Rozšíření konfigurace počítače Azure Automanage

Rozšíření konfigurace počítače je funkcí služby Azure Automanage, která provádí operace auditu a konfigurace uvnitř virtuálních počítačů.

Pokud chcete zkontrolovat zásady uvnitř virtuálních počítačů, jako jsou definice standardních hodnot zabezpečení výpočetních prostředků Azure pro Linux a Windows, musí být nainstalované rozšíření konfigurace počítače.

Požadavky

Pokud chcete virtuálnímu počítači povolit ověření ve službě konfigurace počítače, musí mít váš virtuální počítač spravovanou identitu přiřazenou systémem. Požadavek na identitu pro virtuální počítač můžete splnit nastavením "type": "SystemAssigned" vlastnosti:

"identity": {
   "type": "SystemAssigned"
}

Operační systémy

Podpora operačního systému pro rozšíření konfigurace počítače je stejná jako podpora zdokumentovaného operačního systému pro kompletní řešení.

Připojení k internetu

Agent nainstalovaný rozšířením konfigurace počítače musí být schopný kontaktovat balíčky obsahu uvedené přiřazením konfigurace hosta a hlásit stav službě konfigurace počítače. Virtuální počítač se může připojit pomocí odchozího protokolu HTTPS přes port TCP 443 nebo pomocí připojení poskytovaného prostřednictvím privátních sítí.

Další informace o privátních sítích najdete v následujících článcích:

• Konfigurace počítače Azure Automanage, komunikace přes Azure Private Link
• Použití privátních koncových bodů pro Azure Storage

Instalace rozšíření

Rozšíření konfigurace počítače můžete nainstalovat a nasadit přímo z Azure CLI nebo PowerShellu. Šablony nasazení jsou k dispozici také pro Azure Resource Manager (ARM), Bicep a Terraform. Podrobnosti o šabloně nasazení najdete v tématu Microsoft.GuestConfiguration guestConfigurationAssignments.

Poznámka:

V následujících příkladech nasazení nahraďte <placeholder> hodnoty parametrů konkrétními hodnotami pro vaši konfiguraci.

Aspekty nasazení

Než nainstalujete a nasadíte rozšíření konfigurace počítače, projděte si následující aspekty.

• Název instance Při instalaci rozšíření konfigurace počítače musí být název instance rozšíření nastaven na AzurePolicyforWindows hodnotu nebo AzurePolicyforLinux. Zásady definice standardních hodnot zabezpečení popsané výše vyžadují tyto konkrétní řetězce.

• Verze. Ve výchozím nastavení se všechna nasazení aktualizují na nejnovější verzi. Hodnota autoUpgradeMinorVersion vlastnosti je výchozí true , pokud není zadán jinak. Tato funkce pomáhá zmírnit obavy týkající se aktualizace kódu při vydání nových verzí rozšíření konfigurace počítače.

• Automatický upgrade. Rozšíření konfigurace počítače podporuje enableAutomaticUpgrade vlastnost. Pokud je tato vlastnost nastavená na true, Azure automaticky upgraduje na nejnovější verzi rozšíření, jakmile budou k dispozici budoucí verze. Další informace najdete v tématu Automatický upgrade rozšíření pro virtuální počítače a škálovací sady virtuálních počítačů v Azure.

• Azure Policy. Pokud chcete nasadit nejnovější verzi rozšíření konfigurace počítače ve velkém měřítku, včetně požadavků na identitu, postupujte podle kroků v tématu Vytvoření přiřazení zásady a identifikujte nekompatibilní prostředky. Pomocí služby Azure Policy vytvořte následující přiřazení:

  • Nasazení požadavků pro povolení zásad konfigurace hosta na virtuálních počítačích

• Další vlastnosti. V rozšíření konfigurace počítače nemusíte v rozšíření konfigurace počítače obsahovat žádná nastavení ani vlastnosti chráněného nastavení. Agent načte tuto třídu informací z prostředků přiřazení konfigurace hosta rozhraní Azure REST API. Například , ConfigurationUriModea ConfigurationSetting vlastnosti jsou každá spravovaná podle konfigurace místo rozšíření virtuálního počítače.

Azure CLI

Nasazení rozšíření pro Linux:

az vm extension set  --publisher Microsoft.GuestConfiguration --name ConfigurationForLinux --extension-instance-name AzurePolicyforLinux --resource-group <myResourceGroup> --vm-name <myVM> --enable-auto-upgrade true

Nasazení rozšíření pro Windows:

az vm extension set  --publisher Microsoft.GuestConfiguration --name ConfigurationforWindows --extension-instance-name AzurePolicyforWindows --resource-group <myResourceGroup> --vm-name <myVM> --enable-auto-upgrade true

PowerShell

Nasazení rozšíření pro Linux:

Set-AzVMExtension -Publisher 'Microsoft.GuestConfiguration' -ExtensionType 'ConfigurationForLinux' -Name 'AzurePolicyforLinux' -TypeHandlerVersion 1.0 -ResourceGroupName '<myResourceGroup>' -Location '<myLocation>' -VMName '<myVM>' -EnableAutomaticUpgrade $true

Nasazení rozšíření pro Windows:

Set-AzVMExtension -Publisher 'Microsoft.GuestConfiguration' -ExtensionType 'ConfigurationforWindows' -Name 'AzurePolicyforWindows' -TypeHandlerVersion 1.0 -ResourceGroupName '<myResourceGroup>' -Location '<myLocation>' -VMName '<myVM>' -EnableAutomaticUpgrade $true

