Azure Automanage gép konfigurációs bővítménye

A gépkonfigurációs bővítmény az Azure Automanage szolgáltatása, amely naplózási és konfigurációs műveleteket hajt végre a virtuális gépeken (virtuális gépeken).

A virtuális gépeken belüli szabályzatok, például a Linux és a Windows Azure számítási biztonsági alapkonfigurációinak ellenőrzéséhez telepíteni kell a gép konfigurációs bővítményét.

Előfeltételek

Ahhoz, hogy a virtuális gép hitelesíthesse magát a gépkonfigurációs szolgáltatásban, a virtuális gépnek rendszer által hozzárendelt felügyelt identitással kell rendelkeznie. A tulajdonság beállításával kielégítheti a virtuális gép identitásigényét "type": "SystemAssigned" :

"identity": {
   "type": "SystemAssigned"
}

Operációs rendszerek

A gép konfigurációs bővítményének operációsrendszer-támogatása megegyezik a végpontok közötti megoldás dokumentált operációsrendszer-támogatásával.

Internetkapcsolat

A gépkonfigurációs bővítmény által telepített ügynöknek képesnek kell lennie elérni a vendégkonfiguráció-hozzárendelések által felsorolt tartalomcsomagokat, és jelentést kell adnia a gépkonfigurációs szolgáltatásnak. A virtuális gép a kimenő HTTPS használatával tud csatlakozni a 443-as TCP-porton keresztül, vagy egy privát hálózatkezelésen keresztül biztosított kapcsolattal.

A privát hálózatkezeléssel kapcsolatos további információkért tekintse meg a következő cikkeket:

• Azure Automanage gép konfigurációja, Kommunikáció az Azure Private Linken keresztül
• Privát végpontok használata Azure Storage-hoz

A bővítmény telepítése

A gépkonfigurációs bővítményt közvetlenül az Azure CLI-ből vagy a PowerShellből telepítheti és telepítheti. Az üzembehelyezési sablonok az Azure Resource Managerhez (ARM), a Bicephez és a Terraformhoz is elérhetők. Az üzembehelyezési sablon részleteiért lásd: Microsoft.GuestConfiguration guestConfigurationAssignments.

Feljegyzés

Az alábbi üzembehelyezési példákban cserélje le <placeholder> a paraméterértékeket a konfiguráció adott értékeire.

Telepítési szempontok

A gépkonfigurációs bővítmény telepítése és üzembe helyezése előtt tekintse át az alábbi szempontokat.

• Példány neve. A gép konfigurációs bővítményének telepítésekor a bővítmény példánynevét a következőre kell állítani AzurePolicyforWindows : vagy AzurePolicyforLinux. A korábban ismertetett biztonsági alapkonfiguráció-definíciós szabályzatok megkövetelik ezeket a sztringeket.

• Verziók. Alapértelmezés szerint az összes üzembe helyezés a legújabb verzióra frissül. A tulajdonság értéke autoUpgradeMinorVersion alapértelmezés szerint a következő, true kivéve, ha másként van megadva. Ez a funkció segít enyhíteni a kód frissítésével kapcsolatos aggodalmakat a gép konfigurációs bővítményének új verzióinak kiadásakor.

• Automatikus frissítés. A gép konfigurációs bővítménye támogatja a tulajdonságot enableAutomaticUpgrade . Ha ez a tulajdonság be van állítva true, az Azure automatikusan frissít a bővítmény legújabb verziójára, amint a jövőbeli kiadások elérhetővé válnak. További információ: Virtuális gépek és virtuálisgép-méretezési csoportok automatikus bővítményfrissítése az Azure-ban.

• Azure Policy. Ha a gépkonfigurációs bővítmény legújabb verzióját szeretné nagy léptékben üzembe helyezni, beleértve az identitáskövetelményeket is, kövesse a szabályzat-hozzárendelés létrehozása című szakasz lépéseit a nem megfelelő erőforrások azonosításához. Hozza létre a következő hozzárendelést az Azure Policy használatával:

  • A vendégkonfigurációs szabályzatok virtuális gépeken való engedélyezésének előfeltételeinek üzembe helyezése

• Egyéb tulajdonságok. A gép konfigurációs bővítményében nem kell semmilyen beállítást vagy védett beállítást megadnia. Az ügynök lekéri ezt az osztályt az Azure REST API vendégkonfigurációs hozzárendelési erőforrásaiból. A , Modeés ConfigurationSetting a tulajdonságok például ConfigurationUrikonfigurációnként vannak kezelve, nem pedig a virtuálisgép-bővítményen.

Azure CLI

A linuxos bővítmény üzembe helyezése:

az vm extension set  --publisher Microsoft.GuestConfiguration --name ConfigurationForLinux --extension-instance-name AzurePolicyforLinux --resource-group <myResourceGroup> --vm-name <myVM> --enable-auto-upgrade true

A bővítmény üzembe helyezése Windows rendszeren:

az vm extension set  --publisher Microsoft.GuestConfiguration --name ConfigurationforWindows --extension-instance-name AzurePolicyforWindows --resource-group <myResourceGroup> --vm-name <myVM> --enable-auto-upgrade true

PowerShell

A linuxos bővítmény üzembe helyezése:

Set-AzVMExtension -Publisher 'Microsoft.GuestConfiguration' -ExtensionType 'ConfigurationForLinux' -Name 'AzurePolicyforLinux' -TypeHandlerVersion 1.0 -ResourceGroupName '<myResourceGroup>' -Location '<myLocation>' -VMName '<myVM>' -EnableAutomaticUpgrade $true

A bővítmény üzembe helyezése Windows rendszeren:

