Pochopte funkci konfigurace hosta Azure Policy
15. 7. 20218 minut ke čteníAzure Policy může auditovat nebo konfigurovat nastavení uvnitř počítače, a to jak pro počítače běžící v Azure, tak pro počítače s podporou Arc. Každou úlohu provádí konfigurace hosta agent ve Windows a Linux. Rozšíření konfigurace hosta prostřednictvím agenta spravuje nastavení, jako jsou:
Konfigurace operačního systému Konfigurace aplikace nebo přítomnost Nastavení prostředíK dispozici je videonávod tohoto dokumentu.
Chcete-li spravovat stav počítačů ve vašem prostředí, včetně počítačů na serverech s podporou Azure a Arc, přečtěte si následující podrobnosti.
Než budete moci používat funkci konfigurace hosta Azure Policy, musíte si zaregistrovat poskytovatele prostředků Microsoft.GuestConfiguration. Pokud se přiřazení zásad konfigurace hosta provádí prostřednictvím portálu nebo pokud je předplatné zaregistrované v Azure Security Center, poskytovatel prostředků se zaregistruje automaticky. Můžete se ručně zaregistrovat prostřednictvím portálu, Azure PowerShell nebo Azure CLI.
Chcete-li spravovat nastavení uvnitř počítače, je povoleno rozšíření virtuálního počítače a počítač musí mít identitu spravovanou systémem. Rozšíření stáhne příslušné přiřazení konfigurace hosta a odpovídající závislosti. Identita se používá k ověření počítače při čtení a zápisu do konfigurační služby hosta. Rozšíření není vyžadováno pro servery s podporou Arc, protože je součástí agenta Arc Connected Machine.
Důležité
Ke správě virtuálních počítačů Azure je vyžadováno rozšíření konfigurace hosta a spravovaná identita.
Chcete-li nasadit rozšíření ve velkém na mnoho počítačů, přiřaďte v iniciativě Policy Nezbytné předpoklady pro konfiguraci hosta na virtuálních počítačích skupině pro správu, předplatné nebo skupině prostředků obsahující stroje, které plánujete spravovat.
Pokud dáváte přednost nasazení rozšíření a spravované identity do jednoho počítače, postupujte podle pokynů pro každý z nich:
Chcete-li používat konfigurační balíčky hosta, které používají konfigurace, je vyžadováno rozšíření konfigurace virtuálního počítače Azure verze 1.29.24 nebo novější.
Aby rozšíření neovlivňovalo aplikace běžící uvnitř počítače, agent konfigurace hosta nesmí překročit více než 5 % CPU. Toto omezení existuje pro vestavěné i vlastní definice. Totéž platí pro konfigurační službu hosta v agentovi Arc Connected Machine.
Uvnitř počítače používá konfigurační agent hosta místní nástroje k provádění úloh.
V následující tabulce je uveden seznam místních nástrojů používaných v každém podporovaném operačním systému. U vestavěného obsahu se konfigurace hosta postará o načítání těchto nástrojů automaticky.
Ověřovací nástroj operačního systému Poznámky WindowsPowerShell Konfigurace požadovaného stavu v3 Načte se z jedné strany do složky používané pouze zásadami Azure. Nebude v konfliktu s Windows PowerShell DSC. PowerShell Core není přidán do systémové cesty.LinuxPowerShell Konfigurace požadovaného stavu v3 Načte se ze strany do složky používané pouze Azure Policy. PowerShell Core není přidán do systémové cesty. LinuxChef InSpec Instaluje Chef InSpec verze 2.2.61 ve výchozím umístění a je přidán do systémové cesty. Závislosti pro balíček InSpec včetně Ruby a Pythonu jsou také nainstalovány.Konfigurační agent hosta kontroluje nová nebo změněná přiřazení hostů každých 5 minut. Jakmile je přijato přiřazení hosta, nastavení této konfigurace se znovu kontrolují v 15minutových intervalech. Pokud je přiřazeno více konfigurací, vyhodnocuje se každá postupně. Dlouho běžící konfigurace ovlivňují interval pro všechny konfigurace, protože další nebude spuštěna, dokud nebude dokončena předchozí konfigurace.
