Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Perhatian
Artikel ini mereferensikan CentOS, distribusi Linux yang merupakan status End Of Life (EOL). Harap pertimbangkan penggunaan dan perencanaan Anda yang sesuai. Untuk informasi selengkapnya, lihat panduan Akhir Masa Pakai CentOS.
Fitur konfigurasi komputer Azure Policy menyediakan kemampuan asli untuk mengaudit atau mengonfigurasi pengaturan sistem operasi sebagai kode untuk mesin yang berjalan di mesin yang didukung Azure dan Arc hibrid. Anda dapat menggunakan fitur secara langsung per mesin, atau mengaturnya dalam skala besar dengan menggunakan Azure Policy.
Sumber daya konfigurasi di Azure dirancang sebagai sumber daya ekstensi. Anda dapat membayangkan setiap konfigurasi sebagai sekumpulan properti tambahan untuk komputer. Konfigurasi dapat mencakup pengaturan seperti:
- Pengaturan sistem operasi
- Konfigurasi aplikasi atau kehadiran
- Pengaturan lingkungan
Konfigurasi berbeda dari definisi kebijakan. Konfigurasi komputer menggunakan Azure Policy untuk menetapkan konfigurasi secara dinamis ke komputer. Anda juga dapat menetapkan konfigurasi ke komputer secara manual.
Contoh dari setiap skenario disediakan dalam tabel berikut.
| Tipe | Deskripsi | Contoh cerita |
|---|---|---|
| Manajemen konfigurasi | Anda menginginkan representasi lengkap dari server, sebagai kode dalam kontrol sumber. Penyebaran harus mencakup properti server (ukuran, jaringan, penyimpanan) dan konfigurasi sistem operasi serta pengaturan aplikasi. | "Mesin ini harus menjadi server web yang dikonfigurasi untuk meng-host situs web saya." |
| Kepatuhan | Anda ingin mengaudit atau menyebarkan pengaturan ke semua komputer dalam cakupan baik secara reaktif ke mesin yang ada atau secara proaktif ke komputer baru saat disebarkan. | "Semua mesin harus menggunakan TLS 1.2. Mengaudit komputer yang ada sehingga saya dapat merilis perubahan di mana diperlukan, dengan cara yang terkontrol, dalam skala besar. Untuk komputer baru, terapkan pengaturan saat disebarkan." |
Anda dapat melihat hasil per pengaturan dari konfigurasi di halaman Penetapan tamu. Jika penetapan Azure Policy yang diorkestrasi konfigurasi diatur, Anda dapat memilih tautan "Sumber daya terakhir dievaluasi" di halaman "Detail kepatuhan".
Catatan
Konfigurasi Mesin saat ini mendukung pembuatan hingga 50 penugasan tamu per komputer.
Mode Penegakan untuk Kebijakan Kustom
Untuk memberikan fleksibilitas yang lebih besar dalam penegakan dan pemantauan pengaturan server, aplikasi, dan beban kerja, Konfigurasi Mesin menawarkan tiga mode penegakan utama untuk setiap penetapan kebijakan seperti yang dijelaskan dalam tabel berikut.
| Pengaturan | Deskripsi |
|---|---|
| Pemeriksaan Keuangan | Hanya laporan tentang status komputer |
| Terapkan dan Pantau | Konfigurasi diterapkan ke komputer lalu dipantau untuk perubahan |
| Terapkan dan Koreksi Otomatis | Konfigurasi diterapkan ke komputer dan kembali sesuai jika terjadi penyimpangan |
Video panduan untuk dokumen ini tersedia. (Pembaruan segera hadir)
Aktifkan konfigurasi mesin
Untuk mengelola status mesin di lingkungan Anda, termasuk mesin di server Azure dan yang didukung Arc, tinjau detail berikut.
Penyedia sumber daya
Sebelum Anda dapat menggunakan fitur konfigurasi mesin Azure Policy, Anda harus mendaftarkan penyedia sumber daya Microsoft.GuestConfiguration. Jika penugasan kebijakan konfigurasi mesin dilakukan melalui portal, atau jika langganan terdaftar di Microsoft Defender untuk Cloud, penyedia sumber daya terdaftar secara otomatis. Anda dapat mendaftar secara manual melalui portal, Azure PowerShell, atau Azure CLI.