Šablona ARM

Nasazení rozšíření pro Linux:

{
  "type": "Microsoft.Compute/virtualMachines/extensions",
  "name": "[concat(parameters('VMName'), '/AzurePolicyforLinux')]",
  "apiVersion": "2020-12-01",
  "location": "[parameters('location')]",
  "dependsOn": [
    "[concat('Microsoft.Compute/virtualMachines/', parameters('VMName'))]"
  ],
  "properties": {
    "publisher": "Microsoft.GuestConfiguration",
    "type": "ConfigurationForLinux",
    "typeHandlerVersion": "1.0",
    "autoUpgradeMinorVersion": true,
    "enableAutomaticUpgrade": true, 
    "settings": {},
    "protectedSettings": {}
  }
}

Nasazení rozšíření pro Windows:

{
  "type": "Microsoft.Compute/virtualMachines/extensions",
  "name": "[concat(parameters('VMName'), '/AzurePolicyforWindows')]",
  "apiVersion": "2020-12-01",
  "location": "[parameters('location')]",
  "dependsOn": [
    "[concat('Microsoft.Compute/virtualMachines/', parameters('VMName'))]"
  ],
  "properties": {
    "publisher": "Microsoft.GuestConfiguration",
    "type": "ConfigurationforWindows",
    "typeHandlerVersion": "1.0",
    "autoUpgradeMinorVersion": true,
    "enableAutomaticUpgrade": true, 
    "settings": {},
    "protectedSettings": {}
  }
}

Šablona Bicep

Nasazení rozšíření pro Linux:

resource virtualMachine 'Microsoft.Compute/virtualMachines@2021-03-01' existing = {
  name: 'VMName'
}
resource windowsVMGuestConfigExtension 'Microsoft.Compute/virtualMachines/extensions@2020-12-01' = {
  parent: virtualMachine
  name: 'AzurePolicyforLinux'
  location: resourceGroup().location
  properties: {
    publisher: 'Microsoft.GuestConfiguration'
    type: 'ConfigurationForLinux'
    typeHandlerVersion: '1.0'
    autoUpgradeMinorVersion: true
    enableAutomaticUpgrade: true
    settings: {}
    protectedSettings: {}
  }
}

Nasazení rozšíření pro Windows:

resource virtualMachine 'Microsoft.Compute/virtualMachines@2021-03-01' existing = {
  name: 'VMName'
}
resource windowsVMGuestConfigExtension 'Microsoft.Compute/virtualMachines/extensions@2020-12-01' = {
  parent: virtualMachine
  name: 'AzurePolicyforWindows'
  location: resourceGroup().location
  properties: {
    publisher: 'Microsoft.GuestConfiguration'
    type: 'ConfigurationforWindows'
    typeHandlerVersion: '1.0'
    autoUpgradeMinorVersion: true
    enableAutomaticUpgrade: true
    settings: {}
    protectedSettings: {}
  }
}

Šablona Terraformu

Nasazení rozšíření pro Linux:

resource "azurerm_virtual_machine_extension" "gc" {
  name                       = "AzurePolicyforLinux"
  virtual_machine_id         = "<myVMID>"
  publisher                  = "Microsoft.GuestConfiguration"
  type                       = "ConfigurationForLinux"
  type_handler_version       = "1.0"
  auto_upgrade_minor_version = "true"
}

Nasazení rozšíření pro Windows:

resource "azurerm_virtual_machine_extension" "gc" {
  name                       = "AzurePolicyforWindows"
  virtual_machine_id         = "<myVMID>"
  publisher                  = "Microsoft.GuestConfiguration"
  type                       = "ConfigurationforWindows"
  type_handler_version       = "1.0"
  auto_upgrade_minor_version = "true"
}

Chybové zprávy

Následující tabulka uvádí možné chybové zprávy související s povolením rozšíření Konfigurace hosta.

Kód chyby	Popis
NoComplianceReport	Virtuální počítač nenahlásil data dodržování předpisů.
GCExtensionMissing	Chybí rozšíření konfigurace počítače (konfigurace hosta).
ManagedIdentityMissing	Spravovaná identita chybí.
UserIdentityMissing	Chybí identita přiřazená uživatelem.
GCExtensionManagedIdentityMissing	Chybí rozšíření konfigurace počítače (konfigurace hosta) a spravovaná identita.
GCExtensionUserIdentityMissing	Chybí rozšíření konfigurace počítače (konfigurace hosta) a identita přiřazená uživatelem.
GCExtensionIdentityMissing	Chybí rozšíření konfigurace počítače (konfigurace hosta), spravovaná identita a identita přiřazená uživatelem.

Další kroky

• Další informace o rozšíření konfigurace počítače najdete v tématu Vysvětlení funkce konfigurace počítače služby Azure Automanage.
• Další informace o tom, jak agent a rozšíření pro Linux fungují, najdete v tématu Rozšíření a funkce virtuálních počítačů pro Linux.
• Další informace o tom, jak agent hosta a rozšíření systému Windows fungují, najdete v tématu Rozšíření a funkce virtuálního počítače pro Windows.
• Pokud chcete nainstalovat agenta hosta systému Windows, přečtěte si téma Přehled agenta virtuálního počítače Azure.
• Informace o instalaci agenta pro Linux najdete v tématu Principy a používání agenta Azure Linux.