Po dokončení auditu se výsledky odesílají do konfigurační služby hosta. Když dojde ke spuštění vyhodnocování zásad, stav počítače se zapíše do poskytovatele konfigurace hosta. Tato aktualizace způsobí, že Azure Policy vyhodnotí vlastnosti Azure Resource Manager. Vyhodnocení zásad Azure na vyžádání načte nejnovější hodnotu od poskytovatele prostředků konfigurace hosta. Nespouští však novou aktivitu ve stroji. Stav se pak zapíše do AzureResource Graph.
Definice zásad konfigurace hostů zahrnují nové verze. Pokud klient konfigurace hosta není kompatibilní, jsou starší verze operačních systémů dostupné na Azure Marketplace vyloučeny. Následující tabulka ukazuje seznam podporovaných operačních systémů v obrazech Azure. Text „.x“ symbolicky představuje nové vedlejší verze distribucí Linuxu.
PublisherNameVersionsAmazonLinux2CanonicalUbuntu Server14.04 - 20.xCredativDebian8 - 10.xMicrosoftWindows Server2012 - 2019MicrosoftWindows ClientWindows 10OracleOracle-Linux7.x-8.xOpenLogic.CentR7R7.3 SLES12 SP3-SP5, 15.x
* Red Hat CoreOS není podporován.
Vlastní obrazy virtuálních strojů jsou podporovány definicemi zásad konfigurace hosta, pokud se jedná o jeden z operačních systémů ve výše uvedené tabulce.
Virtuální počítače v Azure mohou ke komunikaci s konfigurační službou hosta používat buď svůj místní síťový adaptér, nebo soukromý odkaz.
Stroje Azure Arc se připojují pomocí místní síťové infrastruktury, aby dosáhly služeb Azure a hlásily stav shody.
Ke komunikaci s poskytovatelem prostředků konfigurace hosta v Azure vyžadují počítače odchozí přístup k datovým centrům Azure na portu 443. Pokud síť v Azure neumožňuje odchozí provoz, nakonfigurujte výjimky se skupinami pro zabezpečení sítě. Značky služeb "AzureArcInfrastructure" a "Storage" lze použít k odkazování na konfiguraci hosta a služby úložiště namísto ručního udržování seznamu rozsahů IP pro datová centra Azure. Obě značky jsou povinné, protože balíčky konfiguračního obsahu hosta jsou hostovány službou Azure Storage.
Virtuální počítače mohou pro komunikaci s konfigurační službou hosta používat soukromý odkaz. Chcete-li tuto funkci povolit, použijte značku s názvemEnablePrivateNetworkGC a hodnotou TRUE. Značku lze použít před nebo po aplikaci definic zásad konfigurace hosta na počítač.
Provoz je směrován pomocí veřejné IP adresy Azurevirtual k vytvoření zabezpečeného ověřeného kanálu s prostředky platformy Azure.
Uzly umístěné mimo Azure, které jsou připojeny pomocí Azure Arc, vyžadují připojení ke konfigurační službě hosta. Podrobnosti o požadavcích na síť a proxy jsou uvedeny v dokumentaci Azure Arc.
U serverů s podporou Arc v soukromých datových centrech povolte provoz pomocí následujících vzorů:
Port: Pro odchozí přístup k internetu je vyžadován pouze TCP 443 Globální adresa URL: *.guestconfiguration.azure.comDefinice zásad auditu dostupné pro konfiguraci hosta zahrnují Microsoft.HybridCompute/machines typ zdroje. Všechny počítače připojené k Azure Arc pro servery, které jsou v rozsahu přiřazení zásad, jsou automaticky zahrnuty.
Definice zásad v iniciativě Předpoklady nasazení pro povolení zásad konfigurace hosta na virtuálních počítačích umožňují systémově přiřazenou spravovanou identitu, pokud taková neexistuje. V iniciativě existují dvě definice politik, které řídí vytváření identity. Podmínky IF v definicích zásad zajišťují správné chování na základě aktuálního stavu prostředku themachine v Azure.