Menyebarkan persyaratan untuk mesin virtual Azure
Untuk mengelola pengaturan di dalam komputer, ekstensi komputer virtual diaktifkan dan komputer harus memiliki identitas yang dikelola sistem. Ekstensi mengunduh penetapan konfigurasi komputer yang berlaku dan dependensi yang sesuai. Identitas digunakan untuk mengautentikasi mesin saat membaca dan menulis ke layanan konfigurasi mesin. Ekstensi ini tidak diperlukan untuk server yang didukung Arc karena dimasukkan dalam agen Arc Connected Machine.
Penting
Ekstensi konfigurasi mesin dan identitas terkelola diperlukan untuk mengelola mesin virtual Azure.
Untuk menyebarkan ekstensi sesuai kebutuhan di banyak mesin, tetapkan inisiatif kebijakan
Deploy prerequisites to enable Guest Configuration policies on virtual machineske grup manajemen, langganan, atau grup sumber daya yang berisi mesin yang akan Anda kelola.
Jika Anda lebih suka menyebarkan ekstensi dan identitas terkelola ke satu komputer, lihat Mengonfigurasi identitas terkelola untuk sumber daya Azure pada VM menggunakan portal Azure.
Untuk menggunakan paket konfigurasi komputer yang menerapkan konfigurasi, ekstensi konfigurasi tamu Azure VM versi 1.26.24 atau yang lebih baru diperlukan.
Penting
Pembuatan identitas terkelola atau penetapan kebijakan dengan peran "Kontributor Sumber Daya Konfigurasi Tamu" adalah tindakan yang memerlukan izin Azure RBAC yang sesuai untuk dilakukan. Untuk mempelajari selengkapnya tentang Azure Policy dan Azure RBAC, lihat kontrol akses berbasis peran di Azure Policy.
Batas yang ditetapkan pada ekstensi
Untuk membatasi ekstensi agar tidak memengaruhi aplikasi yang berjalan di dalam mesin, agen konfigurasi mesin tidak boleh lebih dari 5% CPU. Batasan ini ada untuk definisi bawaan dan kustom. Hal yang sama berlaku untuk layanan konfigurasi mesin di agen Arc Connected Machine.
Alat validasi
Di dalam mesin, agen konfigurasi mesin menggunakan alat lokal untuk melakukan tugas.
Tabel berikut ini memperlihatkan daftar alat lokal yang digunakan pada setiap sistem operasi yang didukung. Untuk konten bawaan, konfigurasi mesin menangani pemuatan alat ini secara otomatis.
| Sistem operasi | Alat validasi | Catatan |
|---|---|---|
| Windows | Konfigurasi Status yang Diinginkan PowerShell | Dimuat sebagai tambahan ke folder yang hanya digunakan oleh Azure Policy. Tidak bertentangan dengan Windows PowerShell DSC. PowerShell tidak ditambahkan ke jalur sistem. |
| Linux | Konfigurasi Status yang Diinginkan PowerShell | Dimuat sebagai tambahan ke folder yang hanya digunakan oleh Azure Policy. PowerShell tidak ditambahkan ke jalur sistem. |
| Linux | Chef InSpec | Menginstal Chef InSpec versi 2.2.61 di lokasi default dan menambahkannya ke jalur sistem. Ini menginstal dependensi InSpec, termasuk Ruby dan Python juga. |
Frekuensi validasi
Agen konfigurasi mesin memeriksa penugasan tamu baru atau yang diubah setiap 5 menit. Setelah penugasan tamu diterima, pengaturan untuk konfigurasi tersebut diperiksa ulang pada interval 15 menit. Jika beberapa konfigurasi ditetapkan, masing-masing dievaluasi secara berurutan. Konfigurasi jangka panjang memengaruhi interval untuk semua konfigurasi, karena konfigurasi berikutnya tidak dapat berjalan hingga konfigurasi sebelumnya selesai.
Hasil akan dikirim ke layanan konfigurasi mesin saat audit selesai. Ketika pemicu evaluasi kebijakan terjadi, status mesin ditulis ke penyedia sumber daya konfigurasi mesin. Pembaruan ini menyebabkan Azure Policy mengevaluasi properti Azure Resource Manager. Evaluasi Azure Policy sesuai permintaan mengambil nilai terbaru dari penyedia sumber konfigurasi mesin. Namun, layanan tidak memicu aktivitas baru di dalam mesin. Status kemudian ditulis ke Azure Resource Graph.
