Opsi remediasi untuk konfigurasi mesin
Sebelum memulai, sebaiknya baca halaman gambaran umum untuk konfigurasi mesin.
Penting
Mesin virtual Azure memerlukan ekstensi konfigurasi mesin. Untuk menyebarkan ekstensi dalam skala besar di semua mesin, tetapkan inisiatif kebijakan berikut: Deploy prerequisites to enable guest configuration policies on virtual machines
Untuk menggunakan paket konfigurasi komputer yang menerapkan konfigurasi, ekstensi konfigurasi tamu Azure VM versi 1.26.24 atau yang lebih baru, atau agen Arc 1.10.0 atau yang lebih baru, diperlukan.
Definisi kebijakan konfigurasi komputer kustom yang menggunakan AuditIfNotExists serta DeployIfNotExists berada dalam status dukungan Generally Available (GA).
Cara konfigurasi komputer mengelola remediasi (Set)
Konfigurasi mesin menggunakan efek kebijakan DeployIfNotExists untuk definisi yang memberikan perubahan di dalam mesin. Tetapkan properti penetapan kebijakan untuk mengontrol bagaimana evaluasi memberikan konfigurasi, secara otomatis atau sesuai permintaan.
Video panduan untuk dokumen ini tersedia.
Jenis tugas konfigurasi mesin
Ada tiga tipe tugas yang tersedia saat tugas tamu dibuat. Properti tersedia sebagai parameter definisi konfigurasi komputer yang mendukung DeployIfNotExists.
Properti properti assignmentType peka huruf besar/kecil
| Tipe penetapan | Perilaku |
|---|---|
Audit |
Laporkan kondisi mesin, tetapi jangan buat perubahan. |
ApplyAndMonitor |
Diterapkan pada mesin satu kali, kemudian dipantau untuk perubahan. Jika konfigurasi menyimpang dan menjadi NonCompliant, konfigurasi tidak secara otomatis diperbaiki kecuali remediasi dipicu. |
ApplyAndAutoCorrect |
Diterapkan pada mesin. Jika menyimpang, layanan lokal di dalam mesin melakukan koreksi pada evaluasi berikutnya. |
Saat penetapan kebijakan baru ditetapkan ke komputer yang ada, penugasan tamu secara otomatis dibuat untuk mengaudit status konfigurasi terlebih dahulu. Audit memberi Anda informasi yang dapat Anda gunakan untuk memutuskan komputer mana yang memerlukan remediasi.
Remediasi sesuai permintaan (ApplyAndMonitor)
Secara default, penetapan konfigurasi komputer beroperasi dalam skenario remediasi sesuai permintaan. Konfigurasi diterapkan, kemudian dibiarkan menyimpang dari kepatuhan.
Status kepatuhan penetapan tamu adalah Compliant kecuali:
- Kesalahan terjadi saat menerapkan konfigurasi
- Jika komputer tidak lagi dalam keadaan yang diinginkan selama evaluasi berikutnya
Ketika salah satu kondisi tersebut terpenuhi, agen melaporkan status sebagai NonCompliant dan tidak secara otomatis memulihkan.
Untuk mengaktifkan perilaku ini, atur properti assignmentType dari penetapan konfigurasi komputer ke ApplyandMonitor. Setiap kali penugasan diproses Compliant dalam komputer, agen melaporkan untuk setiap sumber daya ketika metode Uji kembali $true atau NonCompliant jika metode mengembalikan $false.
Remediasi berkelanjutan (koreksi otomatis)
Konfigurasi mesin mendukung konsep remediasi berkelanjutan. Jika mesin menyimpang dari kepatuhan untuk suatu konfigurasi, pada kali berikutnya dievaluasi, konfigurasi akan diperbaiki secara otomatis. Kecuali terjadi kesalahan, komputer selalu melaporkan status sebagai Compliant untuk konfigurasi. Tidak ada cara untuk melaporkan kapan penyimpangan secara otomatis diperbaiki saat menggunakan remediasi berkelanjutan.
Untuk mengaktifkan perilaku ini, atur properti assignmentType dari penetapan konfigurasi komputer ke ApplyandAutoCorrect. Setiap kali penugasan diproses dalam komputer, metode Set berjalan secara otomatis untuk setiap sumber daya , metode Pengujian mengembalikan false.
Nonaktifkan remediasi
Ketika properti assignmentType diatur ke Audit, agen hanya melakukan audit komputer dan tidak mencoba memulihkan konfigurasi jika tidak sesuai.
