Поделиться через


Общие сведения о конфигурации компьютера Azure

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который является состоянием "Конец жизни" (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

Функция конфигурации компьютера Политика Azure предоставляет собственные возможности для аудита или настройки параметров операционной системы в качестве кода для компьютеров, работающих в Azure и гибридной среде.Компьютеры с поддержкой Arc. Эту функцию можно использовать непосредственно на компьютере или оркестрировать ее в масштабе с помощью Политика Azure.

Ресурсы конфигурации в Azure представляют собой ресурсы расширения. Вы можете представить каждую конфигурацию как дополнительный набор свойств для компьютера. Конфигурации могут включать такие параметры:

  • Параметры операционной системы
  • конфигурация или наличие приложения;
  • Параметры среды

Конфигурации отличаются от определений политик. Конфигурация компьютера использует Политика Azure для динамического назначения конфигураций компьютерам. Также можно назначать конфигурации компьютерам вручную или с помощью других служб Azure, таких как AutoManage.

Примеры каждого сценария приведены в таблице ниже.

Тип Описание Пример сценария
Управление конфигурацией Вам требуется сформировать полное представление сервера в виде кода в системе управления версиями. Развертывание должно включать свойства сервера (размер, сеть, хранилище), а также конфигурацию операционной системы и параметров приложения. Этот компьютер должен представлять собой веб-сервер, настроенный для размещения веб-сайта.
Соблюдение закона Вы хотите выполнить аудит или развертывание параметров на всех компьютерах в области либо реактивно на существующие компьютеры, либо заранее на новые компьютеры при развертывании. Все компьютеры должны использовать TLS 1.2. Аудит существующих компьютеров, чтобы я могу освободить изменения, где это необходимо, в управляемом порядке, в масштабе. Для новых компьютеров при развертывании необходимо применить параметр.

Результаты каждого параметра можно просмотреть на странице "Гостевые назначения". Если Политика Azure назначение оркестрируется конфигурацией, можно выбрать ссылку "Последний вычисляемый ресурс" на странице "Сведения о соответствии".

Доступен пошаговый видеопросмотр этого документа. (Обновление скоро)

Включение конфигурации компьютера

Чтобы управлять состоянием компьютеров в своей среде, включая машины на серверах с поддержкой Azure и Arc, просмотрите следующие сведения.

Поставщик ресурсов

Прежде чем вы сможете использовать функцию конфигурации компьютера Политики Azure, необходимо зарегистрировать поставщика ресурсов Microsoft.GuestConfiguration. Если назначение политики конфигурации компьютера выполняется через портал или если подписка зарегистрирована в Microsoft Defender для облака, поставщик ресурсов регистрируется автоматически. Вы можете вручную зарегистрироваться через портал, Azure PowerShell или Azure CLI.

Требования к развертыванию виртуальных машин Azure

Для управления настройками внутри машины включено расширение виртуальной машины и машина должна иметь управляемую системой идентификацию. Расширение скачивает применимые назначения конфигурации компьютера и соответствующие зависимости. Идентификатор используется для аутентификации компьютера при чтении и записи в службу конфигурации компьютера. Расширение не требуется для серверов с поддержкой Arc, так как оно включено в агент Arc Connected Machine.

Внимание

Расширение конфигурации компьютера и управляемое удостоверение необходимы для управления виртуальными машинами Azure.

Чтобы развернуть расширение в масштабе на многих машинах, назначьте инициативу политики Deploy prerequisites to enable Guest Configuration policies on virtual machines в группу управления, подписку или группу ресурсов, содержащую машины, которыми вы планируете управлять.

Если вы предпочитаете развернуть расширение и управляемое удостоверение на одном компьютере, см. статью "Настройка управляемых удостоверений для ресурсов Azure на виртуальной машине с помощью портал Azure".

Чтобы использовать пакеты конфигурации компьютера, которые применяют конфигурации, требуется расширение гостевой конфигурации виртуальной машины Azure версии 1.26.24 или более поздней версии.

Ограничения, установленные для расширения

Чтобы расширение не влияло на приложения, запущенные на машине, агенту конфигурации компьютера не разрешается превышать более 5 % ЦП. Это ограничение существует как для встроенных, так и для пользовательских определений. Это справедливо и для службы конфигурации компьютера в агенте на подключенном компьютере Arc.

