podrobnosti.

Poskytovatel prostředků

Než budete moct použít funkci konfigurace počítače Azure Policy, musíte zaregistrovat Microsoft.GuestConfiguration poskytovatele prostředků. Pokud se přiřazení zásad konfigurace počítače provádí prostřednictvím portálu nebo pokud je předplatné zaregistrované v Microsoft Defender for Cloud, poskytovatel prostředků se zaregistruje automaticky. Zaregistrovat se můžete ručně prostřednictvím portálu, Azure PowerShell nebo Azure CLI.

Požadavky na nasazení pro virtuální počítače Azure

Pokud chcete spravovat nastavení uvnitř počítače, musí být povolené rozšíření virtuálního počítače a počítač musí mít identitu spravovanou systémem. Rozšíření stáhne příslušná přiřazení konfigurace počítačů a odpovídající závislosti. Identita se používá k ověření počítače při čtení a zápisu do služby konfigurace počítače. U serverů s podporou služby Arc se toto rozšíření nevyžaduje, protože je součástí agenta Arc Connected Machine Agent.

Důležité

Ke správě virtuálních počítačů Azure se vyžaduje rozšíření konfigurace počítače a spravovaná identita.

Pokud chcete rozšíření nasadit ve velkém na mnoho počítačů, přiřaďte iniciativu zásad.Virtual machines' Guest Configuration extension should be deployed with system-assigned managed identity do skupiny pro správu, předplatného nebo skupiny prostředků obsahující počítače, které chcete spravovat.

Pokud dáváte přednost nasazení rozšíření a spravované identity do jednoho počítače, postupujte podle pokynů pro každý z nich:

Pokud chcete používat konfigurační balíčky počítačů, které používají konfigurace, vyžaduje se rozšíření konfigurace hosta virtuálního počítače Azure verze 1.26.24 nebo novější.

Limity nastavené pro rozšíření

Aby rozšíření nemohlo ovlivnit aplikace spuštěné na počítači, nesmí agent konfigurace počítače překročit 5 % procesoru. Toto omezení platí pro předdefinované i vlastní definice. Totéž platí pro službu konfigurace počítače v agentu Připojeného počítače Arc.

Nástroje pro ověřování

Agent konfigurace počítače uvnitř počítače používá k provádění úloh místní nástroje.

V následující tabulce najdete seznam místních nástrojů, které se používají v jednotlivých podporovaných operačních systémech. U integrovaného obsahu se tyto nástroje načítají automaticky pomocí konfigurace počítače.

Operační systém Nástroj pro ověřování Poznámky
Windows PowerShell Desired State Configuration v3 Nainstaluje se bokem do složky, kterou používá pouze služba Azure Policy. Není v konfliktu s Windows PowerShell DSC. PowerShell není přidaný do systémové cesty.
Linux PowerShell Desired State Configuration v3 Nainstaluje se bokem do složky, kterou používá pouze služba Azure Policy. PowerShell není přidaný do systémové cesty.
Linux Chef InSpec Nainstaluje Chef InSpec verze 2.2.61 do výchozího umístění a přidá ho do systémové cesty. Nainstaluje také závislosti InSpec, včetně Ruby a Pythonu.

Frekvence ověřování

Agent konfigurace počítače kontroluje nová nebo změněná přiřazení hostů každých 5 minut. Po přijetí přiřazení hosta se nastavení pro tuto konfiguraci znovu zkontroluje v 15minutovém intervalu. Pokud je přiřazeno více konfigurací, vyhodnocuje se každá z nich sekvenčně. Dlouhotrvající konfigurace ovlivňují interval všech konfigurací, protože další se nespustí, dokud se nedokončí předchozí konfigurace.

Po dokončení auditu se výsledky odešlou do služby konfigurace počítače. Když dojde k triggeru vyhodnocení zásad, stav počítače se zapíše do poskytovatele prostředků konfigurace počítače. Tato aktualizace způsobí, že Azure Policy vyhodnotí vlastnosti Resource Manager Azure. Vyhodnocení Azure Policy na vyžádání načte nejnovější hodnotu od poskytovatele prostředků konfigurace počítače. Neaktivuje ale novou aktivitu v rámci počítače. Stav se pak zapíše do Azure Resource Graph.

Podporované typy klientů

Definice zásad konfigurace počítače zahrnují nové verze. Starší verze operačních systémů dostupné v Azure Marketplace jsou vyloučené, pokud klient konfigurace hosta není kompatibilní. Následující tabulka uvádí seznam podporovaných operačních systémů v imagích Azure. Text .x je symbolický, aby představoval nové podverze linuxových distribucí.

