컴퓨터 구성에 대한 수정 옵션
시작하기 전에 컴퓨터 구성에 대한 개요 페이지를 읽는 것이 좋습니다.
Important
Azure Virtual Machines에는 컴퓨터 구성 확장이 필요합니다. 모든 머신에서 확장을 대규모로 배포하려면 정책 이니셔티브(Deploy prerequisites to enable guest configuration policies on virtual machines)를 할당합니다.
구성을 적용하는 컴퓨터 구성 패키지를 사용하려면 Azure VM 게스트 구성 확장 버전 1.26.24 이상 또는 Arc 에이전트 1.10.0 이상이 필요합니다.
AuditIfNotExists 및 DeployIfNotExists를 사용하는 사용자 지정 컴퓨터 구성 정책 정의는 GA(일반 공급) 지원 상태입니다.
컴퓨터 구성이 수정을 관리하는 방법(집합)
컴퓨터 구성은 머신 내에서 변경 내용을 제공하는 정의에 대해 정책 효과(DeployIfNotExists)를 사용합니다. 평가가 자동으로 또는 주문에 의해 구성을 제공하는 방법을 제어하기 위해 정책 할당의 속성을 설정합니다.
컴퓨터 구성 할당 유형
게스트 할당을 만들 때 사용 가능한 할당 유형은 세 가지입니다. 이 속성은 DeployIfNotExists를 지원하는 컴퓨터 구성 정의의 매개 변수로 사용 가능합니다.
assignmentType 속성 속성은 대/소문자를 구분합니다.
| 할당 유형 | 동작 |
|---|---|
Audit |
머신의 상태를 보고하지만 변경하지는 않습니다. |
ApplyAndMonitor |
머신에 한 번 적용된 후 변경 내용을 모니터링합니다. 구성이 드리프트되어 NonCompliant가 되는 경우 수정이 트리거되지 않으면 자동으로 수정되지 않습니다. |
ApplyAndAutoCorrect |
머신에 적용됩니다. 머신이 드리프트될 경우 머신 내부의 로컬 서비스는 다음 평가에서 수정합니다. |
기존 컴퓨터에 새 정책 할당이 할당되면 먼저 구성 상태를 감사하기 위해 게스트 할당이 자동으로 만들어집니다. 감사는 수정이 필요한 컴퓨터를 결정하는 데 사용할 수 있는 정보를 제공합니다.
주문형 수정(ApplyAndMonitor)
기본적으로 컴퓨터 구성 할당은 요청 시 수정 시나리오에서 작동합니다. 구성이 적용된 다음에는 드리프트되어 규정을 준수하지 않는 것이 허용됩니다.
다음 중 하나가 아닌 경우 게스트 할당의 준수 상태는 Compliant입니다.
- 구성을 적용하는 동안 오류가 발생했습니다.
- 다음 평가 중에 컴퓨터가 더 이상 원하는 상태가 아닌 경우
이러한 조건 중 하나가 충족되면 에이전트는 상태를 NonCompliant로 보고하고 자동으로 수정하지 않습니다.
이 동작을 사용하도록 설정하려면 컴퓨터 구성 할당의 할당 형식 속성을 ApplyandMonitor로 설정합니다. 컴퓨터 내에서 할당이 처리될 때마다 에이전트는 테스트 메서드가 $true를 반환할 때 각 리소스에 대해 Compliant를 보고하고 메서드가 $false를 반환할 경우 NonCompliant를 보고합니다.
연속 수정(자동 수정)
컴퓨터 구성은 연속 수정 개념을 지원합니다. 구성에서 머신이 드리프트되어 규정을 준수하지 않을 경우 다음 평가 시 구성이 자동으로 수정됩니다. 오류가 발생하지 않는 한 컴퓨터는 항상 구성에 대해 상태를 Compliant로 보고합니다. 연속 수정을 사용할 때 드리프트가 자동으로 수정된 시기를 보고할 방법은 없습니다.
이 동작을 사용하도록 설정하려면 컴퓨터 구성 할당의 할당 형식 속성을 ApplyandAutoCorrect로 설정합니다. 할당이 컴퓨터 내에서 처리될 때마다 설정 메서드는 테스트 메서드가 false를 반환하는 각 리소스에 대해 자동으로 실행됩니다.
수정 사용 안 함
할당 형식 속성이 Audit로 설정된 경우 에이전트는 컴퓨터 감사만 수행하고 구성이 규정을 준수하지 않는 경우 구성을 수정하려고 시도하지 않습니다.
