Поделиться через


Общие сведения о конфигурации компьютера Azure

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который является состоянием "Конец жизни" (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

Функция конфигурации компьютера Политика Azure предоставляет собственные возможности для аудита или настройки параметров операционной системы в качестве кода для компьютеров, работающих в Azure и гибридной среде.Компьютеры с поддержкой Arc. Эту функцию можно использовать непосредственно на компьютере или оркестрировать ее в масштабе с помощью Политика Azure.

Ресурсы конфигурации в Azure представляют собой ресурсы расширения. Вы можете представить каждую конфигурацию как дополнительный набор свойств для компьютера. Конфигурации могут включать такие параметры:

  • Параметры операционной системы
  • конфигурация или наличие приложения;
  • Параметры среды

Конфигурации отличаются от определений политик. Конфигурация компьютера использует Политика Azure для динамического назначения конфигураций компьютерам. Вы также можете назначить конфигурации компьютерам вручную.

Примеры каждого сценария приведены в таблице ниже.

Тип Описание Пример сценария
Управление конфигурацией Вам требуется сформировать полное представление сервера в виде кода в системе управления версиями. Развертывание должно включать свойства сервера (размер, сеть, хранилище), а также конфигурацию операционной системы и параметров приложения. Этот компьютер должен представлять собой веб-сервер, настроенный для размещения веб-сайта.
Соблюдение закона Вы хотите выполнить аудит или развертывание параметров на всех компьютерах в области либо реактивно на существующие компьютеры, либо заранее на новые компьютеры при развертывании. Все компьютеры должны использовать TLS 1.2. Аудит существующих компьютеров, чтобы я могу освободить изменения, где это необходимо, в управляемом порядке, в масштабе. Для новых компьютеров при развертывании необходимо применить параметр.

Результаты каждого параметра можно просмотреть на странице "Гостевые назначения". Если Политика Azure назначение оркестрируется конфигурацией, можно выбрать ссылку "Последний вычисляемый ресурс" на странице "Сведения о соответствии".

Примечание.

Конфигурация компьютера в настоящее время поддерживает создание до 50 гостевых назначений на компьютер.

Режимы принудительного применения для пользовательских политик

Чтобы обеспечить большую гибкость в применении и мониторинге параметров сервера, приложений и рабочих нагрузок, Конфигурация компьютера предлагает три основных режима принудительного применения для каждого назначения политики, как описано в следующей таблице.

Режим Описание
Аудит Только отчет о состоянии компьютера
Применение и мониторинг Конфигурация, примененная к компьютеру, а затем отслеживаемая для изменений
Применение и автозамена Конфигурация, примененная к компьютеру и возвращаемая в соответствие в случае смещения

Доступен пошаговый видеопросмотр этого документа. (Обновление скоро)

Включение конфигурации компьютера

Чтобы управлять состоянием компьютеров в своей среде, включая машины на серверах с поддержкой Azure и Arc, просмотрите следующие сведения.

Поставщик ресурсов

Прежде чем вы сможете использовать функцию конфигурации компьютера Политики Azure, необходимо зарегистрировать поставщика ресурсов Microsoft.GuestConfiguration. Если назначение политики конфигурации компьютера выполняется через портал или если подписка зарегистрирована в Microsoft Defender для облака, поставщик ресурсов регистрируется автоматически. Вы можете вручную зарегистрироваться через портал, Azure PowerShell или Azure CLI.

Требования к развертыванию виртуальных машин Azure

Для управления настройками внутри машины включено расширение виртуальной машины и машина должна иметь управляемую системой идентификацию. Расширение скачивает применимые назначения конфигурации компьютера и соответствующие зависимости. Идентификатор используется для аутентификации компьютера при чтении и записи в службу конфигурации компьютера. Расширение не требуется для серверов с поддержкой Arc, так как оно включено в агент Arc Connected Machine.

Внимание

Расширение конфигурации компьютера и управляемое удостоверение необходимы для управления виртуальными машинами Azure.

Чтобы развернуть расширение в масштабе на многих машинах, назначьте инициативу политики Deploy prerequisites to enable Guest Configuration policies on virtual machines в группу управления, подписку или группу ресурсов, содержащую машины, которыми вы планируете управлять.

Если вы предпочитаете развернуть расширение и управляемое удостоверение на одном компьютере, см. статью "Настройка управляемых удостоверений для ресурсов Azure на виртуальной машине с помощью портал Azure".

