Ymmärrä Azure Policyn vierasmääritysominaisuus
15.7.20218 minuuttia aikaa lukeaAzure Policy voi tarkastaa tai määrittää asetuksia koneen sisällä sekä Azuressa toimiville että Arc-yhteensopiville koneille. Vierasmääritykset suorittaa jokaisen tehtävän agentti Windowsissa ja Linuxissa. Vierasmäärityslaajennus hallinnoi agentin kautta asetuksia, kuten:
Käyttöjärjestelmän kokoonpanoSovelluskokoonpano tai läsnäoloYmpäristöasetuksetTästä asiakirjasta on saatavilla esittelyvideo.
Jos haluat hallita ympäristösi koneiden tilaa, mukaan lukien Azure- ja Arc-yhteensopivien palvelimien tilat, tutustu seuraaviin tietoihin.
Ennen kuin voit käyttää Azure Policyn vierasmääritysominaisuutta, sinun on rekisteröidyttävä Microsoft.GuestConfiguration-resurssien tarjoajaksi. Jos vierasmäärityskäytännön määrittäminen tehdään portaalin kautta tai jos tilaus on rekisteröity Azure Security Centeriin, resurssien tarjoaja rekisteröidään automaattisesti. Voit rekisteröityä manuaalisesti portaalin, Azure PowerShellin tai Azure CLI:n kautta.
Jotta voit hallita asetuksia koneen sisällä, virtuaalinen konelaajennus on otettu käyttöön ja koneella on oltava järjestelmän hallinnoima identiteetti. Laajennus lataa soveltuvan vierasmääritysmäärityksen ja vastaavat riippuvuudet. Identiteettiä käytetään koneen todentamiseen, kun se lukee ja kirjoittaa vierasmäärityspalveluun. Laajennusta ei tarvita Arc-yhteensopiville palvelimille, koska se sisältyy Arc Connected Machine -agenttiin.
Tärkeää
Azure-virtuaalikoneiden hallintaan tarvitaan vierasmäärityslaajennus ja hallittu identiteetti.
Jos haluat ottaa laajennuksen käyttöön laajassa mittakaavassa useissa koneissa, määritä käytäntöaloiteDeploy-vaatimukset vieraiden määrityskäytäntöjen mahdollistamiseksi virtuaalikoneen hallintaryhmälle, tilaukselle tai resurssiryhmälle, joka sisältää koneet, joita aiot hallita.
Jos haluat ottaa laajennuksen ja hallitun identiteetin käyttöön yhdelle koneelle, noudata kunkin kohdalla annettuja ohjeita:
Jotta haluat käyttää määrityksiä käyttäviä vierasmäärityspaketteja, Azure VM:n guestconfiguration-laajennuksen versio 1.29.24 tai uudempi tarvitaan.
Jotta laajennus ei vaikuta koneen sisällä toimiviin sovelluksiin, vierasmääritysagentti ei saa ylittää yli 5 % suorittimesta. Tämä rajoitus koskee sekä sisäänrakennettuja että mukautettuja määritelmiä. Sama pätee Arc Connected Machine -agentin vierasmäärityspalveluun.
Koneen sisällä vierasmääritysagentti käyttää paikallisia työkaluja tehtävien suorittamiseen.
Seuraava taulukko näyttää luettelon kussakin tuetuissa käyttöjärjestelmissä käytetyistä paikallisista työkaluista. Sisäänrakennetun sisällön osalta vierasmääritys käsittelee näiden työkalujen lataamisen automaattisesti.
KäyttöjärjestelmäValidointityökaluHuomautuksiaWindowsPowerShell Halutun tilan määritys v3Side-ladattuna kansioon, jota vain Azure Policy käyttää. Ei ole ristiriidassa Windows PowerShell DSC:n kanssa. PowerShell Corea ei ole lisätty järjestelmäpolkuun.LinuxPowerShell Desired State Configuration v3Side-ladattuna kansioon, jota vain Azure Policy käyttää. PowerShell Corea ei ole lisätty järjestelmäpolkuun.LinuxChef InSpecInstalls Chef InSpec -version 2.2.61 oletussijaintiin ja lisätty järjestelmäpolkuun. Myös InSpec-paketin riippuvuudet, mukaan lukien Ruby ja Python, on asennettu.Vierasmääritysagentti tarkistaa uudet tai muuttuneet vierastehtävät 5 minuutin välein. Kun vierastehtävä on vastaanotettu, sen asetukset tarkistetaan uudelleen 15 minuutin välein. Jos useita määrityksiä on määritetty, jokainen niistä arvioidaan peräkkäin. Pitkään käynnissä olevat kokoonpanot vaikuttavat kaikkien kokoonpanojen aikaväliin, koska seuraavaa ei suoriteta ennen kuin edellinen määritys on valmis.
