Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione di Linux che ha raggiunto lo stato di fine del servizio (EOL). Valutare le proprie esigenze e pianificare di conseguenza. Per altre informazioni, vedere Linee guida per la fine del ciclo di vita di CentOS.
La funzionalità di configurazione macchina di Criteri di Azure offre funzionalità native per controllare o configurare le impostazioni del sistema operativo come codice per i computer in esecuzione in Azure e i computer ibridi abilitati per Arc. È possibile usare la funzionalità direttamente per ogni computer o orchestrarla su larga scala usando Criteri di Azure.
Le risorse di configurazione in Azure sono progettate come risorsa di estensione. È possibile immaginare ogni configurazione come un set aggiuntivo di proprietà per il computer. Le configurazioni possono includere impostazioni quali:
- Impostazioni del sistema operativo
- Configurazione o presenza di applicazioni
- Impostazioni dell'ambiente
Le configurazioni sono distinte dalle definizioni dei criteri. La configurazione macchina usa Criteri di Azure per assegnare in modo dinamico le configurazioni ai computer. È anche possibile assegnare le configurazioni ai computer manualmente.
Nella tabella seguente sono disponibili esempi di ogni scenario.
| Type | Descrizione | Storia di esempio |
|---|---|---|
| Gestione della configurazione | Si vuole una rappresentazione completa di un server, come codice nel controllo del codice sorgente. La distribuzione deve includere le proprietà del server (dimensioni, rete, archiviazione) e la configurazione delle impostazioni del sistema operativo e dell'applicazione. | "Questo computer deve essere un server Web configurato per ospitare il sito Web." |
| Conformità | Si vogliono controllare o implementare le impostazioni in tutti i computer nell'ambito in modo reattivo nei computer esistenti o in modo proattivo nei nuovi computer durante la distribuzione. | "Tutti i computer devono usare TLS 1.2. Controllare i computer esistenti in modo da poter rilasciare le modifiche dove necessario, in modo controllato, su larga scala. Per i nuovi computer, applicare l'impostazione quando vengono distribuiti." |
È possibile visualizzare i risultati per impostazione dalle configurazioni nella pagina Assegnazioni guest. Se un'assegnazione Criteri di Azure ha orchestrato la configurazione, è possibile selezionare il collegamento "Ultima risorsa valutata" nella pagina "Dettagli conformità".
Note
Configurazione macchina supporta attualmente la creazione di un massimo di 50 assegnazioni guest per computer.
Modalità di imposizione per criteri personalizzati
Per offrire maggiore flessibilità nell'applicazione e nel monitoraggio delle impostazioni del server, delle applicazioni e dei carichi di lavoro, Configurazione macchina offre tre modalità di imposizione principali per ogni assegnazione di criteri, come descritto nella tabella seguente.
| Mode | Descrizione |
|---|---|
| Audit | Segnala solo lo stato del computer |
| Applica e monitora | Configurazione applicata al computer e quindi monitorata per rilevare le modifiche |
| Applica e correzione automatica | Configurazione applicata al computer e riportata in conformità nell'evento di deriva dei dati |
È disponibile una procedura dettagliata video di questo documento. (Aggiornamento presto disponibile)
Abilitare la configurazione macchina
Per gestire lo stato dei computer nell'ambiente, inclusi i computer nei server abilitati per Azure e Arc, rivedere i dettagli seguenti.
Provider di risorse
Prima di poter usare la funzionalità di configurazione del computer di Criteri di Azure, è necessario registrare il provider di risorse Microsoft.GuestConfiguration. Se l'assegnazione dei criteri di una configurazione macchina viene eseguita tramite il portale, o se la sottoscrizione è registrata in Microsoft Defender per il cloud, il provider di risorse viene registrato automaticamente. È possibile eseguire la registrazione manuale tramite il portale, Azure PowerShell o l'interfaccia della riga di comando di Azure.
