Förstå datorkonfigurationsfunktionen i Azure Automanage

Anteckning

Azure Policy gästkonfiguration kallas nu Azure Automanage Machine Configuration. Läs mer om det senaste bytet av Microsoft konfigurationshanteringstjänster.

Azure Policy datorkonfigurationsfunktion ger inbyggda funktioner för att granska eller konfigurera operativsysteminställningar som kod, både för datorer som körs i Azure och Arc-aktiverade hybriddatorer. Funktionen kan användas direkt per dator eller i stor skala som orkestreras av Azure Policy.

Konfigurationsresurser i Azure är utformade som en tilläggsresurs. Du kan föreställa dig varje konfiguration som ytterligare en uppsättning egenskaper för datorn. Konfigurationer kan innehålla inställningar som:

  • Operativsystemsinställningar
  • Programkonfiguration eller förekomst
  • Miljöinställningar

Konfigurationer skiljer sig från principdefinitioner. Datorkonfigurationen använder Azure Policy för att dynamiskt tilldela konfigurationer till datorer. Du kan också tilldela konfigurationer till datorer manuellt eller genom att använda andra Azure-tjänster, till exempel Automatisk hantering.

Exempel på varje scenario finns i följande tabell.

Typ Beskrivning Exempel på berättelse
Konfigurationshantering Du vill ha en fullständig representation av en server som kod i källkodskontrollen. Distributionen bör innehålla egenskaper för servern (storlek, nätverk, lagring) och konfiguration av operativsystem och programinställningar. "Den här datorn ska vara en webbserver som är konfigurerad som värd för min webbplats."
Efterlevnad Du vill granska eller distribuera inställningar till alla datorer i omfånget antingen reaktivt till befintliga datorer eller proaktivt till nya datorer när de distribueras. "Alla datorer bör använda TLS 1.2. Granska befintliga datorer så att jag kan släppa ändringar där de behövs, på ett kontrollerat sätt, i stor skala. För nya datorer framtvingar du inställningen när de distribueras."

Resultatet per inställning från konfigurationer kan visas antingen på sidan Gästtilldelningar eller om konfigurationen orkestreras av en Azure Policy tilldelning genom att klicka på länken "Senast utvärderad resurs" på sidan Efterlevnadsinformation.

En videogenomgång av det här dokumentet är tillgänglig. (uppdatering kommer snart)

Aktivera datorkonfiguration

Om du vill hantera tillståndet för datorer i din miljö, inklusive datorer i Azure och Arc-aktiverade servrar, granskar du följande information.

Resursprovider

Innan du kan använda datorkonfigurationsfunktionen i Azure Policy måste du registrera Microsoft.GuestConfiguration resursprovidern. Om tilldelningen av en datorkonfigurationsprincip görs via portalen, eller om prenumerationen har registrerats i Microsoft Defender för molnet, registreras resursprovidern automatiskt. Du kan registrera dig manuellt via portalen, Azure PowerShell eller Azure CLI.

Distribuera krav för virtuella Azure-datorer

För att hantera inställningar i en dator aktiveras ett tillägg för virtuell dator och datorn måste ha en systemhanterad identitet. Tillägget laddar ned tillämplig datorkonfigurationstilldelning och motsvarande beroenden. Identiteten används för att autentisera datorn när den läser och skriver till datorkonfigurationstjänsten. Tillägget krävs inte för Arc-aktiverade servrar eftersom det ingår i Arc Connected Machine-agenten.

Viktigt

Datorkonfigurationstillägget och en hanterad identitet krävs för att hantera virtuella Azure-datorer.

Om du vill distribuera tillägget i stor skala på flera datorer tilldelar du principinitiativetDeploy prerequisites to enable machine configuration policies on virtual machines till en hanteringsgrupp, prenumeration eller resursgrupp som innehåller de datorer som du planerar att hantera.

Om du föredrar att distribuera tillägget och den hanterade identiteten till en enda dator följer du anvisningarna för var och en:

Om du vill använda konfigurationspaket för datorer som tillämpar konfigurationer krävs azure VM-gästkonfigurationstillägg version 1.29.24 eller senare.

Gränser som angetts för tillägget

Om du vill begränsa tillägget från att påverka program som körs på datorn får datorkonfigurationsagenten inte överskrida mer än 5 % av processorn. Den här begränsningen finns för både inbyggda och anpassade definitioner. Detsamma gäller för datorkonfigurationstjänsten i Arc Connected Machine-agenten.

Valideringsverktyg

I datorn använder datorkonfigurationsagenten lokala verktyg för att utföra uppgifter.

