Vysvětlení funkce konfigurace počítače ve službě Azure Automanage
Poznámka
Azure Policy konfigurace hosta se teď nazývá Konfigurace počítače Azure Automanage. Přečtěte si další informace o nedávném přejmenování služeb microsoftu pro správu konfigurace.
Funkce konfigurace počítačů Azure Policy poskytuje nativní možnost auditovat nebo konfigurovat nastavení operačního systému jako kód pro počítače spuštěné v Azure a počítače s hybridní podporou Arc. Funkci můžete použít přímo pro jednotlivé počítače nebo ji orchestrovat ve velkém měřítku pomocí Azure Policy.
Prostředky konfigurace v Azure jsou navržené jako prostředek rozšíření. Každou konfiguraci si můžete představit jako další sadu vlastností počítače. Konfigurace můžou zahrnovat nastavení, jako jsou:
- Nastavení operačního systému
- Konfigurace nebo přítomnost aplikací
- Nastavení prostředí
Konfigurace se liší od definic zásad. Konfigurace počítače používá Azure Policy k dynamickému přiřazování konfigurací počítačům. Konfigurace můžete počítačům přiřadit také ručně nebo pomocí jiných služeb Azure, jako je Automanage.
Příklady jednotlivých scénářů jsou uvedeny v následující tabulce.
Typ | Popis | Příklad scénáře |
---|---|---|
Správa konfigurace | Chcete kompletní reprezentaci serveru jako kódu ve správě zdrojového kódu. Nasazení by mělo zahrnovat vlastnosti serveru (velikost, síť, úložiště) a konfiguraci nastavení operačního systému a aplikace. | "Tento počítač by měl být webový server nakonfigurovaný pro hostování mého webu." |
Dodržování předpisů | Chcete auditovat nebo nasadit nastavení pro všechny počítače v oboru, a to buď reaktivně na existující počítače, nebo proaktivně na nové počítače při jejich nasazení. | Všechny počítače by měly používat protokol TLS 1.2. Auditovat existující počítače, abych mohl (řízeným způsobem) ve velkém vydávat změny tam, kde je to potřeba. U nových počítačů vynucujte nastavení při jejich nasazení. |
Výsledky jednotlivých nastavení z konfigurací můžete zobrazit na stránce Přiřazení hostů. Pokud je konfigurace orchestrovaná Azure Policy přiřazení, můžete na stránce Podrobnosti o dodržování předpisů vybrat odkaz Naposledy vyhodnocený prostředek.
K dispozici je video s návodem k tomuto dokumentu. (Připravujeme aktualizaci)
Povolení konfigurace počítače
Pokud chcete spravovat stav počítačů ve vašem prostředí, včetně počítačů v Azure a serverů s podporou Arc, projděte si následující podrobnosti.
Poskytovatel prostředků
Než budete moct použít funkci konfigurace počítače Azure Policy, musíte zaregistrovat Microsoft.GuestConfiguration
poskytovatele prostředků. Pokud se přiřazení zásad konfigurace počítače provádí prostřednictvím portálu nebo pokud je předplatné zaregistrované v Microsoft Defender for Cloud, poskytovatel prostředků se zaregistruje automaticky. Zaregistrovat se můžete ručně prostřednictvím portálu, Azure PowerShell nebo Azure CLI.
Požadavky na nasazení pro virtuální počítače Azure
Pokud chcete spravovat nastavení uvnitř počítače, musí být povolené rozšíření virtuálního počítače a počítač musí mít identitu spravovanou systémem. Rozšíření stáhne příslušná přiřazení konfigurace počítačů a odpovídající závislosti. Identita se používá k ověření počítače při čtení a zápisu do služby konfigurace počítače. U serverů s podporou služby Arc se toto rozšíření nevyžaduje, protože je součástí agenta Arc Connected Machine Agent.
Důležité
Ke správě virtuálních počítačů Azure se vyžaduje rozšíření konfigurace počítače a spravovaná identita.
Pokud chcete rozšíření nasadit ve velkém na mnoho počítačů, přiřaďte iniciativu zásad.Virtual machines' Guest Configuration extension should be deployed with system-assigned managed identity
do skupiny pro správu, předplatného nebo skupiny prostředků obsahující počítače, které chcete spravovat.