Distribuire i requisiti per le macchine virtuali di Azure
Per gestire le impostazioni all'interno di un computer, viene abilitata un'estensione macchina virtuale e il computer deve avere un'identità gestita dal sistema. L'estensione scarica le assegnazioni di configurazione macchina applicabili e le dipendenze corrispondenti. L'identità viene usata per autenticare il computer durante la lettura e la scrittura nel servizio di configurazione macchina. L'estensione non è necessaria per i server abilitati per Arc perché è inclusa nell'agente del computer connesso con Arc.
Importante
Per gestire le macchine virtuali di Azure sono necessarie l'estensione di configurazione macchina e un'identità gestita.
Per distribuire l'estensione su larga scala in più computer, assegnare l'iniziativa dei criteri
Deploy prerequisites to enable Guest Configuration policies on virtual machines a un gruppo di gestione, una sottoscrizione o un gruppo di risorse contenente i computer da gestire.
Se si preferisce implementare l'estensione e l'identità gestita in un singolo computer, vedere Configurare le identità gestite per le risorse di Azure in una macchina virtuale usando il portale di Azure.
Per usare pacchetti di configurazione macchina che applicano le configurazioni, è necessaria l'estensione di configurazione guest della macchina virtuale di Azure nella versione 1.26.24 o successiva.
Importante
La creazione di un'identità gestita o l'assegnazione di un criterio con ruolo "Collaboratore risorse configurazione guest" sono azioni che richiedono autorizzazioni appropriate per il controllo degli accessi in base al ruolo di Azure da eseguire. Per altre informazioni su Criteri di Azure e controllo degli accessi in base al ruolo di Azure, vedere Controllo degli accessi in base al ruolo in Criteri di Azure.
Limiti impostati per l'estensione
Per limitare l'estensione dall'impatto sulle applicazioni in esecuzione all'interno del computer, l'agente di configurazione macchina non può superare il 5% della CPU. Questo limite si applica sia alle definizioni predefinite sia a quelle personalizzate. Lo stesso vale per il servizio di configurazione macchina nell'agente Arc Connected Machine.
Strumenti di convalida
All'interno del computer, l'agente di configurazione macchina usa gli strumenti locali per eseguire le attività.
La tabella seguente elenca gli strumenti locali usati in ciascun sistema operativo supportato. Per il contenuto predefinito, la configurazione macchina gestisce automaticamente il caricamento di questi strumenti.
| Sistema operativo | Strumento di convalida | Note |
|---|---|---|
| Windows | Configurazione dello stato desiderato di PowerShell | Trasferimento locale in una cartella usata solo da Criteri di Azure. Non è in conflitto con Windows PowerShell DSC. PowerShell non viene aggiunto al percorso di sistema. |
| Linux | Configurazione dello stato desiderato di PowerShell | Trasferimento locale in una cartella usata solo da Criteri di Azure. PowerShell non viene aggiunto al percorso di sistema. |
| Linux | Chef InSpec | Installa Chef InSpec versione 2.2.61 nella posizione predefinita e lo aggiunge al percorso di sistema. Installa anche le dipendenze di InSpec, inclusi Ruby e Python. |
Frequenza di convalida
L'agente di configurazione macchina verifica la presenza di assegnazioni guest nuove o modificate ogni 5 minuti. Una volta ricevuta un'assegnazione guest, le impostazioni per tale configurazione vengono controllate di nuovo con un intervallo di 15 minuti. Se vengono assegnate più configurazioni, ognuna viene valutata in sequenza. Le configurazioni a esecuzione prolungata influiscono sull'intervallo per tutte le configurazioni, perché la configurazione successiva non può essere eseguita fino al termine di quella precedente.
I risultati vengono inviati al servizio di configurazione macchina, al termine del controllo. Quando si verifica un trigger di valutazione dei criteri, lo stato del computer viene scritto nel provider di risorse di configurazione del computer. In seguito a questo aggiornamento, il servizio Criteri di Azure valuta le proprietà di Azure Resource Manager. Una valutazione Criteri di Azure su richiesta recupera il valore più recente dal provider di risorse della configurazione macchina. Tuttavia, non attiva una nuova attività all'interno del computer. Lo stato viene quindi scritto in Azure Resource Graph.