Publisher Název Verze
Alma AlmaLinux 9
Amazon Linux 2
Canonical Ubuntu Server 14.04–22.x
Credativ Debian 8–10.x
Microsoft CBL-Mariner 1 - 2
Microsoft Klient Windows Windows 10
Microsoft Windows Server 2012–2022
Oracle Oracle-Linux 7.x –8.x
OpenLogic CentOS 7.3 – 8.x
Red Hat Red Hat Enterprise Linux* 7.4 –9.x
Rocky Rocky Linux 9
SUSE SLES 12 SP3–SP5, 15.x

* Red Hat CoreOS se nepodporuje.

Definice zásad konfigurace počítače podporují vlastní image virtuálních počítačů, pokud jsou jedním z operačních systémů v předchozí tabulce.

Síťové požadavky

Virtuální počítače Azure můžou ke komunikaci se službou konfigurace počítače používat místní virtuální síťový adaptér (vNIC) nebo Azure Private Link.

Počítače s podporou Azure Arc se připojují pomocí místní síťové infrastruktury, aby se dostaly ke službám Azure a hlásily stav dodržování předpisů.

Následuje seznam koncových bodů služby Azure Storage požadovaných pro komunikaci virtuálních počítačů Azure a Azure Arc s poskytovatelem prostředků konfigurace počítače v Azure:

  • oaasguestconfigac2s1.blob.core.windows.net
  • oaasguestconfigacs1.blob.core.windows.net
  • oaasguestconfigaes1.blob.core.windows.net
  • oaasguestconfigases1.blob.core.windows.net
  • oaasguestconfigbrses1.blob.core.windows.net
  • oaasguestconfigbrss1.blob.core.windows.net
  • oaasguestconfigccs1.blob.core.windows.net
  • oaasguestconfigces1.blob.core.windows.net
  • oaasguestconfigcids1.blob.core.windows.net
  • oaasguestconfigcuss1.blob.core.windows.net
  • oaasguestconfigeaps1.blob.core.windows.net
  • oaasguestconfigeas1.blob.core.windows.net
  • oaasguestconfigeus2s1.blob.core.windows.net
  • oaasguestconfigeuss1.blob.core.windows.net
  • oaasguestconfigfcs1.blob.core.windows.net
  • oaasguestconfigfss1.blob.core.windows.net
  • oaasguestconfiggewcs1.blob.core.windows.net
  • oaasguestconfiggns1.blob.core.windows.net
  • oaasguestconfiggwcs1.blob.core.windows.net
  • oaasguestconfigjiws1.blob.core.windows.net
  • oaasguestconfigjpes1.blob.core.windows.net
  • oaasguestconfigjpws1.blob.core.windows.net
  • oaasguestconfigkcs1.blob.core.windows.net
  • oaasguestconfigkss1.blob.core.windows.net
  • oaasguestconfigncuss1.blob.core.windows.net
  • oaasguestconfignes1.blob.core.windows.net
  • oaasguestconfignres1.blob.core.windows.net
  • oaasguestconfignrws1.blob.core.windows.net
  • oaasguestconfigqacs1.blob.core.windows.net
  • oaasguestconfigsans1.blob.core.windows.net
  • oaasguestconfigscuss1.blob.core.windows.net
  • oaasguestconfigseas1.blob.core.windows.net
  • oaasguestconfigsecs1.blob.core.windows.net
  • oaasguestconfigsfns1.blob.core.windows.net
  • oaasguestconfigsfws1.blob.core.windows.net
  • oaasguestconfigsids1.blob.core.windows.net
  • oaasguestconfigstzns1.blob.core.windows.net
  • oaasguestconfigswcs1.blob.core.windows.net
  • oaasguestconfigswns1.blob.core.windows.net
  • oaasguestconfigswss1.blob.core.windows.net
  • oaasguestconfigswws1.blob.core.windows.net
  • oaasguestconfiguaecs1.blob.core.windows.net
  • oaasguestconfiguaens1.blob.core.windows.net
  • oaasguestconfigukss1.blob.core.windows.net
  • oaasguestconfigukws1.blob.core.windows.net
  • oaasguestconfigwcuss1.blob.core.windows.net
  • oaasguestconfigwes1.blob.core.windows.net
  • oaasguestconfigwids1.blob.core.windows.net
  • oaasguestconfigwus2s1.blob.core.windows.net
  • oaasguestconfigwus3s1.blob.core.windows.net
  • oaasguestconfigwuss1.blob.core.windows.net

Komunikace přes virtuální sítě v Azure

Ke komunikaci s poskytovatelem prostředků konfigurace počítače v Azure vyžadují počítače odchozí přístup k datovým centrům Azure na portu 443*. Pokud síť v Azure nepovoluje odchozí provoz, nakonfigurujte výjimky pomocí pravidel skupiny zabezpečení sítě . ZnačkyAzureArcInfrastructure služby a Storage se dají použít k odkazování na konfiguraci hosta a služby Storage místo ruční údržby seznamu rozsahů IP adres pro datacentra Azure. Obě značky jsou povinné, protože Azure Storage hostuje balíčky obsahu konfigurace počítače.