Jenis klien yang didukung
Definisi kebijakan konfigurasi mesin sudah termasuk versi baru. Versi sistem operasi lama yang tersedia di Marketplace Azure dikecualikan jika klien Guest Configuration tidak kompatibel. Selain itu, versi server Linux yang tidak memiliki dukungan seumur hidup oleh penerbit masing-masing dikecualikan dari matriks dukungan.
Tabel berikut ini memperlihatkan daftar sistem operasi yang didukung pada citra Azure. Teks .x bersifat simbolis untuk mewakili versi minor baru distribusi Linux.
| Penerbit | Nama | Versi |
|---|---|---|
| Alma | AlmaLinux | 9 |
| Amazon | Linux | 2 |
| Kanonis | Ubuntu Server | 16.04 - 24.x |
| Kreativitas | Debian | 10.x - 13.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Azure Linux | 3 |
| Microsoft | Klien Windows | Windows 10, 11 |
| Microsoft | Windows Server | 2012 - 2025 |
| Oracle | Oracle-Linux | 7.x - 8.x |
| OpenLogic | Centos | 7.3 - 8.x |
| Red Hat | Red Hat Enterprise Linux* | 7.4 - 9.x |
| Rocky | Rocky Linux | 8 |
| SUSE | SLES | 12 SP5, 15.x |
* Red Hat CoreOS tidak didukung.
Definisi kebijakan konfigurasi komputer mendukung gambar komputer virtual kustom selama mereka adalah salah satu sistem operasi di tabel sebelumnya. Konfigurasi Mesin tidak mendukung seragam VMSS tetapi mendukung VMSS Flex.
Penting
Agar ekstensi VM apa pun berfungsi dengan benar di Azure, izin tulis harus diberikan ke direktori /var/lib. Tanpa izin ini, ekstensi Konfigurasi Mesin tidak dapat diinstal. Untuk server berkemampuan Azure Arc, akses tulis ke direktori tertentu juga diperlukan untuk mengaktifkan pengelogan dan telemetri. Akibatnya, Azure Machine Configuration tidak memiliki dukungan resmi untuk konfigurasi CIS-hardened default atau SELinux. Konfigurasi tambahan mungkin diperlukan agar ekstensi beroperasi seperti yang diharapkan. Pelanggan yang menggunakan lingkungan yang diperkuat harus mengevaluasi kompatibilitas dan merencanakan dengan tepat.
Persyaratan jaringan
Komputer virtual Azure dapat menggunakan adaptor jaringan virtual lokal (vNIC) atau Azure Private Link untuk berkomunikasi dengan layanan konfigurasi komputer.
Komputer berkemampuan Azure Arc terhubung menggunakan infrastruktur jaringan lokal untuk menjangkau layanan Azure dan melaporkan status kepatuhan.
Tabel berikut ini memperlihatkan titik akhir yang didukung untuk komputer dengan dukungan Azure dan Azure Arc:
| Wilayah | Geografi | URL | Titik akhir penyimpanan |
|---|---|---|---|
| EastAsia | Asia Pasifik |
ea-gas.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SoutheastAsia | Asia Pasifik |
sea-gas.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaEast | Australia |
ae-gas.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaSoutheast | Australia |
ae-gas.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| BrazilSouth | Brasil |
brs-gas.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaCentral | Kanada |
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Kanada | Kanada |
ce-gas.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ChinaEast2 | Tiongkok |
chne2-gas.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn agentserviceapi.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
| ChinaNorth | Tiongkok |
chnn-gas.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn agentserviceapi.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
| ChinaNorth2 | Tiongkok |
chnn2-gas.guestconfiguration.azure.cn agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
| ChinaNorth3 | Tiongkok |
agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
| NorthEurope | Eropa |
ne-gas.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestEurope | Eropa |
we-gas.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| FranceCentral | Prancis |
agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JermanNorth | Jerman |
agentserviceapi.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| GermanyWestCentral | Jerman |
gewc-gas.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralIndia | India |
cid-gas.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthIndia | India |
sid-gas.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| IsraelCentral | Israel |
ilc-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfigilcs1.blob.core.windows.net |
| ItalyNorth | Italia |
itn-gas.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanEast | Jepang |
jpe-gas.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanWest | Jepang | agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| KoreaCentral | Korea Selatan |
agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| MexicoCentral | Meksiko | agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Norwegia Timur | Norwegia |