Pokud dáváte přednost nasazení rozšíření a spravované identity do jednoho počítače, postupujte podle pokynů pro každý z nich:
- Přehled rozšíření konfigurace hosta Azure Policy
- Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači pomocí Azure Portal
Pokud chcete používat konfigurační balíčky počítačů, které používají konfigurace, vyžaduje se rozšíření konfigurace hosta virtuálního počítače Azure verze 1.26.24 nebo novější.
Limity nastavené pro rozšíření
Aby rozšíření nemohlo ovlivnit aplikace spuštěné na počítači, nesmí agent konfigurace počítače překročit 5 % procesoru. Toto omezení platí pro předdefinované i vlastní definice. Totéž platí pro službu konfigurace počítače v agentu Připojeného počítače Arc.
Nástroje pro ověřování
Agent konfigurace počítače uvnitř počítače používá k provádění úloh místní nástroje.
V následující tabulce najdete seznam místních nástrojů, které se používají v jednotlivých podporovaných operačních systémech. U integrovaného obsahu se tyto nástroje načítají automaticky pomocí konfigurace počítače.
Operační systém | Nástroj pro ověřování | Poznámky |
---|---|---|
Windows | PowerShell Desired State Configuration v3 | Nainstaluje se bokem do složky, kterou používá pouze služba Azure Policy. Není v konfliktu s Windows PowerShell DSC. PowerShell není přidaný do systémové cesty. |
Linux | PowerShell Desired State Configuration v3 | Nainstaluje se bokem do složky, kterou používá pouze služba Azure Policy. PowerShell není přidaný do systémové cesty. |
Linux | Chef InSpec | Nainstaluje Chef InSpec verze 2.2.61 do výchozího umístění a přidá ho do systémové cesty. Nainstaluje také závislosti InSpec, včetně Ruby a Pythonu. |
Frekvence ověřování
Agent konfigurace počítače kontroluje nová nebo změněná přiřazení hostů každých 5 minut. Po přijetí přiřazení hosta se nastavení pro tuto konfiguraci znovu zkontroluje v 15minutovém intervalu. Pokud je přiřazeno více konfigurací, vyhodnocuje se každá z nich sekvenčně. Dlouhotrvající konfigurace ovlivňují interval všech konfigurací, protože další se nespustí, dokud se nedokončí předchozí konfigurace.
Po dokončení auditu se výsledky odešlou do služby konfigurace počítače. Když dojde k triggeru vyhodnocení zásad, stav počítače se zapíše do poskytovatele prostředků konfigurace počítače. Tato aktualizace způsobí, že Azure Policy vyhodnotí vlastnosti Resource Manager Azure. Vyhodnocení Azure Policy na vyžádání načte nejnovější hodnotu od poskytovatele prostředků konfigurace počítače. Neaktivuje ale novou aktivitu v rámci počítače. Stav se pak zapíše do Azure Resource Graph.
Podporované typy klientů
Definice zásad konfigurace počítače zahrnují nové verze. Starší verze operačních systémů dostupné v Azure Marketplace jsou vyloučené, pokud klient konfigurace hosta není kompatibilní. Následující tabulka uvádí seznam podporovaných operačních systémů v imagích Azure. Text .x
je symbolický, aby představoval nové podverze linuxových distribucí.
Publisher | Název | Verze |
---|---|---|
Alma | AlmaLinux | 9 |
Amazon | Linux | 2 |
Canonical | Ubuntu Server | 14.04–22.x |
Credativ | Debian | 8–10.x |
Microsoft | CBL-Mariner | 1 - 2 |
Microsoft | Klient Windows | Windows 10 |
Microsoft | Windows Server | 2012–2022 |
Oracle | Oracle-Linux | 7.x –8.x |
OpenLogic | CentOS | 7.3 – 8.x |
Red Hat | Red Hat Enterprise Linux* | 7.4 –9.x |
Rocky | Rocky Linux | 9 |
SUSE | SLES | 12 SP3–SP5, 15.x |
* Red Hat CoreOS se nepodporuje.
Definice zásad konfigurace počítače podporují vlastní image virtuálních počítačů, pokud jsou jedním z operačních systémů v předchozí tabulce.
Síťové požadavky
Virtuální počítače Azure můžou ke komunikaci se službou konfigurace počítače používat místní virtuální síťový adaptér (vNIC) nebo Azure Private Link.