Pokud počítač aktuálně nemá žádné spravované identity, účinná zásada zní: Přidejte spravovanou identitu přiřazenou systémem, abyste povolili přiřazení konfigurace hosta na virtuálních počítačích bez identit
Pokud má počítač aktuálně systémovou identitu přiřazenou uživatelem, účinná zásada je: Přidejte spravovanou identitu přiřazenou systémem, abyste povolili přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem
Zákazníci, kteří navrhují vysoce dostupné řešení, by měli zvážit požadavky na plánování redundance pro virtuální počítače, protože přiřazení hostů jsou rozšířením strojových prostředků v Azure. Když jsou prostředky přiřazení hostů zřízeny v oblasti Azure, která je spárovaná, pokud je k dispozici alespoň jedna oblast v páru, jsou k dispozici sestavy přiřazení hostů. Pokud oblast Azure není spárovaná a přestane být dostupná, nebude možné získat přístup k sestavám pro přiřazení hosta, dokud nebude oblast obnovena.
Při zvažování architektury pro vysoce dostupné aplikace, zejména tam, kde jsou virtuální stroje zajišťovány v sadě dostupnosti za řešením pro vyrovnávání zatížení, aby byla zajištěna vysoká dostupnost, je nejlepším postupem přiřadit všem strojům v řešení stejné definice zásad se stejnými parametry. Pokud je to možné, jediné přiřazení politiky zahrnující všechny stroje by nabídlo nejmenší administrativní režii.
U počítačů chráněných Azure Site Recovery se ujistěte, že počítače v sekundární lokalitě jsou v rozsahu přiřazení zásad Azure pro stejné definice pomocí stejných hodnot parametrů jako počítače v primární lokalitě.
Konfigurace hostů ukládá/zpracovává zákaznická data. Ve výchozím nastavení jsou zákaznická data replikována do spárované oblasti. V případě jedné rezidentní oblasti jsou všechna zákaznická data uložena a zpracována v oblasti.
Další informace o odstraňování problémů s konfigurací hosta naleznete v tématu Odstraňování problémů se zásadami Azure.
Definice zásad konfigurace hostů v současnosti podporují přiřazení stejného přiřazení hosta pouze jednou na počítač, když přiřazení zásad používá různé parametry.
Definice zásad Azure v kategorii „Konfigurace hosta“ lze přiřadit skupinám pro správu, pouze když je efekt „AuditIfNotExists“. Definice zásad s účinkem 'DeployIfNotExists' nejsou podporovány jako přiřazení ke skupinám správy.
Rozšíření konfigurace hosta zapisuje soubory protokolu do následujících umístění:
Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
Linux
Virtuální počítač Azure: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log Server s podporou Arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.logPrvní krok při odstraňování problémů s hostem konfigurace konfigurace nebo moduly by měly používat rutiny podle kroků v části Jak testovat artefakty konfiguračního balíčku hosta. Pokud to není úspěšné, shromažďování protokolů klientů může pomoci diagnostikovat problémy.
WindowsZachyťte informace ze souborů protokolu pomocí příkazu Azure VM Run, může být užitečný následující příklad skriptu PowerShell.
$linesToIncludeBeforeMatch = 0$linesToIncludeAfterMatch = 10$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'Select-String -Path $logPath -pattern 'DSCitiveClengine' -ClinesTo eMatch, $linesToIncludeAfterMatch | Select-Object -Last 10LinuxZachyťte informace ze souborů protokolu pomocí příkazu Azure VM Run, může být užitečný následující příklad Bash skriptu.
linesToIncludeBeforeMatch=0linesToIncludeAfterMatch=10logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.logegrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterLoginePathManage $'DSCenginePathgin 'DSCEngine tailAgent konfigurace hosta stahuje balíčky obsahu do počítače a extrahuje obsah. Chcete-li ověřit, jaký obsah byl stažen a uložen, prohlédněte si umístění složek uvedená níže.
Windows: c:\programdata\guestconfig\configuration
Linux: /var/lib/GuestConfig/Configuration
Ukázky zásad integrované konfigurace pro hosty jsou k dispozici v následujících umístěních:
PREV: Jak vyřešit problém „Nelze kontaktovat váš server DHCP...
NEXT: Top 5 způsobů, jak opravit chybu Nelze kontaktovat váš server DHCP na ...
![[Vyřešeno] Nelze se připojit k serveru MySql na localhost (10061) (Zobrazit téma) * Fórum komunity Apache OpenOffice](http://website-google-hk.oss-cn-hongkong.aliyuncs.com/drawing/26/2022-3-1/7051.jpeg "[Vyřešeno] Nelze se připojit k serveru MySql na localhost (10061) (Zobrazit téma) * Fórum komunity Apache OpenOffice")
