Ez a cikk az End Of Life (EOL) állapotú Linux-disztribúcióra, a CentOS-ra hivatkozik. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.
Az Azure Policy gépkonfigurációs funkciója natív lehetőséget biztosít az operációs rendszer beállításainak naplózására vagy konfigurálására kódként az Azure-ban és hibrid Arc-kompatibilis gépeken futó gépekhez. A funkciót közvetlenül gépenként használhatja, vagy az Azure Policy használatával nagy léptékben vezényelheti.
Az Azure-beli konfigurációs erőforrások bővítményerőforrásként vannak kialakítva. Az egyes konfigurációkat a gép további tulajdonságaiként képzelheti el. A konfigurációk tartalmazhatnak olyan beállításokat, mint például:
Operációs rendszer beállításai
Alkalmazás konfigurációja vagy jelenléte
Környezeti beállítások
A konfigurációk eltérnek a szabályzatdefinícióktól. A gépkonfiguráció az Azure Policy használatával dinamikusan rendeli hozzá a konfigurációkat a gépekhez. A konfigurációkat manuálisan is hozzárendelheti a gépekhez, vagy más Azure-szolgáltatások, például az Automanage használatával.
Az egyes forgatókönyvek példái az alábbi táblázatban találhatók.
A kiszolgáló teljes megjelenítését szeretné kódként használni a forrásvezérlőben. Az üzembe helyezésnek tartalmaznia kell a kiszolgáló tulajdonságait (méret, hálózat, tároló), valamint az operációs rendszer és az alkalmazás beállításainak konfigurálását.
"Ennek a gépnek egy webkiszolgálónak kell lennie, amely a webhelyem üzemeltetésére van konfigurálva."
A beállításokat a hatókörben lévő összes gépre szeretné naplózni vagy telepíteni, akár a meglévő gépekre aktívan, akár az üzembe helyezésük során proaktív módon az új gépekre.
"Minden gépnek TLS 1.2-t kell használnia. A meglévő gépek naplózása, hogy a szükséges módosításokat nagy léptékben, szabályozott módon oldhassam fel. Új gépek esetén az üzembe helyezéskor kényszerítse ki a beállítást."
A beállításonkénti eredményeket a Vendéghozzárendelések lapon tekintheti meg a konfigurációkból. Ha egy Azure Policy-hozzárendelés vezényletével vezénylik a konfigurációt, a "Megfelelőség részletei" lapon kiválaszthatja az "Utolsó kiértékelt erőforrás" hivatkozást.
Kényszerítési módok egyéni szabályzatokhoz
A kiszolgálóbeállítások, alkalmazások és számítási feladatok kényszerítésének és monitorozásának nagyobb rugalmassága érdekében a Gépkonfiguráció három fő kényszerítési módot kínál minden szabályzat-hozzárendeléshez az alábbi táblázatban leírtak szerint.
Mód
Leírás
Audit
Csak a gép állapotáról szóló jelentés
Alkalmazás és figyelés
A gépre alkalmazott konfiguráció, majd a módosítások figyelése
Alkalmazás és automatikus javítás
A gépre alkalmazott konfiguráció, amely eltérés esetén visszakerül a megfelelőségbe
A környezetében lévő gépek állapotának kezeléséhez, beleértve az Azure-ban és az Arc-kompatibilis kiszolgálókon lévő gépeket is, tekintse át az alábbi részleteket.
Erőforrás-szolgáltató
Az Azure Policy gépkonfigurációs funkciójának használatához regisztrálnia kell az erőforrás-szolgáltatót Microsoft.GuestConfiguration . Ha a gépkonfigurációs szabályzat hozzárendelése a portálon keresztül történik, vagy ha az előfizetés regisztrálva van Felhőhöz készült Microsoft Defender, az erőforrás-szolgáltató automatikusan regisztrálva lesz. Manuálisan is regisztrálhat a portálon, az Azure PowerShellben vagy az Azure CLI-ben.
Az Azure-beli virtuális gépekre vonatkozó követelmények üzembe helyezése
Egy adott gép beállításainak kezeléséhez a rendszer engedélyez egy virtuális gépi bővítményt, továbbá a gépnek egy rendszer által kezelt identitással is rendelkeznie kell. A bővítmény letölti a vonatkozó gépkonfigurációs hozzárendeléseket és a kapcsolódó függőségeket. Az identitással hitelesítheti a gépet, miközben beolvassa és beírja a gép konfigurációs szolgáltatásának. Az Arc-kompatibilis kiszolgálókhoz nem szükséges a bővítmény, mert az Arc Connected Machine ügynök része.
