Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Эта статья ссылается на CentOS, дистрибутив Linux, который является состоянием "Конец жизни" (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
Функция конфигурации компьютера Политика Azure предоставляет собственные возможности для аудита или настройки параметров операционной системы в качестве кода для компьютеров, работающих в Azure и гибридной среде.Компьютеры с поддержкой Arc. Эту функцию можно использовать непосредственно на компьютере или оркестрировать ее в масштабе с помощью Политика Azure.
Ресурсы конфигурации в Azure представляют собой ресурсы расширения. Вы можете представить каждую конфигурацию как дополнительный набор свойств для компьютера. Конфигурации могут включать такие параметры:
- Параметры операционной системы
- конфигурация или наличие приложения;
- Параметры среды
Конфигурации отличаются от определений политик. Конфигурация компьютера использует Политика Azure для динамического назначения конфигураций компьютерам. Вы также можете назначить конфигурации компьютерам вручную.
Примеры каждого сценария приведены в таблице ниже.
Тип | Описание | Пример сценария |
---|---|---|
Управление конфигурацией | Вам требуется сформировать полное представление сервера в виде кода в системе управления версиями. Развертывание должно включать свойства сервера (размер, сеть, хранилище), а также конфигурацию операционной системы и параметров приложения. | Этот компьютер должен представлять собой веб-сервер, настроенный для размещения веб-сайта. |
Соблюдение закона | Вы хотите выполнить аудит или развертывание параметров на всех компьютерах в области либо реактивно на существующие компьютеры, либо заранее на новые компьютеры при развертывании. | Все компьютеры должны использовать TLS 1.2. Аудит существующих компьютеров, чтобы я могу освободить изменения, где это необходимо, в управляемом порядке, в масштабе. Для новых компьютеров при развертывании необходимо применить параметр. |
Результаты каждого параметра можно просмотреть на странице "Гостевые назначения". Если Политика Azure назначение оркестрируется конфигурацией, можно выбрать ссылку "Последний вычисляемый ресурс" на странице "Сведения о соответствии".
Примечание.
Конфигурация компьютера в настоящее время поддерживает создание до 50 гостевых назначений на компьютер.
Режимы принудительного применения для пользовательских политик
Чтобы обеспечить большую гибкость в применении и мониторинге параметров сервера, приложений и рабочих нагрузок, Конфигурация компьютера предлагает три основных режима принудительного применения для каждого назначения политики, как описано в следующей таблице.
Режим | Описание |
---|---|
Аудит | Только отчет о состоянии компьютера |
Применение и мониторинг | Конфигурация, примененная к компьютеру, а затем отслеживаемая для изменений |
Применение и автозамена | Конфигурация, примененная к компьютеру и возвращаемая в соответствие в случае смещения |
Доступен пошаговый видеопросмотр этого документа. (Обновление скоро)
Включение конфигурации компьютера
Чтобы управлять состоянием компьютеров в своей среде, включая машины на серверах с поддержкой Azure и Arc, просмотрите следующие сведения.
Поставщик ресурсов
Прежде чем вы сможете использовать функцию конфигурации компьютера Политики Azure, необходимо зарегистрировать поставщика ресурсов Microsoft.GuestConfiguration
. Если назначение политики конфигурации компьютера выполняется через портал или если подписка зарегистрирована в Microsoft Defender для облака, поставщик ресурсов регистрируется автоматически. Вы можете вручную зарегистрироваться через портал, Azure PowerShell или Azure CLI.
Требования к развертыванию виртуальных машин Azure
Для управления настройками внутри машины включено расширение виртуальной машины и машина должна иметь управляемую системой идентификацию. Расширение скачивает применимые назначения конфигурации компьютера и соответствующие зависимости. Идентификатор используется для аутентификации компьютера при чтении и записи в службу конфигурации компьютера. Расширение не требуется для серверов с поддержкой Arc, так как оно включено в агент Arc Connected Machine.
Внимание
Расширение конфигурации компьютера и управляемое удостоверение необходимы для управления виртуальными машинами Azure.
Чтобы развернуть расширение в масштабе на многих машинах, назначьте инициативу политики
Deploy prerequisites to enable Guest Configuration policies on virtual machines
в группу управления, подписку или группу ресурсов, содержащую машины, которыми вы планируете управлять.
Если вы предпочитаете развернуть расширение и управляемое удостоверение на одном компьютере, см. статью "Настройка управляемых удостоверений для ресурсов Azure на виртуальной машине с помощью портал Azure".
