• Дигитални аксесоари
  • сървър
  • Дигитален живот
  • Политика за поверителност
  • Свържете се с нас
  1. Home
  2. Article
  3. Разберете функцията за конфигуриране на гости на Azure Policy ...

Разберете функцията за конфигуриране на гости на Azure Policy ...

Rsdaa 01/11/2021 1322

Разберете функцията за конфигуриране на гости на Azure Policy

15.07.20218 минути за четене

В тази статия

Правилата на Azure могат да одитират или конфигурират настройки вътре в машина, както за машини, работещи в Azure, така и за машини с активиран Arc. Всяка задача се изпълнява от конфигурацията на гост агент в Windows и Linux. Разширението за конфигурация на гост чрез агента управлява настройки като:

Конфигурацията на операционната система Конфигурация на приложението или присъствие Настройки на околната среда

Наличен е видеообзор на този документ.

Активиране на конфигурация за гост

За да управлявате състоянието на машините във вашата среда, включително машини в сървъри с активиран Azure и Arc, прегледайте следните подробности.

Доставчик на ресурси

Преди да можете да използвате функцията за конфигуриране на гости на Azure Policy, трябва да регистрирате доставчика на ресурси Microsoft.GuestConfiguration. Ако присвояването на политика за конфигуриране на гости се извършва чрез портала или ако абонаментът е записан в Центъра за сигурност на Azure, доставчикът на ресурси се регистрира автоматично. Можете ръчно да се регистрирате чрез портала, Azure PowerShell или Azure CLI.

Изисквания за внедряване за виртуални машини Azure

За да управлявате настройките вътре в машина, разширението за виртуална машина е активирано и машината трябва да има самоличност, управлявана от системата. Разширението изтегля приложимото присвояване на конфигурация за гост и съответните зависимости. Самоличността се използва за удостоверяване на машината, докато чете и пише в услугата за конфигуриране на гост. Разширението не е необходимо за сървъри с активиран Arc, тъй като е включено в агента на Arc Connected Machine.

Важно

Разширението за конфигурация на гост и управлявана самоличност са необходими за управление на виртуални машини на Azure.

За да разположите разширението в мащаб на много машини, задайте предпоставките за инициатива за прилагане на политиката, за да активирате политики за конфигуриране на гост на виртуална машина, към група за управление, абонамент или група ресурси, съдържащи машините, които планирате да управлявате.

Ако предпочитате да внедрите разширението и управляваната самоличност на една машина, следвайте указанията за всяка:

За да използвате пакети за конфигурация за гости, които прилагат конфигурации, се изисква разширение за конфигурация за гости на Azure VM версия 1.29.24 или по-нова.

Ограничения, зададени за разширението

За да се ограничи разширението от въздействие върху приложения, работещи вътре в машината, не се разрешава на агента за конфигуриране на гост да надвишава повече от 5% от процесора. Това ограничение съществува както за вградени, така и за персонализирани дефиниции. Същото важи и за услугата за конфигуриране на гост в агента на Arc Connected Machine.

Вътре в машината конфигурационният агент за гост използва локални инструменти за изпълнение на задачи.

Следната таблица показва списък на локалните инструменти, използвани във всяка поддържана операционна система. За вградено съдържание конфигурацията за гост управлява автоматично зареждането на тези инструменти.

Инструмент за проверка на операционната система NotesWindowsPowerShell Конфигурация на желаното състояние v3Side-заредена в папка, използвана само от Azure Policy. Няма да влиза в конфликт с Windows PowerShell DSC. PowerShell Core не е добавен към системния път. LinuxPowerShell Desired State Configuration v3Side-loaded to a folder used only by Azure Policy. PowerShell Core не е добавен към системния път. LinuxChef InSpec инсталира Chef InSpec версия 2.2.61 в местоположението по подразбиране и се добавя към системния път. Инсталирани са и зависимости за пакета InSpec, включително Ruby и Python.

Честота на валидиране

Агентът за конфигуриране на гост проверява за нови или променени назначения на гост на всеки 5 минути. След като бъде получено назначение за гост, настройките за тази конфигурация се проверяват отново на 15-минутен интервал. Ако са зададени няколко конфигурации, всяка се оценява последователно. Дълго работещите конфигурации оказват влияние върху интервала за всички конфигурации, тъй като следващата няма да се изпълни, докато предишната конфигурация не приключи.

