Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Figyelmeztetés
Ez a cikk az End Of Life (EOL) állapotú Linux-disztribúcióra, a CentOS-ra hivatkozik. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.
Az Azure Policy gépkonfigurációs funkciója natív lehetőséget biztosít az operációs rendszer beállításainak naplózására vagy konfigurálására kódként az Azure-ban és hibrid Arc-kompatibilis gépeken futó gépekhez. A funkciót közvetlenül gépenként használhatja, vagy az Azure Policy használatával nagy léptékben vezényelheti.
Az Azure-beli konfigurációs erőforrások bővítményerőforrásként vannak kialakítva. Az egyes konfigurációkat a gép további tulajdonságaiként képzelheti el. A konfigurációk tartalmazhatnak olyan beállításokat, mint például:
- Operációs rendszer beállításai
- Alkalmazás konfigurációja vagy jelenléte
- Környezeti beállítások
A konfigurációk eltérnek a szabályzatdefinícióktól. A gépkonfiguráció az Azure Policy használatával dinamikusan rendeli hozzá a konfigurációkat a gépekhez. A konfigurációkat manuálisan is hozzárendelheti a gépekhez.
Az egyes forgatókönyvek példái az alábbi táblázatban találhatók.
típus | Leírás | Példatörténet |
---|---|---|
Konfigurációkezelés | A kiszolgáló teljes megjelenítését szeretné kódként használni a forrásvezérlőben. Az üzembe helyezésnek tartalmaznia kell a kiszolgáló tulajdonságait (méret, hálózat, tároló), valamint az operációs rendszer és az alkalmazás beállításainak konfigurálását. | "Ennek a gépnek egy webkiszolgálónak kell lennie, amely a webhelyem üzemeltetésére van konfigurálva." |
Engedékenység | A beállításokat a hatókörben lévő összes gépre szeretné naplózni vagy telepíteni, akár a meglévő gépekre aktívan, akár az üzembe helyezésük során proaktív módon az új gépekre. | "Minden gépnek TLS 1.2-t kell használnia. A meglévő gépek áttekintése, hogy a szükséges változtatásokat ellenőrzött módon, nagy léptékben bevezethessem. Új gépek esetén az üzembe helyezéskor kényszerítse ki a beállítást." |
A beállításonkénti eredményeket a Vendéghozzárendelések lapon tekintheti meg a konfigurációkból. Ha egy Azure Policy-hozzárendelés vezérli a konfigurációt, a "Megfelelőségi részletek" lapon kiválaszthatja az "Utolsóként kiértékelt erőforrás" hivatkozást.
Megjegyzés:
A gépkonfiguráció jelenleg legfeljebb 50 vendéghozzárendelés létrehozását támogatja gépenként.
Kényszerítési módok egyéni szabályzatokhoz
A kiszolgálóbeállítások, alkalmazások és számítási feladatok kényszerítésének és monitorozásának nagyobb rugalmassága érdekében a Gépkonfiguráció három fő kényszerítési módot kínál minden szabályzat-hozzárendeléshez az alábbi táblázatban leírtak szerint.
Üzemmód | Leírás |
---|---|
Könyvvizsgálat | Csak a gép állapotáról szóló jelentés |
Alkalmazás és figyelés | A gépre alkalmazott konfiguráció, majd a módosítások figyelése |
Alkalmazás és automatikus javítás | A gépre alkalmazott konfiguráció, amely eltérés esetén visszakerül a megfelelőségbe |
A dokumentumról videós útmutató érhető el. (A frissítés hamarosan elérhető)
Gépkonfiguráció engedélyezése
A környezetében lévő gépek állapotának kezeléséhez, beleértve az Azure-ban és az Arc-kompatibilis kiszolgálókon lévő gépeket is, tekintse át az alábbi részleteket.
Erőforrás-szolgáltató
Az Azure Policy gépkonfigurációs funkciójának használatához regisztrálnia kell az erőforrás-szolgáltatót Microsoft.GuestConfiguration
. Ha a gépkonfigurációs szabályzat hozzárendelése a portálon keresztül történik, vagy ha az előfizetés regisztrálva van a Microsoft Defender for Cloudban, az erőforrás-szolgáltató automatikusan regisztrálva lesz. Manuálisan is regisztrálhat a portálon, az Azure PowerShellben vagy az Azure CLI-ben.
