فهم ميزة تكوين الضيف في نهج Azure
توفر ميزة تكوين الضيف في Azure Policy إمكانية أصلية لتدقيق إعدادات نظام التشغيل أو تكوينها كتعليمات برمجية، سواء للأجهزة التي تعمل في Azure أو الأجهزة المختلطة التي تدعم Arc. يمكن استخدام الميزة مباشرة لكل جهاز، أو على نطاق واسع يتم تنسيقها بواسطة Azure Policy.
تم تصميم موارد التكوين في Azure كمورد ملحق. يمكنك تخيل كل تكوين كمجموعة إضافية من الخصائص للجهاز. يمكن أن تتضمن التكوينات إعدادات مثل:
- إعدادات نظام التشغيل
- تكوين التطبيق أو حالة حضوره
- إعدادات البيئة
تختلف التكوينات عن تعريفات السياسة. يستخدم تكوين الضيف نهج Azure لتعيين تكوينات للأجهزة بشكل ديناميكي. يمكنك أيضا تعيين تكوينات للأجهزة يدويا، أو باستخدام خدمات Azure الأخرى مثل الإدارة التلقائية.
وترد أمثلة على كل سيناريو في الجدول التالي.
| النوع | الوصف | مثال على القصة |
|---|---|---|
| إدارة التكوين | تريد تمثيلا كاملا للخادم، كتعليمات برمجية في عنصر تحكم المصدر. يجب أن يتضمن النشر خصائص الخادم (الحجم والشبكة والتخزين) وتكوين إعدادات نظام التشغيل والتطبيق. | "يجب أن يكون هذا الجهاز خادم ويب تم تكوينه لاستضافة موقع الويب الخاص بي." |
| الامتثال | تريد تدقيق الإعدادات أو نشرها على جميع الأجهزة الموجودة في النطاق إما بشكل تفاعلي مع الأجهزة الموجودة أو بشكل استباقي مع الأجهزة الجديدة عند نشرها. | "يجب أن تستخدم جميع الأجهزة TLS 1.2. قم بمراجعة الآلات الموجودة حتى أتمكن من تحرير التغيير عند الحاجة إليه ، بطريقة خاضعة للرقابة ، على نطاق واسع. بالنسبة للأجهزة الجديدة، قم بفرض الإعداد عند نشرها." |
يمكن عرض النتائج لكل إعداد من التكوينات إما في صفحة مهام الضيف أو إذا تم تنسيق التكوين بواسطة تعيين نهج Azure، من خلال النقر على رابط "آخر مورد تم تقييمه" في صفحة "تفاصيل الامتثال".
تتوفر إرشادات تفصيلية بالفيديو لهذا المستند. (التحديث قريبا)
تمكين تكوين الضيف
لإدارة حالة الأجهزة في بيئتك، بما في ذلك الأجهزة الموجودة في الخوادم التي تدعم Azure وArc، راجع التفاصيل التالية.
مزود الموارد
قبل أن تتمكن من استخدام ميزة تكوين الضيف في نهج Azure، يجب عليك تسجيل Microsoft.GuestConfiguration موفر الموارد. إذا تم تعيين نهج تكوين ضيف من خلال البوابة الإلكترونية، أو إذا كان الاشتراك مسجلا في Microsoft Defender for Cloud، تسجيل موفر الموارد تلقائيا. يمكنك التسجيل يدويا من خلال البوابة الإلكترونية أو Azure PowerShell أو Azure CLI.
نشر متطلبات أجهزة Azure الظاهرية
لإدارة الإعدادات داخل الجهاز، يتم تمكين ملحق جهاز ظاهري ويجب أن يكون للجهاز هوية مدارة من قبل النظام. تقوم الإضافة بتنزيل تعيين تكوين الضيف القابل للتطبيق والتبعيات المقابلة. يتم استخدام الهوية لمصادقة الجهاز أثناء قراءته وكتابته لخدمة تكوين الضيف. الإضافة غير مطلوبة للخوادم التي تدعم Arc لأنها مضمنة في عامل Arc Connected Machine.
هام
يلزم توفر ملحق تكوين الضيف وهوية مدارة لإدارة أجهزة Azure الظاهرية.
لنشر الإضافة على نطاق واسع عبر العديد من الأجهزة، قم بتعيين مبادرة السياسةDeploy prerequisites to enable guest configuration policies on virtual machines إلى مجموعة إدارة أو اشتراك أو مجموعة موارد تحتوي على الأجهزة التي تخطط لإدارتها.