I följande tabell visas en lista över de lokala verktyg som används på varje operativsystem som stöds. För inbyggt innehåll hanterar datorkonfigurationen inläsningen av dessa verktyg automatiskt.

Operativsystem Verifieringsverktyg Kommentarer
Windows PowerShell Desired State Configuration v3 Sidoinstallerad till en mapp som endast används av Azure Policy. Står inte i konflikt med Windows PowerShell DSC. PowerShell Core läggs inte till i systemsökvägen.
Linux PowerShell Desired State Configuration v3 Sidoinstallerad till en mapp som endast används av Azure Policy. PowerShell Core läggs inte till i systemsökvägen.
Linux Chef InSpec Installerar Chef InSpec version 2.2.61 på standardplatsen och lägger till det i systemsökvägen. Beroenden för InSpec-paketet inklusive Ruby och Python installeras också.

Valideringsfrekvens

Datorkonfigurationsagenten söker efter nya eller ändrade gästtilldelningar var femte minut. När en gästtilldelning har tagits emot kontrolleras inställningarna för den konfigurationen igen med ett intervall på 15 minuter. Om flera konfigurationer tilldelas utvärderas var och en sekventiellt. Långvariga konfigurationer påverkar intervallet för alla konfigurationer, eftersom nästa inte körs förrän den tidigare konfigurationen har slutförts.

Resultatet skickas till datorkonfigurationstjänsten när granskningen har slutförts. När en principutvärderingsutlösare inträffar skrivs datorns tillstånd till datorkonfigurationsresursprovidern. Den här uppdateringen gör att Azure Policy utvärderar Egenskaperna för Azure Resource Manager. En Azure Policy utvärdering på begäran hämtar det senaste värdet från resursprovidern för datorkonfiguration. Den utlöser dock inte någon ny aktivitet på datorn. Statusen skrivs sedan till Azure Resource Graph.

Klienttyper som stöds

Definitioner av datorkonfigurationsprinciper omfattar nya versioner. Äldre versioner av operativsystem som är tillgängliga i Azure Marketplace undantas om gästkonfigurationsklienten inte är kompatibel. I följande tabell visas en lista över operativsystem som stöds på Azure-avbildningar. Texten ".x" är symbolisk för att representera nya delversioner av Linux-distributioner.

Publisher Name Versioner
Amazon Linux 2
Canonical Ubuntu Server 14.04– 20.x
Credativ Debian 8–10.x
Microsoft Windows Server 2012 - 2022
Microsoft Windows-klient Windows 10
Oracle Oracle-Linux 7.x-8.x
OpenLogic CentOS 7.3 -8.x
Red Hat Red Hat Enterprise Linux* 7,4– 8.x
SUSE SLES 12 SP3-SP5, 15.x

* Red Hat CoreOS stöds inte.

Anpassade avbildningar av virtuella datorer stöds av principdefinitioner för datorkonfiguration så länge de är ett av operativsystemen i tabellen ovan.

Nätverkskrav

Virtuella Azure-datorer kan använda antingen sitt lokala virtuella nätverkskort (vNIC) eller Azure Private Link för att kommunicera med datorkonfigurationstjänsten.

Azure Arc-aktiverade datorer ansluter med hjälp av den lokala nätverksinfrastrukturen för att nå Azure-tjänster och rapportera efterlevnadsstatus.

Här följer en lista över de Azure Storage-slutpunkter som krävs för att Azure- och Azure Arc-aktiverade virtuella datorer ska kunna kommunicera med resursprovidern för datorkonfiguration i Azure:

  • oaasguestconfigac2s1.blob.core.windows.net
  • oaasguestconfigacs1.blob.core.windows.net
  • oaasguestconfigaes1.blob.core.windows.net
  • oaasguestconfigases1.blob.core.windows.net
  • oaasguestconfigbrses1.blob.core.windows.net
  • oaasguestconfigbrss1.blob.core.windows.net
  • oaasguestconfigccs1.blob.core.windows.net
  • oaasguestconfigces1.blob.core.windows.net
  • oaasguestconfigcids1.blob.core.windows.net
  • oaasguestconfigcuss1.blob.core.windows.net
  • oaasguestconfigeaps1.blob.core.windows.net
  • oaasguestconfigeas1.blob.core.windows.net
  • oaasguestconfigeus2s1.blob.core.windows.net
  • oaasguestconfigeuss1.blob.core.windows.net
  • oaasguestconfigfcs1.blob.core.windows.net
  • oaasguestconfigfss1.blob.core.windows.net
  • oaasguestconfiggewcs1.blob.core.windows.net
  • oaasguestconfiggns1.blob.core.windows.net
  • oaasguestconfiggwcs1.blob.core.windows.net
  • oaasguestconfigjiws1.blob.core.windows.net
  • oaasguestconfigjpes1.blob.core.windows.net
  • oaasguestconfigjpws1.blob.core.windows.net
  • oaasguestconfigkcs1.blob.core.windows.net
  • oaasguestconfigkss1.blob.core.windows.net
  • oaasguestconfigncuss1.blob.core.windows.net
  • oaasguestconfignes1.blob.core.windows.net
  • oaasguestconfignres1.blob.core.windows.net
  • oaasguestconfignrws1.blob.core.windows.net
  • oaasguestconfigqacs1.blob.core.windows.net
  • oaasguestconfigsans1.blob.core.windows.net
  • oaasguestconfigscuss1.blob.core.windows.net
  • oaasguestconfigseas1.blob.core.windows.net
  • oaasguestconfigsecs1.blob.core.windows.net
  • oaasguestconfigsfns1.blob.core.windows.net
  • oaasguestconfigsfws1.blob.core.windows.net
  • oaasguestconfigsids1.blob.core.windows.net
  • oaasguestconfigstzns1.blob.core.windows.net
  • oaasguestconfigswcs1.blob.core.windows.net
  • oaasguestconfigswns1.blob.core.windows.net
  • oaasguestconfigswss1.blob.core.windows.net
  • oaasguestconfigswws1.blob.core.windows.net
  • oaasguestconfiguaecs1.blob.core.windows.net
  • oaasguestconfiguaens1.blob.core.windows.net
  • oaasguestconfigukss1.blob.core.windows.net
  • oaasguestconfigukws1.blob.core.windows.net
  • oaasguestconfigwcuss1.blob.core.windows.net
  • oaasguestconfigwes1.blob.core.windows.net
  • oaasguestconfigwids1.blob.core.windows.net
  • oaasguestconfigwus2s1.blob.core.windows.net
  • oaasguestconfigwus3s1.blob.core.windows.net
  • oaasguestconfigwuss1.blob.core.windows.net

Kommunicera via virtuella nätverk i Azure

För att kommunicera med datorkonfigurationsresursprovidern i Azure behöver datorerna utgående åtkomst till Azure-datacenter på port 443. Om ett nätverk i Azure inte tillåter utgående trafik konfigurerar du undantag med regler för nätverkssäkerhetsgrupper . Tjänsttaggar "AzureArcInfrastructure" och "Storage" kan användas för att referera till gästkonfigurations- och lagringstjänster i stället för att manuellt underhålla listan över IP-intervall för Azure-datacenter. Båda taggarna krävs eftersom innehållspaket för datorkonfiguration hanteras av Azure Storage.

Virtuella datorer kan använda privat länk för kommunikation till datorkonfigurationstjänsten. Använd taggen med namnet EnablePrivateNetworkGC och värdet TRUE för att aktivera den här funktionen. Taggen kan tillämpas före eller efter att definitioner av datorkonfigurationsprinciper tillämpas på datorn.

Trafiken dirigeras med hjälp av den virtuella offentliga IP-adressen i Azure för att upprätta en säker, autentiserad kanal med Azure-plattformsresurser.

Kommunicera via offentliga slutpunkter utanför Azure

Servrar som finns lokalt eller i andra moln kan hanteras med datorkonfiguration genom att ansluta dem till Azure Arc.

För Azure Arc-aktiverade servrar tillåter du trafik med hjälp av följande mönster:

  • Port: Endast TCP 443 krävs för utgående Internet-åtkomst
  • Global URL: *.guestconfiguration.azure.com

En fullständig lista över alla nätverksslutpunkter som krävs av Azure Connected Machine Agent för grundläggande azure arc- och datorkonfigurationsscenarier finns i Nätverkskraven för Azure Arc-aktiverade servrar .

När du använder privat länk med Arc-aktiverade servrar laddas inbyggda princippaket automatiskt ned via den privata länken. Du behöver inte ange några taggar på den Arc-aktiverade servern för att aktivera den här funktionen.

Tilldela principer till datorer utanför Azure

De granskningsprincipdefinitioner som är tillgängliga för datorkonfiguration omfattar Microsoft. Resurstypen HybridCompute/machines. Alla datorer som registreras på Azure Arc-aktiverade servrar som ingår i principtilldelningen inkluderas automatiskt.