Чтобы использовать пакеты конфигурации компьютера, которые применяют конфигурации, требуется расширение гостевой конфигурации виртуальной машины Azure версии 1.26.24 или более поздней версии.

Внимание

Создание управляемого удостоверения или назначения политики с ролью "Участник ресурса гостевой конфигурации" — это действия, требующие выполнения соответствующих разрешений Azure RBAC. Дополнительные сведения о Политика Azure и Azure RBAC см. в статье Политика Azure управления доступом на основе ролей.

Ограничения, установленные для расширения

Чтобы расширение не влияло на приложения, запущенные на машине, агенту конфигурации компьютера не разрешается превышать более 5 % ЦП. Это ограничение существует как для встроенных, так и для пользовательских определений. Это справедливо и для службы конфигурации компьютера в агенте на подключенном компьютере Arc.

Инструменты проверки

Внутри машины агент конфигурации компьютера использует локальные инструменты для выполнения задач.

В следующей таблице перечислены локальные средства, используемые в поддерживаемых операционных системах. Для встроенного контента конфигурация компьютера автоматически загружает эти инструменты.

Операционная система Инструмент проверки Примечания
Виндоус Конфигурация требуемого состояния PowerShell Загружено в папку, используемую только Политикой Azure. Не конфликтует с Windows PowerShell DSC. PowerShell не добавляется в системный путь.
Линукс Конфигурация требуемого состояния PowerShell Загружено в папку, используемую только Политикой Azure. PowerShell не добавляется в системный путь.
Линукс Шеф-повар InSpec Устанавливает Chef InSpec версии 2.2.61 в расположении по умолчанию и добавляет его в системный путь. Она также устанавливает зависимости InSpec, включая Ruby и Python.

Частота проверки

Агент конфигурации м проверяет наличие новых или измененных назначений гостей каждые 5 минут. После получения назначения гостя параметры конфигурации проверяются повторно с 15-минутным интервалом. Если назначено несколько конфигураций, каждая из них оценивается последовательно. Длительные конфигурации влияют на интервал для всех конфигураций, так как следующий не может выполняться до завершения предыдущей конфигурации.

По завершении аудита результаты отправляются в службу конфигурации компьютера. Когда происходит триггер оценки политики, состояние машины записывается в поставщик ресурсов конфигурации компьютера. Эти новые данные позволяют Политике Azure повторно оценить свойства Azure Resource Manager. Оценка Политики Azure по запросу получает последнее значение от поставщика ресурсов конфигурации компьютера. Однако это не вызывает новой активности внутри машины. Затем статус записывается в Azure Resource Graph.

Поддерживаемые типы клиентов

Политики настройки конфигурации компьютера являются инклюзивными для новых версий. Более старые версии операционных систем, доступные в Azure Marketplace, не поддерживаются, если клиент гостевой конфигурации несовместим. Кроме того, версии сервера Linux, которые не поддерживаются соответствующими издателями, исключаются из матрицы поддержки.

В таблице ниже перечислены операционные системы, поддерживаемые в образах Azure. Текст .x является символичным для представления новых дополнительных версий дистрибутивов Linux.

Издатель Имя. Версии
Алма AlmaLinux 9
Амазонка Линукс 2
Канонический Сервер Ubuntu 16.04 - 24.x
Кредатив Debian 10.x - 12.x
Корпорация Майкрософт CBL-Mariner 1 - 2
Корпорация Майкрософт Azure Linux 3
Корпорация Майкрософт Клиент Windows Windows 10, 11
Корпорация Майкрософт Windows Server 2012 - 2025
Oracle; Oracle-Linux 7.x — 8.x
OpenLogic CentOS 7.3 – 8.x
Red Hat Red Hat Enterprise Linux* 7.4 — 9.x
Скалистый Рокки Linux 8
SUSE SLES 12 с пакетом обновления 5 (SP5), 15.x

* Red Hat CoreOS не поддерживается.

Определения политики конфигурации компьютера поддерживают пользовательские образы виртуальных машин, если они одна из операционных систем в предыдущей таблице. Конфигурация компьютера не поддерживает единую форму VMSS, но поддерживает VMSS Flex.

Требования к сети

Виртуальные машины Azure могут использовать локальный сетевой адаптер (vNIC) или Приватный канал Azure для взаимодействия со службой конфигурации компьютера.

Компьютеры с поддержкой Azure Arc подключаются с помощью локальной сетевой инфраструктуры для доступа к службам Azure и состоянию соответствия отчета.