Чтобы использовать пакеты конфигурации компьютера, которые применяют конфигурации, требуется расширение гостевой конфигурации виртуальной машины Azure версии 1.26.24 или более поздней версии.
Внимание
Создание управляемого удостоверения или назначения политики с ролью "Участник ресурса гостевой конфигурации" — это действия, требующие выполнения соответствующих разрешений Azure RBAC. Дополнительные сведения о Политика Azure и Azure RBAC см. в статье Политика Azure управления доступом на основе ролей.
Ограничения, установленные для расширения
Чтобы расширение не влияло на приложения, запущенные на машине, агенту конфигурации компьютера не разрешается превышать более 5 % ЦП. Это ограничение существует как для встроенных, так и для пользовательских определений. Это справедливо и для службы конфигурации компьютера в агенте на подключенном компьютере Arc.
Инструменты проверки
Внутри машины агент конфигурации компьютера использует локальные инструменты для выполнения задач.
В следующей таблице перечислены локальные средства, используемые в поддерживаемых операционных системах. Для встроенного контента конфигурация компьютера автоматически загружает эти инструменты.
Операционная система | Инструмент проверки | Примечания |
---|---|---|
Виндоус | Конфигурация требуемого состояния PowerShell | Загружено в папку, используемую только Политикой Azure. Не конфликтует с Windows PowerShell DSC. PowerShell не добавляется в системный путь. |
Линукс | Конфигурация требуемого состояния PowerShell | Загружено в папку, используемую только Политикой Azure. PowerShell не добавляется в системный путь. |
Линукс | Шеф-повар InSpec | Устанавливает Chef InSpec версии 2.2.61 в расположении по умолчанию и добавляет его в системный путь. Она также устанавливает зависимости InSpec, включая Ruby и Python. |
Частота проверки
Агент конфигурации м проверяет наличие новых или измененных назначений гостей каждые 5 минут. После получения назначения гостя параметры конфигурации проверяются повторно с 15-минутным интервалом. Если назначено несколько конфигураций, каждая из них оценивается последовательно. Длительные конфигурации влияют на интервал для всех конфигураций, так как следующий не может выполняться до завершения предыдущей конфигурации.
По завершении аудита результаты отправляются в службу конфигурации компьютера. Когда происходит триггер оценки политики, состояние машины записывается в поставщик ресурсов конфигурации компьютера. Эти новые данные позволяют Политике Azure повторно оценить свойства Azure Resource Manager. Оценка Политики Azure по запросу получает последнее значение от поставщика ресурсов конфигурации компьютера. Однако это не вызывает новой активности внутри машины. Затем статус записывается в Azure Resource Graph.
Поддерживаемые типы клиентов
Политики настройки конфигурации компьютера являются инклюзивными для новых версий. Более старые версии операционных систем, доступные в Azure Marketplace, не поддерживаются, если клиент гостевой конфигурации несовместим. Кроме того, версии сервера Linux, которые не поддерживаются соответствующими издателями, исключаются из матрицы поддержки.
В таблице ниже перечислены операционные системы, поддерживаемые в образах Azure. Текст .x
является символичным для представления новых дополнительных версий дистрибутивов Linux.
Издатель | Имя. | Версии |
---|---|---|
Алма | AlmaLinux | 9 |
Амазонка | Линукс | 2 |
Канонический | Сервер Ubuntu | 16.04 - 24.x |
Кредатив | Debian | 10.x - 12.x |
Корпорация Майкрософт | CBL-Mariner | 1 - 2 |
Корпорация Майкрософт | Azure Linux | 3 |
Корпорация Майкрософт | Клиент Windows | Windows 10, 11 |
Корпорация Майкрософт | Windows Server | 2012 - 2025 |
Oracle; | Oracle-Linux | 7.x — 8.x |
OpenLogic | CentOS | 7.3 – 8.x |
Red Hat | Red Hat Enterprise Linux* | 7.4 — 9.x |
Скалистый | Рокки Linux | 8 |
SUSE | SLES | 12 с пакетом обновления 5 (SP5), 15.x |
* Red Hat CoreOS не поддерживается.
Определения политики конфигурации компьютера поддерживают пользовательские образы виртуальных машин, если они одна из операционных систем в предыдущей таблице. Конфигурация компьютера не поддерживает единую форму VMSS, но поддерживает VMSS Flex.