Резултатите се изпращат до услугата за конфигуриране на гост, когато одитът приключи. Когато се задейства задействане на оценка на политиката, състоянието на машината се записва на доставчика на ресурси за конфигуриране на гост. Тази актуализация кара Azure Policy да оцени свойствата на Azure Resource Manager. Оценката на Azure Policy при поискване извлича най-новата стойност от доставчика на ресурс за конфигурация за гост. Това обаче не задейства нова дейност в машината. След това състоянието се записва в AzureResource Graph.

Поддържани типове клиенти

Дефинициите на правилата за конфигуриране на гости включват нови версии. По-старите версии на операционни системи, налични в Azure Marketplace, се изключват, ако клиентът за конфигуриране на гост не е съвместим. Следващата таблица показва списък с поддържани операционни системи в изображения на Azure. Текстът „.x“ е символичен, за да представлява нови второстепенни версии на Linux дистрибуции.

PublisherNameVersionsAmazonLinux2CanonicalUbuntu Server14.04 - 20.xCredativDebian8 - 10.xMicrosoftWindows Server2012 - 2019MicrosoftWindows ClientWindows 10OracleOracle-Linux7.x-8.xOpenLogicCentOS7.3 -8.xRed HatRed Hat Enterprise Linux*7.4 - 8 .xSUSESLES12 SP3-SP5, 15.x

* Red Hat CoreOS не се поддържа.

Изображенията на персонализираните виртуални машини се поддържат от дефинициите на правилата за конфигурация на гост, стига да са една от операционните системи в таблицата по-горе.

Мрежови изисквания

Виртуалните машини в Azure могат да използват или своя локален мрежов адаптер, или лична връзка, за да комуникират с услугата за конфигуриране на гости.

Машините на Azure Arc се свързват с помощта на локалната мрежова инфраструктура, за да достигнат до услугите на Azure и да докладват за състоянието на съответствие.

Комуникирайте през виртуални мрежи в Azure

За да комуникирате с доставчика на ресурс за конфигурация за гости в Azure, машините изискват изходящ достъп до центровете за данни на Azure на порт 443. Ако мрежа в Azure не позволява изходящ трафик, конфигурирайте изключения с правилата на групата за мрежова сигурност. Сервизните тагове „AzureArcInfrastructure“ и „Storage“ могат да се използват за препратка към конфигурацията на гостите и услугите за съхранение, вместо ръчно да се поддържа списъкът с IP диапазони за центровете за данни на Azure. И двата маркера са задължителни, тъй като пакетите със съдържание за конфигурация за гости се хостват от Azure Storage.

Комуникирайте през частна връзка в Azure

Виртуалните машини могат да използват частна връзка за комуникация с услугата за конфигуриране на гости. Приложете етикет с nameEnablePrivateNetworkGC и стойност TRUE, за да активирате тази функция. Етикетът може да бъде приложен преди или след прилагане на дефинициите на правилата за конфигурация на гост към машината.

Трафикът се насочва с помощта на публичния IP адрес на Azurevirtual, за да се установи защитен, удостоверен канал с ресурсите на платформата Azure.

Сървъри с активиран Azure Arc

Възли, разположени извън Azure, които са свързани чрез Azure Arc, изискват свързаност към услугата за конфигуриране на гост. Подробности относно изискванията за мрежа и прокси, предоставени в документацията на Azure Arc.

За сървъри с активиран Arc в частни центрове за данни разрешете трафик, като използвате следните модели:

Порт: Необходим е само TCP 443 за изходящ интернет достъп. Глобален URL адрес: *.guestconfiguration.azure.com

Присвояване на правила на машини извън Azure

Дефинициите на правила за одит, налични за конфигурация за гост, включват Microsoft.HybridCompute/machines тип ресурс. Всички машини, включени към Azure Arc за сървъри, които са в обхвата на присвояването на правила, се включват автоматично.

Изисквания за управлявана самоличност

Дефиниции на правила в инициативата Разполагане на предварителни условия за активиране на политики за конфигуриране на гости на виртуални машини, активиране на присвоена от системата управлявана идентичност, ако такава не съществува. Има две дефиниции на политики в инициативата, които управляват създаването на самоличност. Условията IF в дефинициите на правилата гарантират правилното поведение въз основа на текущото състояние на ресурса на машината в Azure.

