Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która jest stanem End Of Life (EOL). Proszę rozważyć swoje użycie i odpowiednio zaplanować. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.
Funkcja konfiguracji maszyny usługi Azure Policy zapewnia natywną możliwość inspekcji lub konfigurowania ustawień systemu operacyjnego jako kodu dla maszyn działających na platformie Azure i maszynach z obsługą hybrydowej usługi Arc. Możesz użyć tej funkcji bezpośrednio na każdej maszynie, lub koordynować ją na dużą skalę przy użyciu usługi Azure Policy.
Zasoby konfiguracji na platformie Azure są projektowane jako zasób rozszerzenia. Można sobie wyobrazić każdą konfigurację jako dodatkowy zestaw właściwości dla maszyny. Konfiguracje mogą obejmować ustawienia, takie jak:
- Ustawienia systemu operacyjnego
- Konfiguracja lub obecność aplikacji
- Ustawienia środowiska
Konfiguracje różnią się od definicji zasad. Konfiguracja maszyny używa usługi Azure Policy do dynamicznego przypisywania konfiguracji do maszyn. Konfiguracje można również przypisać do maszyn ręcznie.
Przykłady każdego scenariusza znajdują się w poniższej tabeli.
| Typ | Opis | Przykładowa historia |
|---|---|---|
| Zarządzanie konfiguracją | Potrzebujesz pełnej reprezentacji serwera jako kodu w kontroli źródła. Wdrożenie powinno zawierać właściwości serwera (rozmiar, sieć, magazyn) oraz konfigurację systemu operacyjnego i ustawień aplikacji. | "Ta maszyna powinna być serwerem sieci Web skonfigurowanym do hostowania mojej witryny internetowej". |
| Zgodność z przepisami | Chcesz przeprowadzić inspekcję lub wdrożyć ustawienia na wszystkich maszynach w zakresie reaktywnie do istniejących maszyn lub proaktywnie na nowych maszynach podczas ich wdrażania. | "Wszystkie maszyny powinny używać protokołu TLS 1.2. Przeprowadź inspekcję istniejących maszyn, abym mógł wprowadzić zmiany tam, gdzie to konieczne, w kontrolowany sposób, na dużą skalę. W przypadku nowych maszyn wymuś ustawienie już podczas ich wdrożenia. |
Możesz wyświetlić wyniki dla poszczególnych ustawień na stronie Przypisania gościa. Jeśli konfiguracja została przygotowana za pomocą przypisania Azure Policy, możesz wybrać link "Ostatnio oceniony zasób" na stronie "Szczegóły zgodności".
Uwaga
Konfiguracja maszyny obsługuje obecnie tworzenie maksymalnie 50 przypisań dla gości na maszynę.
Tryby wymuszania dla polityk niestandardowych
Aby zapewnić większą elastyczność wymuszania i monitorowania ustawień serwera, aplikacji i obciążeń, usługa Machine Configuration oferuje trzy główne tryby wymuszania dla każdego przypisania zasad zgodnie z opisem w poniższej tabeli.
| Tryb | Opis |
|---|---|
| Kontrola | Raport tylko o stanie maszyny |
| Stosowanie i monitorowanie | Konfiguracja zastosowana do maszyny, a następnie monitorowana pod kątem zmian |
| Stosowanie i autokorekta | Konfiguracja zastosowana do maszyny i przywrócona do stanu zgodności w przypadku odchylenia. |
Dostępny jest przewodnik wideo dotyczący tego dokumentu. (Aktualizacja będzie dostępna wkrótce)
Włącz konfigurację maszyny
Aby zarządzać stanem maszyn w środowisku, w tym maszyn na serwerach z obsługą platformy Azure i usługi Arc, zapoznaj się z poniższymi szczegółami.
Dostawca zasobów
Aby móc korzystać z funkcji konfiguracji maszyny usługi Azure Policy, należy zarejestrować dostawcę Microsoft.GuestConfiguration zasobów. Jeśli przypisanie zasad konfiguracji maszyny odbywa się za pośrednictwem portalu lub jeśli subskrypcja jest zarejestrowana w Microsoft Defender dla Chmury, dostawca zasobów jest rejestrowany automatycznie. Możesz ręcznie zarejestrować się za pomocą portalu, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Wymagania dotyczące wdrażania maszyn wirtualnych platformy Azure
Aby można było zarządzać ustawieniami wewnątrz maszyny, rozszerzenie maszyny wirtualnej musi być włączone, a maszyna musi mieć tożsamość zarządzaną przez system. Rozszerzenie pobiera odpowiednie przypisania konfiguracji maszyny i właściwe zależności. Tożsamość jest używana do uwierzytelniania maszyny podczas odczytywania i zapisywania w usłudze konfiguracji maszyny. Rozszerzenie nie jest wymagane w przypadku serwerów z włączoną usługą Arc, ponieważ jest ono dostępne w agencie maszyny połączonej z usługą Arc.
