Разберете функцията за конфигуриране на гости на Azure Policy
15.07.20218 минути за четенеПравилата на Azure могат да одитират или конфигурират настройки вътре в машина, както за машини, работещи в Azure, така и за машини с активиран Arc. Всяка задача се изпълнява от конфигурацията на гост агент в Windows и Linux. Разширението за конфигурация на гост чрез агента управлява настройки като:
Конфигурацията на операционната система Конфигурация на приложението или присъствие Настройки на околната средаНаличен е видеообзор на този документ.
За да управлявате състоянието на машините във вашата среда, включително машини в сървъри с активиран Azure и Arc, прегледайте следните подробности.
Преди да можете да използвате функцията за конфигуриране на гости на Azure Policy, трябва да регистрирате доставчика на ресурси Microsoft.GuestConfiguration. Ако присвояването на политика за конфигуриране на гости се извършва чрез портала или ако абонаментът е записан в Центъра за сигурност на Azure, доставчикът на ресурси се регистрира автоматично. Можете ръчно да се регистрирате чрез портала, Azure PowerShell или Azure CLI.
За да управлявате настройките вътре в машина, разширението за виртуална машина е активирано и машината трябва да има самоличност, управлявана от системата. Разширението изтегля приложимото присвояване на конфигурация за гост и съответните зависимости. Самоличността се използва за удостоверяване на машината, докато чете и пише в услугата за конфигуриране на гост. Разширението не е необходимо за сървъри с активиран Arc, тъй като е включено в агента на Arc Connected Machine.
Важно
Разширението за конфигурация на гост и управлявана самоличност са необходими за управление на виртуални машини на Azure.
За да разположите разширението в мащаб на много машини, задайте предпоставките за инициатива за прилагане на политиката, за да активирате политики за конфигуриране на гост на виртуална машина, към група за управление, абонамент или група ресурси, съдържащи машините, които планирате да управлявате.
Ако предпочитате да внедрите разширението и управляваната самоличност на една машина, следвайте указанията за всяка:
За да използвате пакети за конфигурация за гости, които прилагат конфигурации, се изисква разширение за конфигурация за гости на Azure VM версия 1.29.24 или по-нова.
За да се ограничи разширението от въздействие върху приложения, работещи вътре в машината, не се разрешава на агента за конфигуриране на гост да надвишава повече от 5% от процесора. Това ограничение съществува както за вградени, така и за персонализирани дефиниции. Същото важи и за услугата за конфигуриране на гост в агента на Arc Connected Machine.
Вътре в машината конфигурационният агент за гост използва локални инструменти за изпълнение на задачи.
Следната таблица показва списък на локалните инструменти, използвани във всяка поддържана операционна система. За вградено съдържание конфигурацията за гост управлява автоматично зареждането на тези инструменти.
Инструмент за проверка на операционната система NotesWindowsPowerShell Конфигурация на желаното състояние v3Side-заредена в папка, използвана само от Azure Policy. Няма да влиза в конфликт с Windows PowerShell DSC. PowerShell Core не е добавен към системния път. LinuxPowerShell Desired State Configuration v3Side-loaded to a folder used only by Azure Policy. PowerShell Core не е добавен към системния път. LinuxChef InSpec инсталира Chef InSpec версия 2.2.61 в местоположението по подразбиране и се добавя към системния път. Инсталирани са и зависимости за пакета InSpec, включително Ruby и Python.Агентът за конфигуриране на гост проверява за нови или променени назначения на гост на всеки 5 минути. След като бъде получено назначение за гост, настройките за тази конфигурация се проверяват отново на 15-минутен интервал. Ако са зададени няколко конфигурации, всяка се оценява последователно. Дълго работещите конфигурации оказват влияние върху интервала за всички конфигурации, тъй като следващата няма да се изпълни, докато предишната конфигурация не приключи.
Резултатите се изпращат до услугата за конфигуриране на гост, когато одитът приключи. Когато се задейства задействане на оценка на политиката, състоянието на машината се записва на доставчика на ресурси за конфигуриране на гост. Тази актуализация кара Azure Policy да оцени свойствата на Azure Resource Manager. Оценката на Azure Policy при поискване извлича най-новата стойност от доставчика на ресурс за конфигурация за гост. Това обаче не задейства нова дейност в машината. След това състоянието се записва в AzureResource Graph.
