Opcje korygowania konfiguracji maszyny
Przed rozpoczęciem warto przeczytać stronę przeglądu konfiguracji maszyny.
Ważne
Rozszerzenie konfiguracji maszyny jest wymagane dla maszyn wirtualnych platformy Azure. Aby wdrożyć rozszerzenie na dużą skalę na wszystkich maszynach, przypisz następującą inicjatywę zasad: Deploy prerequisites to enable guest configuration policies on virtual machines
Aby użyć pakietów konfiguracji maszyny, które stosują konfiguracje, wymagane jest rozszerzenie konfiguracji gościa maszyny wirtualnej platformy Azure w wersji 1.26.24 lub nowszej albo agent usługi Arc 1.10.0 lub nowszej.
Niestandardowe definicje zasad konfiguracji maszyny, które są używane AuditIfNotExists , a także DeployIfNotExists są w stanie obsługi ogólnie dostępnej (GA).
Jak konfiguracja maszyny zarządza korygowaniem (Zestaw)
Konfiguracja maszyny używa efektu zasad DeployIfNotExists dla definicji, które dostarczają zmiany wewnątrz maszyn. Ustaw właściwości przypisania zasad, aby kontrolować sposób, w jaki ocena dostarcza konfiguracje automatycznie lub na żądanie.
Dostępny jest przewodnik wideo dotyczący tego dokumentu.
Typy przypisań konfiguracji maszyny
Podczas tworzenia przypisań gościa istnieją trzy dostępne typy przypisań. Właściwość jest dostępna jako parametr definicji konfiguracji maszyny, które obsługują DeployIfNotExists.
Właściwość assignmentType uwzględnia wielkość liter
| Typ przypisania | Zachowanie |
|---|---|
Audit |
Zgłoś stan maszyny, ale nie wprowadzaj zmian. |
ApplyAndMonitor |
Zastosowano do maszyny raz, a następnie monitorowane pod kątem zmian. Jeśli konfiguracja dryfuje i staje się , nie zostanie ona automatycznie poprawiona, chyba że zostanie wyzwolone NonCompliantkorygowanie. |
ApplyAndAutoCorrect |
Zastosowano do maszyny. Jeśli dryfuje, usługa lokalna wewnątrz maszyny dokona korekty podczas następnej oceny. |
Po przypisaniu nowych zasad do istniejącej maszyny zostanie automatycznie utworzone przypisanie gościa w celu przeprowadzenia inspekcji stanu konfiguracji. Inspekcja zawiera informacje, których można użyć do decydowania, które maszyny wymagają korygowania.
Korygowanie na żądanie (ApplyAndMonitor)
Domyślnie przypisania konfiguracji maszyny działają w scenariuszu korygowania na żądanie. Konfiguracja jest stosowana, a następnie może dryfować ze zgodności.
Stan zgodności przypisania gościa ma Compliant wartość , chyba że:
- Wystąpił błąd podczas stosowania konfiguracji
- Jeśli maszyna nie jest już w żądanym stanie podczas następnej oceny
Po spełnieniu jednego z tych warunków agent zgłasza stan jako NonCompliant i nie automatycznie koryguje.
Aby włączyć to zachowanie, ustaw właściwość assignmentType przypisania konfiguracji maszyny na ApplyandMonitorwartość . Za każdym razem, gdy przypisanie jest przetwarzane na maszynie, agent zgłasza Compliant dla każdego zasobu, gdy metoda Test zwraca $true wartość lub NonCompliant jeśli metoda zwraca $falsewartość .
Ciągłe korygowanie (autokorekta)
Konfiguracja maszyny obsługuje koncepcję ciągłego korygowania. Jeśli maszyna dryfuje ze zgodności dla konfiguracji, przy następnym ocenie konfiguracja zostanie automatycznie poprawiona. Jeśli nie wystąpi błąd, maszyna zawsze zgłasza stan konfiguracji Compliant . Gdy używane jest ciągłe korygowanie, nie ma możliwości raportowania chwili automatycznego poprawienia konfiguracji.
Aby włączyć to zachowanie, ustaw właściwość assignmentType przypisania konfiguracji maszyny na ApplyandAutoCorrectwartość . Za każdym razem, gdy przypisanie jest przetwarzane na maszynie, metoda Set jest uruchamiana automatycznie dla każdego zasobu , który metoda Test zwraca false.
Wyłączanie korygowania
Gdy właściwość assignmentType jest ustawiona na Audit, agent wykonuje tylko inspekcję maszyny i nie próbuje skorygować konfiguracji, jeśli nie jest zgodna.