Ważne
Rozszerzenie konfiguracji maszyny i tożsamość zarządzana są wymagane do zarządzania maszynami wirtualnymi platformy Azure.
Aby wdrożyć rozszerzenie na dużą skalę na wielu maszynach, przypisz inicjatywę zasad
Deploy prerequisites to enable Guest Configuration policies on virtual machines do grupy zarządzania, subskrypcji lub grupy zasobów zawierającej maszyny, którymi planujesz zarządzać.
Jeśli wolisz wdrożyć rozszerzenie i tożsamość zarządzaną na jednej maszynie, zobacz Konfigurowanie tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej przy użyciu witryny Azure Portal.
Aby korzystać z pakietów konfiguracji maszyn, które stosują odpowiednie ustalenia, wymagane jest posiadanie rozszerzenia konfiguracji gościa maszyn wirtualnych platformy Azure w wersji 1.26.24 lub nowszej.
Ważne
Tworzenie tożsamości zarządzanej lub przypisanie polityki z rolą "Współautor zasobu konfiguracji gościa" to działania, które wymagają posiadania odpowiednich uprawnień RBAC w Azure. Aby dowiedzieć się więcej o usługach Azure Policy i Azure RBAC, zobacz Kontrola dostępu oparta na rolach w usłudze Azure Policy.
Limity ustawione dla rozszerzenia
Aby ograniczyć wpływ rozszerzenia na aplikacje działające wewnątrz maszyny, agent konfiguracji maszyny nie może przekroczyć więcej niż 5% procesora CPU. To ograniczenie istnieje zarówno dla wbudowanych, jak i niestandardowych definicji. To samo dotyczy usługi konfiguracji w agencie Arc Connected Machine.
Narzędzia do walidacji
Na maszynie agent konfiguracji maszyny używa narzędzi lokalnych do wykonywania zadań.
W poniższej tabeli przedstawiono listę narzędzi lokalnych używanych w poszczególnych obsługiwanych systemach operacyjnych. W przypadku zawartości wbudowanej konfiguracja maszyny automatycznie obsługuje ładowanie tych narzędzi.
| System operacyjny | Narzędzie do walidacji | Uwagi |
|---|---|---|
| Windows | Konfiguracja żądanego stanu programu PowerShell | Ładowane bezpośrednio do folderu używanego tylko przez usługę Azure Policy. Nie powoduje konfliktu z Windows PowerShell DSC. Program PowerShell nie jest dodawany do ścieżki systemowej. |
| Linuxa | Konfiguracja żądanego stanu programu PowerShell | Ładowane bezpośrednio do folderu używanego tylko przez usługę Azure Policy. Program PowerShell nie jest dodawany do ścieżki systemowej. |
| Linuxa | Chef InSpec | Instaluje program Chef InSpec w wersji 2.2.61 w domyślnej lokalizacji i dodaje go do ścieżki systemowej. Instaluje zależności InSpec, w tym także Ruby i Python. |
Częstotliwość walidacji
Agent konfiguracji maszyny sprawdza nowe lub zmienione przypisania gościa co 5 minut. Po odebraniu przypisania gościa ustawienia tej konfiguracji są sprawdzane ponownie co 15 minut. Jeśli przypisano wiele konfiguracji, każda z nich jest oceniana sekwencyjnie. Długotrwałe konfiguracje mają wpływ na interwał dla wszystkich konfiguracji, ponieważ następne nie można uruchomić do momentu zakończenia poprzedniej konfiguracji.
Wyniki są wysyłane do usługi konfiguracji maszyny po zakończeniu inspekcji. Po wystąpieniu wyzwalacza oceny zasad stan maszyny jest zapisywany w dostawcy zasobów konfiguracji maszyny. Ta aktualizacja powoduje, że usługa Azure Policy ocenia właściwości usługi Azure Resource Manager. Ocena usługi Azure Policy na żądanie pobiera najnowszą wartość od dostawcy zasobów konfiguracji maszyny. Nie wyzwala jednak nowego działania na maszynie. Stan jest następnie zapisywany w usłudze Azure Resource Graph.