Требования к сети
Виртуальные машины Azure могут использовать локальный сетевой адаптер (vNIC) или Приватный канал Azure для взаимодействия со службой конфигурации компьютера.
Компьютеры с поддержкой Azure Arc подключаются с помощью локальной сетевой инфраструктуры для доступа к службам Azure и состоянию соответствия отчета.
В следующей таблице показаны поддерживаемые конечные точки для компьютеров с поддержкой Azure и Azure Arc:
Регион | Географические данные | URL-адрес | Конечная точка хранилища |
---|---|---|---|
EastAsia | Азиатско-Тихоокеанский регион |
agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
Юго-Восточная Асия | Азиатско-Тихоокеанский регион |
agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
АвстралияEast | Австралия |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
АвстралииSoutheast | Австралия |
agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
Бразилии | Бразилия |
agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
КанадаCentral | Канада |
agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
КанадаEast | Канада |
agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ChinaEast2 | Китай |
agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn chne2-gas.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
КитайНорт | Китай |
agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn chnn-gas.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
ChinaNorth2 | Китай |
agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
ChinaNorth3 | Китай | agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
NorthEurope | Европа |
agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
WestEurope | Европа | agentserviceapi.guestconfiguration.azure.com westeurope-gas.guestconfiguration.azure.com we-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
FranceCentral | Франция |
agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.com fc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ГерманияНорт | Германия |
agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ГерманииWestCentral | Германия |
agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
CentralIndia | Индия |
agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SouthIndia | Индия |
agentserviceapi.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ИзраильCentral | Израиль |
agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com |
oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ИталияНорт | Италия |
agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com |
oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ЯпонииEast | Япония |
agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ЯпонииWest | Япония |
agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
КореяCentral | Республика Корея | agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
МексикаCentral | Мексика |
agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
НорвегияEast | Норвегия |
agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com |
oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ПольшаЦентральная | Польша |
agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
КатарЦентраль | Катар |
agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com |
oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SouthAfricaNorth | SouthAfrica |
agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SouthAfricaWest | SouthAfrica |
agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
Сентральная Испания | Испания |
agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com |
oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ШвецияCentral | Швеция |
agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ШвейцарияНорт | Швейцария |
agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com stzn-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ШвейцарияWest | Швейцария |
agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ТайваньНорт | Тайвань |
agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com twn-gas.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
ОАЭNorth | Объединённые Арабские Эмираты |
agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com |
oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
UKSouth | Соединенное Королевство |
agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
UKWest | Соединенное Королевство | agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
EastUS | США |
agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
EastUS2 | США |
agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
WestUS | США |
agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
WestUS2 | США |
agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
WestUS3 | США |
agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
CentralUS | США |
agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
NorthCentralUS | США | agentserviceapi.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com ncus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
SouthCentralUS | США |
agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
WestCentralUS | США |
agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
USGovArizona | Правительство США |
agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
USGovTexas | Правительство США |
agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
USGovVirginia | Правительство США |
agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Обмен данными между виртуальными сетями в Azure
Для взаимодействия с поставщиком ресурсов конфигурации компьютера в Azure компьютеры требуют исходящего доступа к центрам обработки данных Azure через порт 443
*. Если сеть в Azure не разрешает исходящий трафик, настройте исключения с помощью правил группы безопасности сети.
ТегиAzureArcInfrastructure
служб и Storage
могут использоваться для ссылки на гостевые конфигурации и службы хранилища, а не вручную поддерживать список диапазонов IP-адресов для центров обработки данных Azure. Оба тега необходимы, так как служба хранилища Azure размещает пакеты содержимого конфигурации компьютера.
Взаимодействие по приватному каналу в Azure
Виртуальные машины могут использовать приватный канал для подключения к службе конфигурации компьютера.
Примените тег с именем EnablePrivateNetworkGC
и значением TRUE
, чтобы включить эту функцию. Тег можно задействовать до применения определений политик конфигурации компьютера к машине или после этого.
Внимание
Чтобы связаться с приватным каналом для пользовательских пакетов, необходимо добавить ссылку на расположение пакета в список разрешенных URL-адресов.
Трафик направляется с помощью виртуального общедоступного IP-адреса Azure, чтобы установить защищенный канал с проверкой подлинности с помощью ресурсов платформы Azure.
Обмен данными по общедоступным конечным точкам за пределами Azure
Серверы, расположенные локально или в других облаках, можно управлять с помощью конфигурации компьютера, подключив их к Azure Arc.