Virtuální počítače můžou ke komunikaci se službou konfigurace počítače používat privátní propojení . Pokud chcete tuto funkci povolit, použijte značku s názvem EnablePrivateNetworkGC a hodnotou TRUE . Značku je možné použít před nebo po použití definic zásad konfigurace počítače na počítač.

Důležité

Pokud chcete komunikovat s vlastními balíčky přes privátní propojení, musí být odkaz na umístění balíčku přidán do seznamu povolených adres URL.

Provoz se směruje pomocí virtuální veřejné IP adresy Azure k vytvoření zabezpečeného a ověřeného kanálu s prostředky platformy Azure.

Komunikace přes veřejné koncové body mimo Azure

Servery umístěné místně nebo v jiných cloudech je možné spravovat pomocí konfigurace počítače jejich připojením ke službě Azure Arc.

U serverů s podporou Azure Arc povolte provoz pomocí následujících vzorů:

  • Port: Vyžaduje se pouze port TCP 443 pro odchozí internetový přístup.
  • Globální adresa URL: *.guestconfiguration.azure.com

Úplný seznam všech síťových koncových bodů vyžadovaných agentem připojeného počítače Azure pro základní scénáře azure arc a konfigurace počítačů najdete v tématu Požadavky na síť serverů s podporou Azure Arc .

Pokud používáte privátní propojení se servery s podporou Arc, předdefinované balíčky zásad se automaticky stáhnou přes privátní propojení. Pokud chcete tuto funkci povolit, nemusíte na serveru s podporou Arc nastavovat žádné značky.

Přiřazování zásad k počítačům mimo Azure

Definice zásad auditu dostupné pro konfiguraci počítače zahrnují typ prostředku Microsoft.HybridCompute/machines . Automaticky se zahrnou všechny počítače onboardované na servery s podporou Azure Arc , které jsou v oboru přiřazení zásad.

Požadavky na spravovanou identitu

Definice zásad v iniciativě Deploy prerequisites to enable guest configuration policies on virtual machines umožňují spravovanou identitu přiřazenou systémem, pokud neexistuje. V iniciativě jsou dvě definice zásad, které spravují vytváření identit. Podmínky if v definicích zásad zajišťují správné chování na základě aktuálního stavu prostředku počítače v Azure.

Důležité

Tyto definice kromě existujících identit User-Assigned (pokud existují) vytvoří na cílových prostředcích System-Assigned spravovanou identitu. U existujících aplikací, pokud v požadavku nezadají identitu User-Assigned, počítač místo toho použije System-Assigned Identity. Další informace

Pokud počítač aktuálně nemá žádné spravované identity, platí zásada: Přidání spravované identity přiřazené systémem, která povolí přiřazení konfigurace hosta na virtuálních počítačích bez identit.

Pokud má počítač aktuálně identitu systému přiřazenou uživatelem, platná zásada je: Přidání spravované identity přiřazené systémem, která povolí přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem.

Dostupnost

Zákazníci, kteří navrhují řešení s vysokou dostupností, by měli zvážit požadavky na plánování redundance pro virtuální počítače , protože přiřazení hostů jsou rozšířením prostředků počítačů v Azure. Když jsou prostředky přiřazení hostů zřízené v oblasti Azure, která je spárovaná, můžete zobrazit sestavy přiřazení hostů, pokud je v páru dostupná alespoň jedna oblast. Pokud oblast Azure není spárovaná a stane se nedostupnou, nebudete mít přístup k sestavám pro přiřazení hosta. Po obnovení oblasti budete mít k sestavám znovu přístup.

Osvědčeným postupem je přiřadit stejné definice zásad se stejnými parametry všem počítačům v řešení pro vysoce dostupné aplikace. To platí zejména pro scénáře, kdy se virtuální počítače zřizují ve skupinách dostupnosti za řešením nástroje pro vyrovnávání zatížení. Přiřazení jedné zásady, které zahrnuje všechny počítače, má nejnižší administrativní režii.

U počítačů chráněných službou Azure Site Recovery se ujistěte, že jsou počítače v primární a sekundární lokalitě v rozsahu Azure Policy přiřazení pro stejné definice. Pro oba weby použijte stejné hodnoty parametrů.

Rezidence dat

Konfigurace počítače ukládá a zpracovává zákaznická data. Ve výchozím nastavení se zákaznická data replikují do spárované oblasti. Pro oblasti Singapur, Brazílie – jih a Východní Asie se všechna zákaznická data ukládají a zpracovávají v této oblasti.

