• Digitaaliset tarvikkeet
  • Palvelin
  • Digitaalinen elämä
  • Tietosuojakäytäntö
  • Ota meihin yhteyttä
  1. Home
  2. Article
  3. Ymmärrä Azure Policyn vierasmääritysominaisuus...

Ymmärrä Azure Policyn vierasmääritysominaisuus...

Rsdaa 01/11/2021 2083

Ymmärrä Azure Policyn vierasmääritysominaisuus

15.7.20218 minuuttia aikaa lukea

Tämä artikkeli

Azure Policy voi tarkastaa tai määrittää asetuksia koneen sisällä sekä Azuressa toimiville että Arc-yhteensopiville koneille. Vierasmääritykset suorittaa jokaisen tehtävän agentti Windowsissa ja Linuxissa. Vierasmäärityslaajennus hallinnoi agentin kautta asetuksia, kuten:

Käyttöjärjestelmän kokoonpanoSovelluskokoonpano tai läsnäoloYmpäristöasetukset

Tästä asiakirjasta on saatavilla esittelyvideo.

Ota vierasmääritykset käyttöön

Jos haluat hallita ympäristösi koneiden tilaa, mukaan lukien Azure- ja Arc-yhteensopivien palvelimien tilat, tutustu seuraaviin tietoihin.

Resurssien tarjoaja

Ennen kuin voit käyttää Azure Policyn vierasmääritysominaisuutta, sinun on rekisteröidyttävä Microsoft.GuestConfiguration-resurssien tarjoajaksi. Jos vierasmäärityskäytännön määrittäminen tehdään portaalin kautta tai jos tilaus on rekisteröity Azure Security Centeriin, resurssien tarjoaja rekisteröidään automaattisesti. Voit rekisteröityä manuaalisesti portaalin, Azure PowerShellin tai Azure CLI:n kautta.

Ota käyttöön Azure-virtuaalikoneiden vaatimukset

Jotta voit hallita asetuksia koneen sisällä, virtuaalinen konelaajennus on otettu käyttöön ja koneella on oltava järjestelmän hallinnoima identiteetti. Laajennus lataa soveltuvan vierasmääritysmäärityksen ja vastaavat riippuvuudet. Identiteettiä käytetään koneen todentamiseen, kun se lukee ja kirjoittaa vierasmäärityspalveluun. Laajennusta ei tarvita Arc-yhteensopiville palvelimille, koska se sisältyy Arc Connected Machine -agenttiin.

Tärkeää

Azure-virtuaalikoneiden hallintaan tarvitaan vierasmäärityslaajennus ja hallittu identiteetti.

Jos haluat ottaa laajennuksen käyttöön laajassa mittakaavassa useissa koneissa, määritä käytäntöaloiteDeploy-vaatimukset vieraiden määrityskäytäntöjen mahdollistamiseksi virtuaalikoneen hallintaryhmälle, tilaukselle tai resurssiryhmälle, joka sisältää koneet, joita aiot hallita.

Jos haluat ottaa laajennuksen ja hallitun identiteetin käyttöön yhdelle koneelle, noudata kunkin kohdalla annettuja ohjeita:

Jotta haluat käyttää määrityksiä käyttäviä vierasmäärityspaketteja, Azure VM:n guestconfiguration-laajennuksen versio 1.29.24 tai uudempi tarvitaan.

Laajennukselle asetetut rajoitukset

Jotta laajennus ei vaikuta koneen sisällä toimiviin sovelluksiin, vierasmääritysagentti ei saa ylittää yli 5 % suorittimesta. Tämä rajoitus koskee sekä sisäänrakennettuja että mukautettuja määritelmiä. Sama pätee Arc Connected Machine -agentin vierasmäärityspalveluun.

Koneen sisällä vierasmääritysagentti käyttää paikallisia työkaluja tehtävien suorittamiseen.

Seuraava taulukko näyttää luettelon kussakin tuetuissa käyttöjärjestelmissä käytetyistä paikallisista työkaluista. Sisäänrakennetun sisällön osalta vierasmääritys käsittelee näiden työkalujen lataamisen automaattisesti.

