Grundlegende Informationen zum Gastkonfigurationsfeature von Azure Policy

Das Gastkonfigurationsfeature von Azure Policy bietet native Funktionen zum Überprüfen oder Konfigurieren von Betriebssystemeinstellungen als Code, sowohl für Computer, die in Azure ausgeführt werden, als auch für hybride Computer mit Arc-Unterstützung. Das Feature kann direkt pro Computer oder in großem Umfang von Azure Policy orchestriert verwendet werden.

Konfigurationsressourcen in Azure sind als Erweiterungsressourcen konzipiert. Sie können sich jede Konfiguration als zusätzlichen Satz von Eigenschaften für den Computer vorstellen. Konfigurationen können Einstellungen enthalten wie:

  • Betriebssystemeinstellungen
  • Die Konfiguration oder das Vorhandensein der Anwendung
  • Umgebungseinstellungen

Konfigurationen unterscheiden sich von Richtliniendefinitionen. Die Gastkonfiguration nutzt Azure Policy, um Computern Konfigurationen dynamisch zuzuweisen. Sie können Computern Konfigurationen auch manuell oder mithilfe anderer Azure-Dienste wie AutoManage zuweisen.

Beispiele für jedes Szenario sind in der folgenden Tabelle aufgeführt.

type BESCHREIBUNG Beispielstory
Konfigurationsverwaltung Sie möchten eine vollständige Darstellung eines Servers als Code in der Quellcodeverwaltung. Die Bereitstellung sollte Eigenschaften des Servers (Größe, Netzwerk, Speicher) und die Konfiguration von Betriebssystem- und Anwendungseinstellungen enthalten. "Dieser Computer sollte ein Webserver sein, der zum Hosten meiner Websete konfiguriert ist."
Compliance Sie möchten Einstellungen für alle Computer im Bereich überwachen oder bereitstellen, entweder reaktiv auf vorhandenen Computern oder proaktiv auf neuen Computern, wenn sie bereitgestellt werden. "Alle Computer sollten TLS 1.2 verwenden. Überwachen Sie vorhandene Computer, damit ich Änderungen an den benötigten Stellen auf kontrollierte Weise und bedarfsorientiert freigeben kann. Erzwingen Sie für neue Computer die Einstellung, wenn sie bereitgestellt werden."

Die Ergebnisse der einzelnen Konfigurationen können entweder auf der Seite Gastzuweisungen angezeigt werden, oder wenn die Konfiguration durch eine Azure Policy-Zuweisung orchestriert wird, indem Sie auf der Seite Compliance details auf den Link „Zuletzt ausgewertete Ressource“ klicken.

Für dieses Dokument ist ein Video zur exemplarischen Vorgehensweise verfügbar. (Update in Kürze verfügbar)

Aktivieren der Gastkonfiguration

Sehen Sie sich die folgenden ausführlichen Informationen an, um den Status der Computer in Ihrer Umgebung zu verwalten, einschließlich Computern in Azure und Arc-fähiger Server.

Ressourcenanbieter

Um das Gastkonfigurationsfeature von Azure Policy verwenden zu können, müssen Sie den Ressourcenanbieter Microsoft.GuestConfiguration registrieren. Wenn die Zuweisung einer Gastkonfigurationsrichtlinie über das Portal erfolgt oder das Abonnement in Microsoft Defender für Cloud registriert ist, wird der Ressourcenanbieter automatisch registriert. Hierfür können Sie über das Portal, die Azure PowerShell oder Azure CLI manuell registrieren.

Bereitstellen von Anforderungen für virtuelle Azure-Computer

Für die Verwaltung von Einstellungen innerhalb eines Computers ist eine VM-Erweiterung aktiviert, und der Computer muss über eine systemseitig verwaltete Identität verfügen. Die Erweiterung lädt die richtige Gastkonfigurationszuweisung sowie die entsprechenden Abhängigkeiten herunter. Die Identität wird verwendet, um den Computer zu authentifizieren, wenn Lese- und Schreibvorgänge im Gastkonfigurationsdienst ausgeführt werden. Bei Arc-fähigen Servern wird die Erweiterung nicht benötigt, da sie bereits im Arc Connected Machine-Agent enthalten ist.

Wichtig

Für die Verwaltung von virtuellen Azure-Computern sind die Gastkonfigurationserweiterung und eine verwaltete Identität erforderlich.

Wenn Sie die Erweiterung im großen Stil auf vielen Computern bereitstellen möchten, weisen Sie die Richtlinieninitiative Deploy prerequisites to enable guest configuration policies on virtual machines zu einer Verwaltungsgruppe, einem Abonnement oder einer Ressourcengruppe mit den Maschinen, die Sie verwalten möchten.

Wenn Sie die Erweiterung und die verwaltete Identität lieber auf einem einzelnen Computer bereitstellen möchten, befolgen Sie den jeweiligen Leitfaden:

Für die Verwendung von Gastkonfigurationspaketen, die Konfigurationen anwenden, ist die Azure-VM-Gastkonfigurationserweiterung, Version 1.29.24 oder höher, erforderlich.