Menonaktifkan remediasi konten kustom
Anda dapat mengambil alih properti jenis penugasan untuk paket konten kustom dengan menambahkan tag ke komputer dengan nama CustomGuestConfigurationSetPolicy dan nilai disable. Menambahkan tag hanya akan menonaktifkan remediasi untuk paket konten kustom, bukan untuk konten bawaan yang disediakan oleh Microsoft.
Penerapan Azure Policy
Penetapan Azure Policy mencakup properti Mode Penegakan yang diperlukan yang menentukan perilaku untuk sumber daya baru dan yang sudah ada. Gunakan properti ini untuk mengontrol apakah konfigurasi diterapkan secara otomatis pada mesin.
Secara default, penerapan diatur ke Enabled. Azure Policy secara otomatis menerapkan konfigurasi saat komputer baru disebarkan. Ini juga menerapkan konfigurasi saat properti komputer dalam cakupan penetapan Azure Policy dengan kebijakan dalam kategori Guest Configuration diperbarui. Operasi pembaruan mencakup tindakan yang terjadi di Azure Resource Manager, seperti menambahkan atau mengubah tag. Operasi pembaruan juga mencakup perubahan untuk komputer virtual seperti mengubah ukuran atau melampirkan disk.
Biarkan penerapan aktif jika konfigurasi perlu diperbaiki ketika perubahan terjadi pada sumber daya mesin di Azure. Perubahan yang terjadi di dalam mesin tidak memicu remediasi otomatis selama perubahan tidak mengubah sumber daya mesin di Azure Resource Manager.
Jika penegakan diatur ke Disabled, penetapan konfigurasi mengaudit status komputer hingga tugas remediasi mengubah perilaku. Secara default, definisi konfigurasi komputer memperbarui properti assignmentType dari Audit ke ApplyandMonitor sehingga konfigurasi diterapkan satu kali dan kemudian tidak diterapkan lagi sampai remediasi dipicu.
Opsional: Memulihkan semua komputer yang ada
Jika penetapan Azure Policy dibuat dari portal Azure, pada tab "Remediasi" kotak centang berlabel "Buat tugas remediasi" tersedia. Ketika kotak dicentang, setelah penetapan kebijakan dibuat tugas remediasi secara otomatis memperbaiki sumber daya apa pun yang mengevaluasi ke NonCompliant.
Efek dari pengaturan ini untuk konfigurasi komputer adalah Anda dapat menyebarkan konfigurasi di banyak komputer dengan menetapkan kebijakan. Anda juga tidak perlu menjalankan tugas remediasi secara manual untuk komputer yang tidak sesuai.
Memicu remediasi di luar Azure Policy secara manual
Anda dapat mengatur remediasi di luar pengalaman Azure Policy dengan memperbarui sumber daya penetapan tamu, bahkan jika pembaruan tidak membuat perubahan pada properti sumber daya.
Saat penetapan konfigurasi komputer dibuat, properti complianceStatus diatur ke Pending. Layanan konfigurasi komputer meminta daftar penugasan setiap 5 menit. Jika complianceStatus penetapan konfigurasi komputer adalah Pending dan configurationMode-nya adalah ApplyandMonitor atau ApplyandAutoCorrect, layanan di komputer menerapkan konfigurasi.
Setelah konfigurasi diterapkan, mode konfigurasi menentukan apakah perilaku hanya melaporkan status kepatuhan dan memungkinkan penyimpangan atau untuk memperbaiki secara otomatis.
Memahami kombinasi pengaturan
| ~ | Audit | ApplyandMonitor | ApplyandAutoCorrect |
|---|---|---|---|
| Penegakan Diaktifkan | Hanya status laporan | Konfigurasi diterapkan pada VM Buat dan terapkan kembali pada Pembaruan tetapi diperbolehkan untuk melakukan penyimpangan | Konfigurasi yang diterapkan pada VM Buat, diterapkan kembali pada Pembaruan, dan diperbaika pada interval berikutnya jika penyimpangan terjadi |
| Penerapan Dinonaktifkan | Hanya status laporan | Konfigurasi diterapkan tetapi diizinkan menyimpang | Konfigurasi diterapkan pada Buat mesin virtual atau Perbarui dan diperbaiki pada interval berikutnya jika terjadi penyimpangan |
Langkah berikutnya
- Mengembangkan paket konfigurasi komputer kustom.
- Gunakan modul GuestConfiguration untuk membuat definisi Azure Policy untuk manajemen skala lingkungan Anda.
- Tetapkan definisi kebijakan kustom Anda menggunakan portal Microsoft Azure.
- Pelajari cara menampilkan penetapan kebijakan detail kepatuhan untuk konfigurasi mesin.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk