Informazioni sulla funzionalità di configurazione del computer di Gestione automatica di Azure

  • Articolo
  • 12 minuti per la lettura

Nota

Criteri di Azure Configurazione guest è ora denominata Configurazione computer di gestione automatica di Azure. Altre informazioni sulla ridenominazione recente dei servizi di gestione della configurazione Microsoft.

la funzionalità di configurazione del computer di Criteri di Azure offre funzionalità native per controllare o configurare le impostazioni del sistema operativo come codice, sia per i computer in esecuzione in Azure che nei computer abilitati per Arc ibrido. La funzionalità può essere usata direttamente per ogni computer o su larga scala orchestrata da Criteri di Azure.

Le risorse di configurazione in Azure sono progettate come risorsa di estensione. È possibile immaginare ogni configurazione come un set aggiuntivo di proprietà per il computer. Le configurazioni possono includere impostazioni come:

  • Impostazioni del sistema operativo
  • Configurazione o presenza di applicazioni
  • Impostazioni dell'ambiente

Le configurazioni sono distinte dalle definizioni dei criteri. La configurazione del computer usa Criteri di Azure per assegnare in modo dinamico le configurazioni ai computer. È anche possibile assegnare configurazioni ai computer manualmente o usando altri servizi di Azure, ad esempio Gestione automatica.

Nella tabella seguente vengono forniti esempi di ogni scenario.

Tipo Descrizione Esempio di storia
Gestione della configurazione Si desidera una rappresentazione completa di un server, come codice nel controllo del codice sorgente. La distribuzione deve includere le proprietà del server (dimensioni, rete, archiviazione) e la configurazione delle impostazioni del sistema operativo e dell'applicazione. "Questo computer deve essere un server Web configurato per ospitare il mio sito Web."
Conformità Si desidera controllare o distribuire le impostazioni in tutti i computer nell'ambito in modo reattivo ai computer esistenti o in modo proattivo nei nuovi computer quando vengono distribuiti. "Tutti i computer devono usare TLS 1.2. Controlla i computer esistenti in modo da poter rilasciare le modifiche necessarie, in modo controllato, su larga scala. Per i nuovi computer, applicare l'impostazione quando vengono distribuite."

I risultati delle configurazioni per impostazione possono essere visualizzati nella pagina Assegnazioni guest o se la configurazione è orchestrata da un'assegnazione di Criteri di Azure, facendo clic sul collegamento "Ultima risorsa valutata" nella pagina "Dettagli conformità".

È disponibile una procedura dettagliata video di questo documento. (aggiornamento presto disponibile)

Abilitare la configurazione del computer

Per gestire lo stato dei computer nell'ambiente, inclusi i computer nei server abilitati per Azure e Arc, esaminare i dettagli seguenti.

Provider di risorse

Prima di poter usare la funzionalità di configurazione del computer di Criteri di Azure, è necessario registrare il Microsoft.GuestConfiguration provider di risorse. Se l'assegnazione di un criterio di configurazione del computer viene eseguita tramite il portale o se la sottoscrizione viene registrata in Microsoft Defender for Cloud, il provider di risorse viene registrato automaticamente. È possibile eseguire la registrazione manuale tramite il portale, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Distribuire i requisiti per le macchine virtuali di Azure

Per gestire le impostazioni all'interno di un computer, viene abilitata un'estensione macchina virtuale e il computer deve avere un'identità gestita dal sistema. L'estensione scarica l'assegnazione di configurazione del computer applicabile e le dipendenze corrispondenti. L'identità viene usata per autenticare il computer durante la lettura e la scrittura nel servizio di configurazione del computer. L'estensione non è necessaria per i server abilitati per Arc perché è inclusa nell'agente del computer connesso con Arc.

Importante

L'estensione di configurazione del computer e un'identità gestita sono necessarie per gestire le macchine virtuali di Azure.

Per distribuire l'estensione su larga scala in più computer, assegnare l'iniziativa dei criteriDeploy prerequisites to enable guest configuration policies on virtual machines a un gruppo di gestione, una sottoscrizione o un gruppo di risorse contenente i computer che si prevede di gestire.

Se si preferisce distribuire l'estensione e l'identità gestita in un singolo computer, seguire le indicazioni per ognuna:

Per usare i pacchetti di configurazione del computer che applicano le configurazioni, è necessaria l'estensione di configurazione guest della macchina virtuale di Azure versione 1.29.24 o successiva.

Limiti impostati per l'estensione

Per limitare l'estensione dall'impatto sulle applicazioni in esecuzione all'interno del computer, l'agente di configurazione del computer non può superare il 5% della CPU. Questo limite si applica sia alle definizioni predefinite sia a quelle personalizzate. Lo stesso vale per il servizio di configurazione del computer nell'agente Arc Connected Machine.