Tipi di client supportati
Le definizioni dei criteri di configurazione macchina includono le nuove versioni. Le versioni precedenti dei sistemi operativi disponibili in Azure Marketplace sono escluse se il client di configurazione guest non è compatibile. Inoltre, le versioni del server Linux che non sono supportate per tutta la durata dai rispettivi editori sono escluse dalla matrice di supporto.
La tabella seguente elenca i sistemi operativi supportati nelle immagini di Azure. Il testo .x è simbolico per rappresentare le nuove versioni secondarie delle distribuzioni Linux.
| Editore | Nome | Versioni |
|---|---|---|
| Alma | AlmaLinux | 9 |
| Amazon | Linux | 2 |
| Canonical | Ubuntu Server | 16.04 - 24.x |
| Credativ | Debian | 10.x - 13.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Azure Linux | 3 |
| Microsoft | Client Windows | Windows 10, 11 |
| Microsoft | Windows Server | 2012 - 2025 |
| Oracolo | Oracle-Linux | 7.x – 8.x |
| OpenLogic | CentOS | 7.3 - 8.x |
| Red Hat | Red Hat Enterprise Linux* | 7.4 - 9.x |
| Rocky | Rocky Linux | 8 |
| SUSE | SLES | 12 SP5, 15.x |
* Red Hat CoreOS non è supportato.
Le definizioni dei criteri di configurazione del computer supportano immagini di macchine virtuali personalizzate, purché siano uno dei sistemi operativi della tabella precedente. La configurazione del computer non supporta l'uniformità del set di scalabilità di macchine virtuali, ma supporta VMSS Flex.
Importante
Affinché qualsiasi estensione della macchina virtuale funzioni correttamente in Azure, le autorizzazioni di scrittura devono essere concesse alla directory /var/lib. Senza questa autorizzazione, non è possibile installare l'estensione Configurazione computer. Per i server abilitati per Azure Arc, è necessario anche l'accesso in scrittura a directory specifiche per abilitare la registrazione e la telemetria. Di conseguenza, Azure Machine Configuration non dispone del supporto ufficiale per le configurazioni predefinite rinforzate CIS o SELinux. Potrebbe essere necessaria una configurazione aggiuntiva per il funzionamento previsto dell'estensione. I clienti che usano ambienti con protezione avanzata devono valutare la compatibilità e pianificare di conseguenza.
Requisiti di rete
Le macchine virtuali di Azure possono usare la scheda di rete virtuale locale (vNIC) o il collegamento privato di Azure per comunicare con il servizio di configurazione macchina.
I computer abilitati per Azure Arc si connettono usando l'infrastruttura di rete locale per raggiungere i servizi di Azure e segnalare lo stato di conformità.
La tabella seguente illustra gli endpoint supportati per i computer abilitati per Azure e Azure Arc:
| Regione | Geografia | URL | Endpoint di archiviazione |
|---|---|---|---|
| EastAsia | Asia Pacifico | agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SudorientaleAsia | Asia Pacifico | agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaEast | Australia | agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaSoutheast | Australia | agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| BrazilSouth | Brasile | agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaCentral | Canada | agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaEast | Canada | agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ChinaEast2 | Cina | agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn chne2-gas.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
| ChinaNorth | Cina | agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn chnn-gas.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
| ChinaNorth2 | Cina | agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
| ChinaNorth3 | Cina | agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
| NorthEurope | Europa | agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestEurope | Europa | agentserviceapi.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com we-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| FranceCentral | Francia | agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| GermanyNorth | Germania | agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| GermanyWestCentral | Germania | agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralIndia | India | agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthIndia | India | agentserviceapi.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| IsraeleCentral | Israele | agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com |
oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ItaliaNorth | Italia | agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com |
oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| GiapponeEast | Giappone | agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| GiapponeWest | Giappone | agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| KoreaCentral | Corea | agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| MessicoCentral | Messico | agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorwayEast | Norvegia | agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com |
oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| PoloniaCentral | Polonia | agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
| QatarCentral | Qatar | agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com |
oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaNorth | Sudafrica | agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaWest | Sudafrica | agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SpagnaCentral | Spagna | agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com |
oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SwedenCentral | Svezia | agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SwitzerlandNorth | Svizzera | agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com stzn-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SwitzerlandWest | Svizzera | agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| TaiwanNorth | Taiwan | agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com twn-gas.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UAE Nord | Emirati Arabi Uniti | agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com |
oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UkSouth | Regno Unito | agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKWest | Regno Unito | agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS | Stati Uniti | agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS2 | Stati Uniti | agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS | Stati Uniti | agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS2 | Stati Uniti | agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS3 | Stati Uniti | agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralUS | Stati Uniti | agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorthCentralUS | Stati Uniti | agentserviceapi.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com ncus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthCentralUS | Stati Uniti | agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestCentralUS | Stati Uniti | agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| USGovArizona | US Gov | agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
| USGovTexas | US Gov | agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
| USGovVirginia | US Gov | agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Comunicare tramite le reti virtuali in Azure
Per comunicare con il provider di risorse di configurazione del computer in Azure, i computer richiedono l'accesso in uscita ai data center di Azure sulla porta 443*. Se una rete in Azure non consente il traffico in uscita, configurare le eccezioni con le regole del gruppo di sicurezza di rete. I tag del servizioAzureArcInfrastructure e Storage possono essere usati per fare riferimento alla configurazione guest e ai servizi di archiviazione anziché gestire manualmente l'elenco di intervalli IP per i data center di Azure. Entrambi i tag sono necessari perché Archiviazione di Azure ospita i pacchetti di contenuto della configurazione macchina.
Comunicare tramite collegamento privato in Azure
Le macchine virtuali possono usare un collegamento privato per la comunicazione con il servizio di configurazione del computer.
Applicare i tag con il nome EnablePrivateNetworkGC e il valore TRUE per abilitare questa funzionalità. Il tag può essere applicato prima o dopo che l'applicazione delle definizioni dei criteri per la configurazione macchina sia applicata al computer.
Importante
Per comunicare tramite collegamento privato per i pacchetti personalizzati, il collegamento al percorso del pacchetto deve essere aggiunto all'elenco di URL consentiti.
Il traffico viene instradato usando l'indirizzo IP pubblico virtuale di Azure per stabilire un canale sicuro e autenticato con le risorse della piattaforma Azure.
Comunicare tramite endpoint pubblici all'esterno di Azure
I server che si trovano in locale o in altri cloud possono essere gestiti con la configurazione del computer connettendoli ad Azure Arc.
Per i server abilitati per Azure Arc, consentire il traffico usando i criteri seguenti:
- Porta: è necessaria solo la porta TCP 443 per l'accesso a Internet in uscita
- URL globale:
*.guestconfiguration.azure.com
Vedere i requisiti di rete dei server abilitati per Azure Arc per un elenco completo di tutti gli endpoint di rete richiesti dall'agente di Azure Connected Machine per gli scenari di configurazione di Azure Arc e computer di base.
Comunicare tramite collegamento privato all'esterno di Azure
Quando si usa un collegamento privato con server abilitati per Arc, i pacchetti di criteri predefiniti vengono scaricati automaticamente tramite il collegamento privato. Per abilitare questa funzionalità, non è necessario impostare tag nel server abilitato per Arc.
Assegnazione di criteri a computer esterni ad Azure
Le definizioni dei criteri di controllo disponibili per la configurazione del computer includono il tipo di risorsa Microsoft.HybridCompute/machines. Tutti i computer di cui è stato eseguito l'onboarding nei server abilitati per Azure Arc inclusi nell'ambito dell'assegnazione dei criteri vengono inclusi automaticamente.