Дефинициите на правилата за конфигуриране на гости включват нови версии. По-старите версии на операционни системи, налични в Azure Marketplace, се изключват, ако клиентът за конфигуриране на гост не е съвместим. Следващата таблица показва списък с поддържани операционни системи в изображения на Azure. Текстът „.x“ е символичен, за да представлява нови второстепенни версии на Linux дистрибуции.
PublisherNameVersionsAmazonLinux2CanonicalUbuntu Server14.04 - 20.xCredativDebian8 - 10.xMicrosoftWindows Server2012 - 2019MicrosoftWindows ClientWindows 10OracleOracle-Linux7.x-8.xOpenLogicCentOS7.3 -8.xRed HatRed Hat Enterprise Linux*7.4 - 8 .xSUSESLES12 SP3-SP5, 15.x
* Red Hat CoreOS не се поддържа.
Изображенията на персонализираните виртуални машини се поддържат от дефинициите на правилата за конфигурация на гост, стига да са една от операционните системи в таблицата по-горе.
Виртуалните машини в Azure могат да използват или своя локален мрежов адаптер, или лична връзка, за да комуникират с услугата за конфигуриране на гости.
Машините на Azure Arc се свързват с помощта на локалната мрежова инфраструктура, за да достигнат до услугите на Azure и да докладват за състоянието на съответствие.
За да комуникирате с доставчика на ресурс за конфигурация за гости в Azure, машините изискват изходящ достъп до центровете за данни на Azure на порт 443. Ако мрежа в Azure не позволява изходящ трафик, конфигурирайте изключения с правилата на групата за мрежова сигурност. Сервизните тагове „AzureArcInfrastructure“ и „Storage“ могат да се използват за препратка към конфигурацията на гостите и услугите за съхранение, вместо ръчно да се поддържа списъкът с IP диапазони за центровете за данни на Azure. И двата маркера са задължителни, тъй като пакетите със съдържание за конфигурация за гости се хостват от Azure Storage.
Виртуалните машини могат да използват частна връзка за комуникация с услугата за конфигуриране на гости. Приложете етикет с nameEnablePrivateNetworkGC и стойност TRUE, за да активирате тази функция. Етикетът може да бъде приложен преди или след прилагане на дефинициите на правилата за конфигурация на гост към машината.
Трафикът се насочва с помощта на публичния IP адрес на Azurevirtual, за да се установи защитен, удостоверен канал с ресурсите на платформата Azure.
Възли, разположени извън Azure, които са свързани чрез Azure Arc, изискват свързаност към услугата за конфигуриране на гост. Подробности относно изискванията за мрежа и прокси, предоставени в документацията на Azure Arc.
За сървъри с активиран Arc в частни центрове за данни разрешете трафик, като използвате следните модели:
Порт: Необходим е само TCP 443 за изходящ интернет достъп. Глобален URL адрес: *.guestconfiguration.azure.comДефинициите на правила за одит, налични за конфигурация за гост, включват Microsoft.HybridCompute/machines тип ресурс. Всички машини, включени към Azure Arc за сървъри, които са в обхвата на присвояването на правила, се включват автоматично.
Дефиниции на правила в инициативата Разполагане на предварителни условия за активиране на политики за конфигуриране на гости на виртуални машини, активиране на присвоена от системата управлявана идентичност, ако такава не съществува. Има две дефиниции на политики в инициативата, които управляват създаването на самоличност. Условията IF в дефинициите на правилата гарантират правилното поведение въз основа на текущото състояние на ресурса на машината в Azure.