Инструменты проверки

Внутри машины агент конфигурации компьютера использует локальные инструменты для выполнения задач.

В следующей таблице перечислены локальные средства, используемые в поддерживаемых операционных системах. Для встроенного контента конфигурация компьютера автоматически загружает эти инструменты.

Операционная система Инструмент проверки Примечания
Windows Конфигурация желаемого состояния PowerShell v2 Загружено в папку, используемую только Политикой Azure. Не конфликтует с Windows PowerShell DSC. PowerShell не добавляется в системный путь.
Linux Конфигурация желаемого состояния PowerShell v3 Загружено в папку, используемую только Политикой Azure. PowerShell не добавляется в системный путь.
Linux Chef InSpec Устанавливает Chef InSpec версии 2.2.61 в расположении по умолчанию и добавляет его в системный путь. Она также устанавливает зависимости InSpec, включая Ruby и Python.

Частота проверки

Агент конфигурации м проверяет наличие новых или измененных назначений гостей каждые 5 минут. После получения назначения гостя параметры конфигурации проверяются повторно с 15-минутным интервалом. Если назначено несколько конфигураций, каждая из них оценивается последовательно. Длительные конфигурации влияют на интервал для всех конфигураций, так как следующий не может выполняться до завершения предыдущей конфигурации.

По завершении аудита результаты отправляются в службу конфигурации компьютера. Когда происходит триггер оценки политики, состояние машины записывается в поставщик ресурсов конфигурации компьютера. Эти новые данные позволяют Политике Azure повторно оценить свойства Azure Resource Manager. Оценка Политики Azure по запросу получает последнее значение от поставщика ресурсов конфигурации компьютера. Однако это не вызывает новой активности внутри машины. Затем статус записывается в Azure Resource Graph.

Поддерживаемые типы клиентов

Политики настройки конфигурации компьютера являются инклюзивными для новых версий. Более старые версии операционных систем, доступные в Azure Marketplace, не поддерживаются, если клиент гостевой конфигурации несовместим. Кроме того, версии сервера Linux, которые не поддерживаются соответствующими издателями, исключаются из матрицы поддержки.

В таблице ниже перечислены операционные системы, поддерживаемые в образах Azure. Текст .x является символичным для представления новых дополнительных версий дистрибутивов Linux.

Издатель Имя. Версии
Алма AlmaLinux 9
Amazon Linux 2
Canonical Сервер Ubuntu 16.04 - 22.x
Credativ Debian 10.x - 12.x
Microsoft CBL-Mariner 1 - 2
Microsoft Клиент Windows Windows 10, 11
Microsoft Windows Server 2012–2022
Oracle; Oracle-Linux 7.x — 8.x
OpenLogic CentOS 7.3 – 8.x
Red Hat Red Hat Enterprise Linux* 7.4 — 9.x
Скалистый Rocky Linux 8
SUSE SLES 12 с пакетом обновления 5 (SP5), 15.x

* Red Hat CoreOS не поддерживается.

Определения политики конфигурации компьютера поддерживают пользовательские образы виртуальных машин, если они одна из операционных систем в предыдущей таблице.

Требования к сети

Виртуальные машины Azure могут использовать локальный сетевой адаптер (vNIC) или Приватный канал Azure для взаимодействия со службой конфигурации компьютера.

Компьютеры с поддержкой Azure Arc подключаются с помощью локальной сетевой инфраструктуры для доступа к службам Azure и состоянию соответствия отчета.

