Opções de correção para configuração da máquina

  • Artigo

Antes de começar, é uma boa ideia ler a página de visão geral da configuração da máquina.

Importante

A extensão de configuração da máquina é necessária para máquinas virtuais do Azure. Para implantar a extensão em escala em todas as máquinas, atribua a seguinte iniciativa de política: Deploy prerequisites to enable guest configuration policies on virtual machines

Para usar pacotes de configuração de máquina que aplicam configurações, é necessária a extensão de configuração de convidado da VM do Azure versão 1.26.24 ou posterior, ou o agente Arc 1.10.0 ou posterior.

Definições de política de configuração de máquina personalizadas usando AuditIfNotExists e DeployIfNotExists estão no status de suporte Geralmente Disponível (GA).

Como a configuração da máquina gerencia a remediação (set)

A configuração da máquina usa o efeito de política DeployIfNotExists para definições que fornecem alterações dentro das máquinas. Defina as propriedades de uma atribuição de política para controlar como a avaliação fornece configurações automaticamente ou sob demanda.

Está disponível um vídeo passo a passo deste documento.

Tipos de atribuição de configuração da máquina

Há três tipos de atribuição disponíveis quando as atribuições de convidado são criadas. A propriedade está disponível como um parâmetro de definições de configuração de máquina que suportam DeployIfNotExists.

A propriedade assignmentType diferencia maiúsculas de minúsculas

Tipo de atribuição Comportamento
Audit Relate o estado da máquina, mas não faça alterações.
ApplyAndMonitor Aplicado à máquina uma vez e, em seguida, monitorado para alterações. Se a configuração se desviar e se tornar NonCompliant, ela não será corrigida automaticamente, a menos que a correção seja acionada.
ApplyAndAutoCorrect Aplicado à máquina. Se ele se desviar, o serviço local dentro da máquina faz uma correção na próxima avaliação.

Quando uma nova atribuição de política é atribuída a uma máquina existente, uma atribuição de convidado é criada automaticamente para auditar primeiro o estado da configuração. A auditoria fornece informações que você pode usar para decidir quais máquinas precisam de correção.

Correção sob demanda (ApplyAndMonitor)

Por padrão, as atribuições de configuração da máquina operam em um cenário de correção sob demanda. A configuração é aplicada e, em seguida, deixada fora de conformidade.

O status de conformidade da atribuição de convidado é Compliant a menos que:

  • Ocorre um erro ao aplicar a configuração
  • Se a máquina não estiver mais no estado desejado durante a próxima avaliação

Quando qualquer uma dessas condições é atendida, o agente relata o status como NonCompliant e não corrige automaticamente.

Para habilitar esse comportamento, defina a propriedade assignmentType da atribuição de configuração da máquina como ApplyandMonitor. Cada vez que a atribuição é processada dentro da máquina, o agente relata Compliant para cada recurso quando o método Test retorna ou NonCompliant se o método retorna $true$false.

Remediação contínua (correção automática)

A configuração da máquina suporta o conceito de remediação contínua. Se a máquina se desviar da conformidade para uma configuração, da próxima vez que for avaliada, a configuração será corrigida automaticamente. A menos que ocorra um erro, a máquina sempre informa o status da Compliant configuração. Não existe uma forma de indicar quando um desvio foi corrigido automaticamente ao utilizar uma remediação contínua.

Para habilitar esse comportamento, defina a propriedade assignmentType da atribuição de configuração da máquina como ApplyandAutoCorrect. Cada vez que a atribuição é processada dentro da máquina, o método set é executado automaticamente para cada recurso que o método Test retornafalse.

Desativar a remediação

Quando a propriedade assignmentType é definida como Audit, o agente executa apenas uma auditoria da máquina e não tenta corrigir a configuração se ela não estiver em conformidade.

Desativar a correção de conteúdo personalizado

Você pode substituir a propriedade de tipo de atribuição para pacotes de conteúdo personalizados adicionando uma tag à máquina com o nome CustomGuestConfigurationSetPolicy e o valor disable. Adicionar a tag desativa a correção apenas para pacotes de conteúdo personalizados, não para conteúdo interno fornecido pela Microsoft.

Aplicação da Política do Azure

As atribuições de Política do Azure incluem um Modo de Imposição de propriedade necessário que determina o comportamento para recursos novos e existentes. Use essa propriedade para controlar se as configurações são aplicadas automaticamente às máquinas.

Por padrão, a aplicação é definida como Enabled. A Política do Azure aplica automaticamente a configuração quando uma nova máquina é implantada. Ele também aplica a configuração quando as propriedades de uma máquina no escopo de uma atribuição de Política do Azure com uma política na categoria Guest Configuration são atualizadas. As operações de atualização incluem ações que ocorrem no Azure Resource Manager, como adicionar ou alterar uma marca. As operações de atualização também incluem alterações para máquinas virtuais, como redimensionamento ou anexação de um disco.

Deixe a imposição habilitada se a configuração deve ser corrigida quando ocorrerem alterações no recurso de máquina no Azure. As alterações que acontecem dentro da máquina não acionam a correção automática, desde que não alterem o recurso da máquina no Gerenciador de Recursos do Azure.

Se a imposição estiver definida como Disabled, a atribuição de configuração auditará o estado da máquina até que uma tarefa de correção altere o comportamento. Por padrão, as definições de configuração da máquina atualizam a propriedade assignmentType de Audit para ApplyandMonitor que a configuração seja aplicada uma vez e, em seguida, não seja aplicada novamente até que uma correção seja acionada.

Opcional: Corrigir todas as máquinas existentes

Se uma atribuição de Política do Azure for criada a partir do portal do Azure, na guia "Remediação" uma caixa de seleção chamada "Criar uma tarefa de correção" estará disponível. Quando a caixa estiver marcada, depois que a atribuição de política for criada, as tarefas de correção corrigem automaticamente todos os recursos avaliados como NonCompliant.

O efeito dessa configuração para a configuração da máquina é que você pode implantar uma configuração em várias máquinas atribuindo uma política. Também não é necessário executar a tarefa de correção manualmente para máquinas que não estão em conformidade.

Acionar manualmente a correção fora da Política do Azure

Você pode orquestrar a correção fora da experiência da Política do Azure atualizando um recurso de atribuição de convidado, mesmo que a atualização não faça alterações nas propriedades do recurso.

Quando uma atribuição de configuração de máquina é criada, a propriedade complianceStatus é definida como Pending. O serviço de configuração da máquina solicita uma lista de atribuições a cada 5 minutos. Se o complianceStatus da atribuição de configuração da máquina for e seu configurationMode for PendingApplyandMonitor ou ApplyandAutoCorrect, o serviço na máquina aplicará a configuração.

Depois que a configuração é aplicada, o modo de configuração determina se o comportamento é apenas relatar o status de conformidade e permitir desvio ou corrigir automaticamente.

Noções básicas sobre combinações de configurações

~ Audit ApplyandMonitor ApplyandAutoCorrect
Aplicação ativada Apenas reporta o estado Configuração aplicada na VM Create e reaplicada na atualização, mas com permissão de desvio Configuração aplicada no VM Create, reaplicada na Atualização e corrigida no próximo intervalo se ocorrer desvio
Execução desativada Apenas reporta o estado Configuração aplicada, mas com permissão para desvio Configuração aplicada na VM Create ou Update e corrigida no próximo intervalo se ocorrer desvio

Próximos passos