KäyttöjärjestelmäValidointityökaluHuomautuksiaWindowsPowerShell Halutun tilan määritys v3Side-ladattuna kansioon, jota vain Azure Policy käyttää. Ei ole ristiriidassa Windows PowerShell DSC:n kanssa. PowerShell Corea ei ole lisätty järjestelmäpolkuun.LinuxPowerShell Desired State Configuration v3Side-ladattuna kansioon, jota vain Azure Policy käyttää. PowerShell Corea ei ole lisätty järjestelmäpolkuun.LinuxChef InSpecInstalls Chef InSpec -version 2.2.61 oletussijaintiin ja lisätty järjestelmäpolkuun. Myös InSpec-paketin riippuvuudet, mukaan lukien Ruby ja Python, on asennettu.

Vahvistustiheys

Vierasmääritysagentti tarkistaa uudet tai muuttuneet vierastehtävät 5 minuutin välein. Kun vierastehtävä on vastaanotettu, sen asetukset tarkistetaan uudelleen 15 minuutin välein. Jos useita määrityksiä on määritetty, jokainen niistä arvioidaan peräkkäin. Pitkään käynnissä olevat kokoonpanot vaikuttavat kaikkien kokoonpanojen aikaväliin, koska seuraavaa ei suoriteta ennen kuin edellinen määritys on valmis.

Tulokset lähetetään vierasmäärityspalveluun, kun tarkastus on valmis. Kun käytäntöarvioinnin laukaisu tapahtuu, koneen tila kirjoitetaan vierasmääritysresurssien toimittajalle. Tämä päivitys saa Azure Policyn arvioimaan Azure Resource Managerin ominaisuudet. On-demand Azure Policy -arviointi hakee uusimman arvon vierasmääritysresurssien toimittajalta. Se ei kuitenkaan käynnistä uutta toimintaa koneessa. Tila kirjoitetaan sitten AzureResource Graphiin.

Tuetut asiakastyypit

Vierasmäärityskäytäntömääritykset sisältävät uudet versiot. Azure Marketplacessa saatavilla olevien käyttöjärjestelmien vanhemmat versiot suljetaan pois, jos Guest Configuration -asiakas ei ole yhteensopiva. Seuraavassa taulukossa on luettelo tuetuista Azure-kuvien käyttöjärjestelmistä. ".x"-teksti edustaa Linux-jakelujen uusia pienempiä versioita.

PublisherNameVersionsAmazonLinux2CanonicalUbuntu Server14.04 - 20.xCredativDebian8 - 10.xMicrosoftWindows Server2012 - 2019MicrosoftWindows ClientWindows 10OracleOracle-Linux7.x-8.xOpenLogic-Linux7.x-8.xOpenLogic-Linux7.x-8.xOpenLogic-7.x-8.xOpenLogic-7.x-8.xOpenLogic.8 -R-OSxt. .xSUSESLES12 SP3-SP5, 15.x

* Red Hat CoreOS:ää ei tueta.

Muokattuja virtuaalikoneen kuvia tukevat vierasmäärityskäytäntömääritykset, kunhan ne ovat jokin yllä olevan taulukon käyttöjärjestelmistä.

Verkkovaatimukset

Azuren virtuaalikoneet voivat kommunikoida vierasmäärityspalvelun kanssa joko paikallisen verkkosovittimen tai yksityisen linkin avulla.

Azure Arc -koneet muodostavat yhteyden paikallisen verkkoinfrastruktuurin avulla saavuttaakseen Azure-palvelut ja raportoidakseen vaatimustenmukaisuuden tilan.