Krav för hanterad identitet

Principdefinitioner i initiativet Distribuera krav för att aktivera gästkonfigurationsprinciper på virtuella datorer möjliggör en systemtilldelad hanterad identitet, om det inte finns någon. Det finns två principdefinitioner i initiativet som hanterar skapandet av identiteter. IF-villkoren i principdefinitionerna säkerställer rätt beteende baserat på datorresursens aktuella tillstånd i Azure.

Viktigt

Dessa definitioner skapar en System-Assigned hanterad identitet på målresurserna, utöver befintliga User-Assigned identiteter (om sådana finns). För befintliga program, såvida de inte anger den User-Assigned identiteten i begäran, kommer datorn som standard att använda System-Assigned identitet i stället. Läs mer

Om datorn för närvarande inte har några hanterade identiteter är den effektiva principen: Lägg till systemtilldelad hanterad identitet för att aktivera datorkonfigurationstilldelningar på virtuella datorer utan identiteter

Om datorn för närvarande har en användartilldelad systemidentitet är den effektiva principen: Lägg till systemtilldelad hanterad identitet för att aktivera datorkonfigurationstilldelningar på virtuella datorer med en användartilldelad identitet

Tillgänglighet

Kunder som utformar en lösning med hög tillgänglighet bör överväga planeringskraven för redundans för virtuella datorer eftersom gästtilldelningar är tillägg av datorresurser i Azure. När gästtilldelningsresurser etableras i en Azure-region som är kopplad, så länge minst en region i paret är tillgänglig, är gästtilldelningsrapporter tillgängliga. Om Azure-regionen inte är kopplad och den blir otillgänglig går det inte att komma åt rapporter för en gästtilldelning förrän regionen har återställts.

När du överväger en arkitektur för program med hög tillgänglighet, särskilt när virtuella datorer etableras i tillgänglighetsuppsättningar bakom en lastbalanserare för att ge hög tillgänglighet, är det bästa praxis att tilldela samma principdefinitioner med samma parametrar till alla datorer i lösningen. Om möjligt skulle en enskild principtilldelning som sträcker sig över alla datorer erbjuda den minsta administrativa kostnaden.

För datorer som skyddas av Azure Site Recovery kontrollerar du att datorer på en sekundär plats omfattas av Azure Policy tilldelningar för samma definitioner med samma parametervärden som datorer på den primära platsen.

Dataplacering

Datorkonfiguration lagrar/bearbetar kunddata. Som standard replikeras kunddata till den kopplade regionen. För regionerna: Singapore, Brasilien, södra och Asien, östra lagras och bearbetas alla kunddata i regionen.

Felsöka datorkonfiguration

Mer information om hur du felsöker datorkonfiguration finns i Azure Policy felsökning.

Flera tilldelningar

Principdefinitioner för gästkonfiguration stöder nu tilldelning av samma gästtilldelning till fler än en gång per dator när principtilldelningen använder olika parametrar.

Tilldelningar till Azure-hanteringsgrupper

Azure Policy definitioner i kategorin Gästkonfiguration kan endast tilldelas till hanteringsgrupper när effekten är "AuditIfNotExists". Principdefinitioner med effekten "DeployIfNotExists" stöds inte som tilldelningar till hanteringsgrupper.

Klientloggfiler

Datorkonfigurationstillägget skriver loggfiler till följande platser:

Windows

  • Virtuell Azure-dator: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
  • Arc-aktiverad server: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Linux

  • Virtuell Azure-dator: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Arc-aktiverad server: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Fjärrinsamling av loggar

Det första steget i att felsöka datorkonfigurationer eller moduler bör vara att använda cmdletarna enligt stegen i Testa maskinkonfigurationspaketartefakter. Om det inte lyckas kan det hjälpa dig att diagnostisera problem genom att samla in klientloggar.

Windows

Samla in information från loggfiler med Azure VM Run Command. Följande exempel på PowerShell-skript kan vara till hjälp.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$linesToIncludeAfterMatch | Select-Object -Last 10

Linux

Samla in information från loggfiler med Azure VM Run Command. Följande exempel på Bash-skript kan vara användbart.

linesToIncludeBeforeMatch=0
linesToIncludeAfterMatch=10
logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tail

Agentfiler

Datorkonfigurationsagenten laddar ned innehållspaket till en dator och extraherar innehållet. Om du vill kontrollera vilket innehåll som har laddats ned och lagrats kan du visa mappplatserna nedan.

Windows: c:\programdata\guestconfig\configuration

Linux: /var/lib/GuestConfig/Configuration

Datorkonfigurationsexempel

Inbyggda principexempel för datorkonfiguration är tillgängliga på följande platser:

Nästa steg