Понимание функции конфигурации компьютера "Автоматическое управление Azure"

Примечание

Гостевая конфигурация Политики Azure теперь называется конфигурацией машины в Автоматическом управлении Azure. Дополнительные сведения о недавнем переименовании служб управления конфигурацией Microsoft.

Функция конфигурации компьютера Политики Azure предоставляет встроенную возможность аудита или настройки параметров операционной системы в виде кода для компьютеров, работающих в Azure, и для гибридных компьютеров с поддержкой Azure Arc. Эту функцию можно использовать непосредственно для каждого компьютера в масштабе в соответствии с политикой Azure.

Ресурсы конфигурации в Azure представляют собой ресурсы расширения. Каждую конфигурацию можно представить как дополнительный набор свойств для компьютера. Конфигурации могут включать такие параметры:

  • Параметры операционной системы
  • конфигурация или наличие приложения;
  • Параметры среды

Конфигурации отличаются от определений политик. Конфигурация компьютера использует Политику Azure для динамического назначения конфигураций компьютерам. Также можно назначать конфигурации компьютерам вручную или с помощью других служб Azure, таких как AutoManage.

Примеры каждого сценария приведены в таблице ниже.

Тип Описание Пример сценария
Управление конфигурацией Вам требуется сформировать полное представление сервера в виде кода в системе управления версиями. Развертывание должно включать свойства сервера (размер, сеть, хранилище), а также конфигурацию операционной системы и параметров приложения. Этот компьютер должен представлять собой веб-сервер, настроенный для размещения веб-сайта.
Соответствие Вам необходимо проводить аудит или развертывать параметры ретроактивно на всех компьютерах в области действия или проактивно на новых компьютерах по мере их развертывания. Все компьютеры должны использовать TLS 1.2. Следует провести аудит существующих компьютеров, чтобы можно было применять изменения там, где это необходимо, в масштабе и контролируемым образом. Для новых компьютеров параметр должен применяться при развертывании.

Результаты настройки для каждого параметра можно посмотреть на странице назначения гостей или (в том случае, если конфигурация управляется назначенной политикой Azure) по ссылке "Последний оцененный ресурс" на странице "Сведения о соответствии".

Доступен пошаговый видеопросмотр этого документа. (обновление ожидается в ближайшее время)

Включение конфигурации компьютера

Чтобы управлять состоянием компьютеров в своей среде, включая машины на серверах с поддержкой Azure и Arc, просмотрите следующие сведения.

Поставщик ресурсов

Прежде чем вы сможете использовать функцию конфигурации компьютера Политики Azure, необходимо зарегистрировать поставщика ресурсов Microsoft.GuestConfiguration. Если назначение политики конфигурации компьютера выполняется через портал или если подписка зарегистрирована в Microsoft Defender для облака, поставщик ресурсов регистрируется автоматически. Вы можете вручную зарегистрироваться через портал, Azure PowerShell или Azure CLI.

Требования к развертыванию виртуальных машин Azure

Для управления настройками внутри машины включено расширение виртуальной машины и машина должна иметь управляемую системой идентификацию. Расширение загружает соответствующее назначение конфигурации компьютера и соответствующие зависимости. Идентификатор используется для аутентификации компьютера при чтении и записи в службу конфигурации компьютера. Расширение не требуется для серверов с поддержкой Arc, так как оно включено в агент Arc Connected Machine.

Важно!

Расширение конфигурации компьютера и управляемое удостоверение необходимы для управления виртуальными машинами Azure.

Чтобы развернуть расширение в масштабе на многих машинах, назначьте инициативу политики Deploy prerequisites to enable machine configuration policies on virtual machines в группу управления, подписку или группу ресурсов, содержащую машины, которыми вы планируете управлять.

Если вы предпочитаете развернуть расширение и управляемую идентификацию на одном компьютере, следуйте инструкциям для каждого из них.

Чтобы использовать пакеты конфигурации компьютера, которые применяют конфигурации, требуется расширение гостевой конфигурации виртуальной машины Azure версии 1.29.24 или более поздней.

Ограничения, установленные для расширения

Чтобы расширение не влияло на приложения, запущенные на машине, агенту конфигурации компьютера не разрешается превышать более 5 % ЦП. Это ограничение существует как для встроенных, так и для пользовательских определений. Это справедливо и для службы конфигурации компьютера в агенте на подключенном компьютере Arc.

Инструменты проверки

Внутри машины агент конфигурации компьютера использует локальные инструменты для выполнения задач.