Kommunikointi Azuren virtuaaliverkkojen kautta

Jos haluat viestiä Azuren vierasmääritysresurssien tarjoajan kanssa, koneet edellyttävät lähtevän pääsyn Azure-tietokeskuksiin portissa 443. Jos Azure-verkko ei salli lähtevää liikennettä, määritä poikkeukset verkon suojausryhmäsäännöillä. Palvelutunnisteita "AzureArcInfrastructure" ja "Storage" voidaan käyttää viittaamaan vierasmääritys- ja tallennuspalveluihin sen sijaan, että ylläpidettäisiin manuaalisesti Azure-palvelinkeskusten IP-alueluetteloa. Molemmat tunnisteet ovat pakollisia, koska Azure Storage isännöi vierasmäärityssisältöpaketteja.

Kommunikointi yksityisen linkin kautta Azuressa

Virtuaaliset koneet voivat käyttää yksityistä linkkiä viestiäkseen vierasmäärityspalveluun. Ota tämä ominaisuus käyttöön käyttämällä tagia, jonka nimi on EnablePrivateNetworkGC ja arvo TRUE. Tunniste voidaan ottaa käyttöön ennen tai sen jälkeen, kun vierasmäärityskäytäntömääritykset otetaan käyttöön koneeseen.

Liikenne reititetään Azurevirtuaalin julkisen IP-osoitteen avulla turvallisen, todennettu kanavan luomiseksi Azure-alustan resursseilla.

Azure Arc -yhteensopivat palvelimet

Azuren ulkopuolella sijaitsevat solmut, jotka on liitetty Azure Arcilla, vaativat yhteyden vierasmäärityspalveluun. Tiedot verkko- ja välityspalvelinvaatimuksista löytyvät Azure Arc -dokumentaatiosta.

Arc-yhteensopiville palvelimille yksityisissä palvelinkeskuksissa salli liikenne seuraavien mallien mukaan:

Portti: Vain TCP 443 vaaditaan lähtevään Internet-yhteyteen. Yleinen URL-osoite: *.guestconfiguration.azure.com

Käytäntöjen määrittäminen Azuren ulkopuolisille koneille

Vierasmääritykseen käytettävissä olevat valvontakäytäntömääritykset sisältävät muun muassa Microsoft.HybridCompute/machines resurssityyppi. Kaikki Azure Arc -palveluun liitetyt koneet, jotka kuuluvat käytäntömäärityksen piiriin, sisällytetään automaattisesti.

Hallinnoitujen identiteettien vaatimukset

Käytännön määritelmät aloitteessa Ota käyttöön virtuaalikoneiden vierasmäärityskäytännöt, jotka mahdollistavat järjestelmän määrittämän hallitun identiteetin, jos sellaista ei ole. Aloitteessa on kaksi käytäntömääritelmää, jotka hallitsevat identiteetin luomista. Käytäntömäärityksissä olevat IF-ehdot varmistavat oikean toiminnan, joka perustuu Azuren koneresurssin nykyiseen tilaan.

Jos koneella ei tällä hetkellä ole hallittuja identiteettejä, tehokas käytäntö on: Lisää järjestelmän määrittämä hallittu identiteetti salliaksesi vierasmääritysten määritykset virtuaalikoneen ilman identiteettejä

Jos koneella on tällä hetkellä käyttäjän määrittämä järjestelmäidentiteetti, tehokas käytäntö on: Lisää järjestelmän määrittämä hallittu identiteetti salliaksesi vierasmääritysten määritykset virtuaalikoneissa, joissa on käyttäjän määrittämä identiteetti.

Saatavuus

Asiakkaiden, jotka suunnittelevat erittäin saatavilla olevaa ratkaisua, tulee ottaa huomioon virtuaalisten koneiden redundanssisuunnitteluvaatimukset, koska vierastoimeksiannot ovat Azuren koneresurssien laajennuksia. Kun vierasmääritysresurssit on varattu Azure-alueelle, joka on paritettu, niin kauan kuin vähintään yksi alue parista on käytettävissä, vierasmääritysraportit ovat saatavilla. Jos Azure-aluetta ei ole yhdistetty ja se ei ole käytettävissä, vierastehtävän raportteja ei voi käyttää ennen kuin alue on palautettu.