Ниже приведен список конечных точек служба хранилища Azure, необходимых для виртуальных машин с поддержкой Azure и Azure Arc для взаимодействия с поставщиком ресурсов конфигурации компьютера в Azure:

  • oaasguestconfigac2s1.blob.core.windows.net
  • oaasguestconfigacs1.blob.core.windows.net
  • oaasguestconfigaes1.blob.core.windows.net
  • oaasguestconfigases1.blob.core.windows.net
  • oaasguestconfigbrses1.blob.core.windows.net
  • oaasguestconfigbrss1.blob.core.windows.net
  • oaasguestconfigccs1.blob.core.windows.net
  • oaasguestconfigces1.blob.core.windows.net
  • oaasguestconfigcids1.blob.core.windows.net
  • oaasguestconfigcuss1.blob.core.windows.net
  • oaasguestconfigeaps1.blob.core.windows.net
  • oaasguestconfigeas1.blob.core.windows.net
  • oaasguestconfigeus2s1.blob.core.windows.net
  • oaasguestconfigeuss1.blob.core.windows.net
  • oaasguestconfigfcs1.blob.core.windows.net
  • oaasguestconfigfss1.blob.core.windows.net
  • oaasguestconfiggewcs1.blob.core.windows.net
  • oaasguestconfiggns1.blob.core.windows.net
  • oaasguestconfiggwcs1.blob.core.windows.net
  • oaasguestconfigjiws1.blob.core.windows.net
  • oaasguestconfigjpes1.blob.core.windows.net
  • oaasguestconfigjpws1.blob.core.windows.net
  • oaasguestconfigkcs1.blob.core.windows.net
  • oaasguestconfigkss1.blob.core.windows.net
  • oaasguestconfigncuss1.blob.core.windows.net
  • oaasguestconfignes1.blob.core.windows.net
  • oaasguestconfignres1.blob.core.windows.net
  • oaasguestconfignrws1.blob.core.windows.net
  • oaasguestconfigqacs1.blob.core.windows.net
  • oaasguestconfigsans1.blob.core.windows.net
  • oaasguestconfigscuss1.blob.core.windows.net
  • oaasguestconfigseas1.blob.core.windows.net
  • oaasguestconfigsecs1.blob.core.windows.net
  • oaasguestconfigsfns1.blob.core.windows.net
  • oaasguestconfigsfws1.blob.core.windows.net
  • oaasguestconfigsids1.blob.core.windows.net
  • oaasguestconfigstzns1.blob.core.windows.net
  • oaasguestconfigswcs1.blob.core.windows.net
  • oaasguestconfigswns1.blob.core.windows.net
  • oaasguestconfigswss1.blob.core.windows.net
  • oaasguestconfigswws1.blob.core.windows.net
  • oaasguestconfiguaecs1.blob.core.windows.net
  • oaasguestconfiguaens1.blob.core.windows.net
  • oaasguestconfigukss1.blob.core.windows.net
  • oaasguestconfigukws1.blob.core.windows.net
  • oaasguestconfigwcuss1.blob.core.windows.net
  • oaasguestconfigwes1.blob.core.windows.net
  • oaasguestconfigwids1.blob.core.windows.net
  • oaasguestconfigwus2s1.blob.core.windows.net
  • oaasguestconfigwus3s1.blob.core.windows.net
  • oaasguestconfigwuss1.blob.core.windows.net

Обмен данными между виртуальными сетями в Azure

Для взаимодействия с поставщиком ресурсов конфигурации компьютера в Azure компьютеры требуют исходящего доступа к центрам обработки данных Azure через порт 443*. Если сеть в Azure не разрешает исходящий трафик, настройте исключения с помощью правил группы безопасности сети. ТегиAzureArcInfrastructure служб и Storage могут использоваться для ссылки на гостевые конфигурации и службы хранилища, а не вручную поддерживать список диапазонов IP-адресов для центров обработки данных Azure. Оба тега необходимы, так как служба хранилища Azure размещает пакеты содержимого конфигурации компьютера.

Виртуальные машины могут использовать приватный канал для подключения к службе конфигурации компьютера. Примените тег с именем EnablePrivateNetworkGC и значением TRUE, чтобы включить эту функцию. Тег можно задействовать до применения определений политик конфигурации компьютера к машине или после этого.

Внимание

Чтобы связаться с приватным каналом для пользовательских пакетов, необходимо добавить ссылку на расположение пакета в список разрешенных URL-адресов.

Трафик направляется с помощью виртуального общедоступного IP-адреса Azure, чтобы установить защищенный канал с проверкой подлинности с помощью ресурсов платформы Azure.

Обмен данными по общедоступным конечным точкам за пределами Azure

Серверы, расположенные локально или в других облаках, можно управлять с помощью конфигурации компьютера, подключив их к Azure Arc.