Fontos
Az Azure-beli virtuális gépek kezeléséhez a gép konfigurációs bővítményére és egy felügyelt identitásra van szükség.
A bővítmény nagy léptékű üzembe helyezéséhez rendelje hozzá a szabályzat kezdeményezését Deploy prerequisites to enable Guest Configuration policies on virtual machines egy felügyeleti csoportra, előfizetésre vagy erőforráscsoportra, amely tartalmazza a kezelni kívánt gépeket.
Ha a bővítményt és a felügyelt identitást inkább egyetlen gépen szeretné üzembe helyezni, olvassa el az Azure-erőforrások felügyelt identitásainak konfigurálása egy virtuális gépen az Azure Portal használatával című témakört.
A konfigurációkat alkalmazó gépkonfigurációs csomagok használatához az Azure-beli virtuális gép vendégkonfigurációs bővítményének 1.26.24-es vagy újabb verziójára van szükség.
Fontos
A felügyelt identitás létrehozása vagy szabályzat hozzárendelése "Vendégkonfigurációs erőforrás-közreműködő" szerepkörrel olyan műveletek, amelyek végrehajtásához megfelelő Azure RBAC-engedélyek szükségesek.
Az Azure Policyról és az Azure RBAC-ről további információt az Azure Policy szerepköralapú hozzáférés-vezérlésében talál.
A bővítményre beállított korlátok
Annak érdekében, hogy a bővítmény ne befolyásolja a gépen futó alkalmazásokat, a gép konfigurációs ügynöke nem lépheti túl a processzor 5%-át. Ez a korlátozás a beépített és az egyéni definíciókra is vonatkozik. Ugyanez igaz az Arc Connected Machine-ügynök gépkonfigurációs szolgáltatására is.
Érvényesítési eszközök
A gépen belül a gép konfigurációs ügynöke helyi eszközöket használ a feladatok végrehajtásához.
Az alábbi táblázat az egyes támogatott operációs rendszereken használt helyi eszközök listáját mutatja. A beépített tartalmak esetében a gép konfigurációja automatikusan kezeli az eszközök betöltését.
Közvetlenül telepítve egy mappába, amelyet csak az Azure Policy használ. Nem ütközik a Windows PowerShell DSC-vel. A PowerShell nincs hozzáadva a rendszerútvonalhoz.
Telepíti a Chef InSpec 2.2.61-es verzióját az alapértelmezett helyre, és hozzáadja a rendszerútvonalhoz. Telepíti az InSpec függőségeit, beleértve a Rubyt és a Pythont is.
Érvényesítési gyakoriság
A gép konfigurációs ügynöke 5 percenként ellenőrzi az új vagy módosított vendéghozzárendeléseket. Miután megkapta a vendéghozzárendelést, a rendszer 15 perces időközönként újra bejelöli a konfiguráció beállításait. Ha több konfiguráció van hozzárendelve, mindegyik kiértékelése egymás után történik. A hosszan futó konfigurációk az összes konfiguráció időközét befolyásolják, mert a következő nem futtatható, amíg a korábbi konfiguráció be nem fejeződik.
A rendszer az audit befejezésekor elküldi az eredményeket a gépkonfigurációs szolgáltatásnak. Szabályzat-kiértékelési eseményindító esetén a gép állapota a gép konfigurációs erőforrás-szolgáltatójának lesz megírva. A frissítés hatására az Azure Policy kiértékeli az Azure Resource Manager tulajdonságait. Az igény szerinti Azure Policy-értékelés lekéri a legújabb értéket a gép konfigurációs erőforrás-szolgáltatójától. Ez azonban nem indít el új tevékenységet a gépen belül. Az állapot ezután meg lesz írva az Azure Resource Graph-ba.
Támogatott ügyféltípusok
A gépkonfigurációs szabályzat definíciói az új verziókat is tartalmazzák. Az Azure Marketplace-en elérhető operációs rendszerek régebbi verziói ki vannak zárva, ha a vendégkonfigurációs ügyfél nem kompatibilis. Emellett a megfelelő közzétevők által az élettartamon kívül támogatott Linux-kiszolgálóverziók ki vannak zárva a támogatási mátrixból.