Requisiti delle identità gestite
Le definizioni dei criteri nell'iniziativa Deploy prerequisites to enable guest configuration policies on virtual machines abilitano un'identità gestita assegnata dal sistema, se non ne esiste una. L'iniziativa include due definizioni di criteri che gestiscono la creazione di identità. Le condizioni if nelle definizioni dei criteri garantiscono il comportamento corretto in base allo stato corrente della risorsa computer in Azure.
Importante
Queste definizioni creano un'identità gestita assegnata dal sistema nelle risorse di destinazione, oltre alle identità assegnate dall'utente esistenti (se presenti). Per le applicazioni esistenti, a meno che non specifichino l'identità assegnata dall'utente nella richiesta, il computer userà invece l'identità assegnata dal sistema. Altre informazioni
Se il computer non dispone attualmente di identità gestite, il criterio effettivo è: Aggiungere un'identità gestita assegnata dal sistema per abilitare le assegnazioni di configurazione guest nelle macchine virtuali senza identità
Se il computer dispone attualmente di un'identità di sistema assegnata dall'utente, il criterio effettivo è: Aggiungere un'identità gestita assegnata dal sistema per abilitare le assegnazioni di configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente
Disponibilità
I clienti che progettano una soluzione a disponibilità elevata devono considerare i requisiti di pianificazione della ridondanza per le macchine virtuali perché le assegnazioni guest sono estensioni delle risorse di macchine virtuali in Azure. Quando viene effettuato il provisioning delle risorse di assegnazione guest in un'area di Azure abbinata, è possibile visualizzare i report di assegnazione guest se è disponibile almeno un'area nella coppia. Quando l'area di Azure non è associata e non è disponibile, non è possibile accedere ai report per un'assegnazione guest. Quando l'area viene ripristinata, è possibile accedere di nuovo ai report.
La procedura consigliata è assegnare le stesse definizioni di criteri con gli stessi parametri a tutti i computer della soluzione per le applicazioni a disponibilità elevata. Ciò è particolarmente vero per gli scenari in cui viene eseguito il provisioning delle macchine virtuali negli Insiemi di disponibilità dietro una soluzione di bilanciamento del carico. Una singola assegnazione di criteri che si estende su tutti i computer presenta il minor sovraccarico amministrativo.
Per i computer protetti da Azure Site Recovery, assicurarsi che i computer nel sito primario e secondario rientrino nell'ambito delle assegnazioni di Criteri di Azure per le stesse definizioni. Usare gli stessi valori di parametro per entrambi i siti.
Residenza dei dati
La configurazione del computer archivia ed elabora i dati dei clienti. Per impostazione predefinita, i dati dei clienti vengono replicati nell'area abbinata. Per le aree Singapore, Brasile meridionale e Asia orientale, tutti i dati dei clienti vengono archiviati ed elaborati nell'area.
Risoluzione dei problemi della configurazione macchina
Per altre informazioni sulla risoluzione dei problemi di configurazione del computer, vedere Risoluzione dei problemi di Criteri di Azure.
Assegnazioni multiple
Al momento, solo alcune definizioni di criteri di configurazione macchina predefinite supportano più assegnazioni. Tuttavia, per impostazione predefinita, tutti i criteri personalizzati supportano più assegnazioni se è stata usata la versione più recente del modulo GuestConfiguration PowerShell per creare pacchetti di configurazione macchina e criteri.
Di seguito è riportato l'elenco delle definizioni dei criteri di configurazione macchina predefinite che supportano più assegnazioni:
| Documento d'identità | DisplayName |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | I metodi di autenticazione locali devono essere disabilitati nei server Windows |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | I metodi di autenticazione locali devono essere disabilitati nei computer Linux |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Anteprima]: Aggiungere un'identità gestita assegnata dall'utente per abilitare l'assegnazione della configurazione guest alle macchine virtuali |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Anteprima]: Le macchine Linux devono soddisfare i requisiti di conformità STIG per i servizi di calcolo |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Anteprima]: Le macchine Windows devono soddisfare i requisiti di conformità STIG per i servizi di calcolo |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Anteprima]: i computer Linux con OMI installato devono avere la versione 1.6.8-1 o successiva |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Controlla i computer Windows in cui la configurazione DSC non è conforme |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Controlla i computer Windows in cui non sono disponibili i criteri di esecuzione di Windows PowerShell specificati |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Controlla i computer Windows in cui non sono installati i moduli di Windows PowerShell specificati |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Controlla i computer Windows in cui la console seriale Windows non è abilitata |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Controlla i computer Windows in cui i servizi specificati non sono installati e "In esecuzione" |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Controlla i computer Windows che non sono impostati sul fuso orario specificato |
Note
Controllare periodicamente questa pagina per gli aggiornamenti all'elenco delle definizioni dei criteri di configurazione macchina predefiniti che supportano più assegnazioni.