Počítače s podporou Azure Arc se připojují pomocí místní síťové infrastruktury, aby se dostaly ke službám Azure a hlásily stav dodržování předpisů.
Následuje seznam koncových bodů služby Azure Storage požadovaných pro komunikaci virtuálních počítačů Azure a Azure Arc s poskytovatelem prostředků konfigurace počítače v Azure:
oaasguestconfigac2s1.blob.core.windows.net
oaasguestconfigacs1.blob.core.windows.net
oaasguestconfigaes1.blob.core.windows.net
oaasguestconfigases1.blob.core.windows.net
oaasguestconfigbrses1.blob.core.windows.net
oaasguestconfigbrss1.blob.core.windows.net
oaasguestconfigccs1.blob.core.windows.net
oaasguestconfigces1.blob.core.windows.net
oaasguestconfigcids1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigeaps1.blob.core.windows.net
oaasguestconfigeas1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigfcs1.blob.core.windows.net
oaasguestconfigfss1.blob.core.windows.net
oaasguestconfiggewcs1.blob.core.windows.net
oaasguestconfiggns1.blob.core.windows.net
oaasguestconfiggwcs1.blob.core.windows.net
oaasguestconfigjiws1.blob.core.windows.net
oaasguestconfigjpes1.blob.core.windows.net
oaasguestconfigjpws1.blob.core.windows.net
oaasguestconfigkcs1.blob.core.windows.net
oaasguestconfigkss1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfignes1.blob.core.windows.net
oaasguestconfignres1.blob.core.windows.net
oaasguestconfignrws1.blob.core.windows.net
oaasguestconfigqacs1.blob.core.windows.net
oaasguestconfigsans1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigseas1.blob.core.windows.net
oaasguestconfigsecs1.blob.core.windows.net
oaasguestconfigsfns1.blob.core.windows.net
oaasguestconfigsfws1.blob.core.windows.net
oaasguestconfigsids1.blob.core.windows.net
oaasguestconfigstzns1.blob.core.windows.net
oaasguestconfigswcs1.blob.core.windows.net
oaasguestconfigswns1.blob.core.windows.net
oaasguestconfigswss1.blob.core.windows.net
oaasguestconfigswws1.blob.core.windows.net
oaasguestconfiguaecs1.blob.core.windows.net
oaasguestconfiguaens1.blob.core.windows.net
oaasguestconfigukss1.blob.core.windows.net
oaasguestconfigukws1.blob.core.windows.net
oaasguestconfigwcuss1.blob.core.windows.net
oaasguestconfigwes1.blob.core.windows.net
oaasguestconfigwids1.blob.core.windows.net
oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net
Komunikace přes virtuální sítě v Azure
Ke komunikaci s poskytovatelem prostředků konfigurace počítače v Azure vyžadují počítače odchozí přístup k datovým centrům Azure na portu 443
*. Pokud síť v Azure nepovoluje odchozí provoz, nakonfigurujte výjimky pomocí pravidel skupiny zabezpečení sítě . ZnačkyAzureArcInfrastructure
služby a Storage
se dají použít k odkazování na konfiguraci hosta a služby Storage místo ruční údržby seznamu rozsahů IP adres pro datacentra Azure. Obě značky jsou povinné, protože Azure Storage hostuje balíčky obsahu konfigurace počítače.
Komunikace přes Private Link v Azure
Virtuální počítače můžou ke komunikaci se službou konfigurace počítače používat privátní propojení .
Pokud chcete tuto funkci povolit, použijte značku s názvem EnablePrivateNetworkGC
a hodnotou TRUE
. Značku je možné použít před nebo po použití definic zásad konfigurace počítače na počítač.
Důležité
Pokud chcete komunikovat s vlastními balíčky přes privátní propojení, musí být odkaz na umístění balíčku přidán do seznamu povolených adres URL.
Provoz se směruje pomocí virtuální veřejné IP adresy Azure k vytvoření zabezpečeného a ověřeného kanálu s prostředky platformy Azure.
Komunikace přes veřejné koncové body mimo Azure
Servery umístěné místně nebo v jiných cloudech je možné spravovat pomocí konfigurace počítače jejich připojením ke službě Azure Arc.
U serverů s podporou Azure Arc povolte provoz pomocí následujících vzorů:
- Port: Vyžaduje se pouze port TCP 443 pro odchozí internetový přístup.
- Globální adresa URL:
*.guestconfiguration.azure.com
Úplný seznam všech síťových koncových bodů vyžadovaných agentem připojeného počítače Azure pro základní scénáře azure arc a konfigurace počítačů najdete v tématu Požadavky na síť serverů s podporou Azure Arc .
Komunikace přes Private Link mimo Azure
Pokud používáte privátní propojení se servery s podporou Arc, předdefinované balíčky zásad se automaticky stáhnou přes privátní propojení. Pokud chcete tuto funkci povolit, nemusíte na serveru s podporou Arc nastavovat žádné značky.
Přiřazování zásad k počítačům mimo Azure
Definice zásad auditu dostupné pro konfiguraci počítače zahrnují typ prostředku Microsoft.HybridCompute/machines . Automaticky se zahrnou všechny počítače onboardované na servery s podporou Azure Arc , které jsou v oboru přiřazení zásad.
Požadavky na spravovanou identitu
Definice zásad v iniciativě Deploy prerequisites to enable guest configuration policies on virtual machines
umožňují spravovanou identitu přiřazenou systémem, pokud neexistuje. V iniciativě jsou dvě definice zásad, které spravují vytváření identit. Podmínky if
v definicích zásad zajišťují správné chování na základě aktuálního stavu prostředku počítače v Azure.
Důležité
Tyto definice kromě existujících identit User-Assigned (pokud existují) vytvoří na cílových prostředcích System-Assigned spravovanou identitu. U existujících aplikací, pokud v požadavku nezadají identitu User-Assigned, počítač místo toho použije System-Assigned Identity. Další informace
Pokud počítač aktuálně nemá žádné spravované identity, platí zásada: Přidání spravované identity přiřazené systémem, která povolí přiřazení konfigurace hosta na virtuálních počítačích bez identit.
Pokud má počítač aktuálně identitu systému přiřazenou uživatelem, platná zásada je: Přidání spravované identity přiřazené systémem, která povolí přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem.
Dostupnost
Zákazníci, kteří navrhují řešení s vysokou dostupností, by měli zvážit požadavky na plánování redundance pro virtuální počítače , protože přiřazení hostů jsou rozšířením prostředků počítačů v Azure. Když jsou prostředky přiřazení hostů zřízené v oblasti Azure, která je spárovaná, můžete zobrazit sestavy přiřazení hostů, pokud je v páru dostupná alespoň jedna oblast. Pokud oblast Azure není spárovaná a stane se nedostupnou, nebudete mít přístup k sestavám pro přiřazení hosta. Po obnovení oblasti budete mít k sestavám znovu přístup.
Osvědčeným postupem je přiřadit stejné definice zásad se stejnými parametry všem počítačům v řešení pro vysoce dostupné aplikace. To platí zejména pro scénáře, kdy se virtuální počítače zřizují ve skupinách dostupnosti za řešením nástroje pro vyrovnávání zatížení. Přiřazení jedné zásady, které zahrnuje všechny počítače, má nejnižší administrativní režii.
U počítačů chráněných službou Azure Site Recovery se ujistěte, že jsou počítače v primární a sekundární lokalitě v rozsahu Azure Policy přiřazení pro stejné definice. Pro oba weby použijte stejné hodnoty parametrů.
Rezidence dat
Konfigurace počítače ukládá a zpracovává zákaznická data. Ve výchozím nastavení se zákaznická data replikují do spárované oblasti. Pro oblasti Singapur, Brazílie – jih a Východní Asie se všechna zákaznická data ukládají a zpracovávají v této oblasti.
Řešení potíží s konfigurací počítače
Další informace o řešení potíží s konfigurací počítače najdete v tématu Azure Policy řešení potíží.
Více přiřazení
V tuto chvíli podporují více přiřazení jenom některé definice zásad konfigurace předdefinovaných počítačů. Všechny vlastní zásady ale ve výchozím nastavení podporují více přiřazení, pokud jste k vytvoření konfiguračních balíčků a zásad počítače použili nejnovější verzi modulu PowerShellu GuestConfiguration .
Následuje seznam definic předdefinovaných zásad konfigurace počítačů, které podporují více přiřazení:
ID | DisplayName |
---|---|
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Místní metody ověřování by měly být na Windows Serverech zakázané. |
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Místní metody ověřování by měly být na počítačích s Linuxem zakázané. |
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Preview]: Přidání spravované identity přiřazené uživatelem pro povolení přiřazení konfigurace hosta na virtuálních počítačích |
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Preview]: Počítače s Linuxem by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. |
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Preview]: Počítače s Windows by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure. |
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Preview]: Počítače s Linuxem s nainstalovaným OMI by měly mít verzi 1.6.8-1 nebo novější. |
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Audit počítačů s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři |
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Audit počítačů s Windows, na kterých konfigurace DSC nevyhovuje předpisům |
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Auditování počítačů s Windows, které nemají zadané zásady spouštění Windows PowerShell |
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Audit počítačů s Windows, které nemají nainstalované zadané Windows PowerShell moduly |
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Audit počítačů s Windows, na kterých není povolená sériová konzola Windows |
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Audit počítačů s Windows, na kterých nejsou nainstalované zadané služby, a "Spuštěné" |
/providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Audit počítačů s Windows, které nejsou nastavené na zadané časové pásmo |
Poznámka
Na této stránce pravidelně vyhledejte aktualizace seznamu předdefinovaných definic zásad konfigurace počítačů, které podporují více přiřazení.
Přiřazení ke skupinám pro správu Azure
Azure Policy definice v kategorii Guest Configuration
lze přiřadit skupinám pro správu, pokud je AuditIfNotExists
efekt nebo DeployIfNotExists
.
Soubory protokolu klienta
Rozšíření konfigurace počítače zapisuje soubory protokolů do následujících umístění:
Windows
- Virtuální počítač Azure:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
- Server s podporou arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Virtuální počítač Azure:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
- Server s podporou arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Vzdálené shromažďování protokolů
Prvním krokem při řešení potíží s konfiguracemi nebo moduly počítačů by mělo být použití rutin podle kroků v tématu Testování artefaktů balíčků konfigurace počítače. Pokud se to nepodaří, může shromažďování klientských protokolů pomoct s diagnostikou problémů.
Windows
Zachytávání informací ze souborů protokolu pomocí příkazu Spuštění virtuálního počítače Azure může být užitečné následující ukázkový skript PowerShellu.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Zachyťte informace ze souborů protokolu pomocí příkazu Spuštění virtuálního počítače Azure. Užitečný může být následující ukázkový skript Bash.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Soubory agenta
Agent konfigurace počítače stáhne balíčky obsahu do počítače a extrahuje obsah. Pokud chcete ověřit, jaký obsah se stáhl a uložil, zobrazte umístění složek v následujícím seznamu.
- Windows:
C:\ProgramData\guestconfig\configuration
- Linux:
/var/lib/GuestConfig/Configuration
Funkce opensourcového modulu nxtools
Byl vydán nový opensourcový modul nxtools , který uživatelům PowerShellu usnadní správu systémů Linux.
Modul pomáhá při správě běžných úloh, jako jsou:
- Správa uživatelů a skupin
- Provádění operací se systémem souborů
- Správa služeb
- Provádění operací archivace
- Správa balíčků
Modul obsahuje prostředky DSC založené na třídách pro Linux a předdefinované balíčky konfigurace počítačů.
Pokud chcete poskytnout zpětnou vazbu k této funkci, otevřete problém v dokumentaci. V současné době nepřijímáme žádosti o přijetí změn pro tento projekt a podpora je maximální úsilí.
Ukázky konfigurace počítače
Ukázky předdefinovaných zásad konfigurace počítače jsou k dispozici v následujících umístěních:
- Předdefinované definice zásad – Konfigurace hosta
- Integrované iniciativy – Konfigurace hosta
- Azure Policy ukázky úložiště GitHub
- Ukázkové moduly prostředků DSC
Další kroky
- Nastavte vývojové prostředí balíčku konfigurace vlastního počítače.
- Vytvořte artefakt balíčku pro konfiguraci počítače.
- Test artefaktu balíčku ve vlastním vývojovém prostředí
- Pomocí modulu GuestConfigurationvytvořte definici Azure Policy pro správu vašeho prostředí ve velkém měřítku.
- Přiřazení vlastní definice zásad pomocí webu Azure Portal
- Zjistěte, jak zobrazit podrobnosti o dodržování předpisů pro přiřazení zásad konfigurace počítače .