В следующей таблице показаны поддерживаемые конечные точки для компьютеров с поддержкой Azure и Azure Arc:

Регион Географические данные URL-адрес Конечная точка хранилища
EastAsia Азиатско-Тихоокеанский регион
agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com

oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
Юго-Восточная Асия Азиатско-Тихоокеанский регион
agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com

oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
АвстралияEast Австралия
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com

oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
АвстралииSoutheast Австралия
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com

oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
Бразилии Бразилия
agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com

oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
КанадаCentral Канада
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com

oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
КанадаEast Канада
agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com

oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ChinaEast2 Китай
agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn chne2-gas.guestconfiguration.azure.cn
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn
КитайНорт Китай
agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn chnn-gas.guestconfiguration.azure.cn
oaasguestconfigchnns2.blob.core.chinacloudapi.cn
ChinaNorth2 Китай
agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn
ChinaNorth3 Китай agentserviceapi.guestconfiguration.azure.cn
chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn
NorthEurope Европа
agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com

oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
WestEurope Европа agentserviceapi.guestconfiguration.azure.com
westeurope-gas.guestconfiguration.azure.com we-gas.guestconfiguration.azure.com

oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
FranceCentral Франция
agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com

oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ГерманияНорт Германия
agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com

oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ГерманииWestCentral Германия
agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com

oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
CentralIndia Индия
agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com

oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
SouthIndia Индия
agentserviceapi.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com

oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ИзраильCentral Израиль
agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com

oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ИталияНорт Италия
agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com

oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ЯпонииEast Япония
agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com

oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ЯпонииWest Япония
agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com

oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
КореяCentral Республика Корея agentserviceapi.guestconfiguration.azure.com
koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com

oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
МексикаCentral Мексика
agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com

oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
НорвегияEast Норвегия
agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com

oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ПольшаЦентральная Польша
agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com
oaasguestconfigwcuss1.blob.core.windows.net
КатарЦентраль Катар
agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com

oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
SouthAfricaNorth SouthAfrica
agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com

oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
SouthAfricaWest SouthAfrica
agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com

oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
Сентральная Испания Испания
agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com

oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ШвецияCentral Швеция
agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com

oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ШвейцарияНорт Швейцария
agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com
stzn-gas.guestconfiguration.azure.com

oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ШвейцарияWest Швейцария
agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com

oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ТайваньНорт Тайвань
agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com twn-gas.guestconfiguration.azure.com

oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
ОАЭNorth Объединённые Арабские Эмираты
agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com

oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
UKSouth Соединенное Королевство
agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com

oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
UKWest Соединенное Королевство agentserviceapi.guestconfiguration.azure.com
ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com

oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
EastUS США
agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com

oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
EastUS2 США
agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com

oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
WestUS США
agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com

oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
WestUS2 США
agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com

oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
WestUS3 США
agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com

oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
CentralUS США
agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com

oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
NorthCentralUS США agentserviceapi.guestconfiguration.azure.com
northcentralus-gas.guestconfiguration.azure.com
ncus-gas.guestconfiguration.azure.com

oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
SouthCentralUS США
agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com

oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
WestCentralUS США
agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com

oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net
USGovArizona Правительство США
agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us
oaasguestconfigusgas1.blob.core.usgovcloudapi.net
USGovTexas Правительство США
agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us
oaasguestconfigusgts1.blob.core.usgovcloudapi.net
USGovVirginia Правительство США
agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net

Обмен данными между виртуальными сетями в Azure

Для взаимодействия с поставщиком ресурсов конфигурации компьютера в Azure компьютеры требуют исходящего доступа к центрам обработки данных Azure через порт 443*. Если сеть в Azure не разрешает исходящий трафик, настройте исключения с помощью правил группы безопасности сети. ТегиAzureArcInfrastructure служб и Storage могут использоваться для ссылки на гостевые конфигурации и службы хранилища, а не вручную поддерживать список диапазонов IP-адресов для центров обработки данных Azure. Оба тега необходимы, так как служба хранилища Azure размещает пакеты содержимого конфигурации компьютера.

Виртуальные машины могут использовать приватный канал для подключения к службе конфигурации компьютера. Примените тег с именем EnablePrivateNetworkGC и значением TRUE, чтобы включить эту функцию. Тег можно задействовать до применения определений политик конфигурации компьютера к машине или после этого.