Для серверов с поддержкой Azure Arc разрешите трафик с помощью следующих шаблонов:

  • Порт: только исходящий интернет-трафик через TCP-порт 443.
  • Глобальный URL-адрес: *.guestconfiguration.azure.com

Сведения о требованиях к сети серверов с поддержкой Azure Arc см. в полном списке всех сетевых конечных точек, необходимых агенту подключенного компьютера Azure для основных сценариев конфигурации Azure Arc и компьютеров.

При использовании приватного канала с серверами с поддержкой Arc встроенные пакеты политик автоматически загружаются по приватной ссылке. Чтобы включить эту функцию, вам не нужно задавать теги на сервере с поддержкой Arc.

Назначение политик компьютерам вне Azure

К политикам аудита, доступным для конфигурации компьютера, относится тип ресурса Microsoft.HybridCompute/machines. Все компьютеры, подключенные к серверам с поддержкой Azure Arc, которые находятся в области назначения политики, автоматически включаются.

Требования к удостоверениям

Определения политик в инициативе Deploy prerequisites to enable guest configuration policies on virtual machines позволяют управляемому удостоверению, назначаемого системой, если он не существует. В инициативе, управляющей созданием удостоверений, существует два определения политик. Условия if в определениях политик обеспечивают правильное поведение на основе текущего состояния ресурса компьютера в Azure.

Внимание

Эти определения создают на целевых ресурсах назначаемое системой управляемое удостоверение в дополнение к существующим удостоверениям, назначаемым пользователем (при их наличии). Для существующих приложений, если в запросе не указано назначенное пользователем удостоверение, компьютер по умолчанию будет использовать удостоверение, назначенное системой. Подробнее

Если на компьютере нет управляемых удостоверений, эффективная политика: добавьте назначаемое системой управляемое удостоверение, чтобы включить назначения гостевой конфигурации на виртуальных машинах без удостоверений.

Если компьютер в настоящее время имеет удостоверение, назначаемое пользователем, эффективная политика: добавление управляемого удостоверения, назначаемого системой, чтобы включить назначения гостевой конфигурации на виртуальных машинах с удостоверением, назначенным пользователем.

Availability

Клиенты, разрабатывающие высокодоступное решение, должны учитывать требования к планированию избыточности для виртуальных машин, так как назначения гостей являются расширениями ресурсов компьютера в Azure. При подготовке ресурсов гостевого назначения в парном регионе Azure можно просмотреть отчеты о назначении гостей, если доступно хотя бы один регион в паре. Если регион Azure не связан и он становится недоступным, вы не сможете получить доступ к отчетам для гостевого назначения. После восстановления региона можно снова получить доступ к отчетам.

Рекомендуется назначить одинаковые определения политик с одинаковыми параметрами для всех компьютеров в решении для высокодоступных приложений. Это особенно верно для сценариев, когда виртуальные машины подготавливаются в группах доступности за решением подсистемы балансировки нагрузки. Одно назначение политики, охватывающее все компьютеры, имеет наименьшую административную нагрузку.

Для компьютеров, защищенных Azure Site Recovery, убедитесь, что компьютеры на основном и вторичном сайте находятся в пределах Политика Azure назначений для одинаковых определений. Используйте одинаковые значения параметров для обоих сайтов.

Место расположения данных

Конфигурация компьютера хранит и обрабатывает данные клиента. По умолчанию данные клиента реплицируются в парный регион. Для регионов Сингапур, Южная Бразилия и Восточная Азия все данные клиента хранятся и обрабатываются в регионе.

Устранение неполадок настройки конфигурации компьютера

Дополнительные сведения об устранении неполадок настройки конфигурации компьютера см. в статье Устранение неполадок Политики Azure.

Несколько назначений

В настоящее время только некоторые встроенные определения политики конфигурации компьютера поддерживают несколько назначений. Однако все пользовательские политики поддерживают несколько назначений по умолчанию, если вы использовали последнюю версию модуля PowerShell гостевой конфигурации Для создания пакетов и политик конфигурации компьютера.