Wyłączanie korygowania zawartości niestandardowej
Właściwość typu przypisania dla niestandardowych pakietów zawartości można zastąpić, dodając tag do maszyny o nazwie CustomGuestConfigurationSetPolicy i wartości disable. Dodanie tagu wyłącza korygowanie tylko niestandardowych pakietów zawartości, a nie dla wbudowanej zawartości udostępnianej przez firmę Microsoft.
Wymuszanie usługi Azure Policy
Przypisania usługi Azure Policy obejmują wymagany tryb wymuszania właściwości, który określa zachowanie nowych i istniejących zasobów. Ta właściwość służy do kontrolowania, czy konfiguracje są automatycznie stosowane do maszyn.
Domyślnie wymuszanie ma wartość Enabled. Usługa Azure Policy automatycznie stosuje konfigurację po wdrożeniu nowej maszyny. Stosuje również konfigurację, gdy właściwości maszyny w zakresie przypisania usługi Azure Policy z zasadami w kategorii Guest Configuration są aktualizowane. Operacje aktualizacji obejmują akcje wykonywane w usłudze Azure Resource Manager, takie jak dodawanie lub zmienianie tagu. Operacje aktualizacji obejmują również zmiany maszyn wirtualnych, takie jak zmiana rozmiaru lub dołączanie dysku.
Pozostaw wymuszanie włączone, jeśli konfiguracja powinna zostać skorygowana po wystąpieniu zmian w zasobie maszyny na platformie Azure. Zmiany w maszynie nie wyzwalają automatycznego korygowania, o ile nie zmieniają zasobu maszyny w usłudze Azure Resource Manager.
Jeśli wymuszanie jest ustawione na Disabledwartość , przypisanie konfiguracji przeprowadza inspekcję stanu maszyny do momentu zmiany zachowania zadania korygowania. Domyślnie definicje konfiguracji maszyny aktualizują właściwość assignmentType z Audit do ApplyandMonitor , aby konfiguracja była stosowana jednorazowo, a następnie nie jest stosowana ponownie do momentu wyzwolenia korygowania.
Opcjonalnie: Korygowanie wszystkich istniejących maszyn
Jeśli przypisanie usługi Azure Policy zostanie utworzone w witrynie Azure Portal, na karcie "Korygowanie" jest dostępne pole wyboru z etykietą "Utwórz zadanie korygowania". Po zaznaczeniu pola po utworzeniu przypisania zasad zadania korygowania automatycznie poprawą wszystkie zasoby, które oceniają wartość NonCompliant.
Efektem tego ustawienia konfiguracji maszyny jest to, że można wdrożyć konfigurację na wielu maszynach, przypisując zasady. Nie trzeba również ręcznie uruchamiać zadania korygowania dla maszyn, które nie są zgodne.
Ręczne wyzwalanie korygowania poza usługą Azure Policy
Korygowanie można organizować poza środowiskiem usługi Azure Policy, aktualizując zasób przypisania gościa, nawet jeśli aktualizacja nie wprowadza zmian we właściwościach zasobu.
Po utworzeniu przypisania konfiguracji maszyny właściwość complianceStatus jest ustawiona na Pendingwartość . Usługa konfiguracji maszyny żąda listy przypisań co 5 minut. Jeśli parametr complianceStatus przypisania konfiguracji maszyny to Pending , a jego parametr configurationMode to ApplyandMonitor lub ApplyandAutoCorrect, usługa na maszynie stosuje konfigurację.
Po zastosowaniu konfiguracji tryb konfiguracji określa, czy zachowanie ma zgłaszać tylko stan zgodności i zezwalać na dryfowanie, czy automatycznie poprawiać.
Opis kombinacji ustawień
| ~ | Audit | Zastosuj imonitoruj | ApplyandAutoCorrect |
|---|---|---|---|
| Wymuszanie włączone | Stan tylko raportów | Konfiguracja zastosowana do tworzenia i ponownego stosowania maszyny wirtualnej w aktualizacji, ale w przeciwnym razie może dryfować | Konfiguracja zastosowana do tworzenia maszyny wirtualnej, ponownego zastosowania w aktualizacji i poprawiana w następnym interwale, jeśli wystąpi dryf |
| Wymuszanie wyłączone | Stan tylko raportów | Zastosowano konfigurację, ale zezwolono na dryfowanie | Konfiguracja zastosowana na maszynie wirtualnej — tworzenie lub aktualizowanie i poprawianie w następnym interwale w przypadku wystąpienia dryfu |
Następne kroki
- Tworzenie niestandardowego pakietu konfiguracji maszyny.
- Użyj modułu GuestConfiguration , aby utworzyć definicję usługi Azure Policy na potrzeby zarządzania środowiskiem na dużą skalę.
- Przypisz niestandardową definicję zasad przy użyciu witryny Azure Portal.
- Dowiedz się, jak wyświetlić szczegóły zgodności przypisań zasad konfiguracji maszyny.