noe-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfignoes2.blob.core.windows.net |
| PolandCentral | Polandia | agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
| QatarCentral | Qatar |
qac-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com |
oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaNorth | SouthAfrica | agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaWest | SouthAfrica |
saw-gas.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SpainCentral | Spanyol |
spc-gas.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfigspcs1.blob.core.windows.net |
| SwedenCentral | Swedia |
swc-gas.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SwissNorth | Swiss |
stzn-gas.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SwissWest | Swiss |
agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| TaiwanNorth | Taiwan | agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com twn-gas.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UAENorth | Uni Emirat Arab |
uaen-gas.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfiguaens1.blob.core.windows.net |
| UKSouth | Inggris Raya |
uks-gas.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKWest | Inggris Raya |
agentserviceapi.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EASTUS | Amerika Serikat |
eus-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS2 | Amerika Serikat |
eus2-gas.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS | Amerika Serikat | agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS2 | Amerika Serikat | agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS3 | Amerika Serikat | agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralUS | Amerika Serikat |
cus-gas.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorthCentralUS | Amerika Serikat |
ncus-gas.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthCentralUS | Amerika Serikat | agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestCentralUS | Amerika Serikat | agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| USGovArizona | US Gov | agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
| USGovTexas | US Gov | agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
| USGovVirginia | US Gov | agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Berkomunikasi melalui jaringan virtual di Azure
Untuk berkomunikasi dengan penyedia sumber daya konfigurasi komputer di Azure, komputer memerlukan akses keluar ke pusat data Azure di port 443*. Jika jaringan di Azure tidak mengizinkan lalu lintas keluar, konfigurasikan pengecualian dengan aturan Network Security Group. Tag AzureArcInfrastructure layanan dan Storage dapat digunakan untuk mereferensikan konfigurasi tamu dan layanan Penyimpanan daripada mempertahankan daftar rentang IP secara manual untuk pusat data Azure. Kedua tag diperlukan karena Azure Storage menghosting paket konten konfigurasi komputer.
Berkomunikasi melalui Private Link di Azure
Mesin virtual dapat menggunakan tautan privat untuk komunikasi ke layanan konfigurasi mesin.
Terapkan tag dengan nama EnablePrivateNetworkGC dan nilai TRUE untuk mengaktifkan fitur ini. Tag dapat diterapkan sebelum atau setelah definisi kebijakan konfigurasi mesin diterapkan ke mesin.
Penting
Untuk berkomunikasi melalui tautan privat untuk paket kustom, tautan ke lokasi paket harus ditambahkan ke daftar URL yang diizinkan.
Lalu lintas dirutekan menggunakan alamat IP publik virtual Azure untuk membangun saluran yang aman dan terotentikasi dengan sumber daya platform Azure.
Berkomunikasi melalui titik akhir publik di luar Azure
Server yang terletak di lokal atau di cloud lain dapat dikelola dengan konfigurasi komputer dengan menghubungkannya ke Azure Arc.
Untuk server dengan dukungan Azure Arc, izinkan lalu lintas menggunakan pola berikut:
- Port: Hanya TCP 443 yang diperlukan untuk akses internet keluar
- URL Global:
*.guestconfiguration.azure.com
Lihat persyaratan jaringan server dengan dukungan Azure Arc untuk daftar lengkap semua titik akhir jaringan yang diperlukan oleh Azure Connected Machine Agent untuk skenario konfigurasi mesin dan Azure Arc inti.
Berkomunikasi melalui Private Link di luar Azure
Saat Anda menggunakan tautan privat dengan server yang diaktifkan Arc, paket kebijakan bawaan secara otomatis diunduh melalui tautan privat. Anda tidak perlu mengatur tag apa pun di server yang diaktifkan Arc untuk mengaktifkan fitur ini.
Menetapkan kebijakan untuk mesin di luar Azure
Definisi kebijakan Audit yang tersedia untuk konfigurasi mesin mencakup jenis sumber daya Microsoft.HybridCompute/machines. Komputer apa pun yang di-onboarding ke server berkemampuan Azure Arc yang berada dalam cakupan penetapan kebijakan disertakan secara otomatis.
