• Digitální příslušenství
  • Server
  • Digitální život
  • Zásady ochrany osobních údajů
  • Kontaktujte nás
  1. Domov
  2. Článek
  3. Pochopte funkci konfigurace hosta Azure Policy...

Pochopte funkci konfigurace hosta Azure Policy...

Rsdaa 01/11/2021 2104

Pochopte funkci konfigurace hosta Azure Policy

15. 7. 20218 minut ke čtení

V tomto článku

Azure Policy může auditovat nebo konfigurovat nastavení uvnitř počítače, a to jak pro počítače běžící v Azure, tak pro počítače s podporou Arc. Každou úlohu provádí konfigurace hosta agent ve Windows a Linux. Rozšíření konfigurace hosta prostřednictvím agenta spravuje nastavení, jako jsou:

Konfigurace operačního systému Konfigurace aplikace nebo přítomnost Nastavení prostředí

K dispozici je videonávod tohoto dokumentu.

Povolení konfigurace hosta

Chcete-li spravovat stav počítačů ve vašem prostředí, včetně počítačů na serverech s podporou Azure a Arc, přečtěte si následující podrobnosti.

Poskytovatel prostředků

Než budete moci používat funkci konfigurace hosta Azure Policy, musíte si zaregistrovat poskytovatele prostředků Microsoft.GuestConfiguration. Pokud se přiřazení zásad konfigurace hosta provádí prostřednictvím portálu nebo pokud je předplatné zaregistrované v Azure Security Center, poskytovatel prostředků se zaregistruje automaticky. Můžete se ručně zaregistrovat prostřednictvím portálu, Azure PowerShell nebo Azure CLI.

Požadavky na nasazení pro virtuální počítače Azure

Chcete-li spravovat nastavení uvnitř počítače, je povoleno rozšíření virtuálního počítače a počítač musí mít identitu spravovanou systémem. Rozšíření stáhne příslušné přiřazení konfigurace hosta a odpovídající závislosti. Identita se používá k ověření počítače při čtení a zápisu do konfigurační služby hosta. Rozšíření není vyžadováno pro servery s podporou Arc, protože je součástí agenta Arc Connected Machine.

Důležité

Ke správě virtuálních počítačů Azure je vyžadováno rozšíření konfigurace hosta a spravovaná identita.

Chcete-li nasadit rozšíření ve velkém na mnoho počítačů, přiřaďte v iniciativě Policy Nezbytné předpoklady pro konfiguraci hosta na virtuálních počítačích skupině pro správu, předplatné nebo skupině prostředků obsahující stroje, které plánujete spravovat.

Pokud dáváte přednost nasazení rozšíření a spravované identity do jednoho počítače, postupujte podle pokynů pro každý z nich:

Chcete-li používat konfigurační balíčky hosta, které používají konfigurace, je vyžadováno rozšíření konfigurace virtuálního počítače Azure verze 1.29.24 nebo novější.

Omezení nastavené pro rozšíření

Aby rozšíření neovlivňovalo aplikace běžící uvnitř počítače, agent konfigurace hosta nesmí překročit více než 5 % CPU. Toto omezení existuje pro vestavěné i vlastní definice. Totéž platí pro konfigurační službu hosta v agentovi Arc Connected Machine.

Uvnitř počítače používá konfigurační agent hosta místní nástroje k provádění úloh.

V následující tabulce je uveden seznam místních nástrojů používaných v každém podporovaném operačním systému. U vestavěného obsahu se konfigurace hosta postará o načítání těchto nástrojů automaticky.

Ověřovací nástroj operačního systému Poznámky WindowsPowerShell Konfigurace požadovaného stavu v3 Načte se z jedné strany do složky používané pouze zásadami Azure. Nebude v konfliktu s Windows PowerShell DSC. PowerShell Core není přidán do systémové cesty.LinuxPowerShell Konfigurace požadovaného stavu v3 Načte se ze strany do složky používané pouze Azure Policy. PowerShell Core není přidán do systémové cesty. LinuxChef InSpec Instaluje Chef InSpec verze 2.2.61 ve výchozím umístění a je přidán do systémové cesty. Závislosti pro balíček InSpec včetně Ruby a Pythonu jsou také nainstalovány.

Frekvence ověřování

Konfigurační agent hosta kontroluje nová nebo změněná přiřazení hostů každých 5 minut. Jakmile je přijato přiřazení hosta, nastavení této konfigurace se znovu kontrolují v 15minutových intervalech. Pokud je přiřazeno více konfigurací, vyhodnocuje se každá postupně. Dlouho běžící konfigurace ovlivňují interval pro všechny konfigurace, protože další nebude spuštěna, dokud nebude dokončena předchozí konfigurace.

Po dokončení auditu se výsledky odesílají do konfigurační služby hosta. Když dojde ke spuštění vyhodnocování zásad, stav počítače se zapíše do poskytovatele konfigurace hosta. Tato aktualizace způsobí, že Azure Policy vyhodnotí vlastnosti Azure Resource Manager. Vyhodnocení zásad Azure na vyžádání načte nejnovější hodnotu od poskytovatele prostředků konfigurace hosta. Nespouští však novou aktivitu ve stroji. Stav se pak zapíše do AzureResource Graph.

Podporované typy klientů

Definice zásad konfigurace hostů zahrnují nové verze. Pokud klient konfigurace hosta není kompatibilní, jsou starší verze operačních systémů dostupné na Azure Marketplace vyloučeny. Následující tabulka ukazuje seznam podporovaných operačních systémů v obrazech Azure. Text „.x“ symbolicky představuje nové vedlejší verze distribucí Linuxu.

PublisherNameVersionsAmazonLinux2CanonicalUbuntu Server14.04 - 20.xCredativDebian8 - 10.xMicrosoftWindows Server2012 - 2019MicrosoftWindows ClientWindows 10OracleOracle-Linux7.x-8.xOpenLogic.CentR7R7.3 SLES12 SP3-SP5, 15.x

* Red Hat CoreOS není podporován.

Vlastní obrazy virtuálních strojů jsou podporovány definicemi zásad konfigurace hosta, pokud se jedná o jeden z operačních systémů ve výše uvedené tabulce.

Požadavky na síť

Virtuální počítače v Azure mohou ke komunikaci s konfigurační službou hosta používat buď svůj místní síťový adaptér, nebo soukromý odkaz.

Stroje Azure Arc se připojují pomocí místní síťové infrastruktury, aby dosáhly služeb Azure a hlásily stav shody.

Komunikace přes virtuální sítě v Azure

Ke komunikaci s poskytovatelem prostředků konfigurace hosta v Azure vyžadují počítače odchozí přístup k datovým centrům Azure na portu 443. Pokud síť v Azure neumožňuje odchozí provoz, nakonfigurujte výjimky se skupinami pro zabezpečení sítě. Značky služeb "AzureArcInfrastructure" a "Storage" lze použít k odkazování na konfiguraci hosta a služby úložiště namísto ručního udržování seznamu rozsahů IP pro datová centra Azure. Obě značky jsou povinné, protože balíčky konfiguračního obsahu hosta jsou hostovány službou Azure Storage.

Komunikace přes soukromý odkaz v Azure

Virtuální počítače mohou pro komunikaci s konfigurační službou hosta používat soukromý odkaz. Chcete-li tuto funkci povolit, použijte značku s názvemEnablePrivateNetworkGC a hodnotou TRUE. Značku lze použít před nebo po aplikaci definic zásad konfigurace hosta na počítač.

Provoz je směrován pomocí veřejné IP adresy Azurevirtual k vytvoření zabezpečeného ověřeného kanálu s prostředky platformy Azure.

Servery s podporou Azure Arc

Uzly umístěné mimo Azure, které jsou připojeny pomocí Azure Arc, vyžadují připojení ke konfigurační službě hosta. Podrobnosti o požadavcích na síť a proxy jsou uvedeny v dokumentaci Azure Arc.

U serverů s podporou Arc v soukromých datových centrech povolte provoz pomocí následujících vzorů:

Port: Pro odchozí přístup k internetu je vyžadován pouze TCP 443 Globální adresa URL: *.guestconfiguration.azure.com

Přiřazení zásad počítačům mimo Azure

Definice zásad auditu dostupné pro konfiguraci hosta zahrnují Microsoft.HybridCompute/machines typ zdroje. Všechny počítače připojené k Azure Arc pro servery, které jsou v rozsahu přiřazení zásad, jsou automaticky zahrnuty.

Požadavky na spravovanou identitu

Definice zásad v iniciativě Předpoklady nasazení pro povolení zásad konfigurace hosta na virtuálních počítačích umožňují systémově přiřazenou spravovanou identitu, pokud taková neexistuje. V iniciativě existují dvě definice politik, které řídí vytváření identity. Podmínky IF v definicích zásad zajišťují správné chování na základě aktuálního stavu prostředku themachine v Azure.