Ниже приведен список встроенных определений политик конфигурации компьютера, поддерживающих несколько назначений:

Идентификатор DisplayName
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce Локальные методы проверки подлинности должны быть отключены на серверах Windows
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a Локальные методы проверки подлинности должны быть отключены на компьютерах Linux
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 [Предварительная версия]: добавьте управляемое удостоверение, назначаемое пользователем, чтобы включить назначения гостевой конфигурации на виртуальных машинах
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 [предварительная версия]: компьютеры Linux должны соответствовать требованиям stIG для вычислений Azure.
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c [предварительная версия]: компьютеры Windows должны соответствовать требованиям соответствия STIG для вычислений Azure
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f [Предварительная версия]: компьютеры Linux с установленной OMI должны иметь версию 1.6.8-1 или более позднюю версию.
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b Аудит компьютеров Windows без указанных сертификатов в доверенном корневом центре сертификации
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd Аудит компьютеров с Windows с несоответствующей конфигурацией DSC
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 Аудит компьютеров Windows, на которых отсутствует указанная политика выполнения Windows PowerShell
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 Аудит компьютеров Windows, на которых не установлены указанные модули Windows PowerShell
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb Аудит компьютеров с Windows без включенной последовательной консоли Windows
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fddd94df Аудит компьютеров с Windows без заданных установленных и запущенных служб
/providers/Microsoft.Authorization/policyDefinitions/c63f6a2-7f8b-4d9e-9456-02f0f04f5505 Аудит компьютеров Windows, на которых не задан указанный часовой пояс

Примечание.

Периодически проверьте эту страницу на наличие обновлений в списке встроенных определений политик конфигурации компьютера, поддерживающих несколько назначений.

Назначения группам управления Azure

Политика Azure определения в категории Guest Configuration можно назначить группам управления, если эффект или AuditIfNotExists DeployIfNotExists.

Файлы журналов клиента

Модуль настройки конфигурации компьютера записывает файлы журналов в следующие разделы.

Windows

  • Azure VM: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
  • Серверы с поддержкой Arc: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Linux

  • Azure VM: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Серверы с поддержкой Arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Удаленный сбор журналов

Первым шагом к устранению неполадок, связанных с конфигурациями или модулями компьютера, должно быть использование командлетов в соответствии с шагами, описанными в статье о проверке артефактов пакетов конфигурации компьютера. Если этот шаг не помог, помочь в диагностике проблем может сбор журналов клиентов.

Windows

Полезно будет попробовать использовать следующий пример сценария PowerShell, чтобы получить данные из файлов журналов с помощью команды выполнения виртуальной машины Azure.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch  = 10
$params = @{
    Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
    Pattern = @(
        'DSCEngine'
        'DSCManagedEngine'
    )
    CaseSensitive = $true
    Context = @(
        $linesToIncludeBeforeMatch
        $linesToIncludeAfterMatch
    )
}
Select-String @params | Select-Object -Last 10

Linux

Чтобы получить данные из файлов журналов с помощью команды выполнения виртуальной машины Azure, пригодится данный скрипт на Bash.

LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail

Файлы агента

Агент конфигурации компьютера загружает пакеты содержимого на компьютер и извлекает содержимое. Чтобы проверить, какое содержимое было загружено и сохранено, просмотрите расположения папок в следующем списке.

  • Windows: C:\ProgramData\guestconfig\configuration
  • Linux: /var/lib/GuestConfig/Configuration

Функции модуля nxtools с открытым кодом

Выпущен новый модуль nxtools с открытым кодом для упрощения управления системами Linux для пользователей PowerShell.

Модуль помогает управлять общими задачами, такими как:

  • Управление пользователями и группами
  • Выполнение операций файловой системы
  • Управление сервисами
  • Выполнение операций архива
  • Управление пакетами

Модуль включает ресурсы DSC на основе классов для Linux и встроенные пакеты конфигурации компьютера.

Чтобы предоставить отзыв об этой функции, откройте проблему в документации. В настоящее время мы не принимаем PR для этого проекта, и поддержка является лучшими усилиями.

Примеры конфигурации компьютера

Встроенные примеры политики настройки конфигурации компьютера доступны здесь:

Следующие шаги