Persyaratan identitas terkelola
Definisi kebijakan dalam inisiatif Deploy prerequisites to enable guest configuration policies on virtual machines mengaktifkan identitas terkelola yang ditetapkan sistem, jika tidak ada. Ada dua definisi kebijakan dalam inisiatif yang mengelola pembuatan identitas. Kondisi if dalam definisi kebijakan memastikan perilaku yang benar berdasarkan status sumber daya komputer saat ini di Azure.
Penting
Definisi ini membuat identitas terkelola yang Ditetapkan Sistem pada sumber daya target, selain Identitas yang Ditetapkan Pengguna yang ada (jika ada). Untuk aplikasi yang sudah ada kecuali aplikasi menentukan identitas yang Ditetapkan Pengguna dalam permintaan, komputer akan menggunakan Identitas yang Ditetapkan Sistem secara default sebagai gantinya. Pelajari Selengkapnya
Jika komputer saat ini tidak memiliki identitas terkelola, kebijakan efektifnya adalah: Menambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penetapan Konfigurasi Tamu pada komputer virtual tanpa identitas
Jika komputer saat ini memiliki identitas sistem yang ditetapkan pengguna, kebijakan efektifnya adalah: Menambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penetapan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna
Ketersediaan
Pelanggan yang merancang solusi dengan ketersediaan tinggi harus mempertimbangkan persyaratan perencanaan redundansi untuk mesin virtual karena Guest Assignment adalah ekstensi dari sumber daya mesin di Azure. Saat sumber daya penetapan tamu disediakan ke wilayah Azure yang dipasangkan, Anda dapat melihat laporan penetapan tamu jika setidaknya satu wilayah dalam pasangan tersedia. Saat wilayah Azure tidak dipasangkan dan menjadi tidak tersedia, Anda tidak dapat mengakses laporan untuk penetapan tamu. Saat wilayah dipulihkan, Anda dapat mengakses laporan lagi.
Praktik terbaik untuk menetapkan definisi kebijakan yang sama dengan parameter yang sama ke semua mesin dalam solusi untuk aplikasi yang sangat tersedia. Ini terutama berlaku untuk skenario di mana komputer virtual disediakan dalam Set Ketersediaan di belakang solusi load balancer. Satu penetapan kebijakan yang mencakup semua komputer memiliki overhead administratif paling sedikit.
Untuk komputer yang dilindungi oleh Azure Site Recovery, pastikan bahwa komputer di situs utama dan sekunder berada dalam cakupan penetapan Azure Policy untuk definisi yang sama. Gunakan nilai parameter yang sama untuk kedua situs.
Residensi data
Konfigurasi mesin menyimpan dan memproses data pelanggan. Secara default, data pelanggan direplikasi ke wilayah yang dipasangkan. Untuk wilayah Singapura, Brasil Selatan, dan Asia Timur, semua data pelanggan disimpan dan diproses di wilayah tersebut.
Pemecahan masalah konfigurasi mesin
Untuk informasi selengkapnya tentang pemecahan masalah konfigurasi mesin, lihat pemecahan masalah Azure Policy.
Beberapa penugasan
Saat ini, hanya beberapa definisi kebijakan konfigurasi komputer bawaan yang mendukung beberapa penugasan. Namun, semua kebijakan kustom mendukung beberapa penugasan secara default jika Anda menggunakan versi terbaru modul GuestConfiguration PowerShell untuk membuat paket dan kebijakan konfigurasi komputer.