Obsługiwane typy klientów
Definicje zasad konfiguracji maszyn obejmują nowe wersje. Starsze wersje systemów operacyjnych dostępnych w usłudze Azure Marketplace są wykluczone, jeśli klient Guest Configuration nie jest zgodny. Ponadto wersje serwera z systemem Linux, które nie są przez całe życie obsługiwane przez odpowiednich wydawców, są wykluczone z macierzy obsługi.
W poniższej tabeli przedstawiono listę obsługiwanych systemów operacyjnych na obrazach platformy Azure. Tekst .x symbolizuje nowe mniejsze wersje dystrybucji systemu Linux.
| Wydawca | Nazwisko | Wersje |
|---|---|---|
| Alma | AlmaLinux | 9 |
| Amazonka | Linuxa | 2 |
| Kanoniczny | Ubuntu Server | 16.04 – 24.x |
| Credativ | Debian | 10.x - 12.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Azure Linux | 3 |
| Microsoft | Klient systemu Windows | Windows 10, 11 |
| Microsoft | Serwer z systemem Windows | 2012 - 2025 |
| Wyrocznia | Oracle-Linux | 7.x — 8.x |
| OpenLogic | Centos | 7.3 – 8.x |
| Red Hat | Red Hat Enterprise Linux* | 7.4 – 9.x |
| Skalisty | Rocky Linux | 8 |
| SUSE | SLES | 12 SP5, 15.x |
* System Red Hat CoreOS nie jest obsługiwany.
Definicje zasad konfiguracji maszyn wspierają niestandardowe obrazy maszyn wirtualnych, o ile są one jednym z systemów operacyjnych w poprzedniej tabeli. Konfiguracja maszyny nie obsługuje jednolitego VMSS, ale obsługuje VMSS Flex.
Wymagania dotyczące sieci
Maszyny wirtualne platformy Azure mogą używać lokalnej wirtualnej karty sieciowej (vNIC) lub usługi Azure Private Link do komunikowania się z usługą konfiguracji maszyny.
Maszyny z obsługą usługi Azure Arc łączą się przy użyciu lokalnej infrastruktury sieciowej w celu uzyskania dostępu do usług platformy Azure i raportowania stanu zgodności.
W poniższej tabeli przedstawiono obsługiwane punkty końcowe dla maszyn z obsługą platformy Azure i usługi Azure Arc:
| Region | Lokalizacja geograficzna | Adres URL | punkt końcowy usługi przechowywania |
|---|---|---|---|
| EastAsia | Azja i Pacyfik |
agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Azja Południowo-Wschodnia | Azja i Pacyfik |
agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaEast | Australia |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaSoutheast | Australia |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| BrazilSouth | Brazylia |
agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaCentral | Kanada |
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaEast | Kanada |
agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ChinaEast2 | Chiny |
chne2-gas.guestconfiguration.azure.cn agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
| ChinyNorth | Chiny |
agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn chnn-gas.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
| ChinyNorth2 | Chiny | agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
| ChinyNorth3 | Chiny | agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
| NorthEurope | Europa |
agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestEurope | Europa |
agentserviceapi.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com we-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| FranceCentral | Francja |
agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NiemcyPółnoc | Niemcy |
agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net |
| GermanyWestCentral | Niemcy |
agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net |
| CentralIndia | Indie |
agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthIndia | Indie |
agentserviceapi.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| IsraelCentral | Izrael |
agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com |
oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WłochyPółnoc | Włochy |
agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfigitns1.blob.core.windows.net |
| JapanEast | Japonia |
agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JaponiaWest | Japonia |
agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| KoreaCentral | Korea |
agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Meksyk Centralny | Meksyk |
agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorwegiaEast | Norwegia |
agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com |
oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralnaPolska | Polska |
agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
| KatarCentral | Katar |
agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net oaasguestconfigqacs1.blob.core.windows.net |
| SouthAfricaNorth | Południowoafryka |
san-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| PołudniowaAfrykaZachód | Południowoafryka | agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| HiszpaniaCentral | Hiszpania |
agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com |
oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SzwecjaCentral | Szwecja |
agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| PółnocnaSzwajcaria | Szwajcaria |
stzn-gas.guestconfiguration.azure.com agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SzwajcariaWest | Szwajcaria |
agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Północny Tajwan | Tajwan |
agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com twn-gas.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ZEANorth | Zjednoczone Emiraty Arabskie | agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com |
oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKSouth | Wielka Brytania |
agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKWest | Wielka Brytania | agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS | USA |
agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS2 | USA |
agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS | USA |
agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS2 | USA |
agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS3 | USA |
agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralUS | USA |
agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorthCentralUS | USA | agentserviceapi.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com ncus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| Południowo-ŚrodkoweUSA | USA |
agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestCentralUS | USA |
agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| USGovArizona | Rząd USA |
agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
| USGovTexas | Rząd USA |
agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
| USGovVirginia | Rząd USA |
agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Komunikacja za pośrednictwem sieci wirtualnych na platformie Azure
Aby komunikować się z dostawcą zasobów konfiguracji maszyny na platformie Azure, maszyny wymagają dostępu wychodzącego do centrów danych platformy Azure na porcie 443*. Jeśli sieć na platformie Azure nie zezwala na ruch wychodzący, skonfiguruj wyjątki z regułami sieciowej grupy zabezpieczeń. Tagi usług AzureArcInfrastructure i Storage mogą być używane do odwoływania się do konfiguracji gościa oraz usług magazynowania, zamiast ręcznego zarządzania listą zakresów adresów IP dla centrów danych platformy Azure. Oba tagi są wymagane, ponieważ usługa Azure Storage hostuje pakiety zawartości konfiguracji maszyny.
Komunikacja za pośrednictwem usługi Private Link na platformie Azure
Maszyny wirtualne mogą używać łącza prywatnego do komunikacji z usługą konfiguracji maszyny.
Zastosuj tag z nazwą EnablePrivateNetworkGC i wartością TRUE , aby włączyć tę funkcję. Tag można zastosować przed lub po zastosowaniu definicji zasad konfiguracji maszyn.
Ważne
Aby komunikować się za pośrednictwem łącza prywatnego dla pakietów niestandardowych, należy dodać link do lokalizacji pakietu do listy dozwolonych adresów URL.
Ruch jest kierowany przy użyciu wirtualnego publicznego adresu IP platformy Azure w celu ustanowienia bezpiecznego, uwierzytelnionego kanału z zasobami platformy Azure.
Komunikacja za pośrednictwem publicznych punktów końcowych poza platformą Azure
Serwery znajdujące się lokalnie lub w innych chmurach można zarządzać za pomocą konfiguracji maszyny, łącząc je z usługą Azure Arc.
W przypadku serwerów z obsługą usługi Azure Arc zezwalaj na ruch przy użyciu następujących wzorców:
- Port: dla wychodzącego dostępu internetowego wymagany jest tylko port 443 protokołu TCP
- Globalny adres URL:
*.guestconfiguration.azure.com
Zobacz wymagania sieciowe serwerów z obsługą usługi Azure Arc, aby uzyskać pełną listę wszystkich punktów końcowych sieci wymaganych przez agenta połączonej maszyny platformy Azure dla podstawowych scenariuszy konfiguracji usługi Azure Arc i maszyny.
Komunikacja za pośrednictwem usługi Private Link poza platformą Azure
W przypadku korzystania z łącza prywatnego z serwerami z obsługą usługi Arc wbudowane pakiety zasad są automatycznie pobierane za pośrednictwem łącza prywatnego. Nie musisz ustawiać żadnych tagów na serwerze z obsługą usługi Arc, aby włączyć tę funkcję.
Przypisywanie zasad do maszyn spoza platformy Azure
Definicje zasad inspekcji dostępne dla konfiguracji maszyny obejmują typ zasobu Microsoft.HybridCompute/machines . Wszystkie maszyny włączone do serwerów obsługujących Azure Arc, które znajdują się w zakresie przypisania zasad, są automatycznie uwzględniane.
Wymagania dotyczące tożsamości zarządzanej
Definicje zasad w inicjatywie Deploy prerequisites to enable guest configuration policies on virtual machines umożliwiają przypisaną przez system tożsamość zarządzaną, jeśli nie istnieje. W inicjatywie istnieją dwie definicje zasad, które zarządzają tworzeniem tożsamości. Warunki if w definicjach zasad zapewniają prawidłowe zachowanie na podstawie bieżącego stanu zasobu maszyny na platformie Azure.