Ако в момента машината няма никакви управлявани самоличности, ефективната политика е: Добавете присвоена от системата управлявана самоличност, за да активирате присвояването на конфигурация за гост на виртуални машини без идентичности
Ако машината в момента има присвоена от потребителя системна идентичност, ефективната политика е: Добавете присвоена от системата управлявана самоличност, за да активирате присвояването на конфигурация за гост на виртуални машини с присвоена от потребителя самоличност
Клиентите, които проектират решение с висока достъпност, трябва да вземат предвид изискванията за планиране на резервиране за виртуални машини, тъй като назначенията за гости са разширения на ресурсите на машината в Azure. Когато ресурсите за присвояване на гости са осигурени в регион на Azure, който е сдвоен, стига поне един регион в двойката да е наличен, тогава са налични отчети за присвояване на гости. Ако регионът на Azure не е сдвоен и стане недостъпен, тогава не е възможно да получите достъп до отчети за присвояване на гост, докато регионът не бъде възстановен.
Когато обмисляте архитектура за високодостъпни приложения, особено когато виртуалните машини са осигурени в Availability Sets зад решение за балансиране на натоварването, за да се осигури висока достъпност, най-добрата практика е да присвоите едни и същи дефиниции на правила с едни и същи параметри на всички машини в решението. Ако е възможно, едно присвояване на политика, обхващащо всички машини, би предложило най-малко административни разходи.
За машини, защитени от Azure Site Recovery, уверете се, че машините във вторичен сайт са в обхвата на присвояванията на правилата на Azure за същите дефиниции, използвайки същите стойности на параметри като машините в основния сайт.
Конфигурацията за гости съхранява/обработва клиентски данни. По подразбиране клиентските данни се репликират в сдвоения регион. За единичен резидентен регион всички клиентски данни се съхраняват и обработват в региона.
За повече информация относно отстраняването на неизправности в конфигурацията на гост вижте Отстраняване на неизправности с правилата на Azure.
Понастоящем дефинициите на правилата за конфигуриране на гости поддържат само присвояване на едно и също присвояване на гост веднъж на машина, когато присвояването на правила използва различни параметри.
Дефинициите на правилата на Azure в категорията „Конфигурация на гости“ могат да бъдат присвоени на групи за управление само когато ефектът е „Проверка, ако не съществува“. Дефинициите на правила с ефект „DeployIfNotExists“ не се поддържат като присвоявания към Групи за управление.
Разширението за конфигурация на гост записва регистрационни файлове на следните места:
Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
Linux
Azure VM: /var/lib/GuestConfig/gc_agent_logs/gc_agent.logArc-enabled server: /var/lib/GuestConfig/arc_policy_logs/gc_agent.logПървата стъпка при отстраняване на неизправности при гост конфигурационни конфигурации или модули трябва да е да използвате кратки команди, като следвате стъпките в Как да тествате артефакти на пакета за конфигуриране на гости. Ако това не е успешно, събирането на клиентски регистрационни файлове може да помогне за диагностицирането на проблеми.
WindowsУлавяне на информация от регистрационни файлове с помощта на Azure VM Run Command, следният примерен скрипт на PowerShell може да бъде полезен.
$linesToIncludeBeforeMatch = 0$linesToIncludeAfterMatch = 10$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$ linesToIncludeAfterMatch | Select-Object -Last 10LinuxУлавяне на информация от регистрационни файлове с помощта на Azure VM Run Command, следният примерен Bash скрипт може да бъде полезен.
linesToIncludeBeforeMatch=0linesToIncludeAfterMatch=10logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.logegrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tailАгентът за конфигуриране на гост изтегля пакети със съдържание на машина и извлича съдържанието. За да проверите какво съдържание е изтеглено и съхранено, вижте местоположенията на папките, посочени по-долу.
Windows: c:\programdata\guestconfig\configuration
Linux: /var/lib/GuestConfig/Configuration
Примери за вградени правила за конфигурация за гости са налични на следните места:
PREV: Как да отстраните проблема с „Не може да се свърже с вашия DHCP сървър...
NEXT: Топ 5 начина за коригиране на грешката „Не можете да се свържете с вашия DHCP сървър“ на ...
![[Решен] Не може да се свърже с MySql сървър на localhost (10061) (Вижте темата) * Форум на общността на Apache OpenOffice](http://website-google-hk.oss-cn-hongkong.aliyuncs.com/drawing/26/2022-3-1/7051.jpeg "[Решен] Не може да се свърже с MySql сървър на localhost (10061) (Вижте темата) * Форум на общността на Apache OpenOffice")