Внимание

Чтобы связаться с приватным каналом для пользовательских пакетов, необходимо добавить ссылку на расположение пакета в список разрешенных URL-адресов.

Трафик направляется с помощью виртуального общедоступного IP-адреса Azure, чтобы установить защищенный канал с проверкой подлинности с помощью ресурсов платформы Azure.

Обмен данными по общедоступным конечным точкам за пределами Azure

Серверы, расположенные локально или в других облаках, можно управлять с помощью конфигурации компьютера, подключив их к Azure Arc.

Для серверов с поддержкой Azure Arc разрешите трафик с помощью следующих шаблонов:

  • Порт: только исходящий интернет-трафик через TCP-порт 443.
  • Глобальный URL-адрес: *.guestconfiguration.azure.com

Сведения о требованиях к сети серверов с поддержкой Azure Arc см. в полном списке всех сетевых конечных точек, необходимых агенту подключенного компьютера Azure для основных сценариев конфигурации Azure Arc и компьютеров.

При использовании приватного канала с серверами с поддержкой Arc встроенные пакеты политик автоматически загружаются по приватной ссылке. Чтобы включить эту функцию, вам не нужно задавать теги на сервере с поддержкой Arc.

Назначение политик компьютерам вне Azure

К политикам аудита, доступным для конфигурации компьютера, относится тип ресурса Microsoft.HybridCompute/machines. Все компьютеры, подключенные к серверам с поддержкой Azure Arc, которые находятся в области назначения политики, автоматически включаются.

Требования к удостоверениям

Определения политик в инициативе Deploy prerequisites to enable guest configuration policies on virtual machines позволяют управляемому удостоверению, назначаемого системой, если он не существует. В инициативе, управляющей созданием удостоверений, существует два определения политик. Условия if в определениях политик обеспечивают правильное поведение на основе текущего состояния ресурса компьютера в Azure.

Внимание

Эти определения создают на целевых ресурсах назначаемое системой управляемое удостоверение в дополнение к существующим удостоверениям, назначаемым пользователем (при их наличии). Для существующих приложений, если в запросе не указано назначенное пользователем удостоверение, компьютер по умолчанию будет использовать удостоверение, назначенное системой. Подробнее

Если на компьютере нет управляемых удостоверений, эффективная политика: добавьте назначаемое системой управляемое удостоверение, чтобы включить назначения гостевой конфигурации на виртуальных машинах без удостоверений.

Если компьютер в настоящее время имеет удостоверение, назначаемое пользователем, эффективная политика: добавление управляемого удостоверения, назначаемого системой, чтобы включить назначения гостевой конфигурации на виртуальных машинах с удостоверением, назначенным пользователем.

Доступность

Клиенты, разрабатывающие высокодоступное решение, должны учитывать требования к планированию избыточности для виртуальных машин, так как назначения гостей являются расширениями ресурсов компьютера в Azure. При подготовке ресурсов гостевого назначения в парном регионе Azure можно просмотреть отчеты о назначении гостей, если доступно хотя бы один регион в паре. Если регион Azure не связан и он становится недоступным, вы не сможете получить доступ к отчетам для гостевого назначения. После восстановления региона можно снова получить доступ к отчетам.

Рекомендуется назначить одинаковые определения политик с одинаковыми параметрами для всех компьютеров в решении для высокодоступных приложений. Это особенно верно для сценариев, когда виртуальные машины подготавливаются в группах доступности за решением подсистемы балансировки нагрузки. Одно назначение политики, охватывающее все компьютеры, имеет наименьшую административную нагрузку.

Для компьютеров, защищенных Azure Site Recovery, убедитесь, что компьютеры на основном и вторичном сайте находятся в пределах Политика Azure назначений для одинаковых определений. Используйте одинаковые значения параметров для обоих сайтов.

Место расположения данных

Конфигурация компьютера хранит и обрабатывает данные клиента. По умолчанию данные клиента реплицируются в парный регион. Для регионов Сингапур, Южная Бразилия и Восточная Азия все данные клиента хранятся и обрабатываются в регионе.

Устранение неполадок настройки конфигурации компьютера

Дополнительные сведения об устранении неполадок настройки конфигурации компьютера см. в статье Устранение неполадок Политики Azure.

Несколько назначений

В настоящее время только некоторые встроенные определения политики конфигурации компьютера поддерживают несколько назначений. Однако все пользовательские политики поддерживают несколько назначений по умолчанию, если вы использовали последнюю версию модуля PowerShell гостевой конфигурации Для создания пакетов и политик конфигурации компьютера.