Ważne
Definicje te tworzą tożsamość zarządzaną przypisaną przez system w docelowych zasobach, oprócz istniejących tożsamości przypisanych przez użytkownika (jeśli takie istnieją). W przypadku istniejących aplikacji, chyba że określą tożsamość przypisaną przez użytkownika w żądaniu, maszyna będzie domyślnie używać tożsamości przypisanej przez system. Dowiedz się więcej
Jeśli maszyna nie ma obecnie żadnych tożsamości zarządzanych, obowiązująca zasada to: Dodanie tożsamości zarządzanej przypisanej przez system w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości
Jeśli maszyna ma obecnie tożsamość systemową przypisaną przez użytkownika, obowiązujące zasady to: Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika
Dostępność
Klienci projektujący rozwiązanie o wysokiej dostępności powinni rozważyć wymagania dotyczące planowania nadmiarowości maszyn wirtualnych, ponieważ przydziały gości to rozszerzenia zasobów maszyny na platformie Azure. Gdy zasoby przypisania gościa są przydzielane w sparowanym regionie platformy Azure, możesz wyświetlić raporty dotyczące przypisań gościa, jeśli co najmniej jeden z regionów w parze jest dostępny. Gdy region platformy Azure nie jest sparowany i staje się niedostępny, nie możesz uzyskać dostępu do raportów dotyczących przypisania gościa. Po przywróceniu regionu można ponownie uzyskać dostęp do raportów.
Najlepszym rozwiązaniem jest przypisanie tych samych definicji zasad z tymi samymi parametrami do wszystkich maszyn w rozwiązaniu dla aplikacji o wysokiej dostępności. Dotyczy to szczególnie scenariuszy, w których maszyny wirtualne są przydzielane w zestawach dostępności z wykorzystaniem rozwiązania modułu równoważenia obciążenia. Pojedyncze przypisanie polityki obejmujące wszystkie maszyny wiąże się z najmniejszym obciążeniem administracyjnym.
W przypadku maszyn chronionych przez usługę Azure Site Recovery upewnij się, że maszyny w lokacji głównej i dodatkowej znajdują się w zakresie przypisań usługi Azure Policy dla tych samych definicji. Użyj tych samych wartości parametrów dla obu lokacji.
Rezydencja danych
Konfiguracja maszyny przechowuje i przetwarza dane klientów. Domyślnie dane klienta są replikowane do sparowanego regionu. W regionach Singapur, Brazylia Południowa i Azja Wschodnia wszystkie dane klientów są przechowywane i przetwarzane w regionie.
Rozwiązywanie problemów z konfiguracją maszyny
Aby uzyskać więcej informacji na temat rozwiązywania problemów z konfiguracją maszyny, zobacz Rozwiązywanie problemów z usługą Azure Policy.
Wiele zadań
Obecnie tylko niektóre wbudowane definicje zasad konfiguracji maszyny obsługują wiele przypisań. Jednak wszystkie zasady niestandardowe domyślnie obsługują wiele przypisań, jeśli do tworzenia pakietów i zasad konfiguracji maszyny użyto najnowszej wersji modułu GuestConfiguration programu PowerShell.
Poniżej znajduje się lista definicji wbudowanych polityk konfiguracji systemu, które obsługują wiele przypisań:
| Identyfikator | Nazwa wyświetlana |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Metody uwierzytelniania lokalnego powinny być wyłączone na serwerach z systemem Windows |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Lokalne metody uwierzytelniania powinny być wyłączone na maszynach z systemem Linux |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Wersja zapoznawcza]: Dodanie przez użytkownika zarządzanej tożsamości w celu umożliwienia przydziałów konfiguracji gościa na maszynach wirtualnych |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Wersja zapoznawcza]: Maszyny z systemem Linux powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Wersja zapoznawcza]: Maszyny z systemem Windows powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Wersja zapoznawcza]: Maszyny z systemem Linux z zainstalowanym rozwiązaniem OMI powinny mieć wersję 1.6.8-1 lub nowszą |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Przeprowadź inspekcję maszyn z systemem Windows, które nie zawierają określonych certyfikatów w zaufanym katalogu głównym |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Inspekcja maszyn z systemem Windows, na których konfiguracja DSC nie jest zgodna |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają określonych zasad wykonywania programu Windows PowerShell |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych modułów programu Windows PowerShell |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Inspekcja maszyn z systemem Windows, na których nie włączono konsoli szeregowej systemu Windows |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdd94df | Przeprowadź audyt maszyn z systemem Windows, na których określone usługi nie są zainstalowane i uruchomione. |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f505 | Przeprowadź inspekcję maszyn z systemem Windows, które nie są ustawione na określoną strefę czasową |
Uwaga
Okresowo sprawdzaj tę stronę pod kątem aktualizacji listy wbudowanych definicji zasad konfiguracji maszyny, które obsługują wiele przypisań.
