Общие сведения о конфигурации компьютера Azure

Функция конфигурации компьютера Политика Azure предоставляет собственные возможности для аудита или настройки параметров операционной системы в качестве кода для компьютеров, работающих в Azure и гибридной среде.Компьютеры с поддержкой Arc. Эту функцию можно использовать непосредственно на компьютере или оркестрировать ее в масштабе с помощью Политика Azure.

Ресурсы конфигурации в Azure представляют собой ресурсы расширения. Вы можете представить каждую конфигурацию как дополнительный набор свойств для компьютера. Конфигурации могут включать такие параметры:

• Параметры операционной системы
• конфигурация или наличие приложения;
• Параметры среды

Конфигурации отличаются от определений политик. Конфигурация компьютера использует Политика Azure для динамического назначения конфигураций компьютерам. Вы также можете назначить конфигурации компьютерам вручную.

Примеры каждого сценария приведены в таблице ниже.

Результаты каждого параметра можно просмотреть на странице "Гостевые назначения". Если Политика Azure назначение оркестрируется конфигурацией, можно выбрать ссылку "Последний вычисляемый ресурс" на странице "Сведения о соответствии".

Режимы принудительного применения для пользовательских политик

Чтобы обеспечить большую гибкость в применении и мониторинге параметров сервера, приложений и рабочих нагрузок, Конфигурация компьютера предлагает три основных режима принудительного применения для каждого назначения политики, как описано в следующей таблице.

Доступен пошаговый видеопросмотр этого документа. (Обновление скоро)

Включение конфигурации компьютера

Чтобы управлять состоянием компьютеров в своей среде, включая машины на серверах с поддержкой Azure и Arc, просмотрите следующие сведения.

Поставщик ресурсов

Прежде чем вы сможете использовать функцию конфигурации компьютера Политики Azure, необходимо зарегистрировать поставщика ресурсов Microsoft.GuestConfiguration. Если назначение политики конфигурации компьютера выполняется через портал или если подписка зарегистрирована в Microsoft Defender для облака, поставщик ресурсов регистрируется автоматически. Вы можете вручную зарегистрироваться через портал, Azure PowerShell или Azure CLI.

Требования к развертыванию виртуальных машин Azure

Для управления настройками внутри машины включено расширение виртуальной машины и машина должна иметь управляемую системой идентификацию. Расширение скачивает применимые назначения конфигурации компьютера и соответствующие зависимости. Идентификатор используется для аутентификации компьютера при чтении и записи в службу конфигурации компьютера. Расширение не требуется для серверов с поддержкой Arc, так как оно включено в агент Arc Connected Machine.

Чтобы развернуть расширение в масштабе на многих машинах, назначьте инициативу политики Deploy prerequisites to enable Guest Configuration policies on virtual machines в группу управления, подписку или группу ресурсов, содержащую машины, которыми вы планируете управлять.

Если вы предпочитаете развернуть расширение и управляемое удостоверение на одном компьютере, см. статью "Настройка управляемых удостоверений для ресурсов Azure на виртуальной машине с помощью портал Azure".

Чтобы использовать пакеты конфигурации компьютера, которые применяют конфигурации, требуется расширение гостевой конфигурации виртуальной машины Azure версии 1.26.24 или более поздней версии.

Ограничения, установленные для расширения

Чтобы расширение не влияло на приложения, запущенные на машине, агенту конфигурации компьютера не разрешается превышать более 5 % ЦП. Это ограничение существует как для встроенных, так и для пользовательских определений. Это справедливо и для службы конфигурации компьютера в агенте на подключенном компьютере Arc.

Инструменты проверки

Внутри машины агент конфигурации компьютера использует локальные инструменты для выполнения задач.

В следующей таблице перечислены локальные средства, используемые в поддерживаемых операционных системах. Для встроенного контента конфигурация компьютера автоматически загружает эти инструменты.

Частота проверки

Агент конфигурации м проверяет наличие новых или измененных назначений гостей каждые 5 минут. После получения назначения гостя параметры конфигурации проверяются повторно с 15-минутным интервалом. Если назначено несколько конфигураций, каждая из них оценивается последовательно. Длительные конфигурации влияют на интервал для всех конфигураций, так как следующий не может выполняться до завершения предыдущей конфигурации.

По завершении аудита результаты отправляются в службу конфигурации компьютера. Когда происходит триггер оценки политики, состояние машины записывается в поставщик ресурсов конфигурации компьютера. Эти новые данные позволяют Политике Azure повторно оценить свойства Azure Resource Manager. Оценка Политики Azure по запросу получает последнее значение от поставщика ресурсов конфигурации компьютера. Однако это не вызывает новой активности внутри машины. Затем статус записывается в Azure Resource Graph.