Tulokset lähetetään vierasmäärityspalveluun, kun tarkastus on valmis. Kun käytäntöarvioinnin laukaisu tapahtuu, koneen tila kirjoitetaan vierasmääritysresurssien toimittajalle. Tämä päivitys saa Azure Policyn arvioimaan Azure Resource Managerin ominaisuudet. On-demand Azure Policy -arviointi hakee uusimman arvon vierasmääritysresurssien toimittajalta. Se ei kuitenkaan käynnistä uutta toimintaa koneessa. Tila kirjoitetaan sitten AzureResource Graphiin.
Vierasmäärityskäytäntömääritykset sisältävät uudet versiot. Azure Marketplacessa saatavilla olevien käyttöjärjestelmien vanhemmat versiot suljetaan pois, jos Guest Configuration -asiakas ei ole yhteensopiva. Seuraavassa taulukossa on luettelo tuetuista Azure-kuvien käyttöjärjestelmistä. ".x"-teksti edustaa Linux-jakelujen uusia pienempiä versioita.
PublisherNameVersionsAmazonLinux2CanonicalUbuntu Server14.04 - 20.xCredativDebian8 - 10.xMicrosoftWindows Server2012 - 2019MicrosoftWindows ClientWindows 10OracleOracle-Linux7.x-8.xOpenLogic-Linux7.x-8.xOpenLogic-Linux7.x-8.xOpenLogic-7.x-8.xOpenLogic-7.x-8.xOpenLogic.8 -R-OSxt. .xSUSESLES12 SP3-SP5, 15.x
* Red Hat CoreOS:ää ei tueta.
Muokattuja virtuaalikoneen kuvia tukevat vierasmäärityskäytäntömääritykset, kunhan ne ovat jokin yllä olevan taulukon käyttöjärjestelmistä.
Azuren virtuaalikoneet voivat kommunikoida vierasmäärityspalvelun kanssa joko paikallisen verkkosovittimen tai yksityisen linkin avulla.
Azure Arc -koneet muodostavat yhteyden paikallisen verkkoinfrastruktuurin avulla saavuttaakseen Azure-palvelut ja raportoidakseen vaatimustenmukaisuuden tilan.
Jos haluat viestiä Azuren vierasmääritysresurssien tarjoajan kanssa, koneet edellyttävät lähtevän pääsyn Azure-tietokeskuksiin portissa 443. Jos Azure-verkko ei salli lähtevää liikennettä, määritä poikkeukset verkon suojausryhmäsäännöillä. Palvelutunnisteita "AzureArcInfrastructure" ja "Storage" voidaan käyttää viittaamaan vierasmääritys- ja tallennuspalveluihin sen sijaan, että ylläpidettäisiin manuaalisesti Azure-palvelinkeskusten IP-alueluetteloa. Molemmat tunnisteet ovat pakollisia, koska Azure Storage isännöi vierasmäärityssisältöpaketteja.
Virtuaaliset koneet voivat käyttää yksityistä linkkiä viestiäkseen vierasmäärityspalveluun. Ota tämä ominaisuus käyttöön käyttämällä tagia, jonka nimi on EnablePrivateNetworkGC ja arvo TRUE. Tunniste voidaan ottaa käyttöön ennen tai sen jälkeen, kun vierasmäärityskäytäntömääritykset otetaan käyttöön koneeseen.
Liikenne reititetään Azurevirtuaalin julkisen IP-osoitteen avulla turvallisen, todennettu kanavan luomiseksi Azure-alustan resursseilla.
Azuren ulkopuolella sijaitsevat solmut, jotka on liitetty Azure Arcilla, vaativat yhteyden vierasmäärityspalveluun. Tiedot verkko- ja välityspalvelinvaatimuksista löytyvät Azure Arc -dokumentaatiosta.
Arc-yhteensopiville palvelimille yksityisissä palvelinkeskuksissa salli liikenne seuraavien mallien mukaan:
Portti: Vain TCP 443 vaaditaan lähtevään Internet-yhteyteen. Yleinen URL-osoite: *.guestconfiguration.azure.comVierasmääritykseen käytettävissä olevat valvontakäytäntömääritykset sisältävät muun muassa Microsoft.HybridCompute/machines resurssityyppi. Kaikki Azure Arc -palveluun liitetyt koneet, jotka kuuluvat käytäntömäärityksen piiriin, sisällytetään automaattisesti.
Käytännön määritelmät aloitteessa Ota käyttöön virtuaalikoneiden vierasmäärityskäytännöt, jotka mahdollistavat järjestelmän määrittämän hallitun identiteetin, jos sellaista ei ole. Aloitteessa on kaksi käytäntömääritelmää, jotka hallitsevat identiteetin luomista. Käytäntömäärityksissä olevat IF-ehdot varmistavat oikean toiminnan, joka perustuu Azuren koneresurssin nykyiseen tilaan.
Jos koneella ei tällä hetkellä ole hallittuja identiteettejä, tehokas käytäntö on: Lisää järjestelmän määrittämä hallittu identiteetti salliaksesi vierasmääritysten määritykset virtuaalikoneen ilman identiteettejä
Jos koneella on tällä hetkellä käyttäjän määrittämä järjestelmäidentiteetti, tehokas käytäntö on: Lisää järjestelmän määrittämä hallittu identiteetti salliaksesi vierasmääritysten määritykset virtuaalikoneissa, joissa on käyttäjän määrittämä identiteetti.