إذا كنت تفضل نشر الإضافة والهوية المدارة على جهاز واحد، فاتبع الإرشادات الخاصة بكل منهما:
- نظرة عامة حول ملحق تكوين ضيف سياسة Azure
- قم بتكوين الهويات المدارة لموارد Azure على جهاز افتراضي باستخدام مدخل Microsoft Azure
لاستخدام حزم تكوين الضيف التي تطبق التكوينات، يلزم توفر ملحق تكوين ضيف Azure VM الإصدار 1.29.24 أو إصدار أحدث.
الحدود الموضوعة على التمديد
للحد من الإضافة من التأثير على التطبيقات التي تعمل داخل الجهاز، لا يسمح لوكيل تكوين الضيف بتجاوز أكثر من 5٪ من وحدة المعالجة المركزية. يوجد هذا القيد لكل من التعريفات المضمنة والمخصصة. وينطبق الشيء نفسه على خدمة تكوين الضيف في وكيل Arc Connected Machine.
أدوات التحقق من الصحة
داخل الجهاز، يستخدم وكيل تكوين الضيف أدوات محلية لتنفيذ المهام.
يعرض الجدول التالي قائمة بالأدوات المحلية المستخدمة في كل نظام تشغيل مدعوم. بالنسبة للمحتوى المدمج، يتعامل تكوين الضيف مع تحميل هذه الأدوات تلقائيا.
| نظام التشغيل | أداة التحقق من الصحة | ملاحظات |
|---|---|---|
| Windows | PowerShell تكوين الحالة المطلوبة v3 | تم تحميله جانبيا إلى مجلد يستخدمه Azure Policy فقط. لن يتعارض مع Windows PowerShell DSC. لا تتم إضافة PowerShell Core إلى مسار النظام. |
| Linux | PowerShell تكوين الحالة المطلوبة v3 | تم تحميله جانبيا إلى مجلد يستخدمه Azure Policy فقط. لا تتم إضافة PowerShell Core إلى مسار النظام. |
| Linux | الشيف InSpec | تثبيت الإصدار 2.2.61 من Chef InSpec في الموقع الافتراضي وإضافته إلى مسار النظام. يتم تثبيت تبعيات حزمة InSpec بما في ذلك Ruby و Python أيضا. |
تكرار التحقق من الصحة
يتحقق وكيل تكوين الضيف من مهام الضيف الجديدة أو المتغيرة كل 5 دقائق. بمجرد استلام مهمة ضيف، تتم إعادة فحص إعدادات هذا التكوين على فاصل زمني مدته 15 دقيقة. إذا تم تعيين تكوينات متعددة، تقييم كل منها بالتتابع. تؤثر التكوينات طويلة الأمد على الفاصل الزمني لكافة التكوينات، لأن التكوينات التالية لن يتم تشغيلها حتى ينتهي التكوين السابق.
يتم إرسال النتائج إلى خدمة تكوين الضيف عند اكتمال التدقيق. عند حدوث مشغل تقييم نهج، تتم كتابة حالة الجهاز إلى موفر مورد تكوين الضيف. يؤدي هذا التحديث إلى قيام Azure Policy بتقييم خصائص Azure Resource Manager. يقوم تقييم نهج Azure عند الطلب باسترداد أحدث قيمة من موفر موارد تكوين الضيف. ومع ذلك ، فإنه لا يؤدي إلى نشاط جديد داخل الجهاز. ثم تتم كتابة الحالة إلى Azure Resource Graph.
أنواع العملاء المدعومة
تتضمن تعريفات سياسة تكوين الضيف الإصدارات الجديدة. يتم استبعاد الإصدارات القديمة من أنظمة التشغيل المتوفرة في Azure Marketplace إذا كان عميل Guest Configuration غير متوافق. يعرض الجدول التالي قائمة بأنظمة التشغيل المدعومة على صور Azure. النص ".x" رمزي لتمثيل الإصدارات الثانوية الجديدة من توزيعات Linux.
| الناشر | الاسم | الإصدارات |
|---|---|---|
| Amazon | Linux | 2 |
| متعارف عليه | Ubuntu Server | 14.04 - 20.x |
| كريداتيف | Debian | 8 - 10.x |
| Microsoft | Windows Server | 2012 - 2022 |
| Microsoft | عميل Windows | Windows 10 |
| Oracle | Oracle-Linux | 7.x-8.x |
| OpenLogic | CentOS | 7.3 -8.x |
| Red Hat | Red Hat Enterprise Linux* | 7.4 - 8.x |
| SUSE | SLES | 12 حزمة الخدمة SP3-SP5، 15.x |
* Red Hat CoreOS غير مدعوم.
يتم دعم صور الجهاز الظاهري المخصصة بواسطة تعريفات سياسة تكوين الضيف طالما أنها أحد أنظمة التشغيل في الجدول أعلاه.
