機器設定的補救選項
開始之前,建議您先閱讀機器設定的概觀頁面。
重要
Azure 虛擬機器需要機器設定延伸模組。 如果要在所有機器間大規模部署擴充功能,請指派下列原則方案:Deploy prerequisites to enable guest configuration policies on virtual machines
若要使用套用設定的機器設定套件,則 Azure VM 客體設定延伸模組 1.26.24 版或更新版本,或 Arc 代理程式 1.10.0 或更新版本,為必要項。
使用 AuditIfNotExists
以及 DeployIfNotExists
的自訂機器設定原則定義處於正式發行 (GA) 支援狀態。
機器設定如何管理補救 (設定)
機器設定會針對在機器內傳遞變更的定義使用 DeployIfNotExists 原則效果。 設定原則指派的屬性,以控制評估自動或隨選傳遞設定的方式。
機器設定指派型別
建立來賓指派時,有三種可用的指派型別。 屬性可作為支援 DeployIfNotExists
的機器設定定義之參數。
assignmentType 屬性有大小寫區分
指派類型 | 行為 |
---|---|
Audit |
報告機器的狀態,但不進行變更。 |
ApplyAndMonitor |
套用至機器一次,然後監視變更。 若設定漂移且變成 NonCompliant ,則除非觸發補救,否則不會自動校正。 |
ApplyAndAutoCorrect |
套用至機器。 如果漂移,機器內的本機服務會在下一次評估時進行更正。 |
對現有的機器指派新的原則指派時,系統會自動建立來賓指派,以先稽核設定的狀態。 稽核提供您可用來決定哪些機器需要補救的資訊。
隨選補救 (ApplyAndMonitor)
根據預設,機器設定指派會在隨選補救案例中運作。 系統會套用設定,然後允許漂移合規性。
除非下列任一項,否則來賓指派的合規性狀態為 Compliant
:
- 套用設定時發生錯誤
- 如果機器在下一次評估期間不再處於預期狀態
符合上述任一條件時,代理程式會將狀態回報為 NonCompliant
,且不會自動補救。
若要啟用此行為,請將機器設定指派的 assignmentType 屬性設定為 ApplyandMonitor
。 每次在機器內處理指派時,代理程式會在 Test 方法傳回 $true
或 NonCompliant
時,如果方法傳回 $false
,代理程式就會報告每個資源的 Compliant
。
連續補救 (自動校正)
機器設定支援「連續補救」的概念。 如果機器因設定漂移合規性,則系統會於下次評估設定時會自動校正。 除非發生錯誤,否則機器會一律將設定狀態回報為 Compliant
。 使用連續補救時,無法報告漂移何時自動校正。
若要啟用此行為,請將機器設定指派的 assignmentType 屬性設定為 ApplyandAutoCorrect
。 每次在機器內處理指派時,如果 Test 方法傳回 false
,則會自動針對每個資源執行 Set 方法。
停用補救
當 assignmentType 屬性設為 Audit
時,代理程式只會針對機器進行稽核,即使設定不符合規範,亦不會嘗試補救。
停用針對自訂內容進行補救
您可以將標籤新增至名稱為 CustomGuestConfigurationSetPolicy 和值為 disable
的機器,以覆寫自訂內容套件的指派型別屬性。 新增標籤只會停用自訂內容套件的補救,對於 Microsoft 提供的內建內容則不適用。
Azure 原則強制執行
Azure 原則指派包含必要屬性強制執行模式,可決定新資源與現有資源的行為。 請用這個屬性來控制是否將設定自動套用至機器。
根據預設,強制設定為 Enabled
。 部署新機器時,Azure 原則會自動套用設定。 當機器屬性在 Azure 原則指派範圍中,且類別 Guest Configuration
中的原則更新時,也會套用設定。 更新作業包括 Azure Resource Manager 中發生的動作,例如新增或變更標籤。 更新作業也包含虛擬機器的變更,例如調整大小或連結磁碟。
如果 Azure 機器資源發生變更時應針對設定進行補救,則應啟用強制執行。 只要不變更 Azure Resource Manager 中的機器資源,機器內發生的變更就不會觸發自動補救。
如果強制設為 Disabled
,設定指派會稽核機器的狀態,直到補救工作變更行為為止。 根據預設,機器設定定義會將 assignmentType 屬性從 Audit
更新為 ApplyandMonitor
以套用一次設定,並於下次觸發補救之後再次套用。
也可選擇:補救所有現有的機器
如果從 Azure 入口網站建立 Azure 原則指派,則「補救」索引標籤上會出現「建立補救工作」核取方塊。 若勾選此方塊,則建立原則指派之後,補救工作會自動更正評估為 NonCompliant
的任何資源。
此設定對於機器設定的影響在於,透過指派原則,您就可以跨多部機器部署設定。 您也不需要針對不符合規範的機器手動執行補救工作。
手動觸發 Azure 原則以外的補救
您可以藉由更新來賓指派資源,在 Azure 原則體驗之外協調補救,即使更新不會變更資源屬性亦然。
建立機器設定指派時,complianceStatus 屬性會設定為 Pending
。 機器設定服務每隔 5 分鐘會要求一份指派清單。 如果機器設定指派的 complianceStatus 為 Pending
,且其 configurationMode 為 ApplyandMonitor
或 ApplyandAutoCorrect
,則機器中的服務會套用設定。
套用設定之後,設定模式會決定行為是否只報告合規性狀態,以及要允許漂移或是自動校正。
了解設定的組合
~ | Audit | ApplyandMonitor | ApplyandAutoCorrect |
---|---|---|---|
啟用強制執行 | 僅報告狀態 | 在建立 VM 時套用設定,並在更新時重新套用,此外允許漂移 | 在建立 VM 時套用設定,並在更新時重新套用,且在發生漂移時於下一個間隔更正 |
停用強制執行 | 僅報告狀態 | 套用設定但允許漂移 | 在建立 VM 時套用設定,或在發生漂移時於下一個間隔更新並更正 |
下一步
- 開發自訂機器設定套件。
- 使用 GuestConfiguration 模組建立 Azure 原則定義以便為環境進行大規模的管理。
- 使用 Azure 入口網站指派您的自訂原則定義。
- 了解如何檢視機器設定的合規性詳細資料原則指派。