Для серверов с поддержкой Azure Arc разрешите трафик с помощью следующих шаблонов:
- Порт: только исходящий интернет-трафик через TCP-порт 443.
- Глобальный URL-адрес:
*.guestconfiguration.azure.com
Сведения о требованиях к сети серверов с поддержкой Azure Arc см. в полном списке всех сетевых конечных точек, необходимых агенту подключенного компьютера Azure для основных сценариев конфигурации Azure Arc и компьютеров.
Обмен данными через Приватный канал за пределами Azure
При использовании приватного канала с серверами с поддержкой Arc встроенные пакеты политик автоматически загружаются по приватной ссылке. Чтобы включить эту функцию, вам не нужно задавать теги на сервере с поддержкой Arc.
Назначение политик компьютерам вне Azure
К политикам аудита, доступным для конфигурации компьютера, относится тип ресурса Microsoft.HybridCompute/machines. Все компьютеры, подключенные к серверам с поддержкой Azure Arc, которые находятся в области назначения политики, автоматически включаются.
Требования к удостоверениям
Определения политик в инициативе Deploy prerequisites to enable guest configuration policies on virtual machines
позволяют управляемому удостоверению, назначаемого системой, если он не существует. В инициативе, управляющей созданием удостоверений, существует два определения политик. Условия if
в определениях политик обеспечивают правильное поведение на основе текущего состояния ресурса компьютера в Azure.
Внимание
Эти определения создают на целевых ресурсах назначаемое системой управляемое удостоверение в дополнение к существующим удостоверениям, назначаемым пользователем (при их наличии). Для существующих приложений, если в запросе не указано назначенное пользователем удостоверение, компьютер по умолчанию будет использовать удостоверение, назначенное системой. Подробнее
Если на компьютере нет управляемых удостоверений, эффективная политика: добавьте назначаемое системой управляемое удостоверение, чтобы включить назначения гостевой конфигурации на виртуальных машинах без удостоверений.
Если компьютер в настоящее время имеет удостоверение, назначаемое пользователем, эффективная политика: добавление управляемого удостоверения, назначаемого системой, чтобы включить назначения гостевой конфигурации на виртуальных машинах с удостоверением, назначенным пользователем.
Доступность
Клиенты, разрабатывающие высокодоступное решение, должны учитывать требования к планированию избыточности для виртуальных машин, так как назначения гостей являются расширениями ресурсов компьютера в Azure. При подготовке ресурсов гостевого назначения в парном регионе Azure можно просмотреть отчеты о назначении гостей, если доступно хотя бы один регион в паре. Если регион Azure не связан и он становится недоступным, вы не сможете получить доступ к отчетам для гостевого назначения. После восстановления региона можно снова получить доступ к отчетам.
Рекомендуется назначить одинаковые определения политик с одинаковыми параметрами для всех компьютеров в решении для высокодоступных приложений. Это особенно верно для сценариев, когда виртуальные машины подготавливаются в группах доступности за решением подсистемы балансировки нагрузки. Одно назначение политики, охватывающее все компьютеры, имеет наименьшую административную нагрузку.
Для компьютеров, защищенных Azure Site Recovery, убедитесь, что компьютеры на основном и вторичном сайте находятся в пределах Политика Azure назначений для одинаковых определений. Используйте одинаковые значения параметров для обоих сайтов.
Место расположения данных
Конфигурация компьютера хранит и обрабатывает данные клиента. По умолчанию данные клиента реплицируются в парный регион. Для регионов Сингапур, Южная Бразилия и Восточная Азия все данные клиента хранятся и обрабатываются в регионе.
Устранение неполадок настройки конфигурации компьютера
Дополнительные сведения об устранении неполадок настройки конфигурации компьютера см. в статье Устранение неполадок Политики Azure.
Несколько назначений
В настоящее время только некоторые встроенные определения политики конфигурации компьютера поддерживают несколько назначений. Однако все пользовательские политики поддерживают несколько назначений по умолчанию, если вы использовали последнюю версию модуля PowerShell гостевой конфигурации Для создания пакетов и политик конфигурации компьютера.