Ниже приведен список встроенных определений политик конфигурации компьютера, поддерживающих несколько назначений:

Идентификатор Отображаемое имя
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce Локальные методы проверки подлинности должны быть отключены на серверах Windows
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a Локальные методы проверки подлинности должны быть отключены на компьютерах Linux
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 [Предварительная версия]: добавьте управляемое удостоверение, назначаемое пользователем, чтобы включить назначения гостевой конфигурации на виртуальных машинах
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 [предварительная версия]: компьютеры Linux должны соответствовать требованиям stIG для вычислений Azure.
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c [предварительная версия]: компьютеры Windows должны соответствовать требованиям соответствия STIG для вычислений Azure
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f [Предварительная версия]: компьютеры Linux с установленной OMI должны иметь версию 1.6.8-1 или более позднюю версию.
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b Аудит компьютеров Windows без указанных сертификатов в доверенном корневом центре сертификации
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd Аудит компьютеров с Windows с несоответствующей конфигурацией DSC
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 Аудит компьютеров Windows, на которых отсутствует указанная политика выполнения Windows PowerShell
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 Аудит компьютеров Windows, на которых не установлены указанные модули Windows PowerShell
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb Аудит компьютеров с Windows без включенной последовательной консоли Windows
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fddd94df Аудит компьютеров с Windows без заданных установленных и запущенных служб
/providers/Microsoft.Authorization/policyDefinitions/c63f6a2-7f8b-4d9e-9456-02f0f04f5505 Аудит компьютеров Windows, на которых не задан указанный часовой пояс

Примечание.

Периодически проверьте эту страницу на наличие обновлений в списке встроенных определений политик конфигурации компьютера, поддерживающих несколько назначений.

Назначения группам управления Azure

Политика Azure определения в категории Guest Configuration можно назначить группам управления, если эффект или AuditIfNotExistsDeployIfNotExists.

Внимание

При создании исключений политик в политике конфигурации компьютера необходимо удалить связанное назначение гостевой учетной записи, чтобы остановить выполнение сканирования агентом.

Файлы журналов клиента

Модуль настройки конфигурации компьютера записывает файлы журналов в следующие разделы.

Виндоус

  • Виртуальная машина Azure: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
  • Серверы с поддержкой Arc: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Линукс

  • Виртуальная машина Azure: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Серверы с поддержкой Arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Удаленный сбор журналов

Первым шагом к устранению неполадок, связанных с конфигурациями или модулями компьютера, должно быть использование командлетов в соответствии с шагами, описанными в статье о проверке артефактов пакетов конфигурации компьютера. Если этот шаг не помог, помочь в диагностике проблем может сбор журналов клиентов.

Виндоус

Полезно будет попробовать использовать следующий пример сценария PowerShell, чтобы получить данные из файлов журналов с помощью команды выполнения виртуальной машины Azure.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch  = 10
$params = @{
    Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
    Pattern = @(
        'DSCEngine'
        'DSCManagedEngine'
    )
    CaseSensitive = $true
    Context = @(
        $linesToIncludeBeforeMatch
        $linesToIncludeAfterMatch
    )
}
Select-String @params | Select-Object -Last 10

Линукс

Чтобы получить данные из файлов журналов с помощью команды выполнения виртуальной машины Azure, пригодится данный скрипт на Bash.

LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail

Файлы агента

Агент конфигурации компьютера загружает пакеты содержимого на компьютер и извлекает содержимое. Чтобы проверить, какое содержимое было загружено и сохранено, просмотрите расположения папок в следующем списке.

  • Виндовс: C:\ProgramData\guestconfig\configuration
  • Линукс: /var/lib/GuestConfig/Configuration

Функции модуля nxtools с открытым кодом

Выпущен новый модуль nxtools с открытым кодом для упрощения управления системами Linux для пользователей PowerShell.

Модуль помогает управлять общими задачами, такими как:

  • Управление пользователями и группами
  • Выполнение операций файловой системы
  • Управление сервисами
  • Выполнение операций архива
  • Управление пакетами

Модуль включает ресурсы DSC на основе классов для Linux и встроенные пакеты конфигурации компьютера.

Чтобы предоставить отзыв об этой функции, откройте проблему в документации. В настоящее время мы не принимаем PR для этого проекта, и поддержка является лучшими усилиями.

Примеры конфигурации компьютера

Встроенные примеры политики настройки конфигурации компьютера доступны здесь:

Следующие шаги