Set-AzVMExtension -Publisher 'Microsoft.GuestConfiguration' -ExtensionType 'ConfigurationforWindows' -Name 'AzurePolicyforWindows' -TypeHandlerVersion 1.0 -ResourceGroupName '<myResourceGroup>' -Location '<myLocation>' -VMName '<myVM>' -EnableAutomaticUpgrade $true

ARM-sablon

A linuxos bővítmény üzembe helyezése:

{
  "type": "Microsoft.Compute/virtualMachines/extensions",
  "name": "[concat(parameters('VMName'), '/AzurePolicyforLinux')]",
  "apiVersion": "2020-12-01",
  "location": "[parameters('location')]",
  "dependsOn": [
    "[concat('Microsoft.Compute/virtualMachines/', parameters('VMName'))]"
  ],
  "properties": {
    "publisher": "Microsoft.GuestConfiguration",
    "type": "ConfigurationForLinux",
    "typeHandlerVersion": "1.0",
    "autoUpgradeMinorVersion": true,
    "enableAutomaticUpgrade": true, 
    "settings": {},
    "protectedSettings": {}
  }
}

A bővítmény üzembe helyezése Windows rendszeren:

{
  "type": "Microsoft.Compute/virtualMachines/extensions",
  "name": "[concat(parameters('VMName'), '/AzurePolicyforWindows')]",
  "apiVersion": "2020-12-01",
  "location": "[parameters('location')]",
  "dependsOn": [
    "[concat('Microsoft.Compute/virtualMachines/', parameters('VMName'))]"
  ],
  "properties": {
    "publisher": "Microsoft.GuestConfiguration",
    "type": "ConfigurationforWindows",
    "typeHandlerVersion": "1.0",
    "autoUpgradeMinorVersion": true,
    "enableAutomaticUpgrade": true, 
    "settings": {},
    "protectedSettings": {}
  }
}

Bicep-sablon

A linuxos bővítmény üzembe helyezése:

resource virtualMachine 'Microsoft.Compute/virtualMachines@2021-03-01' existing = {
  name: 'VMName'
}
resource windowsVMGuestConfigExtension 'Microsoft.Compute/virtualMachines/extensions@2020-12-01' = {
  parent: virtualMachine
  name: 'AzurePolicyforLinux'
  location: resourceGroup().location
  properties: {
    publisher: 'Microsoft.GuestConfiguration'
    type: 'ConfigurationForLinux'
    typeHandlerVersion: '1.0'
    autoUpgradeMinorVersion: true
    enableAutomaticUpgrade: true
    settings: {}
    protectedSettings: {}
  }
}

A bővítmény üzembe helyezése Windows rendszeren:

resource virtualMachine 'Microsoft.Compute/virtualMachines@2021-03-01' existing = {
  name: 'VMName'
}
resource windowsVMGuestConfigExtension 'Microsoft.Compute/virtualMachines/extensions@2020-12-01' = {
  parent: virtualMachine
  name: 'AzurePolicyforWindows'
  location: resourceGroup().location
  properties: {
    publisher: 'Microsoft.GuestConfiguration'
    type: 'ConfigurationforWindows'
    typeHandlerVersion: '1.0'
    autoUpgradeMinorVersion: true
    enableAutomaticUpgrade: true
    settings: {}
    protectedSettings: {}
  }
}

Terraform-sablon

A linuxos bővítmény üzembe helyezése:

resource "azurerm_virtual_machine_extension" "gc" {
  name                       = "AzurePolicyforLinux"
  virtual_machine_id         = "<myVMID>"
  publisher                  = "Microsoft.GuestConfiguration"
  type                       = "ConfigurationForLinux"
  type_handler_version       = "1.0"
  auto_upgrade_minor_version = "true"
}

A bővítmény üzembe helyezése Windows rendszeren:

resource "azurerm_virtual_machine_extension" "gc" {
  name                       = "AzurePolicyforWindows"
  virtual_machine_id         = "<myVMID>"
  publisher                  = "Microsoft.GuestConfiguration"
  type                       = "ConfigurationforWindows"
  type_handler_version       = "1.0"
  auto_upgrade_minor_version = "true"
}

Hibaüzenetek

Az alábbi táblázat a vendégkonfigurációs bővítmény engedélyezésével kapcsolatos lehetséges hibaüzeneteket sorolja fel.

Hibakód	Leírás
NoComplianceReport	A virtuális gép nem jelentette a megfelelőségi adatokat.
GCExtensionMissing	Hiányzik a gépkonfigurációs (vendégkonfigurációs) bővítmény.
ManagedIdentityMissing	A felügyelt identitás hiányzik.
UserIdentityMissing	Hiányzik a felhasználó által hozzárendelt identitás.
GCExtensionManagedIdentityMissing	Hiányzik a gépkonfigurációs (vendégkonfigurációs) bővítmény és a felügyelt identitás.
GCExtensionUserIdentityMissing	Hiányzik a gép konfigurációs (vendégkonfigurációs) bővítménye és a felhasználó által hozzárendelt identitás.
GCExtensionIdentityMissing	Hiányzik a gépkonfigurációs (vendégkonfigurációs) bővítmény, a felügyelt identitás és a felhasználó által hozzárendelt identitás.

Következő lépések

• A gépkonfigurációs bővítményről további információt az Azure Automanage gépkonfigurációs funkciójának ismertetése című témakörben talál.
• A Linux-ügynök és -bővítmények működésével kapcsolatos további információkért lásd a Linux virtuálisgép-bővítményeit és funkcióit.
• A Windows vendégügynök és -bővítmények működésével kapcsolatos további információkért lásd a Windows virtuálisgép-bővítményeit és funkcióit.
• A Windows-vendégügynök telepítéséhez tekintse meg az Azure Virtual Machine Agent áttekintését.
• A Linux-ügynök telepítéséhez lásd az Azure Linux-ügynök ismertetése és használata című témakört.