Habilitar MSP para máquinas virtuales existentes o conjuntos de escalado de máquinas virtuales.

2025-04-21

En esta página se explican las distintas formas en que se puede habilitar el Protocolo de seguridad de metadatos (MSP) en máquinas virtuales (VM) existentes o en conjuntos de escalado de máquinas virtuales. MSP se puede habilitar a través del portal, la plantilla de ARM o la API REST en máquinas virtuales preexistentes. De forma predeterminada, para las máquinas virtuales Windows si ProxyAgentSettings.Enabled es true, la Microsoft.CPlat.ProxyAgent.ProxyAgentWindows extensión se instalará. En el caso de las máquinas virtuales Linux, establecer ProxyAgentSettings.Enabled en true no instalará implícitamente la extensión del agente proxy. Debe haber una llamada explícita a la API de REST PUT en la extensión Microsoft.CPlat.ProxyAgent.ProxyAgentLinux para habilitar el agente proxy a través de la extensión del agente proxy. El propósito de la extensión del agente proxy es habilitar, actualizar automáticamente y notificar el estado del agente proxy.

Prerrequisitos

Asegúrese de que la imagen que prefiera sea compatible.
Familiarícese con las opciones de configuración básicas .

Habilitación de MSP en una máquina virtual

Con Azure Portal

Vea ejemplos.

Con la plantilla de ARM

Con API REST

Habilitar ambos servicios protegidos en modo Audit:

PATCH https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Compute/virtualMachines/{virtualMachine-Name}?api-version=2024-03-01

{
  "properties": {
    "securityProfile": {
      "proxyAgentSettings": {
        "enabled": true,
        "wireServer": {
          "mode": "Audit"
        },
        "imds": {
          "mode": "Audit"
        }
      }
    },
  }
}

Validando que las reglas vinculadas se aplicaron a la máquina virtual

Compruebe la vista de instancia de máquina virtual para confirmar el estado de la Microsoft.CPlat.ProxyAgent.ProxyAgentWindows extensión para Windows y Microsoft.CPlat.ProxyAgent.ProxyAgentLinux la extensión para Linux. El estado ComponentStatus/ProxyAgentStatus/succeeded tendría un imdsRuleId y wireServerRuleId que debería coincidir con el identificador de referencia de InVMAccessControlProfile.

"extensions": [
    {
      "name": "AzureGuestProxyAgentExtension",
      "type": "Microsoft.CPlat.ProxyAgent.ProxyAgentWindows",
      "typeHandlerVersion": "1.0.21",
      "substatuses": [
        {
          "code": "ComponentStatus/ProxyAgentConnectionSummary/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "[{\"userName\":\"SYSTEM\",\"ip\":\"169.254.169.254\",\"port\":80,\"processCmdLine\":\"\\\"C:\\\\Packages\\\\Plugins\\\\Microsoft.Azure.Geneva.GenevaMonitoring\\\\2.45.0.4\\\\GenevaMonitoringExtension.exe\\\" collectLogs\",\"responseStatus\":\"200 OK\",\"count\":344,\"userGroups\":[],\"processFullPath\":\"C:\\\\Packages\\\\Plugins\\\\Microsoft.Azure.Geneva.GenevaMonitoring\\\\2.45.0.4\\\\GenevaMonitoringExtension.exe\"]"
        },
        {
          "code": "ComponentStatus/ProxyAgentStatus/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "{\"version\":\"1.0.21\",\"status\":\"SUCCESS\",\"monitorStatus\":{\"status\":\"RUNNING\",\"message\":\"proxy_agent_status thread started.\"},\"keyLatchStatus\":{\"status\":\"RUNNING\",\"message\":\"Found key details from local and ready to use. - 122\",\"states\":{\"imdsRuleId\":\"/SUBSCRIPTIONS/A53F7094-A16C-47AF-ABE4-B05C05D0D79A/RESOURCEGROUPS/HUIYARG-EASTUS2EUAP/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSIMDS/VERSIONS/1.3.0\",\"secureChannelState\":\"WireServer Audit -  IMDS Audit\",\"keyGuid\":\"7512289d-6e5c-449b-9cbf-06728c1c1e4a\",\"wireServerRuleId\":\"/SUBSCRIPTIONS/A53F7094-A16C-47AF-ABE4-B05C05D0D79A/RESOURCEGROUPS/HUIYARG-EASTUS2EUAP/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSWIRESERVER/VERSIONS/1.2.0\"}},\"ebpfProgramStatus\":{\"status\":\"RUNNING\",\"message\":\"Started Redirector with eBPF maps - 79\"},\"proxyListenerStatus\":{\"status\":\"RUNNING\",\"message\":\"Started proxy listener 127.0.0.1:3080, ready to accept request - 9\"},\"telemetryLoggerStatus\":{\"status\":\"RUNNING\",\"message\":\"Telemetry event logger thread started.\"},\"proxyConnectionsCount\":259356}"
        },
        {
          "code": "ComponentStatus/EbpfStatus/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "Ebpf Drivers successfully queried."
        }
      ],
      "statuses": [
        {
          "code": "ProvisioningState/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "Update Proxy Agent command output successfully",
          "time": "2024-09-24T16:42:59+00:00"
        }
      ]
    }

Habilitar MSP en Virtual Machine Scale Sets

Los pasos anteriores también se aplican al modelo de Virtual Machine Scale Sets.