Az Azure-beli virtuális gépekre vonatkozó követelmények üzembe helyezése
Egy adott gép beállításainak kezeléséhez a rendszer engedélyez egy virtuális gépi bővítményt, továbbá a gépnek egy rendszer által kezelt identitással is rendelkeznie kell. A bővítmény letölti a vonatkozó gépkonfigurációs hozzárendeléseket és a kapcsolódó függőségeket. Az identitást arra használják, hogy hitelesítse a gépet, miközben olvas és ír a gép konfigurációs szolgáltatásába. Az Arc-kompatibilis kiszolgálókhoz nem szükséges a bővítmény, mert az Arc Connected Machine ügynök része.
Fontos
Az Azure-beli virtuális gépek kezeléséhez a gép konfigurációs bővítményére és egy felügyelt identitásra van szükség.
A bővítmény nagy léptékű üzembe helyezéséhez rendelje hozzá a szabályzat kezdeményezését
Deploy prerequisites to enable Guest Configuration policies on virtual machines
egy felügyeleti csoportra, előfizetésre vagy erőforráscsoportra, amely tartalmazza a kezelni kívánt gépeket.
Ha a bővítményt és a felügyelt identitást inkább egyetlen gépen szeretné üzembe helyezni, olvassa el az Azure-erőforrások felügyelt identitásainak konfigurálása egy virtuális gépen az Azure Portal használatával című témakört.
A konfigurációkat alkalmazó gépkonfigurációs csomagok használatához az Azure-beli virtuális gép vendégkonfigurációs bővítményének 1.26.24-es vagy újabb verziójára van szükség.
Fontos
A felügyelt identitás létrehozása vagy szabályzat hozzárendelése "Vendégkonfigurációs erőforrás-közreműködő" szerepkörrel olyan műveletek, amelyek végrehajtásához megfelelő Azure RBAC-engedélyek szükségesek. Az Azure Policyról és az Azure RBAC-ről további információt az Azure Policy szerepköralapú hozzáférés-vezérlésében talál.
A bővítményre beállított korlátok
Annak érdekében, hogy a bővítmény ne befolyásolja a gépen futó alkalmazásokat, a gép konfigurációs ügynöke nem haladhatja meg az 5% processzort. Ez a korlátozás a beépített és az egyéni definíciókra is vonatkozik. Ugyanez igaz az Arc Connected Machine-ügynök gépkonfigurációs szolgáltatására is.
Érvényesítési eszközök
A gépen belül a gép konfigurációs ügynöke helyi eszközöket használ a feladatok végrehajtásához.
Az alábbi táblázat az egyes támogatott operációs rendszereken használt helyi eszközök listáját mutatja. A beépített tartalmak esetében a gép konfigurációja automatikusan kezeli az eszközök betöltését.
Operációs rendszer | Érvényesítési eszköz | Jegyzetek |
---|---|---|
Windows | A PowerShell kívánt állapotkonfigurációja | Közvetlenül telepítve egy mappába, amelyet csak az Azure Policy használ. Nem ütközik a Windows PowerShell DSC-vel. A PowerShell nincs hozzáadva a rendszerútvonalhoz. |
Linux | A PowerShell kívánt állapotkonfigurációja | Közvetlenül telepítve egy mappába, amelyet csak az Azure Policy használ. A PowerShell nincs hozzáadva a rendszerútvonalhoz. |
Linux | Chef InSpec | Telepíti a Chef InSpec 2.2.61-es verzióját az alapértelmezett helyre, és hozzáadja a rendszerútvonalhoz. Telepíti az InSpec függőségeit, beleértve a Rubyt és a Pythont is. |
Érvényesítési gyakoriság
A gép konfigurációs ügynöke 5 percenként ellenőrzi az új vagy módosított vendéghozzárendeléseket. Miután megkapta a vendéghozzárendelést, a rendszer 15 perces időközönként újra bejelöli a konfiguráció beállításait. Ha több konfiguráció van hozzárendelve, mindegyik kiértékelése egymás után történik. A hosszan futó konfigurációk az összes konfiguráció időközét befolyásolják, mert a következő nem futtatható, amíg a korábbi konfiguráció be nem fejeződik.
A rendszer az audit befejezésekor elküldi az eredményeket a gépkonfigurációs szolgáltatásnak. Szabályzat-kiértékelési eseményindító esetén a gép állapota a gép konfigurációs erőforrás-szolgáltatójának lesz megírva. A frissítés hatására az Azure Policy kiértékeli az Azure Resource Manager tulajdonságait. Az igény szerinti Azure Policy-értékelés lekéri a legújabb értéket a gép konfigurációs erőforrás-szolgáltatójától. Ez azonban nem indít el új tevékenységet a gépen belül. Az állapot ezután meg lesz írva az Azure Resource Graph-ba.