Ако в момента машината няма никакви управлявани самоличности, ефективната политика е: Добавете присвоена от системата управлявана самоличност, за да активирате присвояването на конфигурация за гост на виртуални машини без идентичности

Ако машината в момента има присвоена от потребителя системна идентичност, ефективната политика е: Добавете присвоена от системата управлявана самоличност, за да активирате присвояването на конфигурация за гост на виртуални машини с присвоена от потребителя самоличност

Наличност

Клиентите, които проектират решение с висока достъпност, трябва да вземат предвид изискванията за планиране на резервиране за виртуални машини, тъй като назначенията за гости са разширения на ресурсите на машината в Azure. Когато ресурсите за присвояване на гости са осигурени в регион на Azure, който е сдвоен, стига поне един регион в двойката да е наличен, тогава са налични отчети за присвояване на гости. Ако регионът на Azure не е сдвоен и стане недостъпен, тогава не е възможно да получите достъп до отчети за присвояване на гост, докато регионът не бъде възстановен.

Когато обмисляте архитектура за високодостъпни приложения, особено когато виртуалните машини са осигурени в Availability Sets зад решение за балансиране на натоварването, за да се осигури висока достъпност, най-добрата практика е да присвоите едни и същи дефиниции на правила с едни и същи параметри на всички машини в решението. Ако е възможно, едно присвояване на политика, обхващащо всички машини, би предложило най-малко административни разходи.

За машини, защитени от Azure Site Recovery, уверете се, че машините във вторичен сайт са в обхвата на присвояванията на правилата на Azure за същите дефиниции, използвайки същите стойности на параметри като машините в основния сайт.

Пребиваване на данни

Конфигурацията за гости съхранява/обработва клиентски данни. По подразбиране клиентските данни се репликират в сдвоения регион. За единичен резидентен регион всички клиентски данни се съхраняват и обработват в региона.

Отстраняване на неизправности при конфигурацията на гост

За повече информация относно отстраняването на неизправности в конфигурацията на гост вижте Отстраняване на неизправности с правилата на Azure.

Множество присвоявания

Понастоящем дефинициите на правилата за конфигуриране на гости поддържат само присвояване на едно и също присвояване на гост веднъж на машина, когато присвояването на правила използва различни параметри.

Присвоявания на групи за управление на Azure

Дефинициите на правилата на Azure в категорията „Конфигурация на гости“ могат да бъдат присвоени на групи за управление само когато ефектът е „Проверка, ако не съществува“. Дефинициите на правила с ефект „DeployIfNotExists“ не се поддържат като присвоявания към Групи за управление.

Клиентски регистрационни файлове

Разширението за конфигурация на гост записва регистрационни файлове на следните места:

Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log

Linux

Azure VM: /var/lib/GuestConfig/gc_agent_logs/gc_agent.logArc-enabled server: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Отдалечено събиране на регистрационни файлове

Първата стъпка при отстраняване на неизправности при гост конфигурационни конфигурации или модули трябва да е да използвате кратки команди, като следвате стъпките в Как да тествате артефакти на пакета за конфигуриране на гости. Ако това не е успешно, събирането на клиентски регистрационни файлове може да помогне за диагностицирането на проблеми.

Windows

Улавяне на информация от регистрационни файлове с помощта на Azure VM Run Command, следният примерен скрипт на PowerShell може да бъде полезен.

$linesToIncludeBeforeMatch = 0$linesToIncludeAfterMatch = 10$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$ linesToIncludeAfterMatch | Select-Object -Last 10Linux

Улавяне на информация от регистрационни файлове с помощта на Azure VM Run Command, следният примерен Bash скрипт може да бъде полезен.

linesToIncludeBeforeMatch=0linesToIncludeAfterMatch=10logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.logegrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tail

Файлове на агента

Агентът за конфигуриране на гост изтегля пакети със съдържание на машина и извлича съдържанието. За да проверите какво съдържание е изтеглено и съхранено, вижте местоположенията на папките, посочени по-долу.

Windows: c:\programdata\guestconfig\configuration

Linux: /var/lib/GuestConfig/Configuration

Примери за конфигурация за гости

Примери за вградени правила за конфигурация за гости са налични на следните места:

Следващи стъпки


PREV: Как да отстраните проблема с „Не може да се свърже с вашия DHCP сървър...

NEXT: Топ 5 начина за коригиране на грешката „Не можете да се свържете с вашия DHCP сървър“ на ...

Popular Articles

Hot Articles

Navigation Lists

Back to Top