Strumenti di convalida

All'interno del computer, l'agente di configurazione del computer usa gli strumenti locali per eseguire attività.

La tabella seguente elenca gli strumenti locali usati in ciascun sistema operativo supportato. Per il contenuto predefinito, la configurazione del computer gestisce automaticamente il caricamento di questi strumenti.

Sistema operativo Strumento di convalida Note
Windows Desired State Configuration di PowerShell v3 Trasferimento locale in una cartella usata solo da Criteri di Azure. Non sarà in conflitto con Windows PowerShell DSC. PowerShell Core non viene aggiunto al percorso di sistema.
Linux Desired State Configuration di PowerShell v3 Trasferimento locale in una cartella usata solo da Criteri di Azure. PowerShell Core non viene aggiunto al percorso di sistema.
Linux Chef InSpec Installare Chef InSpec versione 2.2.61 nel percorso predefinito e aggiunto al percorso di sistema. Sono installate anche le dipendenze per il pacchetto InSpec, tra cui Ruby e Python.

Frequenza di convalida

L'agente di configurazione del computer verifica la presenza di assegnazioni guest nuove o modificate ogni 5 minuti. Una volta ricevuta un'assegnazione guest, le impostazioni per tale configurazione vengono controllate di nuovo con un intervallo di 15 minuti. Se vengono assegnate più configurazioni, ognuna viene valutata in sequenza. Le configurazioni a esecuzione prolungata influiscono sull'intervallo per tutte le configurazioni, perché il successivo non verrà eseguito fino al termine della configurazione precedente.

I risultati vengono inviati al servizio di configurazione del computer al termine del controllo. Quando si verifica un trigger di valutazione dei criteri, lo stato del computer viene scritto nel provider di risorse di configurazione del computer. In seguito a questo aggiornamento, il servizio Criteri di Azure valuta le proprietà di Azure Resource Manager. Una valutazione Criteri di Azure su richiesta recupera il valore più recente dal provider di risorse di configurazione del computer. Tuttavia, non attiva una nuova attività all'interno del computer. Lo stato viene quindi scritto in Azure Resource Graph.

Tipi di client supportati

Le definizioni dei criteri di configurazione del computer sono incluse nelle nuove versioni. Le versioni precedenti dei sistemi operativi disponibili in Azure Marketplace vengono escluse se il client di configurazione guest non è compatibile. La tabella seguente mostra un elenco dei sistemi operativi supportati nelle immagini di Azure. Il testo ".x" è simbolico per rappresentare le nuove versioni secondarie delle distribuzioni linux.

Editore Nome Versioni
Amazon Linux 2
Canonical Ubuntu Server 14.04 - 20.x
Credativ Debian 8 - 10.x
Microsoft Windows Server 2012 - 2022
Microsoft Client Windows Windows 10
Oracle Oracle-Linux 7.x-8.x
OpenLogic CentOS 7.3 -8.x
Red Hat Red Hat Enterprise Linux* 7.4 - 8.x
SUSE SLES 12 SP3-SP5, 15.x

* Red Hat CoreOS non è supportato.

Le immagini di macchine virtuali personalizzate sono supportate dalle definizioni dei criteri di configurazione del computer purché siano uno dei sistemi operativi nella tabella precedente.

Requisiti di rete

Le macchine virtuali di Azure possono usare la scheda di rete virtuale locale (vNIC) o collegamento privato di Azure per comunicare con il servizio di configurazione della macchina.

I computer abilitati per Azure Arc si connettono usando l'infrastruttura di rete locale per raggiungere i servizi di Azure e segnalare lo stato di conformità.

Di seguito è riportato un elenco degli endpoint di Archiviazione di Azure necessari per le macchine virtuali abilitate per Azure e Azure Arc per comunicare con il provider di risorse di configurazione del computer in Azure:

  • oaasguestconfigac2s1.blob.core.windows.net
  • oaasguestconfigacs1.blob.core.windows.net
  • oaasguestconfigaes1.blob.core.windows.net
  • oaasguestconfigases1.blob.core.windows.net
  • oaasguestconfigbrses1.blob.core.windows.net
  • oaasguestconfigbrss1.blob.core.windows.net
  • oaasguestconfigccs1.blob.core.windows.net
  • oaasguestconfigces1.blob.core.windows.net
  • oaasguestconfigcids1.blob.core.windows.net
  • oaasguestconfigcuss1.blob.core.windows.net
  • oaasguestconfigeaps1.blob.core.windows.net
  • oaasguestconfigeas1.blob.core.windows.net
  • oaasguestconfigeus2s1.blob.core.windows.net
  • oaasguestconfigeuss1.blob.core.windows.net
  • oaasguestconfigfcs1.blob.core.windows.net
  • oaasguestconfigfss1.blob.core.windows.net
  • oaasguestconfiggewcs1.blob.core.windows.net
  • oaasguestconfiggns1.blob.core.windows.net
  • oaasguestconfiggwcs1.blob.core.windows.net
  • oaasguestconfigjiws1.blob.core.windows.net
  • oaasguestconfigjpes1.blob.core.windows.net
  • oaasguestconfigjpws1.blob.core.windows.net
  • oaasguestconfigkcs1.blob.core.windows.net
  • oaasguestconfigkss1.blob.core.windows.net
  • oaasguestconfigncuss1.blob.core.windows.net
  • oaasguestconfignes1.blob.core.windows.net
  • oaasguestconfignres1.blob.core.windows.net
  • oaasguestconfignrws1.blob.core.windows.net
  • oaasguestconfigqacs1.blob.core.windows.net
  • oaasguestconfigsans1.blob.core.windows.net
  • oaasguestconfigscuss1.blob.core.windows.net
  • oaasguestconfigseas1.blob.core.windows.net
  • oaasguestconfigsecs1.blob.core.windows.net
  • oaasguestconfigsfns1.blob.core.windows.net
  • oaasguestconfigsfws1.blob.core.windows.net
  • oaasguestconfigsids1.blob.core.windows.net
  • oaasguestconfigstzns1.blob.core.windows.net
  • oaasguestconfigswcs1.blob.core.windows.net
  • oaasguestconfigswns1.blob.core.windows.net
  • oaasguestconfigswss1.blob.core.windows.net
  • oaasguestconfigswws1.blob.core.windows.net
  • oaasguestconfiguaecs1.blob.core.windows.net
  • oaasguestconfiguaens1.blob.core.windows.net
  • oaasguestconfigukss1.blob.core.windows.net
  • oaasguestconfigukws1.blob.core.windows.net
  • oaasguestconfigwcuss1.blob.core.windows.net
  • oaasguestconfigwes1.blob.core.windows.net
  • oaasguestconfigwids1.blob.core.windows.net
  • oaasguestconfigwus2s1.blob.core.windows.net
  • oaasguestconfigwus3s1.blob.core.windows.net
  • oaasguestconfigwuss1.blob.core.windows.net

Comunicare tramite reti virtuali in Azure

Per comunicare con il provider di risorse di configurazione del computer in Azure, i computer richiedono l'accesso in uscita ai data center di Azure sulla porta 443. Se una rete in Azure non consente il traffico in uscita, configurare le eccezioni con le regole del gruppo di sicurezza di rete. I tag di servizio "AzureArcInfrastructure" e "Storage" possono essere usati per fare riferimento alla configurazione guest e ai servizi di archiviazione anziché mantenere manualmente l'elenco degli intervalli IP per i data center di Azure. Entrambi i tag sono necessari perché i pacchetti di contenuto di configurazione del computer sono ospitati da Archiviazione di Azure.

Le macchine virtuali possono usare il collegamento privato per la comunicazione al servizio di configurazione della macchina. Applicare tag con il nome EnablePrivateNetworkGC e il valore TRUE per abilitare questa funzionalità. Il tag può essere applicato prima o dopo l'applicazione delle definizioni dei criteri di configurazione del computer al computer.

Il traffico viene instradato usando l'indirizzo IP pubblico virtuale di Azure per stabilire un canale sicuro e autenticato con le risorse della piattaforma di Azure.

Comunicare sugli endpoint pubblici all'esterno di Azure

I server che si trovano in locale o in altri cloud possono essere gestiti con la configurazione del computer connettendoli ad Azure Arc.

Per i server abilitati per Azure Arc, consentire il traffico usando i modelli seguenti:

  • Porta: è necessaria solo la porta TCP 443 per l'accesso a Internet in uscita
  • URL globale: *.guestconfiguration.azure.com

Per un elenco completo di tutti gli endpoint di rete richiesti dall'agente di Azure Connected Machine per gli scenari di configurazione principali di Azure Arc e computer, vedere i requisiti di rete abilitati per Azure Arc.

Quando si usa un collegamento privato con server abilitati per Arc, i pacchetti di criteri predefiniti verranno scaricati automaticamente tramite il collegamento privato. Non è necessario impostare tag nel server abilitato per Arc per abilitare questa funzionalità.

Assegnazione di criteri a computer esterni ad Azure

Le definizioni dei criteri di controllo disponibili per la configurazione del computer includono il tipo di risorsa Microsoft.HybridCompute/machines . Tutti i computer di cui è stato eseguito l'onboarding nei server abilitati per Azure Arc inclusi nell'ambito dell'assegnazione dei criteri vengono inclusi automaticamente.

Requisiti delle identità gestite

Le definizioni dei criteri nell'iniziativa Deploy prerequisites to enable guest configuration policies on virtual machines abilitano un'identità gestita assegnata dal sistema, se non ne esiste una. Esistono due definizioni di criteri nell'iniziativa che gestiscono la creazione di identità. Le condizioni IF nelle definizioni dei criteri garantiscono il comportamento corretto in base allo stato corrente della risorsa del computer in Azure.