Поддерживаемые типы клиентов

Политики настройки конфигурации компьютера являются инклюзивными для новых версий. Более старые версии операционных систем, доступные в Azure Marketplace, не поддерживаются, если клиент гостевой конфигурации несовместим. Кроме того, версии сервера Linux, которые не поддерживаются соответствующими издателями, исключаются из матрицы поддержки.

В таблице ниже перечислены операционные системы, поддерживаемые в образах Azure. Текст .x является символичным для представления новых дополнительных версий дистрибутивов Linux.

* Red Hat CoreOS не поддерживается.

Определения политики конфигурации компьютера поддерживают пользовательские образы виртуальных машин, если они одна из операционных систем в предыдущей таблице. Конфигурация компьютера не поддерживает единую форму VMSS, но поддерживает VMSS Flex.

Требования к сети

Виртуальные машины Azure могут использовать локальный сетевой адаптер (vNIC) или Приватный канал Azure для взаимодействия со службой конфигурации компьютера.

Компьютеры с поддержкой Azure Arc подключаются с помощью локальной сетевой инфраструктуры для доступа к службам Azure и состоянию соответствия отчета.

В следующей таблице показаны поддерживаемые конечные точки для компьютеров с поддержкой Azure и Azure Arc:

Обмен данными между виртуальными сетями в Azure

Для взаимодействия с поставщиком ресурсов конфигурации компьютера в Azure компьютеры требуют исходящего доступа к центрам обработки данных Azure через порт 443*. Если сеть в Azure не разрешает исходящий трафик, настройте исключения с помощью правил группы безопасности сети. ТегиAzureArcInfrastructure служб и Storage могут использоваться для ссылки на гостевые конфигурации и службы хранилища, а не вручную поддерживать список диапазонов IP-адресов для центров обработки данных Azure. Оба тега необходимы, так как служба хранилища Azure размещает пакеты содержимого конфигурации компьютера.

Взаимодействие по приватному каналу в Azure

Виртуальные машины могут использовать приватный канал для подключения к службе конфигурации компьютера. Примените тег с именем EnablePrivateNetworkGC и значением TRUE, чтобы включить эту функцию. Тег можно задействовать до применения определений политик конфигурации компьютера к машине или после этого.

Трафик направляется с помощью виртуального общедоступного IP-адреса Azure, чтобы установить защищенный канал с проверкой подлинности с помощью ресурсов платформы Azure.

Обмен данными по общедоступным конечным точкам за пределами Azure

Серверы, расположенные локально или в других облаках, можно управлять с помощью конфигурации компьютера, подключив их к Azure Arc.

Для серверов с поддержкой Azure Arc разрешите трафик с помощью следующих шаблонов:

• Порт: только исходящий интернет-трафик через TCP-порт 443.
• Глобальный URL-адрес: *.guestconfiguration.azure.com

Сведения о требованиях к сети серверов с поддержкой Azure Arc см. в полном списке всех сетевых конечных точек, необходимых агенту подключенного компьютера Azure для основных сценариев конфигурации Azure Arc и компьютеров.

Обмен данными через Приватный канал за пределами Azure

При использовании приватного канала с серверами с поддержкой Arc встроенные пакеты политик автоматически загружаются по приватной ссылке. Чтобы включить эту функцию, вам не нужно задавать теги на сервере с поддержкой Arc.

Назначение политик компьютерам вне Azure

К политикам аудита, доступным для конфигурации компьютера, относится тип ресурса Microsoft.HybridCompute/machines. Все компьютеры, подключенные к серверам с поддержкой Azure Arc, которые находятся в области назначения политики, автоматически включаются.

Требования к удостоверениям

Определения политик в инициативе Deploy prerequisites to enable guest configuration policies on virtual machines позволяют управляемому удостоверению, назначаемого системой, если он не существует. В инициативе, управляющей созданием удостоверений, существует два определения политик. Условия if в определениях политик обеспечивают правильное поведение на основе текущего состояния ресурса компьютера в Azure.

Если на компьютере нет управляемых удостоверений, эффективная политика: добавьте назначаемое системой управляемое удостоверение, чтобы включить назначения гостевой конфигурации на виртуальных машинах без удостоверений.

Если компьютер в настоящее время имеет удостоверение, назначаемое пользователем, эффективная политика: добавление управляемого удостоверения, назначаемого системой, чтобы включить назначения гостевой конфигурации на виртуальных машинах с удостоверением, назначенным пользователем.

Доступность

Клиенты, разрабатывающие высокодоступное решение, должны учитывать требования к планированию избыточности для виртуальных машин, так как назначения гостей являются расширениями ресурсов компьютера в Azure. При подготовке ресурсов гостевого назначения в парном регионе Azure можно просмотреть отчеты о назначении гостей, если доступно хотя бы один регион в паре. Если регион Azure не связан и он становится недоступным, вы не сможете получить доступ к отчетам для гостевого назначения. После восстановления региона можно снова получить доступ к отчетам.

