Aktivieren von MSP auf vorhandenen VM- oder VM-Skalierungsgruppen

2025-04-30

Auf dieser Seite werden die verschiedenen Möglichkeiten erläutert, wie das Metadatensicherheitsprotokoll (Metadata Security Protocol, MSP) auf vorhandenen virtuellen Computern (VM) oder VM-Skalierungsgruppen aktiviert werden kann. MSP kann über Portal, ARM-Vorlage oder die REST-API in vorhandenen VMs aktiviert werden. Standardmäßig wird für Windows-VMs, wenn ProxyAgentSettings.Enabled true ist, die Microsoft.CPlat.ProxyAgent.ProxyAgentWindows Erweiterung installiert. Bei Linux-VMs wird das Festlegen von ProxyAgentSettings.Enabled auf "true" nicht implizit die Proxy-Agent-Erweiterung installiert. Für die Erweiterung Microsoft.CPlat.ProxyAgent.ProxyAgentLinux muss ein expliziter PUT-Rest-API-Aufruf vorhanden sein, um Proxy-Agent über die Proxy-Agent-Erweiterung zu aktivieren. Der Zweck der Proxy-Agent-Erweiterung besteht darin, den Status des Proxy-Agents zu aktivieren, automatisch zu aktualisieren und zu melden.

Voraussetzungen

Stellen Sie sicher, dass Ihr Bild der Wahl kompatibel ist.
Machen Sie sich mit den grundlegenden Konfigurationsoptionen vertraut.

Aktivieren von MSP auf einem virtuellen Computer

Mit dem Azure-Portal

Weitere Informationen finden Sie unter Beispiele.

Mit ARM-Vorlage

Mit der REST-API

Aktivieren Sie beide Dienste, die im Modus Audit geschützt sind:

PATCH https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Compute/virtualMachines/{virtualMachine-Name}?api-version=2024-03-01

{
  "properties": {
    "securityProfile": {
      "proxyAgentSettings": {
        "enabled": true,
        "wireServer": {
          "mode": "Audit"
        },
        "imds": {
          "mode": "Audit"
        }
      }
    },
  }
}

Die Überprüfung der verknüpften Regeln wurde auf Ihre VM angewendet.

Überprüfen Sie die VM-Instanzansicht, um den Status der Microsoft.CPlat.ProxyAgent.ProxyAgentWindows Erweiterung für Windows und Microsoft.CPlat.ProxyAgent.ProxyAgentLinux die Erweiterung für Linux zu bestätigen. Der Status ComponentStatus/ProxyAgentStatus/succeeded hätte eine imdsRuleId und wireServerRuleId, die der Referenz-ID von InVMAccessControlProfile entsprechen sollten.

"extensions": [
    {
      "name": "AzureGuestProxyAgentExtension",
      "type": "Microsoft.CPlat.ProxyAgent.ProxyAgentWindows",
      "typeHandlerVersion": "1.0.21",
      "substatuses": [
        {
          "code": "ComponentStatus/ProxyAgentConnectionSummary/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "[{\"userName\":\"SYSTEM\",\"ip\":\"169.254.169.254\",\"port\":80,\"processCmdLine\":\"\\\"C:\\\\Packages\\\\Plugins\\\\Microsoft.Azure.Geneva.GenevaMonitoring\\\\2.45.0.4\\\\GenevaMonitoringExtension.exe\\\" collectLogs\",\"responseStatus\":\"200 OK\",\"count\":344,\"userGroups\":[],\"processFullPath\":\"C:\\\\Packages\\\\Plugins\\\\Microsoft.Azure.Geneva.GenevaMonitoring\\\\2.45.0.4\\\\GenevaMonitoringExtension.exe\"]"
        },
        {
          "code": "ComponentStatus/ProxyAgentStatus/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "{\"version\":\"1.0.21\",\"status\":\"SUCCESS\",\"monitorStatus\":{\"status\":\"RUNNING\",\"message\":\"proxy_agent_status thread started.\"},\"keyLatchStatus\":{\"status\":\"RUNNING\",\"message\":\"Found key details from local and ready to use. - 122\",\"states\":{\"imdsRuleId\":\"/SUBSCRIPTIONS/A53F7094-A16C-47AF-ABE4-B05C05D0D79A/RESOURCEGROUPS/HUIYARG-EASTUS2EUAP/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSIMDS/VERSIONS/1.3.0\",\"secureChannelState\":\"WireServer Audit -  IMDS Audit\",\"keyGuid\":\"7512289d-6e5c-449b-9cbf-06728c1c1e4a\",\"wireServerRuleId\":\"/SUBSCRIPTIONS/A53F7094-A16C-47AF-ABE4-B05C05D0D79A/RESOURCEGROUPS/HUIYARG-EASTUS2EUAP/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSWIRESERVER/VERSIONS/1.2.0\"}},\"ebpfProgramStatus\":{\"status\":\"RUNNING\",\"message\":\"Started Redirector with eBPF maps - 79\"},\"proxyListenerStatus\":{\"status\":\"RUNNING\",\"message\":\"Started proxy listener 127.0.0.1:3080, ready to accept request - 9\"},\"telemetryLoggerStatus\":{\"status\":\"RUNNING\",\"message\":\"Telemetry event logger thread started.\"},\"proxyConnectionsCount\":259356}"
        },
        {
          "code": "ComponentStatus/EbpfStatus/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "Ebpf Drivers successfully queried."
        }
      ],
      "statuses": [
        {
          "code": "ProvisioningState/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "Update Proxy Agent command output successfully",
          "time": "2024-09-24T16:42:59+00:00"
        }
      ]
    }

Aktivieren von MSP in VM-Skalierungsgruppen

Die vorstehenden Schritte gelten auch für das VM Scale Sets-Modell.