Řešení potíží s konfigurací počítače

Další informace o řešení potíží s konfigurací počítače najdete v tématu Azure Policy řešení potíží.

Více přiřazení

V tuto chvíli podporují více přiřazení jenom některé definice zásad konfigurace předdefinovaných počítačů. Všechny vlastní zásady ale ve výchozím nastavení podporují více přiřazení, pokud jste k vytvoření konfiguračních balíčků a zásad počítače použili nejnovější verzi modulu PowerShellu GuestConfiguration .

Následuje seznam definic předdefinovaných zásad konfigurace počítačů, které podporují více přiřazení:

ID DisplayName
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce Místní metody ověřování by měly být na Windows Serverech zakázané.
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a Místní metody ověřování by měly být na počítačích s Linuxem zakázané.
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 [Preview]: Přidání spravované identity přiřazené uživatelem pro povolení přiřazení konfigurace hosta na virtuálních počítačích
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 [Preview]: Počítače s Linuxem by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure.
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c [Preview]: Počítače s Windows by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure.
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f [Preview]: Počítače s Linuxem s nainstalovaným OMI by měly mít verzi 1.6.8-1 nebo novější.
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b Audit počítačů s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd Audit počítačů s Windows, na kterých konfigurace DSC nevyhovuje předpisům
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 Auditování počítačů s Windows, které nemají zadané zásady spouštění Windows PowerShell
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 Audit počítačů s Windows, které nemají nainstalované zadané Windows PowerShell moduly
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb Audit počítačů s Windows, na kterých není povolená sériová konzola Windows
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df Audit počítačů s Windows, na kterých nejsou nainstalované zadané služby, a "Spuštěné"
/providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 Audit počítačů s Windows, které nejsou nastavené na zadané časové pásmo

Poznámka

Na této stránce pravidelně vyhledejte aktualizace seznamu předdefinovaných definic zásad konfigurace počítačů, které podporují více přiřazení.

Přiřazení ke skupinám pro správu Azure

Azure Policy definice v kategorii Guest Configuration lze přiřadit skupinám pro správu, pokud je AuditIfNotExists efekt nebo DeployIfNotExists.

Soubory protokolu klienta

Rozšíření konfigurace počítače zapisuje soubory protokolů do následujících umístění:

Windows

  • Virtuální počítač Azure: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
  • Server s podporou arc: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Linux

  • Virtuální počítač Azure: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Server s podporou arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Vzdálené shromažďování protokolů

Prvním krokem při řešení potíží s konfiguracemi nebo moduly počítačů by mělo být použití rutin podle kroků v tématu Testování artefaktů balíčků konfigurace počítače. Pokud se to nepodaří, může shromažďování klientských protokolů pomoct s diagnostikou problémů.

Windows

Zachytávání informací ze souborů protokolu pomocí příkazu Spuštění virtuálního počítače Azure může být užitečné následující ukázkový skript PowerShellu.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch  = 10
$params = @{
    Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
    Pattern = @(
        'DSCEngine'
        'DSCManagedEngine'
    )
    CaseSensitive = $true
    Context = @(
        $linesToIncludeBeforeMatch
        $linesToIncludeAfterMatch
    )
}
Select-String @params | Select-Object -Last 10

Linux

Zachyťte informace ze souborů protokolu pomocí příkazu Spuštění virtuálního počítače Azure. Užitečný může být následující ukázkový skript Bash.

LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail

Soubory agenta

Agent konfigurace počítače stáhne balíčky obsahu do počítače a extrahuje obsah. Pokud chcete ověřit, jaký obsah se stáhl a uložil, zobrazte umístění složek v následujícím seznamu.

  • Windows: C:\ProgramData\guestconfig\configuration
  • Linux: /var/lib/GuestConfig/Configuration

Funkce opensourcového modulu nxtools

Byl vydán nový opensourcový modul nxtools , který uživatelům PowerShellu usnadní správu systémů Linux.

Modul pomáhá při správě běžných úloh, jako jsou:

  • Správa uživatelů a skupin
  • Provádění operací se systémem souborů
  • Správa služeb
  • Provádění operací archivace
  • Správa balíčků

Modul obsahuje prostředky DSC založené na třídách pro Linux a předdefinované balíčky konfigurace počítačů.

Pokud chcete poskytnout zpětnou vazbu k této funkci, otevřete problém v dokumentaci. V současné době nepřijímáme žádosti o přijetí změn pro tento projekt a podpora je maximální úsilí.

Ukázky konfigurace počítače

Ukázky předdefinovaných zásad konfigurace počítače jsou k dispozici v následujících umístěních:

Další kroky