Рекомендуется назначить одинаковые определения политик с одинаковыми параметрами для всех компьютеров в решении для высокодоступных приложений. Это особенно верно для сценариев, когда виртуальные машины подготавливаются в группах доступности за решением подсистемы балансировки нагрузки. Одно назначение политики, охватывающее все компьютеры, имеет наименьшую административную нагрузку.

Для компьютеров, защищенных Azure Site Recovery, убедитесь, что компьютеры на основном и вторичном сайте находятся в пределах Политика Azure назначений для одинаковых определений. Используйте одинаковые значения параметров для обоих сайтов.

Место расположения данных

Конфигурация компьютера хранит и обрабатывает данные клиента. По умолчанию данные клиента реплицируются в парный регион. Для регионов Сингапур, Южная Бразилия и Восточная Азия все данные клиента хранятся и обрабатываются в регионе.

Устранение неполадок настройки конфигурации компьютера

Дополнительные сведения об устранении неполадок настройки конфигурации компьютера см. в статье Устранение неполадок Политики Azure.

Несколько назначений

В настоящее время только некоторые встроенные определения политики конфигурации компьютера поддерживают несколько назначений. Однако все пользовательские политики поддерживают несколько назначений по умолчанию, если вы использовали последнюю версию модуля PowerShell гостевой конфигурации Для создания пакетов и политик конфигурации компьютера.

Ниже приведен список встроенных определений политик конфигурации компьютера, поддерживающих несколько назначений:

Назначения группам управления Azure

Политика Azure определения в категории Guest Configuration можно назначить группам управления, если эффект или AuditIfNotExistsDeployIfNotExists.

Файлы журналов клиента

Модуль настройки конфигурации компьютера записывает файлы журналов в следующие разделы.

Виндоус

• Виртуальная машина Azure: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
• Серверы с поддержкой Arc: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Линукс

• Виртуальная машина Azure: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
• Серверы с поддержкой Arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Удаленный сбор журналов

Первым шагом к устранению неполадок, связанных с конфигурациями или модулями компьютера, должно быть использование командлетов в соответствии с шагами, описанными в статье о проверке артефактов пакетов конфигурации компьютера. Если этот шаг не помог, помочь в диагностике проблем может сбор журналов клиентов.

Виндоус

Полезно будет попробовать использовать следующий пример сценария PowerShell, чтобы получить данные из файлов журналов с помощью команды выполнения виртуальной машины Azure.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch  = 10
$params = @{
    Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
    Pattern = @(
        'DSCEngine'
        'DSCManagedEngine'
    )
    CaseSensitive = $true
    Context = @(
        $linesToIncludeBeforeMatch
        $linesToIncludeAfterMatch
    )
}
Select-String @params | Select-Object -Last 10

Линукс

Чтобы получить данные из файлов журналов с помощью команды выполнения виртуальной машины Azure, пригодится данный скрипт на Bash.

LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail

Файлы агента

Агент конфигурации компьютера загружает пакеты содержимого на компьютер и извлекает содержимое. Чтобы проверить, какое содержимое было загружено и сохранено, просмотрите расположения папок в следующем списке.

• Виндовс: C:\ProgramData\guestconfig\configuration
• Линукс: /var/lib/GuestConfig/Configuration

Функции модуля nxtools с открытым кодом

Выпущен новый модуль nxtools с открытым кодом для упрощения управления системами Linux для пользователей PowerShell.

Модуль помогает управлять общими задачами, такими как:

• Управление пользователями и группами
• Выполнение операций файловой системы
• Управление сервисами
• Выполнение операций архива
• Управление пакетами

Модуль включает ресурсы DSC на основе классов для Linux и встроенные пакеты конфигурации компьютера.

Чтобы предоставить отзыв об этой функции, откройте проблему в документации. В настоящее время мы не принимаем PR для этого проекта, и поддержка является лучшими усилиями.

Примеры конфигурации компьютера

Встроенные примеры политики настройки конфигурации компьютера доступны здесь:

• Встроенные определения политик — гостевая конфигурация
• Встроенные инициативы — гостевая конфигурация
• Политика Azure репозиторий GitHub
• Примеры модулей ресурсов DSC

Следующие шаги

• Настройте среду разработки для настраиваемого пакета конфигурации компьютера.
• Создайте артефакт пакета для конфигурации машины.
• Проверьте артефакт пакета из среды разработки.
• Используйте модуль GuestConfiguration для создания определения Политика Azure для горизонтального управления средой.
• Назначьте пользовательское определение политики с помощью портала Azure.
• Узнайте, как просматривать сведения о соответствии для назначений политики конфигурации машины.