Memahami sumber daya penugasan konfigurasi mesin
Saat Azure Policy ditetapkan, jika berada dalam kategori Guest Configuration , ada metadata yang disertakan untuk menjelaskan penetapan tamu.
Video panduan untuk dokumen ini tersedia.
Anda dapat menganggap penugasan tamu sebagai penghubung antara mesin dan skenario Azure Policy. Misalnya, cuplikan berikut mengaitkan konfigurasi Azure Windows Baseline dengan versi minimum 1.0.0 ke mesin mana pun dalam cakupan kebijakan.
"metadata": {
"category": "Guest Configuration",
"guestConfiguration": {
"name": "AzureWindowsBaseline",
"version": "1.*"
}
//additional metadata properties exist
}
Cara Azure Policy menggunakan penugasan konfigurasi mesin
Layanan konfigurasi komputer menggunakan informasi metadata untuk membuat sumber daya audit secara otomatis untuk definisi dengan AuditIfNotExists efek kebijakan atau DeployIfNotExists . Jenis sumber daya adalah Microsoft.GuestConfiguration/guestConfigurationAssignments. Azure Policy menggunakan properti complianceStatus sumber daya penugasan tamu untuk melaporkan status kepatuhan. Untuk informasi selengkapnya, lihat mendapatkan data kepatuhan.
Penghapusan penugasan tamu dari Azure Policy
Saat penetapan Azure Policy dihapus, jika kebijakan membuat penetapan konfigurasi komputer, penetapan konfigurasi komputer juga dihapus.
Saat penetapan Azure Policy dihapus dari inisiatif, Anda perlu menghapus penetapan konfigurasi komputer apa pun yang dibuat secara manual. Anda dapat melakukannya dengan menavigasi ke halaman penetapan tamu di portal Azure dan menghapus tugas di sana.
Membuat penugasan konfigurasi mesin secara manual
Anda dapat membuat sumber daya penetapan tamu di Azure Resource Manager dengan menggunakan Azure Policy atau SDK klien apa pun.
Contoh templat penyebaran:
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"apiVersion": "2021-01-25",
"type": "Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments",
"name": "myMachine/Microsoft.GuestConfiguration/myConfig",
"location": "westus2",
"properties": {
"guestConfiguration": {
"name": "myConfig",
"contentUri": "https://mystorageaccount.blob.core.windows.net/mystoragecontainer/myConfig.zip?sv=SASTOKEN",
"contentHash": "SHA256HASH",
"version": "1.0.0",
"assignmentType": "ApplyAndMonitor",
"configurationParameter": {}
}
}
}
]
}
Tabel berikut menjelaskan setiap properti dari sumber daya penugasan tamu.
| Properti | Deskripsi |
|---|---|
| nama | Nama konfigurasi di dalam file MOF paket konten. |
| contentUri | Jalur URI HTTPS ke paket konten (.zip). |
| contentHash | Nilai hash SHA256 dari paket konten, digunakan untuk memverifikasi bahwa paket tersebut tidak berubah. |
| versi | Versi paket konten. Hanya digunakan untuk paket bawaan dan tidak digunakan untuk paket konten kustom. |
| assignmentType | Perilaku penugasan. Nilai yang diizinkan: Audit, ApplyandMonitor, dan ApplyandAutoCorrect. |
| configurationParameter | Daftar jenis sumber daya DSC, nama, dan nilai dalam file{i> |
Penghapusan penugasan konfigurasi mesin yang dibuat secara manual
Anda harus menghapus penetapan konfigurasi komputer yang dibuat secara manual melalui pendekatan manual apa pun (seperti penyebaran templat Azure Resource Manager). Menghapus sumber daya induk (komputer virtual atau komputer berkemampuan Arc) juga menghapus penetapan konfigurasi komputer.
Untuk menghapus penugasan konfigurasi mesin secara manual, gunakan contoh berikut. Pastikan untuk mengganti semua contoh string, yang ditunjukkan oleh <> tanda kurung siku.
# First get details about the machine configuration assignment
$resourceDetails = @{
ResourceGroupName = '<resource-group-name>'
ResourceType = 'Microsoft.Compute/virtualMachines/providers/guestConfigurationAssignments/'
ResourceName = '<vm-name>/Microsoft.GuestConfiguration'
ApiVersion = '2020-06-25'
}
$guestAssignment = Get-AzResource @resourceDetails
# Review details of the machine configuration assignment
$guestAssignment
# After reviewing properties of $guestAssignment to confirm
$guestAssignment | Remove-AzResource
Langkah berikutnya
- Mengembangkan paket konfigurasi komputer kustom.
- Gunakan modul GuestConfiguration untuk membuat definisi Azure Policy untuk manajemen skala lingkungan Anda.
- Tetapkan definisi kebijakan kustom Anda menggunakan portal Microsoft Azure.
- Pelajari cara menampilkan penetapan kebijakan detail kepatuhan untuk konfigurasi mesin.