Importante

Queste definizioni creano un'identità gestita System-Assigned nelle risorse di destinazione, oltre alle identità User-Assigned esistenti (se presenti). Per le applicazioni esistenti, a meno che non specifichino l'identità User-Assigned nella richiesta, per impostazione predefinita il computer usa System-Assigned Identity. Altre informazioni

Se il computer non dispone attualmente di identità gestite, i criteri effettivi sono: Aggiungere un'identità gestita assegnata dal sistema per abilitare le assegnazioni di configurazione del computer nelle macchine virtuali senza identità

Se il computer ha attualmente un'identità di sistema assegnata dall'utente, il criterio effettivo è: Aggiungere un'identità gestita assegnata dal sistema per abilitare le assegnazioni di configurazione del computer nelle macchine virtuali con un'identità assegnata dall'utente

Disponibilità

I clienti che progettano una soluzione a disponibilità elevata devono considerare i requisiti di pianificazione della ridondanza per le macchine virtuali perché le assegnazioni guest sono estensioni delle risorse del computer in Azure. Quando viene effettuato il provisioning delle risorse di assegnazione guest in un'area di Azure abbinata, purché sia disponibile almeno un'area nella coppia, sono disponibili report di assegnazione guest. Se l'area di Azure non è associata e non è disponibile, non è possibile accedere ai report per un'assegnazione guest finché l'area non viene ripristinata.

Quando si considera un'architettura per le applicazioni a disponibilità elevata, in particolare quando viene effettuato il provisioning delle macchine virtuali nei set di disponibilità dietro una soluzione di bilanciamento del carico per garantire la disponibilità elevata, è consigliabile assegnare le stesse definizioni di criteri con gli stessi parametri a tutti i computer nella soluzione. Se possibile, una singola assegnazione di criteri che si estende su tutti i computer offrirà il minor sovraccarico amministrativo.

Per i computer protetti da Azure Site Recovery, assicurarsi che i computer in un sito secondario siano inclusi nell'ambito delle assegnazioni di Criteri di Azure per le stesse definizioni usando gli stessi valori dei parametri dei computer nel sito primario.

Residenza dei dati

La configurazione del computer archivia/elabora i dati dei clienti. Per impostazione predefinita, i dati dei clienti vengono replicati nell'area abbinata. Per le aree: Singapore, Brasile meridionale e Asia orientale tutti i dati dei clienti vengono archiviati ed elaborati nell'area.

Risoluzione dei problemi relativi alla configurazione del computer

Per altre informazioni sulla risoluzione dei problemi di configurazione del computer, vedere Criteri di Azure risoluzione dei problemi.

Assegnazioni multiple

Le definizioni dei criteri di configurazione guest supportano ora l'assegnazione della stessa assegnazione guest a più volte per computer quando l'assegnazione dei criteri usa parametri diversi.

Assegnazioni a gruppi di gestione di Azure

Criteri di Azure definizioni nella categoria Guest Configuration possono essere assegnate ai gruppi di gestione quando l'effetto è AuditIfNotExists o DeployIfNotExists.

File di log del client

L'estensione di configurazione del computer scrive i file di log nei percorsi seguenti:

Windows

  • Macchina virtuale di Azure: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
  • Server con abilitazione di Arc: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Linux

  • Macchina virtuale di Azure: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Server con abilitazione di Arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Raccolta di log in modalità remota

Il primo passaggio per la risoluzione dei problemi relativi alle configurazioni o ai moduli dei computer deve essere quello di usare i cmdlet che seguono i passaggi descritti in Come testare gli artefatti del pacchetto di configurazione del computer. Se l'operazione non riesce, la raccolta dei log del client può aiutare a diagnosticare i problemi.

Windows

Acquisire informazioni dai file di log usando il comando Run per le macchine virtuali di Azure. Lo script di esempio di PowerShell seguente può essere utile.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$linesToIncludeAfterMatch | Select-Object -Last 10

Linux

Acquisire informazioni dai file di log usando il comando Run per le macchine virtuali di Azure. Lo script di esempio di Bash seguente può essere utile.

linesToIncludeBeforeMatch=0
linesToIncludeAfterMatch=10
logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tail

File dell'agente

L'agente di configurazione del computer scarica i pacchetti di contenuto in un computer ed estrae il contenuto. Per verificare il contenuto scaricato e archiviato, visualizzare i percorsi delle cartelle indicati di seguito.

Windows: c:\programdata\guestconfig\configuration

Linux: /var/lib/GuestConfig/Configuration

Esempi di configurazione del computer

Gli esempi di criteri predefiniti di configurazione del computer sono disponibili nelle posizioni seguenti:

Passaggi successivi