Berikut ini adalah daftar definisi kebijakan konfigurasi komputer bawaan yang mendukung beberapa penugasan:
| ID | NamaTampilan |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Metode autentikasi lokal harus dinonaktifkan di Windows Server |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Metode autentikasi lokal harus dinonaktifkan pada komputer Linux |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Pratinjau]: Menambahkan identitas terkelola yang ditetapkan pengguna untuk mengaktifkan penetapan Konfigurasi Tamu pada komputer virtual |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Pratinjau]: Komputer Linux harus memenuhi persyaratan kepatuhan STIG untuk komputasi Azure |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Pratinjau]: Komputer Windows harus memenuhi persyaratan kepatuhan STIG untuk komputasi Azure |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Pratinjau]: Komputer Linux dengan OMI yang diinstal harus memiliki versi 1.6.8-1 atau yang lebih baru |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Mengaudit komputer Windows yang tidak berisi sertifikat yang ditentukan dalam Trusted Root |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Audit komputer Windows yang konfigurasi DSC-nya tidak patuh |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Audit komputer Windows yang tidak memiliki kebijakan eksekusi Windows PowerShell yang ditentukan |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Audit komputer Windows yang tidak memasang modul Windows PowerShell yang ditentukan |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Audit komputer Windows yang Konsol Serial Windows-nya tidak diaktifkan |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fddd94df | Audit komputer Windows yang layanan yang ditentukannya tidak terpasang dan 'Berjalan' |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Audit komputer Windows yang tidak diatur ke zona waktu yang ditentukan |
Catatan
Silakan periksa halaman ini secara berkala untuk pembaruan daftar definisi kebijakan konfigurasi komputer bawaan yang mendukung beberapa penugasan.
Penugasan ke grup manajemen Azure
Definisi Azure Policy dalam kategori Guest Configuration dapat ditetapkan ke grup manajemen saat efeknya adalah AuditIfNotExists atau DeployIfNotExists.
Penting
Ketika pengecualian kebijakan dibuat pada kebijakan Konfigurasi Mesin, penugasan tamu terkait perlu dihapus untuk membuat agen berhenti memindai.
File log klien
Ekstensi konfigurasi mesin menulis file log ke lokasi berikut:
Windows
- Azure VM:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Server yang didukung Arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Azure VM:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Server yang didukung Arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Mengumpulkan log dari jarak jauh
Langkah pertama dalam memecahkan masalah konfigurasi atau modul konfigurasi mesin sebaiknya menggunakan cmdlet mengikuti langkah-langkah di Cara menguji artefak paket konfigurasi mesin. Jika tidak berhasil, mengumpulkan log klien dapat membantu mendiagnosis masalah.
Windows
Ambil informasi dari file log menggunakan Perintah Run Azure VM, contoh skrip PowerShell berikut mungkin membantu.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Ambil informasi dari file log menggunakan Perintah Run Azure VM, contoh skrip Bash berikut mungkin membantu.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
File agen
Agen konfigurasi mesin mengunduh paket konten ke mesin dan mengekstrak kontennya. Untuk memverifikasi konten apa yang telah diunduh dan disimpan, lihat lokasi folder dalam daftar berikut.
- Windows:
C:\ProgramData\guestconfig\configuration - Linux:
/var/lib/GuestConfig/Configuration
Fungsionalitas modul nxtools sumber terbuka
Modul nxtools sumber terbuka baru telah dirilis untuk membantu mempermudah pengelolaan sistem Linux bagi pengguna PowerShell.
Modul ini membantu dalam mengelola tugas umum seperti:
- Mengelola pengguna dan grup
- Melakukan operasi sistem file
- Mengelola layanan
- Melakukan operasi arsip
- Mengelola paket
Modul ini mencakup sumber daya DSC berbasis kelas untuk Linux dan paket konfigurasi komputer bawaan.
Untuk memberikan umpan balik tentang fungsionalitas ini, buka masalah pada dokumentasi. Saat ini kami tidak menerima PR untuk proyek ini, dan dukungan adalah upaya terbaik.
Sampel konfigurasi mesin
Sampel kebijakan bawaan konfigurasi mesin tersedia di lokasi-lokasi berikut:
- Definisi kebijakan bawaan - Guest Configuration
- Inisiatif bawaan - Guest Configuration
- Repositori GitHub sampel Azure Policy
- Sampel modul sumber daya DSC
Langkah berikutnya
- Menyiapkan lingkungan pengembangan paket konfigurasi komputer kustom.
- Buat artefak paket untuk konfigurasi mesin.
- Uji artefak paket dari lingkungan pengembangan Anda.
- Gunakan modul GuestConfiguration untuk membuat definisi Azure Policy untuk manajemen skala lingkungan Anda.
- Tetapkan definisi kebijakan kustom Anda menggunakan portal Microsoft Azure.
- Pelajari cara menampilkan penetapan kebijakan detail kepatuhan untuk konfigurasi mesin.