В следующей таблице перечислены локальные средства, используемые в поддерживаемых операционных системах. Для встроенного контента конфигурация компьютера автоматически загружает эти инструменты.

Операционная система Инструмент проверки Примечания
Windows Конфигурация желаемого состояния PowerShell v3 Загружено в папку, используемую только Политикой Azure. Не будет конфликтовать с Windows PowerShell DSC. PowerShell Core не добавляется в системный путь.
Linux Конфигурация желаемого состояния PowerShell v3 Загружено в папку, используемую только Политикой Azure. PowerShell Core не добавляется в системный путь.
Linux Chef InSpec Устанавливает Chef InSpec версии 2.2.61 в расположение по умолчанию и добавляет в системный путь. Также устанавливаются зависимости для пакета спецификации, включая Ruby и Python.

Частота проверки

Агент конфигурации м проверяет наличие новых или измененных назначений гостей каждые 5 минут. После получения назначения гостя параметры конфигурации проверяются повторно с 15-минутным интервалом. Если назначено несколько конфигураций, каждая из них оценивается последовательно. Длительные конфигурации влияют на интервал для всех конфигураций, потому что следующая не будет запущена, пока не будет завершена предыдущая конфигурация.

По завершении аудита результаты отправляются в службу конфигурации компьютера. Когда происходит триггер оценки политики, состояние машины записывается в поставщик ресурсов конфигурации компьютера. Эти новые данные позволяют Политике Azure повторно оценить свойства Azure Resource Manager. Оценка Политики Azure по запросу получает последнее значение от поставщика ресурсов конфигурации компьютера. Однако это не вызывает новой активности внутри машины. Затем статус записывается в Azure Resource Graph.

Поддерживаемые типы клиентов

Политики настройки конфигурации компьютера являются инклюзивными для новых версий. Более старые версии операционных систем, доступные в Azure Marketplace, не поддерживаются, если клиент гостевой конфигурации несовместим. В таблице ниже перечислены операционные системы, поддерживаемые в образах Azure. Текст ".x" является символьным и представляет новые дополнительные номера версии дистрибутивов Linux.

Издатель Имя Версии
Amazon Linux 2
Canonical Сервер Ubuntu 14.04–20.x
Credativ Debian 8–10.x
Microsoft Windows Server 2012–2022
Microsoft Клиент Windows Windows 10
Oracle; Oracle-Linux 7.x–8.x
OpenLogic CentOS 7.3–8.x
Red Hat Red Hat Enterprise Linux* 7.4–8.x
SUSE SLES 12 с пакетом обновления 3–5 (SP5–SP5), 15.x

* Red Hat CoreOS не поддерживается.

Пользовательские образы виртуальных машин поддерживаются определениями политики конфигурации компьютера, если они являются одной из операционных систем в таблице выше.

Требования к сети

Виртуальные машины Azure могут использовать локальный виртуальный сетевой адаптер (vNIC) или Приватный канал Azure для взаимодействия со службой конфигурации компьютера.

Компьютеры с поддержкой Azure Arc подключаются с помощью локальной сетевой инфраструктуры, чтобы обращаться к службам Azure и сообщать о состоянии соответствия.

Ниже приведен список конечных точек службы хранилища Azure, необходимых для взаимодействия виртуальных машин Azure и Azure Arc с поставщиком ресурсов конфигурации в Azure.