사용자 지정 콘텐츠 수정 사용 안 함
이름이 CustomGuestConfigurationSetPolicy이고 값이 disable인 머신에 태그를 추가하여 사용자 지정 콘텐츠 패키지에 대한 할당 유형 속성을 재정의할 수 있습니다. 태그를 추가하면 Microsoft에서 기본 제공하는 콘텐츠가 아니라 사용자 지정 콘텐츠 패키지만 수정할 수 없습니다.
Azure Policy 적용
Azure Policy 할당에는 새 리소스 및 기존 리소스 동작을 결정하는 필수 속성 적용 모드가 포함됩니다. 구성이 머신에 자동으로 적용되는지를 제어하려면 이 속성을 사용합니다.
기본적으로 적용은 Enabled로 설정됩니다. Azure Policy는 새 컴퓨터가 배포될 때 자동으로 구성을 적용합니다. 또한 Guest Configuration 범주의 정책을 사용하여 Azure Policy 할당 범위에 있는 컴퓨터의 속성이 업데이트될 때 구성을 적용합니다. 업데이트 작업에는 태그 추가 또는 변경과 같이 Azure Resource Manager에서 발생하는 작업이 포함됩니다. 업데이트 작업에는 디스크 크기 조정이나 연결과 같은 가상 머신에 대한 변경 내용도 포함됩니다.
Azure의 머신 리소스가 변경될 때 구성을 수정해야 하는 경우 적용을 사용 가능하게 설정된 상태로 둡니다. 머신 내 변경 내용은 Azure Resource Manager에서 머신 리소스를 변경하지 않는 한 자동 수정을 트리거하지 않습니다.
적용이 Disabled로 설정된 경우 구성 할당은 수정 작업이 동작을 변경할 때까지 컴퓨터 상태를 감사합니다. 기본적으로 컴퓨터 구성 정의는 할당 형식 속성을 Audit에서 ApplyandMonitor로 업데이트하므로 구성이 한 번 적용된 다음 수정이 트리거될 때까지 다시 적용되지 않습니다.
선택 사항: 기존 머신을 모두 수정
Azure Portal에서 Azure Policy 할당이 만들어진 경우 "수정" 탭에서 "수정 작업 만들기"라는 확인란을 사용할 수 있습니다. 확인란을 선택하면 정책 할당이 만들어진 후 수정 작업이 NonCompliant로 평가되는 모든 리소스를 자동으로 수정합니다.
컴퓨터 구성에 대한 이 설정으로 인해 정책 할당으로 여러 머신에서 구성을 배포할 수 있습니다. 또한 규정을 준수하지 않는 머신에는 수정 작업을 수동으로 실행하지 않아도 됩니다.
Azure Policy 외부에서 수동으로 수정을 트리거
업데이트로 인해 리소스 속성이 변경되지 않더라도 게스트 할당 리소스를 업데이트하여 Azure Policy 환경 외부에서 수정을 조율할 수 있습니다.
컴퓨터 구성 할당이 만들어지면 complianceStatus 속성이 Pending으로 설정됩니다. 컴퓨터 구성 서비스는 5분마다 할당 목록을 요청합니다. 컴퓨터 구성 할당의 complianceStatus가 Pending이고 해당 configurationMode가 ApplyandMonitor 또는 ApplyandAutoCorrect인 경우 컴퓨터의 서비스가 구성을 적용합니다.
구성이 적용된 후 구성 모드는 동작이 준수 상태에 대해서만 보고하고 드리프트를 허용하는지 또는 자동으로 수정하는지 여부를 지정합니다.
설정 조합 이해
| ~ | Audit | ApplyandMonitor | ApplyandAutoCorrect |
|---|---|---|---|
| 적용 사용 | 상태만 보고 | 구성을 VM 만들기에 적용하고 업데이트에 다시 적용했지만 그 외에는 드리프트를 허용합니다. | 구성을 VM 만들기에 적용하고, 업데이트에 다시 적용하고, 드리프트 발생 시 다음 간격에 수정합니다. |
| 적용 사용 안 함 | 상태만 보고 | 구성이 적용되었지만 드리프트가 허용됨 | 구성을 VM 만들기 또는 업데이트에 적용하고 드리프트 발생 시 다음 간격에 수정함 |
다음 단계
- 사용자 지정 컴퓨터 구성 패키지를 개발합니다.
- 환경을 대규모로 관리하기 위해 GuestConfiguration 모듈을 사용하여 Azure Policy 정의를 만듭니다.
- Azure Portal을 사용하여 사용자 지정 정책 정의를 할당합니다.
- 컴퓨터 구성에 대한 규정 준수 세부 정보 정책 할당을 보는 방법을 알아봅니다.