Przypisania do grup zarządzania platformy Azure
Definicje usługi Azure Policy w kategorii Guest Configuration można przypisać do grup zarządzania, gdy efekt to AuditIfNotExists lub DeployIfNotExists.
Ważne
Po utworzeniu wyjątków zasad w zasadach konfiguracji maszyny, skojarzone przypisanie klienta musi zostać usunięte w celu zatrzymania skanowania agenta.
Pliki dziennika klienta
Rozszerzenie konfiguracji maszyny zapisuje pliki dziennika w następujących lokalizacjach:
Windows
- Maszyna wirtualna platformy Azure:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Serwer z obsługą usługi Arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linuxa
- Maszyna wirtualna platformy Azure:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Serwer z obsługą usługi Arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Zdalne zbieranie dzienników
Pierwszym krokiem rozwiązywania problemów z konfiguracjami lub modułami maszyny powinno być użycie poleceń cmdlet, wykonując kroki opisane w temacie Jak przetestować artefakty pakietu konfiguracji maszyny. Jeśli to nie powiedzie się, zbieranie dzienników klientów może pomóc zdiagnozować problemy.
Windows
Przechwytywanie informacji z plików dziennika przy użyciu polecenia uruchamiania maszyny wirtualnej platformy Azure może być przydatne w poniższym przykładzie skryptu programu PowerShell.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linuxa
Przechwyć informacje z plików dziennika przy użyciu Azure VM Run Command. Poniższy przykładowy skrypt powłoki Bash może być przydatny.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Pliki agenta
Agent konfiguracji maszyny pobiera pakiety zawartości na maszynę i wyodrębnia zawartość. Aby sprawdzić, jaka zawartość została pobrana i zapisana, wyświetl lokalizacje folderów na poniższej liście.
- Windows:
C:\ProgramData\guestconfig\configuration - Linux:
/var/lib/GuestConfig/Configuration
Funkcje modułu nxtools typu open source
Nowy moduł nxtools typu open source został wydany, aby ułatwić zarządzanie systemami Linux użytkownikom programu PowerShell.
Moduł ułatwia zarządzanie typowymi zadaniami, takimi jak:
- Zarządzanie użytkownikami i grupami
- Wykonywanie operacji systemu plików
- Zarządzanie usługami
- Wykonywanie operacji archiwum
- Zarządzanie pakietami
Moduł zawiera oparte na klasie zasoby DSC dla systemu Linux i wbudowane pakiety konfiguracji maszyny.
Aby przekazać opinię na temat tej funkcji, otwórz problem w dokumentacji. Obecnie nie akceptujemy PR-ów dla tego projektu, a pomoc jest świadczona według najlepszych możliwości.
Przykłady konfiguracji maszyny
Wbudowane przykłady zasad konfiguracji maszyny są dostępne w następujących lokalizacjach:
- Wbudowane definicje zasad — konfiguracja gościa
- Inicjatywy wbudowane — konfiguracja gościa
- Przykłady usługi Azure Policy w repozytorium GitHub
- Przykładowe moduły zasobów DSC
Następne kroki
- Skonfiguruj niestandardowy pakiet konfiguracji maszyny środowisko programistyczne.
- Utwórz artefakt pakietu do konfiguracji maszyny.
- Przetestuj artefakt pakietu w środowisku projektowym.
- Użyj modułu GuestConfiguration , aby utworzyć definicję usługi Azure Policy na potrzeby zarządzania środowiskiem na dużą skalę.
- Przypisz niestandardową definicję reguł przy użyciu portalu Azure.
- Dowiedz się, jak wyświetlić szczegóły zgodności przypisań zasad konfiguracji maszyny.