  • oaasguestconfigac2s1.blob.core.windows.net
  • oaasguestconfigacs1.blob.core.windows.net
  • oaasguestconfigaes1.blob.core.windows.net
  • oaasguestconfigases1.blob.core.windows.net
  • oaasguestconfigbrses1.blob.core.windows.net
  • oaasguestconfigbrss1.blob.core.windows.net
  • oaasguestconfigccs1.blob.core.windows.net
  • oaasguestconfigces1.blob.core.windows.net
  • oaasguestconfigcids1.blob.core.windows.net
  • oaasguestconfigcuss1.blob.core.windows.net
  • oaasguestconfigeaps1.blob.core.windows.net
  • oaasguestconfigeas1.blob.core.windows.net
  • oaasguestconfigeus2s1.blob.core.windows.net
  • oaasguestconfigeuss1.blob.core.windows.net
  • oaasguestconfigfcs1.blob.core.windows.net
  • oaasguestconfigfss1.blob.core.windows.net
  • oaasguestconfiggewcs1.blob.core.windows.net
  • oaasguestconfiggns1.blob.core.windows.net
  • oaasguestconfiggwcs1.blob.core.windows.net
  • oaasguestconfigjiws1.blob.core.windows.net
  • oaasguestconfigjpes1.blob.core.windows.net
  • oaasguestconfigjpws1.blob.core.windows.net
  • oaasguestconfigkcs1.blob.core.windows.net
  • oaasguestconfigkss1.blob.core.windows.net
  • oaasguestconfigncuss1.blob.core.windows.net
  • oaasguestconfignes1.blob.core.windows.net
  • oaasguestconfignres1.blob.core.windows.net
  • oaasguestconfignrws1.blob.core.windows.net
  • oaasguestconfigqacs1.blob.core.windows.net
  • oaasguestconfigsans1.blob.core.windows.net
  • oaasguestconfigscuss1.blob.core.windows.net
  • oaasguestconfigseas1.blob.core.windows.net
  • oaasguestconfigsecs1.blob.core.windows.net
  • oaasguestconfigsfns1.blob.core.windows.net
  • oaasguestconfigsfws1.blob.core.windows.net
  • oaasguestconfigsids1.blob.core.windows.net
  • oaasguestconfigstzns1.blob.core.windows.net
  • oaasguestconfigswcs1.blob.core.windows.net
  • oaasguestconfigswns1.blob.core.windows.net
  • oaasguestconfigswss1.blob.core.windows.net
  • oaasguestconfigswws1.blob.core.windows.net
  • oaasguestconfiguaecs1.blob.core.windows.net
  • oaasguestconfiguaens1.blob.core.windows.net
  • oaasguestconfigukss1.blob.core.windows.net
  • oaasguestconfigukws1.blob.core.windows.net
  • oaasguestconfigwcuss1.blob.core.windows.net
  • oaasguestconfigwes1.blob.core.windows.net
  • oaasguestconfigwids1.blob.core.windows.net
  • oaasguestconfigwus2s1.blob.core.windows.net
  • oaasguestconfigwus3s1.blob.core.windows.net
  • oaasguestconfigwuss1.blob.core.windows.net

Обмен данными между виртуальными сетями в Azure

Для взаимодействия с поставщиком ресурсов конфигурации компьютера в Azure машинам требуется исходящий доступ к центрам обработки данных Azure через порт 443. Если сеть в Azure не разрешает исходящий трафик, настройте исключения с помощью правил группы безопасности сети. Теги службы "AzureArcInfrastructure" и "Хранилище" можно использовать для ссылки на службу гостевой конфигурации и хранилища вместо того, чтобы вручную вести список диапазонов IP-адресов для центров обработки данных Azure. Оба тега являются обязательными, так как пакеты содержимого конфигурации компьютера размещаются службой хранилища Azure.

Виртуальные машины могут использовать приватный канал для подключения к службе конфигурации компьютера. Примените тег с именем EnablePrivateNetworkGC и значением TRUE, чтобы включить эту функцию. Тег можно задействовать до применения определений политик конфигурации компьютера к машине или после этого.

Трафик направляется с помощью виртуального общедоступного IP-адреса Azure, чтобы установить защищенный канал с проверкой подлинности с помощью ресурсов платформы Azure.

Обмен данными через общедоступные конечные точки за пределами Azure

Серверы, расположенные локально или в других облаках, можно управлять с помощью конфигурации компьютера, подключив их к Azure Arc.

Для серверов с поддержкой Azure Arc разрешите трафик, используя следующие шаблоны:

  • Порт: только исходящий интернет-трафик через TCP-порт 443.
  • Глобальный URL-адрес: *.guestconfiguration.azure.com

Полный список всех конечных точек сети, необходимых агенту Подключенного компьютера Azure, см. в разделе Требования к сети серверов с поддержкой Azure Arc для основных сценариев конфигурации Azure Arc и компьютеров.

При использовании приватного канала с серверами с поддержкой Arc встроенные пакеты политик автоматически скачиваются по приватному каналу. Для включения этой функции не нужно задавать теги на сервере с поддержкой Arc.

Назначение политик компьютерам вне Azure

К политикам аудита, доступным для конфигурации компьютера, относится тип ресурса Microsoft.HybridCompute/machines. Все компьютеры, подключенные к серверам с поддержкой Azure Arc , которые входят в область назначения политики, включаются автоматически.

Требования к удостоверениям

Определения политик в инициативе Развертывание предварительных требований для включения политик гостевой конфигурации на виртуальных машинах позволяют включить управляемое удостоверение, назначаемое системой, если его не существует. В инициативе, управляющей созданием удостоверений, существует два определения политик. Условия IF в определениях политик обеспечивают правильное поведение на основе текущего состояния ресурса компьютера в Azure.