Kun harkitaan arkkitehtuuria korkean käytettävyyden sovelluksille, varsinkin kun virtuaalikoneita on määritetty käytettävyysasetuksissa korkean käytettävyyden takaavan kuormituksen tasausratkaisun takana, on paras käytäntö määrittää samat käytäntömääritykset samoilla parametreilla kaikille ratkaisun koneille. Jos mahdollista, yksi kaikkiin koneisiin kattava käytäntötoimeksianto tarjoaisi vähiten hallinnollisia lisäkustannuksia.

Varmista Azure Site Recovery -palvelun suojaamien koneiden osalta, että toissijaisen sivuston koneet ovat Azure Policy -määritysten piirissä samoilla määritelmillä käyttäen samoja parametriarvoja kuin ensisijaisen sivuston koneet.

Tietojen asuinpaikka

Vieraskokoonpano tallentaa/käsittelee asiakastiedot. Oletusarvoisesti asiakastiedot kopioidaan pariksi yhdistetylle alueelle. Yksittäisen asukkaan alueella kaikki asiakastiedot tallennetaan ja käsitellään alueella.

Vierailijamäärityksen vianetsintä

Lisätietoja vierasmääritysten vianmäärityksestä on kohdassa Azure Policy -vianmääritys.

Useita määrityksiä

Vierasmäärityskäytäntömääritykset tukevat tällä hetkellä saman vierailija-määrityksen määrittämistä vain kerran konetta kohden, kun käytäntömääritys käyttää eri parametreja.

Ominoinnit Azure-hallintaryhmiin

Guest Configuration -luokan Azure Policy -määritykset voidaan määrittää hallintaryhmille vain, kun vaikutus on AuditIfNotExists. Käytäntömäärityksiä, joiden vaikutus on "DeployIfNotExists", ei tueta hallintaryhmien tehtävinä.

Asiakkaan lokitiedostot

Vierasmäärityslaajennus kirjoittaa lokitiedostot seuraaviin paikkoihin:

Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log

Linux

Azure VM: /var/lib/GuestConfig/gc_agent_logs/gc_agent.logArc-yhteensopiva palvelin: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Lokien etäkeruu

Ensimmäinen vaihe vieraiden vianmäärityksessä kokoonpanokokoonpanoissa tai moduuleissa tulisi käyttää cmdlet-komentoja noudattamalla ohjeita Vierasmäärityspaketin artefaktien testaamisesta. Jos tämä ei onnistu, asiakaslokien kerääminen voi auttaa ongelmien diagnosoinnissa.

Windows

Kaappaa tietoja lokitiedostoista Azure VM Run Command -komennolla. Seuraava esimerkki PowerShell-komentosarjasta voi olla hyödyllinen.

$linesToIncludeBeforeMatch = 0$linesToIncludeAfterMatch = 10$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'Select-String -Path $logPath -pattern 'DSCEngine','DSCMansii ,$linesToIncludeAfterMatch | Select-Object -Last 10Linux

Kaappaa tiedot lokitiedostoista Azure VM Run Command -komennolla. Seuraava esimerkki Bash-komentosarjasta voi olla hyödyllinen.

linesToIncludeBeforeMatch=0linesToIncludeAfterMatch=10logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.logegrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedPathne | tail

Agenttitiedostot

Vierasmääritysagentti lataa sisältöpaketit koneelle ja purkaa sisällön. Tarkistaaksesi, mitä sisältöä on ladattu ja tallennettu, katso alla olevat kansioiden sijainnit.

Windows: c:\programdata\guestconfig\configuration

Linux: /var/lib/GuestConfig/Configuration

Vierailijamääritykset

Sisäänrakennetut vierasmääritysmallit ovat saatavilla seuraavissa paikoissa:

Seuraavat vaiheet


PREV: Kuinka tehdä vianmääritys "Ei saada yhteyttä DHCP-palvelimeen...

NEXT: 5 parasta tapaa korjata virhe, jossa ei saada yhteyttä DHCP-palvelimeen...

Popular Articles

Hot Articles

Navigation Lists

Back to Top