Assegnazioni ai gruppi di Gestione di Azure
Le definizioni di Criteri di Azure nella categoria Guest Configuration possono essere assegnate ai gruppi di gestione quando l'effetto è AuditIfNotExists o DeployIfNotExists.
Importante
Quando vengono create le esenzioni dei criteri in un criterio di Configurazione macchina, l'assegnazione guest associata dovrà essere eliminata per impedire all'agente di eseguire l'analisi.
File di log del client
L'estensione di configurazione macchina scrive i file di log nei percorsi seguenti:
Windows
- Macchina virtuale di Azure:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Server abilitato per Arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Macchina virtuale di Azure:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Server abilitato per Arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Raccolta di log in modalità remota
Il primo passaggio per la risoluzione dei problemi relativi alle configurazioni o ai moduli dei computer deve essere l'uso dei cmdlet, seguendo i passi descritti in Come testare gli artefatti del pacchetto di configurazione macchina. Se l'operazione non riesce, la raccolta dei log del client può aiutare a diagnosticare i problemi.
Windows
Acquisire informazioni dai file di log usando il comando Run per le macchine virtuali di Azure. Lo script di esempio di PowerShell seguente può essere utile.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Acquisire informazioni dai file di log usando il comando Run per le macchine virtuali di Azure. Lo script di esempio di Bash seguente può essere utile.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
File dell'agente
L'agente di configurazione del computer scarica i pacchetti di contenuto in un computer ed estrae il contenuto. Per verificare il contenuto scaricato e archiviato, visualizzare i percorsi delle cartelle nell'elenco seguente.
- Windows:
C:\ProgramData\guestconfig\configuration - Linux:
/var/lib/GuestConfig/Configuration
Funzionalità del modulo nxtools open source
È stato rilasciato un nuovo modulo nxtools open source per semplificare la gestione dei sistemi Linux per gli utenti di PowerShell.
Il modulo consente di gestire le attività comuni, ad esempio:
- Gestione di utenti e gruppi
- Esecuzione di operazioni di file system
- Gestione dei servizi
- Esecuzione di operazioni di archiviazione
- Gestione dei pacchetti
Il modulo include risorse DSC basate su classi per Linux e pacchetti di configurazione del computer predefiniti.
Per fornire feedback su questa funzionalità, aprire un argomento nella documentazione. Attualmente non si accettano richieste pull per questo progetto e il supporto è il massimo sforzo.
Esempi di configurazione macchina
Gli esempi di criteri predefiniti per la configurazione del computer sono disponibili nei percorsi seguenti:
- Definizioni dei criteri predefiniti - Configurazione guest
- Iniziative predefinite - Configurazione guest
- Repository GitHub di esempi di Criteri di Azure
- Moduli di risorse DSC di esempio
Passaggi successivi
- Configurare un ambiente di sviluppo di pacchetti di configurazione del computer personalizzato.
- Creare un artefatto del pacchetto per la configurazione macchina.
- Testare l'artefatto del pacchetto dall'ambiente di sviluppo.
- Usare il modulo GuestConfiguration per creare una definizione di Criteri di Azure per la gestione su larga scala dell'ambiente.
- Assegnare la definizione dei criteri personalizzata usando il portale di Azure.
- Informazioni su come visualizzare i dettagli di conformità per le assegnazioni dei criteri di configurazione del computer.