Támogatott ügyféltípusok
A gépkonfigurációs szabályzat definíciói az új verziókat is tartalmazzák. Az Azure Marketplace-en elérhető operációs rendszerek régebbi verziói ki vannak zárva, ha a vendégkonfigurációs ügyfél nem kompatibilis. Emellett a megfelelő közzétevők által az élettartamon kívül támogatott Linux-kiszolgálóverziók ki vannak zárva a támogatási mátrixból.
Az alábbi táblázat a támogatott operációs rendszerek listáját mutatja be az Azure-rendszerképeken. A .x
szöveg szimbolikus a Linux-disztribúciók új alverzióinak ábrázolására.
Kiadó | Név | Verziók |
---|---|---|
Alma | AlmaLinux | 9 |
Amazon | Linux | 2 |
Kanónikus | Ubuntu-kiszolgáló | 16.04 – 24.x |
Credativ | Debian | 10.x – 12.x |
Microsoft | CBL-Mariner | 1 - 2 |
Microsoft | Azure Linux | 3 |
Microsoft | Windows-ügyfél | Windows 10, 11 |
Microsoft | Windows Server | 2012 - 2025 |
Jóslat | Oracle-Linux | 7.x – 8.x |
OpenLogic | Centos | 7.3 – 8.x |
Piros kalap | Red Hat Enterprise Linux* | 7.4 – 9.x |
Sziklás | Sziklás Linux | 8 |
SUSE | SLES | 12 SP5, 15.x |
* A Red Hat CoreOS nem támogatott.
A gépkonfigurációs szabályzatdefiníciók mindaddig támogatják az egyéni virtuálisgép-rendszerképeket, amíg az előző táblázatban szereplő operációs rendszerek egyike. A gépkonfiguráció nem támogatja az egységes VMSS-t, de támogatja a VMSS Flexet.
Hálózati követelmények
Az Azure-beli virtuális gépek használhatják a helyi virtuális hálózati adapterüket (vNIC) vagy az Azure Private Linket a gépkonfigurációs szolgáltatással való kommunikációhoz.
Az Azure Arc-kompatibilis gépek a helyszíni hálózati infrastruktúrával csatlakoznak az Azure-szolgáltatások eléréséhez és a megfelelőségi állapot jelentéséhez.
Az alábbi táblázat az Azure és az Azure Arc-kompatibilis gépek támogatott végpontjait mutatja be:
Régió | Földrajz | URL-cím | Tárolási végpont |
---|---|---|---|
EastAsia | Ázsia és csendes-óceáni térség |
agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
Délkelet-Ázsia | Ázsia és csendes-óceáni térség |
agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
AusztráliaEast | Ausztrália |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
AustraliaSoutheast | Ausztrália |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
BrazíliaDél | Brazília |
agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
CanadaCentral | Kanada |
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
CanadaEast | Kanada |
agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ChinaEast2 | Kína |
agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn chne2-gas.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
ChinaNorth | Kína |
agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn chnn-gas.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
ChinaNorth2 | Kína | agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
ChinaNorth3 | Kína |
agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
NorthEurope | Európa |
agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
WestEurope | Európa |
agentserviceapi.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com we-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
FranceCentral | Franciaország |
agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
GermanyNorth | Németország | agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
GermanyWestCentral | Németország |
agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
CentralIndia | India | agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SouthIndia | India | agentserviceapi.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
IsraelCentral | Izrael | agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com |
oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ItalyNorth | Olaszország |
agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com |
oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
JapanEast | Japán | agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
JapanWest | Japán |
agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
KoreaCentral | Korea |
agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
MexicoCentral | Mexikó |
agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
NorvégiaEast | Norvégia |
agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com |
oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
LengyelországCentral | Lengyelország | agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
QatarCentral | Katar |
agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com |
oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SouthAfricaNorth | SouthAfrica |
agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SouthAfricaWest | SouthAfrica |
agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SpainCentral | Spanyolország |
agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com |
oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SvédországCentral | Svédország | agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SvájcÉszak | Svájc |
agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com stzn-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SvájcWest | Svájc | agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
TajvanNorth | Tajvan |
agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com twn-gas.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
UAENorth | Egyesült Arab Emírségek |
agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com |
oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
UKSouth | Egyesült Királyság |
agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
UKWest | Egyesült Királyság |
agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
EastUS | Egyesült Államok | agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
EastUS2 | Egyesült Államok |
agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
WestUS | Egyesült Államok |
agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
WestUS2 | Egyesült Államok |
agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
WestUS3 | Egyesült Államok |
agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
CentralUS | Egyesült Államok | agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
NorthCentralUS | Egyesült Államok |
agentserviceapi.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com ncus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SouthCentralUS | Egyesült Államok |
agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
WestCentralUS | Egyesült Államok |
agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
USGovArizona | Amerikai Egyesült Államok Kormánya |
agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
USGovTexas | Amerikai Egyesült Államok Kormánya | agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
USGovVirginia | Amerikai Egyesült Államok Kormánya |
agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Kommunikáció virtuális hálózatokon keresztül az Azure-ban
Az Azure-beli gépkonfigurációs erőforrás-szolgáltatóval való kommunikációhoz a gépek kimenő hozzáférést igényelnek az Azure-adatközpontokhoz a *porton 443
. Ha egy Azure-beli hálózat nem engedélyezi a kimenő forgalmat, konfiguráljon kivételeket a hálózati biztonsági csoport szabályaival. A szolgáltatáscímkékAzureArcInfrastructure
Storage
a vendégkonfigurációra és a Storage-szolgáltatásokra hivatkozhatnak ahelyett, hogy manuálisan karbantartanák az Azure-adatközpontok IP-tartományainak listáját . Mindkét címkére szükség van, mert az Azure Storage üzemelteti a gép konfigurációs tartalomcsomagjait.
Kommunikáció privát kapcsolaton keresztül az Azure-ban
A virtuális gépek privát kapcsolatot használhatnak a gépkonfigurációs szolgáltatással való kommunikációhoz.
A funkció engedélyezéséhez alkalmazza a nevet EnablePrivateNetworkGC
és az értéket TRUE
tartalmazó címkét. A címke a gép konfigurációs szabályzatdefinícióinak a gépre való alkalmazása előtt vagy után alkalmazható.
Fontos
Az egyéni csomagok privát hivatkozásán keresztüli kommunikációhoz hozzá kell adni a csomag helyére mutató hivatkozást az engedélyezett URL-címek listájához.
A forgalom az Azure virtuális nyilvános IP-címével van irányítva, hogy biztonságos, hitelesített csatornát hozzon létre Az Azure platform erőforrásaival.
Kommunikáció az Azure-on kívüli nyilvános végpontokon keresztül
A helyszíni vagy más felhőkben található kiszolgálók gépkonfigurációval kezelhetők az Azure Archoz való csatlakozással.
Az Azure Arc-kompatibilis kiszolgálók esetében engedélyezze a forgalmat az alábbi minták használatával:
- Port: Csak a kimenő internet-hozzáféréshez szükséges TCP 443
- Globális URL-cím:
*.guestconfiguration.azure.com
Tekintse meg az Azure Arc-kompatibilis kiszolgálók hálózati követelményeit az Azure Connected Machine Agent által az alapvető Azure Arc- és gépkonfigurációs forgatókönyvekhez szükséges összes hálózati végpont teljes listájához.
Kommunikáció privát kapcsolaton keresztül az Azure-on kívül
Ha privát kapcsolatot használ az Arc-kompatibilis kiszolgálókkal, a rendszer automatikusan letölti a beépített szabályzatcsomagokat a privát hivatkozáson keresztül. A funkció engedélyezéséhez nem kell címkéket beállítania az Arc-kompatibilis kiszolgálón.
Szabályzatok hozzárendelése az Azure-on kívüli gépekhez
A gépkonfigurációhoz elérhető naplózási szabályzatdefiníciók közé tartozik a Microsoft.HybridCompute/machines erőforrástípus. A szabályzat-hozzárendelés hatókörébe tartozó Azure Arc-kompatibilis szerverekre felvitt gépek automatikusan bekerülnek.
Felügyelt identitásra vonatkozó követelmények
A kezdeményezés Deploy prerequisites to enable guest configuration policies on virtual machines
szabályzatdefiníciói lehetővé teszik a rendszer által hozzárendelt felügyelt identitást, ha nem létezik. A kezdeményezésben két szabályzatdefiníció található, amelyek az identitáslétrehozást kezelik. A if
szabályzatdefiníciók feltételei biztosítják a helyes viselkedést az Azure-beli gépi erőforrás aktuális állapota alapján.