Pokud počítač aktuálně nemá žádné spravované identity, účinná zásada zní: Přidejte spravovanou identitu přiřazenou systémem, abyste povolili přiřazení konfigurace hosta na virtuálních počítačích bez identit

Pokud má počítač aktuálně systémovou identitu přiřazenou uživatelem, účinná zásada je: Přidejte spravovanou identitu přiřazenou systémem, abyste povolili přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem

Dostupnost

Zákazníci, kteří navrhují vysoce dostupné řešení, by měli zvážit požadavky na plánování redundance pro virtuální počítače, protože přiřazení hostů jsou rozšířením strojových prostředků v Azure. Když jsou prostředky přiřazení hostů zřízeny v oblasti Azure, která je spárovaná, pokud je k dispozici alespoň jedna oblast v páru, jsou k dispozici sestavy přiřazení hostů. Pokud oblast Azure není spárovaná a přestane být dostupná, nebude možné získat přístup k sestavám pro přiřazení hosta, dokud nebude oblast obnovena.

Při zvažování architektury pro vysoce dostupné aplikace, zejména tam, kde jsou virtuální stroje zajišťovány v sadě dostupnosti za řešením pro vyrovnávání zatížení, aby byla zajištěna vysoká dostupnost, je nejlepším postupem přiřadit všem strojům v řešení stejné definice zásad se stejnými parametry. Pokud je to možné, jediné přiřazení politiky zahrnující všechny stroje by nabídlo nejmenší administrativní režii.

U počítačů chráněných Azure Site Recovery se ujistěte, že počítače v sekundární lokalitě jsou v rozsahu přiřazení zásad Azure pro stejné definice pomocí stejných hodnot parametrů jako počítače v primární lokalitě.

Datové bydliště

Konfigurace hostů ukládá/zpracovává zákaznická data. Ve výchozím nastavení jsou zákaznická data replikována do spárované oblasti. V případě jedné rezidentní oblasti jsou všechna zákaznická data uložena a zpracována v oblasti.

Odstraňování problémů s konfigurací hosta

Další informace o odstraňování problémů s konfigurací hosta naleznete v tématu Odstraňování problémů se zásadami Azure.

Více přiřazení

Definice zásad konfigurace hostů v současnosti podporují přiřazení stejného přiřazení hosta pouze jednou na počítač, když přiřazení zásad používá různé parametry.

Přiřazení ke skupinám pro správu Azure

Definice zásad Azure v kategorii „Konfigurace hosta“ lze přiřadit skupinám pro správu, pouze když je efekt „AuditIfNotExists“. Definice zásad s účinkem 'DeployIfNotExists' nejsou podporovány jako přiřazení ke skupinám správy.

Soubory protokolu klienta

Rozšíření konfigurace hosta zapisuje soubory protokolu do následujících umístění:

Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log

Linux

Virtuální počítač Azure: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log Server s podporou Arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Vzdálené shromažďování protokolů

První krok při odstraňování problémů s hostem konfigurace konfigurace nebo moduly by měly používat rutiny podle kroků v části Jak testovat artefakty konfiguračního balíčku hosta. Pokud to není úspěšné, shromažďování protokolů klientů může pomoci diagnostikovat problémy.

Windows

Zachyťte informace ze souborů protokolu pomocí příkazu Azure VM Run, může být užitečný následující příklad skriptu PowerShell.

$linesToIncludeBeforeMatch = 0$linesToIncludeAfterMatch = 10$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'Select-String -Path $logPath -pattern 'DSCitiveClengine' -ClinesTo eMatch, $linesToIncludeAfterMatch | Select-Object -Last 10Linux

Zachyťte informace ze souborů protokolu pomocí příkazu Azure VM Run, může být užitečný následující příklad Bash skriptu.

linesToIncludeBeforeMatch=0linesToIncludeAfterMatch=10logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.logegrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterLoginePathManage $'DSCenginePathgin 'DSCEngine tail

Soubory agenta

Agent konfigurace hosta stahuje balíčky obsahu do počítače a extrahuje obsah. Chcete-li ověřit, jaký obsah byl stažen a uložen, prohlédněte si umístění složek uvedená níže.

Windows: c:\programdata\guestconfig\configuration

Linux: /var/lib/GuestConfig/Configuration

Ukázky konfigurace pro hosty

Ukázky zásad integrované konfigurace pro hosty jsou k dispozici v následujících umístěních:

Další kroky


PREV: Jak vyřešit problém „Nelze kontaktovat váš server DHCP...

NEXT: Top 5 způsobů, jak opravit chybu Nelze kontaktovat váš server DHCP na ...

Populární články

Žhavé články

Navigační seznamy

Zpět na začátek