متطلبات الشبكة
يمكن للأجهزة الظاهرية في Azure استخدام محول الشبكة المحلي أو ارتباط خاص للاتصال بخدمة تكوين الضيف.
تتصل أجهزة Azure Arc باستخدام البنية الأساسية للشبكة المحلية للوصول إلى خدمات Azure والإبلاغ عن حالة الامتثال.
التواصل عبر الشبكات الظاهرية في Azure
للتواصل مع موفر موارد تكوين الضيف في Azure، تتطلب الأجهزة الوصول الصادر إلى مراكز بيانات Azure على المنفذ 443. إذا كانت الشبكة في Azure لا تسمح بحركة المرور الصادرة، فقم بتكوين استثناءات باستخدام قواعد مجموعة أمان الشبكة . يمكن استخدام علامتي الخدمة "AzureArcInfrastructure" و"Storage" للإشارة إلى خدمات تكوين الضيف والتخزين بدلا من الاحتفاظ يدويا بقائمة نطاقات IP لمراكز بيانات Azure. كلتا العلامتين مطلوبتان لأن حزم محتوى تكوين الضيف تتم استضافتها بواسطة Azure Storage.
التواصل عبر الارتباط الخاص في Azure
يمكن للأجهزة الظاهرية استخدام رابط خاص للاتصال بخدمة تكوين الضيف. تطبيق العلامة بالاسم EnablePrivateNetworkGC والقيمة TRUE لتمكين هذه الميزة. يمكن تطبيق العلامة قبل أو بعد تطبيق تعريفات سياسة تكوين الضيف على الجهاز.
يتم توجيه حركة المرور باستخدام عنوان IP العام الظاهري ل Azure لإنشاء قناة آمنة ومصادق عليها باستخدام موارد النظام الأساسي ل Azure.
الخوادم الممكنة بواسطة Azure Arc
تتطلب العقد الموجودة خارج Azure المتصلة بواسطة Azure Arc الاتصال بخدمة تكوين الضيف. تفاصيل حول متطلبات الشبكة والوكيل المتوفرة في وثائق Azure Arc.
بالنسبة إلى الخوادم التي تدعم Arc في مراكز البيانات الخاصة، اسمح بحركة المرور باستخدام الأنماط التالية:
- المنفذ: TCP 443 فقط مطلوب للوصول إلى الإنترنت الصادر
- الرابط الدولي:
*.guestconfiguration.azure.com
تعيين نهج للأجهزة خارج Azure
تتضمن تعريفات نهج التدقيق المتوفرة لتكوين الضيف نوع مورد Microsoft.HybridCompute/machines. يتم تضمين أي أجهزة مضمنة في Azure Arc للخوادم الموجودة في نطاق تعيين النهج تلقائيا.
متطلبات الهوية المدارة
تعريفات النهج في المبادرة نشر المتطلبات الأساسية لتمكين سياسات تكوين الضيف على الأجهزة الظاهرية تمكين هوية مدارة معينة من قبل النظام، إذا لم تكن موجودة. هناك تعريفان للسياسة العامة في المبادرة يديران إنشاء الهوية. تضمن شروط IF في تعريفات النهج السلوك الصحيح استنادا إلى الحالة الحالية لمورد الجهاز في Azure.
هام
تنشئ هذه التعريفات هوية مدارة System-Assigned على الموارد المستهدفة، بالإضافة إلى هويات User-Assigned الموجودة (إن وجدت). بالنسبة إلى التطبيقات الموجودة وما لم يتم تحديد هوية User-Assigned في الطلب، سيقوم الجهاز بفرض استخدام System-Assigned الهوية بدلاً من ذلك بشكل افتراضي. معرفة المزيد
إذا لم يكن لدى الجهاز حاليا أي هويات مدارة، فإن السياسة الفعالة هي: إضافة هوية مدارة معينة من قبل النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات
إذا كان الجهاز يحتوي حاليا على هوية نظام معينة من قبل المستخدم، فإن النهج الفعال هو: إضافة هوية مدارة معينة من قبل النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية ذات الهوية المعينة من قبل المستخدم
التوفر
يجب على العملاء الذين يصممون حلا متوفرا للغاية مراعاة متطلبات تخطيط التكرار للأجهزة الظاهرية لأن تعيينات الضيف هي امتدادات لموارد الجهاز في Azure. عندما يتم توفير موارد تعيين الضيف في منطقة Azure مقترنة، طالما تتوفر منطقة واحدة على الأقل في الزوج، تتوفر تقارير تعيين الضيف. إذا لم يتم إقران منطقة Azure وأصبحت غير متوفرة، فلن يكون من الممكن الوصول إلى التقارير لمهمة ضيف حتى تتم استعادة المنطقة.