Für die Erweiterung festgelegte Grenzwerte

Um die Auswirkungen der Erweiterung auf die auf dem Computer ausgeführten Anwendungen zu beschränken, darf der Gastkonfigurations-Agent höchstens 5 % der CPU auslasten. Diese Einschränkung gilt sowohl für integrierte als auch für angepasste Definitionen. Dies gilt auch für den Gastkonfigurationsdienst im Arc Connected Machine-Agent.

Überprüfungstools

Auf dem Computer verwendet der Gastkonfigurations-Agent für die Ausführung von Tasks lokale Tools.

In der folgenden Tabelle sind die lokalen Tools aufgeführt, die unter den jeweiligen unterstützten Betriebssystemen verwendet werden. Bei integrierten Inhalten werden diese Tools in der Gastkonfiguration automatisch geladen.

Betriebssystem Überprüfungstool Notizen
Windows PowerShell Desired State Configuration, Version 3 Wird mittels Sideloading in einen Ordner quergeladen, der nur von Azure Policy verwendet wird. Verursacht keinen Konflikt mit Windows PowerShell DSC. PowerShell Core wird nicht zum Systempfad hinzugefügt.
Linux PowerShell Desired State Configuration, Version 3 Wird mittels Sideloading in einen Ordner quergeladen, der nur von Azure Policy verwendet wird. PowerShell Core wird nicht zum Systempfad hinzugefügt.
Linux Chef InSpec Installiert Chef InSpec (Version 2.2.61) am Standardspeicherort und wird dem Systempfad hinzugefügt. Abhängigkeiten für das InSpec-Paket einschließlich Ruby und Python werden ebenfalls installiert.

Validierungshäufigkeit

Der Gastkonfigurations-Agent überprüft alle 5 Minuten, ob Gastzuweisungen hinzugefügt oder geändert wurden. Nachdem eine Gastzuweisung empfangen wurde, werden die Einstellungen für diese Konfiguration alle 15 Minuten erneut überprüft. Wenn mehrere Konfigurationen zugewiesen sind, werden diese einzeln nacheinander ausgewertet. Konfigurationen mit langer Ausführungsdauer wirken sich auf das Intervall für alle Konfigurationen aus, da die nächste Konfiguration erst ausgeführt wird, wenn die vorherige abgeschlossen ist.

Die Ergebnisse werden nach Abschluss der Überprüfung an den Gastkonfigurationsdienst gesendet. Wenn ein Auswertungstrigger für Richtlinien auftritt, wird der Status des Computers an den Ressourcenanbieter der Gastkonfiguration übermittelt. Dieses Update bewirkt, dass Azure Policy die Azure Resource Manager-Eigenschaften auswertet. Bei einer bei Bedarf ausgelösten Auswertung durch Azure Policy wird der aktuelle Wert beim Ressourcenanbieter der Gastkonfiguration abgerufen. Es wird jedoch keine neue Aktivität auf dem Computer ausgelöst. Der Status wird anschließend an Azure Resource Graph übermittelt.

Unterstützte Clienttypen

Richtliniendefinitionen für die Gastkonfiguration umfassen neue Versionen. Ältere Versionen von Betriebssystemen, die im Azure Marketplace verfügbar sind, sind ausgeschlossen, wenn der Gastkonfigurationsclient nicht kompatibel ist. In der folgenden Tabelle werden die für Azure-Images unterstützten Betriebssysteme aufgeführt. Die Angabe „.x“ steht symbolisch für neue Nebenversionen von Linux-Distributionen.

Herausgeber Name Versionen
Amazon Linux 2
Canonical Ubuntu Server 14.04 - 20.x
Credativ Debian 8 - 10.x
Microsoft Windows Server 2012 - 2022
Microsoft Windows-Client Windows 10
Oracle Oracle-Linux 7.x–8.x
OpenLogic CentOS 7.3 -8.x
Red Hat Red Hat Enterprise Linux* 7.4 - 8.x
SUSE SLES 12 SP3-SP5, 15.x

* Red Hat CoreOS wird nicht unterstützt.

Benutzerdefinierte VM-Images werden von Richtliniendefinitionen für die Gastkonfiguration unterstützt, sofern es sich um eines der Betriebssysteme in der obigen Tabelle handelt.

Netzwerkanforderungen

Virtuelle Computer in Azure können entweder ihren lokalen Netzwerkadapter oder eine private Verbindung verwenden, um mit dem Gastkonfigurationsdienst zu kommunizieren.

Azure Arc-Computer stellen mithilfe der lokalen Netzwerkinfrastruktur eine Verbindung her, um Azure-Dienste zu erreichen und den Compliancestatus zu melden.