Az alábbi táblázat a támogatott operációs rendszerek listáját mutatja be az Azure-rendszerképeken. A .x szöveg szimbolikus a Linux-disztribúciók új alverzióinak ábrázolására.
Publisher
Név
Verziók
Alma
AlmaLinux
9
Amazon
Linux
2
Canonical
Ubuntu Server
16.04 – 22.x
Credativ
Debian
10.x – 12.x
Microsoft
CBL-Mariner
1 - 2
Microsoft
Windows-ügyfél
Windows 10, 11
Microsoft
Windows Server
2012–2022
Oracle
Oracle-Linux
7.x – 8.x
OpenLogic
CentOS
7.3 – 8.x
Red Hat
Red Hat Enterprise Linux*
7.4 – 9.x
Sziklás
Rocky Linux
8
SUSE
SLES
12 SP5, 15.x
* A Red Hat CoreOS nem támogatott.
A gépkonfigurációs szabályzatdefiníciók mindaddig támogatják az egyéni virtuálisgép-rendszerképeket, amíg az előző táblázatban szereplő operációs rendszerek egyike. A gépkonfiguráció nem támogatja az egységes VMSS-t, de támogatja a VMSS Flexet.
Hálózati követelmények
Az Azure-beli virtuális gépek használhatják a helyi virtuális hálózati adapterüket (vNIC) vagy az Azure Private Linket a gépkonfigurációs szolgáltatással való kommunikációhoz.
Az Azure Arc-kompatibilis gépek a helyszíni hálózati infrastruktúrával csatlakoznak az Azure-szolgáltatások eléréséhez és a megfelelőségi állapot jelentéséhez.
Az alábbiakban felsoroljuk azOkat az Azure Storage-végpontokat, amelyek szükségesek az Azure és az Azure Arc-kompatibilis virtuális gépek számára az Azure-beli gépkonfigurációs erőforrás-szolgáltatóval való kommunikációhoz:
oaasguestconfigac2s1.blob.core.windows.net
oaasguestconfigacs1.blob.core.windows.net
oaasguestconfigaes1.blob.core.windows.net
oaasguestconfigases1.blob.core.windows.net
oaasguestconfigbrses1.blob.core.windows.net
oaasguestconfigbrss1.blob.core.windows.net
oaasguestconfigccs1.blob.core.windows.net
oaasguestconfigces1.blob.core.windows.net
oaasguestconfigcids1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigeaps1.blob.core.windows.net
oaasguestconfigeas1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigfcs1.blob.core.windows.net
oaasguestconfigfss1.blob.core.windows.net
oaasguestconfiggewcs1.blob.core.windows.net
oaasguestconfiggns1.blob.core.windows.net
oaasguestconfiggwcs1.blob.core.windows.net
oaasguestconfigjiws1.blob.core.windows.net
oaasguestconfigjpes1.blob.core.windows.net
oaasguestconfigjpws1.blob.core.windows.net
oaasguestconfigkcs1.blob.core.windows.net
oaasguestconfigkss1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfignes1.blob.core.windows.net
oaasguestconfignres1.blob.core.windows.net
oaasguestconfignrws1.blob.core.windows.net
oaasguestconfigqacs1.blob.core.windows.net
oaasguestconfigsans1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigseas1.blob.core.windows.net
oaasguestconfigsecs1.blob.core.windows.net
oaasguestconfigsfns1.blob.core.windows.net
oaasguestconfigsfws1.blob.core.windows.net
oaasguestconfigsids1.blob.core.windows.net
oaasguestconfigstzns1.blob.core.windows.net
oaasguestconfigswcs1.blob.core.windows.net
oaasguestconfigswns1.blob.core.windows.net
oaasguestconfigswss1.blob.core.windows.net
oaasguestconfigswws1.blob.core.windows.net
oaasguestconfiguaecs1.blob.core.windows.net
oaasguestconfiguaens1.blob.core.windows.net
oaasguestconfigukss1.blob.core.windows.net
oaasguestconfigukws1.blob.core.windows.net
oaasguestconfigwcuss1.blob.core.windows.net
oaasguestconfigwes1.blob.core.windows.net
oaasguestconfigwids1.blob.core.windows.net
oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net
Kommunikáció virtuális hálózatokon keresztül az Azure-ban
Az Azure-beli gépkonfigurációs erőforrás-szolgáltatóval való kommunikációhoz a gépek kimenő hozzáférést igényelnek az Azure-adatközpontokhoz a *porton 443. Ha egy Azure-beli hálózat nem engedélyezi a kimenő forgalmat, konfiguráljon kivételeket a hálózati biztonsági csoport szabályaival. A szolgáltatáscímkékStorageAzureArcInfrastructure a vendégkonfigurációra és a Storage-szolgáltatásokra hivatkozhatnak ahelyett, hogy manuálisan karbantartanák az Azure-adatközpontok IP-tartományainak listáját. Mindkét címkére szükség van, mert az Azure Storage üzemelteti a gép konfigurációs tartalomcsomagjait.
Kommunikáció privát kapcsolaton keresztül az Azure-ban
A virtuális gépek privát kapcsolatot használhatnak a gépkonfigurációs szolgáltatással való kommunikációhoz.
A funkció engedélyezéséhez alkalmazza a nevet EnablePrivateNetworkGC és az értéket TRUE tartalmazó címkét. A címke a gép konfigurációs szabályzatdefinícióinak a gépre való alkalmazása előtt vagy után alkalmazható.
Fontos
Az egyéni csomagok privát hivatkozásán keresztüli kommunikációhoz hozzá kell adni a csomag helyére mutató hivatkozást az engedélyezett URL-címek listájához.
A forgalom az Azure virtuális nyilvános IP-címével van irányítva, hogy biztonságos, hitelesített csatornát hozzon létre Az Azure platform erőforrásaival.
Kommunikáció az Azure-on kívüli nyilvános végpontokon keresztül
A helyszíni vagy más felhőkben található kiszolgálók gépkonfigurációval kezelhetők az Azure Archoz való csatlakozással.
Az Azure Arc-kompatibilis kiszolgálók esetében engedélyezze a forgalmat az alábbi minták használatával:
Port: a kimenő internetkapcsolathoz csak a 443-as TCP port szükséges
Kommunikáció privát kapcsolaton keresztül az Azure-on kívül
Ha privát kapcsolatot használ az Arc-kompatibilis kiszolgálókkal, a rendszer automatikusan letölti a beépített szabályzatcsomagokat a privát hivatkozáson keresztül. A funkció engedélyezéséhez nem kell címkéket beállítania az Arc-kompatibilis kiszolgálón.
Szabályzatok hozzárendelése az Azure-on kívüli gépekhez
A gépkonfigurációhoz elérhető naplózási szabályzatdefiníciók közé tartozik a Microsoft.HybridCompute/machines erőforrástípus. A szabályzat-hozzárendelés hatókörébe tartozó, Azure Arc-kompatibilis kiszolgálókra előkészített gépek automatikusan bekerülnek.
Felügyelt identitásra vonatkozó követelmények
A kezdeményezés Deploy prerequisites to enable guest configuration policies on virtual machines szabályzatdefiníciói lehetővé teszik a rendszer által hozzárendelt felügyelt identitást, ha nem létezik. A kezdeményezésben két szabályzatdefiníció található, amelyek kezelik az identitáslétrehozás kezelését. A if szabályzatdefiníciók feltételei biztosítják a helyes viselkedést az Azure-beli gépi erőforrás aktuális állapota alapján.
Fontos
Ezek a definíciók rendszer által hozzárendelt felügyelt identitást hoznak létre a célerőforrásokon a meglévő felhasználó által hozzárendelt identitások mellett (ha vannak ilyenek). Meglévő alkalmazások esetén, hacsak nem adják meg a felhasználó által hozzárendelt identitást a kérelemben, a gép alapértelmezés szerint a Rendszer által hozzárendelt identitást használja. További információ
A magas rendelkezésre állású megoldást tervező ügyfeleknek figyelembe kell venniük a virtuális gépek redundanciatervezési követelményeit, mivel a vendéghozzárendelések az Azure-beli géperőforrások bővítményei. Ha a vendéghozzárendelési erőforrások ki vannak építve egy párosított Azure-régióban, megtekintheti a vendéghozzárendelési jelentéseket, ha a párban legalább egy régió elérhető. Ha az Azure-régió nincs párosítva, és elérhetetlenné válik, nem férhet hozzá a vendéghozzárendeléshez tartozó jelentésekhez. A régió visszaállítása után ismét hozzáférhet a jelentésekhez.