Важно!

Эти определения создают на целевых ресурсах назначаемое системой управляемое удостоверение в дополнение к существующим удостоверениям, назначаемым пользователем (при их наличии). Для существующих приложений, если в запросе не указано назначенное пользователем удостоверение, компьютер по умолчанию будет использовать удостоверение, назначенное системой. Подробнее

Если на машине в настоящее время нет управляемых удостоверений, действующая политика — Добавить управляемое удостоверение, назначаемое системой, чтобы разрешить назначение конфигурации компьютера на виртуальных машинах без удостоверений.

Если машина в настоящее время имеет системный идентификатор, назначенный пользователем, действующая политика — Добавить управляемое удостоверение, назначаемое системой, чтобы разрешить назначение конфигурации компьютера на виртуальных машинах с назначенным пользователем идентификатором.

Доступность

Клиенты, разрабатывающие высокодоступное решение, должны учитывать требования к планированию избыточности для виртуальных машин, так как назначения гостей являются расширениями ресурсов компьютера в Azure. Когда ресурсы назначения гостей подготавливаются в парномрегионе Azure, если по крайней меньшей мере один регион в паре доступен, то доступны отчеты о назначении гостей. Если регион Azure не является парным и становится недоступным, вы не сможете получить доступ к отчетам для назначения гостей, пока регион не будет восстановлен.

При рассмотрении архитектуры для высокодоступных приложений, особенно во время подготовки виртуальных машин в группах доступности за решением подсистемы балансировки нагрузки для обеспечения высокой доступности, рекомендуется назначить одинаковые определения политик с одинаковыми параметрами для всех компьютеров в решении. Если возможно использовать одно назначение политики, охватывающее все компьютеры, это позволит минимизировать административные издержки.

Для компьютеров, защищенных Azure Site Recovery, убедитесь, что компьютеры на вторичном сайте находятся в области назначений Политики Azure для тех же определений, использующих те же значения параметров, что и компьютеры на первичном сайте.

Местонахождение данных

Конфигурация компьютера хранит и обрабатывает данные клиентов. По умолчанию данные клиента реплицируются в парный регион. Для регионов Сингапур, Южная Бразилия и Восточная Азия все данные клиента хранятся и обрабатываются в регионе.

Устранение неполадок настройки конфигурации компьютера

Дополнительные сведения об устранении неполадок настройки конфигурации компьютера см. в статье Устранение неполадок Политики Azure.

Несколько назначений

Определения политики гостевой конфигурации теперь поддерживают назначение одного и того же гостя более одного раза для каждой машины, если в назначении политики используются другие параметры.

Назначения группам управления Azure

Определения Политики Azure в категории "Гостевая конфигурация" можно назначать группам управления, только если эффект — AuditIfNotExists. Определения политик с эффектом DeployIfNotExists не поддерживаются в качестве назначений группам управления.

Файлы журналов клиента

Модуль настройки конфигурации компьютера записывает файлы журналов в следующие разделы.

Windows

  • Azure VM: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
  • Серверы с поддержкой Arc: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Linux

  • Azure VM: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Серверы с поддержкой Arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Удаленный сбор журналов

Первым шагом к устранению неполадок, связанных с конфигурациями или модулями компьютера, должно быть использование командлетов в соответствии с шагами, описанными в статье о проверке артефактов пакетов конфигурации компьютера. Если этот шаг не помог, помочь в диагностике проблем может сбор журналов клиентов.

Windows

Полезно будет попробовать использовать следующий пример сценария PowerShell, чтобы получить данные из файлов журналов с помощью команды выполнения виртуальной машины Azure.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$linesToIncludeAfterMatch | Select-Object -Last 10

Linux

Чтобы получить данные из файлов журналов с помощью команды выполнения виртуальной машины Azure, пригодится данный скрипт на Bash.

linesToIncludeBeforeMatch=0
linesToIncludeAfterMatch=10
logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tail

Файлы агента

Агент конфигурации компьютера загружает пакеты содержимого на компьютер и извлекает содержимое. Чтобы проверить, какое содержимое было загружено и сохранено, просмотрите расположение папок, указанное ниже.

Windows: c:\programdata\guestconfig\configuration

Linux: /var/lib/GuestConfig/Configuration

Примеры конфигурации компьютера

Встроенные примеры политики настройки конфигурации компьютера доступны здесь:

Дальнейшие действия