عند التفكير في بنية للتطبيقات المتوفرة بشكل كبير، خاصة عندما يتم توفير الأجهزة الظاهرية في مجموعات التوفر خلف حل موازن التحميل لتوفير توفر عالي، فمن الأفضل تعيين نفس تعريفات السياسة بنفس المعلمات لجميع الأجهزة في الحل. وإذا أمكن، فإن تعيين سياسة واحدة يشمل جميع الآلات من شأنه أن يوفر أقل النفقات الإدارية العامة.
بالنسبة للأجهزة المحمية بواسطة Azure Site Recovery، تأكد من أن الأجهزة الموجودة في موقع ثانوي تقع ضمن نطاق تعيينات نهج Azure لنفس التعريفات باستخدام نفس قيم المعلمات مثل الأجهزة الموجودة في الموقع الأساسي.
موقع البيانات
يقوم تكوين الضيف بتخزين/معالجة بيانات العملاء. بشكل افتراضي، يتم نسخ بيانات العميل إلى المنطقة المقترنة. بالنسبة للمناطق: سنغافورة والبرازيل وجنوب وشرق آسيا ، يتم تخزين جميع بيانات العملاء ومعالجتها في المنطقة.
استكشاف أخطاء تكوين الضيف وإصلاحها
لمزيد من المعلومات حول استكشاف أخطاء تكوين الضيف وإصلاحها، راجع استكشاف أخطاء نهج Azure وإصلاحها.
مهام متعددة
تدعم تعريفات نهج تكوين الضيف حاليا تعيين نفس مهمة الضيف مرة واحدة فقط لكل جهاز عندما يستخدم تعيين النهج معلمات مختلفة.
التعيينات إلى مجموعات إدارة Azure
لا يمكن تعيين تعريفات نهج Azure في الفئة "تكوين الضيف" إلى "مجموعات الإدارة" إلا عندما يكون التأثير هو "AuditIfNotExists". لا يتم دعم تعريفات النهج المؤثرة "DeployIfNotExists" كتعيينات لمجموعات الإدارة.
ملفات سجل العميل
يكتب ملحق تكوين الضيف ملفات السجل إلى المواقع التالية:
Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
Linux
- Azure VM:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - خادم يدعم القوس:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
جمع السجلات عن بعد
يجب أن تكون الخطوة الأولى في استكشاف أخطاء تكوينات الضيف أو الوحدات النمطية وإصلاحها هي استخدام cmdlets باتباع الخطوات الواردة في كيفية اختبار نماذج حزمة تكوين الضيف. إذا لم ينجح ذلك، يمكن أن يساعد جمع سجلات العميل في تشخيص المشكلات.
Windows
التقاط المعلومات من ملفات السجل باستخدام Azure VM Run Command، المثال التالي PowerShell البرنامج النصي يمكن أن يكون مفيدا.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$linesToIncludeAfterMatch | Select-Object -Last 10
Linux
التقاط المعلومات من ملفات السجل باستخدام Azure VM Run Command، المثال التالي البرنامج النصي Bash يمكن أن يكون مفيدا.
linesToIncludeBeforeMatch=0
linesToIncludeAfterMatch=10
logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tail
ملفات الوكيل
يقوم وكيل تكوين الضيف بتنزيل حزم المحتوى إلى جهاز واستخراج المحتويات. للتحقق من المحتوى الذي تم تنزيله وتخزينه، يمكنك عرض مواقع المجلدات الواردة أدناه.
Windows: c:\programdata\guestconfig\configuration
لينكس: /var/lib/GuestConfig/Configuration
نماذج تكوين الضيف
تتوفر نماذج النهج المضمنة في تكوين الضيف في المواقع التالية:
- تعريفات السياسة المضمنة - تكوين الضيف
- المبادرات المضمنة - تكوين الضيف
- Azure Policy samples GitHub repo
الخطوات التالية
- إعداد بيئة تطوير حزمة تكوين ضيف مخصصة.
- إنشاء قطعة أثرية حزمة لتكوين الضيف.
- اختبر قطعة الحزمة من بيئة التطوير الخاصة بك.
- استخدم الوحدة
GuestConfigurationالنمطية لإنشاء تعريف نهج Azure للإدارة على نطاق واسع لبيئتك. - قم بتعيين تعريف النهج المخصص باستخدام مدخل Azure.
- تعرف على كيفية عرض تفاصيل الامتثال لتعيينات سياسة تهيئة الضيف .