Ниже приведен список встроенных определений политик конфигурации компьютера, поддерживающих несколько назначений:
Идентификатор | Отображаемое имя |
---|---|
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Локальные методы проверки подлинности должны быть отключены на серверах Windows |
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Локальные методы проверки подлинности должны быть отключены на компьютерах Linux |
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Предварительная версия]: добавьте управляемое удостоверение, назначаемое пользователем, чтобы включить назначения гостевой конфигурации на виртуальных машинах |
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [предварительная версия]: компьютеры Linux должны соответствовать требованиям stIG для вычислений Azure. |
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [предварительная версия]: компьютеры Windows должны соответствовать требованиям соответствия STIG для вычислений Azure |
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Предварительная версия]: компьютеры Linux с установленной OMI должны иметь версию 1.6.8-1 или более позднюю версию. |
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Аудит компьютеров Windows без указанных сертификатов в доверенном корневом центре сертификации |
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Аудит компьютеров с Windows с несоответствующей конфигурацией DSC |
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Аудит компьютеров Windows, на которых отсутствует указанная политика выполнения Windows PowerShell |
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Аудит компьютеров Windows, на которых не установлены указанные модули Windows PowerShell |
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Аудит компьютеров с Windows без включенной последовательной консоли Windows |
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fddd94df | Аудит компьютеров с Windows без заданных установленных и запущенных служб |
/providers/Microsoft.Authorization/policyDefinitions/c63f6a2-7f8b-4d9e-9456-02f0f04f5505 | Аудит компьютеров Windows, на которых не задан указанный часовой пояс |
Примечание.
Периодически проверьте эту страницу на наличие обновлений в списке встроенных определений политик конфигурации компьютера, поддерживающих несколько назначений.
Назначения группам управления Azure
Политика Azure определения в категории Guest Configuration
можно назначить группам управления, если эффект или AuditIfNotExists
DeployIfNotExists
.
Внимание
При создании исключений политик в политике конфигурации компьютера необходимо удалить связанное назначение гостевой учетной записи, чтобы остановить выполнение сканирования агентом.
Файлы журналов клиента
Модуль настройки конфигурации компьютера записывает файлы журналов в следующие разделы.
Виндоус
- Виртуальная машина Azure:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
- Серверы с поддержкой Arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Линукс
- Виртуальная машина Azure:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
- Серверы с поддержкой Arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Удаленный сбор журналов
Первым шагом к устранению неполадок, связанных с конфигурациями или модулями компьютера, должно быть использование командлетов в соответствии с шагами, описанными в статье о проверке артефактов пакетов конфигурации компьютера. Если этот шаг не помог, помочь в диагностике проблем может сбор журналов клиентов.
Виндоус
Полезно будет попробовать использовать следующий пример сценария PowerShell, чтобы получить данные из файлов журналов с помощью команды выполнения виртуальной машины Azure.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Линукс
Чтобы получить данные из файлов журналов с помощью команды выполнения виртуальной машины Azure, пригодится данный скрипт на Bash.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Файлы агента
Агент конфигурации компьютера загружает пакеты содержимого на компьютер и извлекает содержимое. Чтобы проверить, какое содержимое было загружено и сохранено, просмотрите расположения папок в следующем списке.
- Виндовс:
C:\ProgramData\guestconfig\configuration
- Линукс:
/var/lib/GuestConfig/Configuration
Функции модуля nxtools с открытым кодом
Выпущен новый модуль nxtools с открытым кодом для упрощения управления системами Linux для пользователей PowerShell.
Модуль помогает управлять общими задачами, такими как:
- Управление пользователями и группами
- Выполнение операций файловой системы
- Управление сервисами
- Выполнение операций архива
- Управление пакетами
Модуль включает ресурсы DSC на основе классов для Linux и встроенные пакеты конфигурации компьютера.
Чтобы предоставить отзыв об этой функции, откройте проблему в документации. В настоящее время мы не принимаем PR для этого проекта, и поддержка является лучшими усилиями.
Примеры конфигурации компьютера
Встроенные примеры политики настройки конфигурации компьютера доступны здесь:
- Встроенные определения политик — гостевая конфигурация
- Встроенные инициативы — гостевая конфигурация
- Политика Azure репозиторий GitHub
- Примеры модулей ресурсов DSC
Следующие шаги
- Настройте среду разработки для настраиваемого пакета конфигурации компьютера.
- Создайте артефакт пакета для конфигурации машины.
- Проверьте артефакт пакета из среды разработки.
- Используйте модуль GuestConfiguration для создания определения Политика Azure для горизонтального управления средой.
- Назначьте пользовательское определение политики с помощью портала Azure.
- Узнайте, как просматривать сведения о соответствии для назначений политики конфигурации машины.