Asiakkaiden, jotka suunnittelevat erittäin saatavilla olevaa ratkaisua, tulee ottaa huomioon virtuaalisten koneiden redundanssisuunnitteluvaatimukset, koska vierastoimeksiannot ovat Azuren koneresurssien laajennuksia. Kun vierasmääritysresurssit on varattu Azure-alueelle, joka on paritettu, niin kauan kuin vähintään yksi alue parista on käytettävissä, vierasmääritysraportit ovat saatavilla. Jos Azure-aluetta ei ole yhdistetty ja se ei ole käytettävissä, vierastehtävän raportteja ei voi käyttää ennen kuin alue on palautettu.
Kun harkitaan arkkitehtuuria korkean käytettävyyden sovelluksille, varsinkin kun virtuaalikoneita on määritetty käytettävyysasetuksissa korkean käytettävyyden takaavan kuormituksen tasausratkaisun takana, on paras käytäntö määrittää samat käytäntömääritykset samoilla parametreilla kaikille ratkaisun koneille. Jos mahdollista, yksi kaikkiin koneisiin kattava käytäntötoimeksianto tarjoaisi vähiten hallinnollisia lisäkustannuksia.
Varmista Azure Site Recovery -palvelun suojaamien koneiden osalta, että toissijaisen sivuston koneet ovat Azure Policy -määritysten piirissä samoilla määritelmillä käyttäen samoja parametriarvoja kuin ensisijaisen sivuston koneet.
Vieraskokoonpano tallentaa/käsittelee asiakastiedot. Oletusarvoisesti asiakastiedot kopioidaan pariksi yhdistetylle alueelle. Yksittäisen asukkaan alueella kaikki asiakastiedot tallennetaan ja käsitellään alueella.
Lisätietoja vierasmääritysten vianmäärityksestä on kohdassa Azure Policy -vianmääritys.
Vierasmäärityskäytäntömääritykset tukevat tällä hetkellä saman vierailija-määrityksen määrittämistä vain kerran konetta kohden, kun käytäntömääritys käyttää eri parametreja.
Guest Configuration -luokan Azure Policy -määritykset voidaan määrittää hallintaryhmille vain, kun vaikutus on AuditIfNotExists. Käytäntömäärityksiä, joiden vaikutus on "DeployIfNotExists", ei tueta hallintaryhmien tehtävinä.
Vierasmäärityslaajennus kirjoittaa lokitiedostot seuraaviin paikkoihin:
Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
Linux
Azure VM: /var/lib/GuestConfig/gc_agent_logs/gc_agent.logArc-yhteensopiva palvelin: /var/lib/GuestConfig/arc_policy_logs/gc_agent.logEnsimmäinen vaihe vieraiden vianmäärityksessä kokoonpanokokoonpanoissa tai moduuleissa tulisi käyttää cmdlet-komentoja noudattamalla ohjeita Vierasmäärityspaketin artefaktien testaamisesta. Jos tämä ei onnistu, asiakaslokien kerääminen voi auttaa ongelmien diagnosoinnissa.
WindowsKaappaa tietoja lokitiedostoista Azure VM Run Command -komennolla. Seuraava esimerkki PowerShell-komentosarjasta voi olla hyödyllinen.
$linesToIncludeBeforeMatch = 0$linesToIncludeAfterMatch = 10$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'Select-String -Path $logPath -pattern 'DSCEngine','DSCMansii ,$linesToIncludeAfterMatch | Select-Object -Last 10LinuxKaappaa tiedot lokitiedostoista Azure VM Run Command -komennolla. Seuraava esimerkki Bash-komentosarjasta voi olla hyödyllinen.
linesToIncludeBeforeMatch=0linesToIncludeAfterMatch=10logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.logegrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedPathne | tailVierasmääritysagentti lataa sisältöpaketit koneelle ja purkaa sisällön. Tarkistaaksesi, mitä sisältöä on ladattu ja tallennettu, katso alla olevat kansioiden sijainnit.
Windows: c:\programdata\guestconfig\configuration
Linux: /var/lib/GuestConfig/Configuration
Sisäänrakennetut vierasmääritysmallit ovat saatavilla seuraavissa paikoissa:
PREV: Kuinka tehdä vianmääritys "Ei saada yhteyttä DHCP-palvelimeen...
NEXT: 5 parasta tapaa korjata virhe, jossa ei saada yhteyttä DHCP-palvelimeen...
![[Ratkaistu] Ei voi muodostaa yhteyttä MySql-palvelimeen localhostilla (10061) (Näytä aihe) * Apache OpenOffice -yhteisöfoorumi](http://website-google-hk.oss-cn-hongkong.aliyuncs.com/drawing/26/2022-3-1/7051.jpeg "[Ratkaistu] Ei voi muodostaa yhteyttä MySql-palvelimeen localhostilla (10061) (Näytä aihe) * Apache OpenOffice -yhteisöfoorumi")