Fontos
Ezek a definíciók egy System-Assigned felügyelt identitást hoznak létre a célerőforrásokon a meglévő User-Assigned identitásokon kívül (ha vannak ilyenek). A meglévő alkalmazások esetében, hacsak nem adják meg a User-Assigned identitást a kérelemben, a gép alapértelmezés szerint System-Assigned Identitást használ. Tudj meg többet
Ha a gép jelenleg nem rendelkezik felügyelt identitással, a hatályos szabályzat a következő: Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken
Ha a gép jelenleg felhasználó által hozzárendelt rendszeridentitással rendelkezik, a hatályos szabályzat a következő: Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez a felhasználó által hozzárendelt identitással rendelkező virtuális gépeken
Elérhetőség
A magas rendelkezésre állású megoldást tervező ügyfeleknek figyelembe kell venniük a virtuális gépek redundanciatervezési követelményeit, mivel a vendéghozzárendelések az Azure-beli géperőforrások bővítményei. Ha a vendéghozzárendelési erőforrások ki vannak építve egy párosított Azure-régióban, megtekintheti a vendéghozzárendelési jelentéseket, ha a párban legalább egy régió elérhető. Ha az Azure-régió nincs párosítva, és elérhetetlenné válik, nem férhet hozzá a vendéghozzárendeléshez tartozó jelentésekhez. A régió visszaállítása után ismét hozzáférhet a jelentésekhez.
Ajánlott ugyanazokat a szabályzatdefiníciókat ugyanazokkal a paraméterekkel hozzárendelni a megoldás összes gépéhez a magas rendelkezésre állású alkalmazásokhoz. Ez különösen igaz azokra a helyzetekre, amikor a virtuális gépek a rendelkezésre állási csoportokban vannak kiépítve egy terheléselosztó-megoldás mögött. Az összes gépre kiterjedő egyetlen szabályzat-hozzárendelés a legkevésbé rendszergazdai többletterheléssel rendelkezik.
Az Azure Site Recovery által védett gépek esetében győződjön meg arról, hogy az elsődleges és a másodlagos hely gépei ugyanazon definíciókhoz tartozó Azure Policy-hozzárendelések hatókörébe tartoznak. Használja ugyanazt a paraméterértéket mindkét helyen.
Adattárolási hely
A gép konfigurációja tárolja és feldolgozza az ügyféladatokat. Alapértelmezés szerint az ügyféladatok replikálódnak a párosított régióba. Szingapúr, Dél-Brazília és Kelet-Ázsia régióiban minden ügyféladat tárolása és feldolgozása a régióban történik.
Gépkonfiguráció hibaelhárítása
A gépkonfiguráció hibaelhárításával kapcsolatos további információkért tekintse meg az Azure Policy hibaelhárítását.
Több hozzárendelés
Jelenleg csak néhány beépített gépkonfigurációs szabályzatdefiníció támogatja a több hozzárendelést. Az egyéni szabályzatok azonban alapértelmezés szerint több hozzárendelést támogatnak, ha a GuestConfiguration PowerShell modul legújabb verzióját használta gépkonfigurációs csomagok és szabályzatok létrehozásához.
Az alábbiakban felsoroljuk a több hozzárendelést támogató beépített gépkonfigurációs szabályzatdefiníciókat:
ID (Azonosító) | Megjelenítendő név |
---|---|
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | A helyi hitelesítési módszereket le kell tiltani Windows-kiszolgálókon |
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | A helyi hitelesítési módszereket le kell tiltani Linux rendszerű gépeken |
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Előzetes verzió]: Felhasználó által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések virtuális gépeken való engedélyezéséhez |
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Előzetes verzió]: A Linux-gépeknek meg kell felelniük az Azure Compute STIG megfelelőségi követelményének |
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Előzetes verzió]: A Windows-gépeknek meg kell felelniük az Azure Compute STIG megfelelőségi követelményeinek |
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Előzetes verzió]: Az OMI-vel rendelkező Linux-gépeken az 1.6.8-1-es vagy újabb verziónak kell lennie |
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Olyan Windows-gépek ellenőrzése, amelyek nem tartalmazzák a megadott tanúsítványokat a megbízható gyökértárolóban. |
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Windows rendszerű gépek naplózása, amelyeken a DSC-konfiguráció nem megfelelő |
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | A megadott Windows PowerShell végrehajtási szabályzattal nem rendelkező Windows-gépek naplózása |
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | A megadott Windows PowerShell-modulokkal nem rendelkező Windows-gépek naplózása |
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Olyan Windows-gépek naplózása, amelyeken a Windows soros konzol nincs engedélyezve |
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Azoknak a Windows-gépeknek az ellenőrzése, amelyeken a megadott szolgáltatások nincsenek telepítve és nem futnak. |
/providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | A megadott időzónára nem beállított Windows-gépek naplózása |
Megjegyzés:
Rendszeresen ellenőrizze ezen a lapon a több hozzárendelést támogató beépített gépkonfigurációs szabályzatdefiníciók listájának frissítéseit.
Hozzárendelések Azure felügyeleti csoportokhoz
A kategória Guest Configuration
Azure szabályzat definíciói felügyeleti csoportokhoz rendelhetők, ha az effektus AuditIfNotExists
vagy DeployIfNotExists
.
Fontos
Amikor egy gépkonfigurációs-házirenden házirend-kivételeket hoz létre, a hozzá tartozó vendég-hozzárendelést törölni kell, hogy az ügynök ne vizsgálja tovább.
Ügyfél naplófájljai
A gép konfigurációs bővítménye naplófájlokat ír a következő helyekre:
Windows
- Azure-beli virtuális gép:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
- Arc-kompatibilis kiszolgáló:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Azure-beli virtuális gép:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
- Arc-kompatibilis kiszolgáló:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Naplók távoli gyűjtése
A gépkonfigurációk vagy modulok hibaelhárításának első lépéseként a parancsmagokat kell használnia a gépkonfigurációs csomag összetevőinek tesztelése című témakör lépéseit követve. Ha ez nem sikerül, az ügyfélnaplók gyűjtése segíthet a problémák diagnosztizálásában.
Windows
Az Azure-beli virtuális gépek futtatásának parancsával rögzítheti a naplófájlok adatait, az alábbi példa PowerShell-szkript hasznos lehet.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Az Azure-beli virtuális gépek futtatásának parancsával rögzítheti a naplófájlok adatait, a következő példa Bash-szkript hasznos lehet.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Ügynökfájlok
A gép konfigurációs ügynöke letölti a tartalomcsomagokat egy gépre, és kinyeri a tartalmat. A letöltött és tárolt tartalmak ellenőrzéséhez tekintse meg a mappahelyeket az alábbi listában.
- Windows:
C:\ProgramData\guestconfig\configuration
- Linux:
/var/lib/GuestConfig/Configuration
Nyílt forráskódú nxtools modul funkciói
Megjelent egy új nyílt forráskódú nxtools modul , amely megkönnyíti a Linux-rendszerek kezelését a PowerShell-felhasználók számára.
A modul segít az olyan gyakori feladatok kezelésében, mint például:
- Felhasználók és csoportok kezelése
- Fájlrendszerműveletek végrehajtása
- Szolgáltatások kezelése
- Archív műveletek végrehajtása
- Csomagok kezelése
A modul osztályalapú DSC-erőforrásokat tartalmaz Linuxhoz és beépített gépkonfigurációs csomagokhoz.
Ha visszajelzést szeretne küldeni erről a funkcióról, nyisson meg egy problémát a dokumentációban. Jelenleg nem fogadunk el PRS-eket ehhez a projekthez, és a támogatás a legjobb erőfeszítés.
Gépkonfigurációs minták
A gépkonfiguráció beépített szabályzatmintái a következő helyeken érhetők el:
- Beépített szabályzatdefiníciók – Vendégkonfiguráció
- Beépített kezdeményezések – Vendégkonfiguráció
- Azure Policy-minták GitHub-adattár
- DSC-erőforrásmodulok mintája
Következő lépések
- Állíts be egy egyedi gépkonfigurációs csomagot fejlesztési környezet.
- Csomag-artefaktum létrehozása a gépkonfigurációhoz.
- Tesztelje a csomag artefaktumot a fejlesztési környezetéből.
- A GuestConfiguration modullal létrehozhat egy Azure Policy-definíciót a környezet nagy léptékű felügyeletéhez.
- Egyéni szabályzatdefiníció hozzárendelése az Azure Portal használatával.
- Ismerje meg, hogyan kell megnézni a gép konfigurációs házirend hozzárendeléseinek megfelelőségi részleteit.