Ajánlott ugyanazokat a szabályzatdefiníciókat ugyanazokkal a paraméterekkel hozzárendelni a megoldás összes gépéhez a magas rendelkezésre állású alkalmazásokhoz. Ez különösen igaz azokra a helyzetekre, amikor a virtuális gépek a rendelkezésre állási csoportokban vannak kiépítve egy terheléselosztó-megoldás mögött. Az összes gépre kiterjedő egyetlen szabályzat-hozzárendelés a legkevésbé rendszergazdai többletterheléssel rendelkezik.
Az Azure Site Recovery által védett gépek esetében győződjön meg arról, hogy az elsődleges és a másodlagos hely gépei ugyanazon definíciókhoz tartozó Azure Policy-hozzárendelések hatókörébe tartoznak. Használja ugyanazt a paraméterértéket mindkét helyen.
Adattárolási hely
A gép konfigurációja tárolja és feldolgozza az ügyféladatokat. Alapértelmezés szerint az ügyféladatok replikálódnak a párosított régióba. Szingapúr, Dél-Brazília és Kelet-Ázsia régióiban minden ügyféladat tárolása és feldolgozása a régióban történik.
Gépkonfiguráció hibaelhárítása
A gépkonfiguráció hibaelhárításával kapcsolatos további információkért tekintse meg az Azure Policy hibaelhárítását.
Több hozzárendelés
Jelenleg csak néhány beépített gépkonfigurációs szabályzatdefiníció támogatja a több hozzárendelést. Az egyéni szabályzatok azonban alapértelmezés szerint több hozzárendelést támogatnak, ha a GuestConfiguration PowerShell modul legújabb verzióját használta gépkonfigurációs csomagok és szabályzatok létrehozásához.
Az alábbiakban felsoroljuk a több hozzárendelést támogató beépített gépkonfigurációs szabályzatdefiníciókat:
[Előzetes verzió]: Felhasználó által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések virtuális gépeken való engedélyezéséhez
A kategória Guest Configuration Azure Policy-definíciói felügyeleti csoportokhoz rendelhetők, ha az effektus vagy DeployIfNotExistsAuditIfNotExists a .
Ügyfél naplófájljai
A gép konfigurációs bővítménye naplófájlokat ír a következő helyekre:
A gépkonfigurációk vagy modulok hibaelhárításának első lépéseként a parancsmagokat kell használnia a gépkonfigurációs csomag összetevőinek tesztelése című témakör lépéseit követve. Ha ez nem sikerül, az ügyfélnaplók gyűjtése segíthet a problémák diagnosztizálásában.
Windows
Az Azure-beli virtuális gépek futtatásának parancsával rögzítheti a naplófájlok adatait, az alábbi példa PowerShell-szkript hasznos lehet.
A gép konfigurációs ügynöke letölti a tartalomcsomagokat egy gépre, és kinyeri a tartalmat.
A letöltött és tárolt tartalmak ellenőrzéséhez tekintse meg a mappahelyeket az alábbi listában.
Windows: C:\ProgramData\guestconfig\configuration
Linux: /var/lib/GuestConfig/Configuration
Nyílt forráskódú nxtools modul funkciói
Megjelent egy új nyílt forráskódú nxtools modul , amely megkönnyíti a Linux-rendszerek kezelését a PowerShell-felhasználók számára.
A modul segít az olyan gyakori feladatok kezelésében, mint például:
Felhasználók és csoportok kezelése
Fájlrendszerműveletek végrehajtása
Szolgáltatások kezelése
Archív műveletek végrehajtása
Csomagok kezelése
A modul osztályalapú DSC-erőforrásokat tartalmaz Linuxhoz és beépített gépkonfigurációs csomagokhoz.
Ha visszajelzést szeretne küldeni erről a funkcióról, nyisson meg egy problémát a dokumentációban. Jelenleg nem fogadunk el PRS-eket ehhez a projekthez, és a támogatás a legjobb erőfeszítés.
Gépkonfigurációs minták
A gépkonfiguráció beépített szabályzatmintái a következő helyeken érhetők el:
Az Azure Arc-kompatibilis kiszolgálók szabályozási képességeinek megismerése. Megismerheti az Azure Arc-kompatibilis kiszolgálók Azure Policybe, Azure Automationbe és Azure Automanage-ba történő előkészítésének előnyeit és módját.