Kommunizieren über virtuelle Netzwerke in Azure

Für die Kommunikation mit dem Ressourcenanbieter der Gastkonfiguration in Azure benötigen Computer ausgehenden Zugriff auf Azure-Rechenzentren über Port 443. Wenn ein Netzwerk in Azure keinen ausgehenden Datenverkehr zulässt, müssen Ausnahmen über Netzwerksicherheitsgruppen-Regeln konfiguriert werden. Die Diensttags „AzureArcInfrastructure“ und „Storage“ können verwendet werden, um auf den Gastkonfigurationsdienst und den Storage-Dienst zu verweisen, damit die Liste der IP-Adressbereiche für Azure-Rechenzentren nicht manuell geführt werden muss. Beide Tags sind erforderlich, da Inhaltspakete für Gastkonfigurationen von Azure Storage gehostet werden.

Für die Kommunikation mit dem Gastkonfigurationsdienst können virtuelle Computer eine private Verbindung verwenden. Wenden Sie ein Tag mit dem Namen EnablePrivateNetworkGC und dem Wert TRUE an, um dieses Feature zu aktivieren. Das Tag kann vor oder nach der Anwendung der Richtliniendefinitionen der Gastkonfiguration auf den Computer angewendet werden.

Der Datenverkehr wird mithilfe der virtuellen öffentlichen IP-Adresse von Azure weitergeleitet, um einen sicheren, authentifizierten Kanal mit Azure-Plattformressourcen einzurichten.

Server mit Azure Arc-Unterstützung

Knoten, die sich außerhalb von Azure befinden und mit denen eine Verbindung über Azure Arc besteht, benötigen Konnektivität mit dem Gastkonfigurationsdienst. Details zu den Netzwerk- und Proxyanforderungen finden Sie in der Azure Arc-Dokumentation.

Lassen Sie für Arc-fähige Server in privaten Rechenzentren Datenverkehr mithilfe der folgenden Muster zu:

  • Port: Für ausgehenden Zugriff auf das Internet ist nur TCP 443 erforderlich
  • Globale URL: *.guestconfiguration.azure.com

Zuweisen von Richtlinien zu Computern außerhalb von Azure

Die für die Gastkonfiguration verfügbaren Überwachungsrichtliniendefinitionen umfassen den Ressourcentyp Microsoft.HybridCompute/machines. Alle Computer, die in Azure Arc für Server integriert sind und sich im Geltungsbereich der Richtlinienzuweisung befinden, werden automatisch eingeschlossen.

Anforderungen für verwaltete Identitäten

Durch die Richtliniendefinitionen in der Initiative Voraussetzungen zum Aktivieren der Gastkonfigurationsrichtlinien auf VMs bereitstellen wird eine systemseitig zugewiesene verwaltete Identität aktiviert, sofern noch keine solche vorhanden ist. Die Initiative enthält zwei Richtliniendefinitionen, durch die die Identitätserstellung verwaltet wird. Die IF-Bedingungen in den Richtliniendefinitionen gewährleisten das korrekte Verhalten basierend auf dem aktuellen Zustand der Computerressource in Azure.

Wichtig

Diese Definitionen erstellen eine vom System zugewiesene verwaltete Identität auf den Zielressourcen, zusätzlich zu vorhandenen benutzerzugewiesenen Identitäten (sofern vorhanden). Wenn die benutzerseitig zugewiesene Identität nicht extra angegeben wird, wird auf dem Computer für vorhandene Anwendungen standardmäßig die systemseitig zugewiesene Identität verwendet. Weitere Informationen

Wenn der Computer derzeit über keine verwalteten Identitäten verfügt, ist die effektive Richtlinie: Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren.

Wenn der Computer derzeit über eine benutzerseitig zugewiesene Systemidentität verfügt, ist die effektive Richtlinie: Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen verwalteten Identität zu aktivieren.

Verfügbarkeit

Kunden, die eine hochverfügbare Lösung entwerfen, sollten die Anforderungen an die Redundanzplanung für virtuelle Computer berücksichtigen, da Gastzuweisungen Erweiterungen von Computerressourcen in Azure sind. Wenn Gastzuweisungsressourcen in einer Azure-Region bereitgestellt werden, die gekoppelt ist, sind Gastzuweisungsberichte verfügbar, solange mindestens eine Region des Paars verfügbar ist. Wenn die Azure-Region nicht gekoppelt und nicht mehr verfügbar ist, ist es erst nach der Wiederherstellung der Region möglich, auf Berichte für eine Gastzuweisung zuzugreifen.

Wenn Sie eine Architektur für hochverfügbare Anwendungen in Betracht ziehen, insbesondere wenn virtuelle Computer in Verfügbarkeitsgruppen hinter einer Lastenausgleichslösung bereitgestellt werden, um Hochverfügbarkeit zu gewährleisten, wird empfohlen, allen Computern in der Lösung dieselben Richtliniendefinitionen mit denselben Parametern zu zuweisen. Wenn möglich, würde eine einzelne Richtlinienzuweisung, die alle Computer umfasst, den geringsten Verwaltungsaufwand bieten.

Stellen Sie für Computer, die von Azure Site Recovery geschützt werden, sicher, dass die Computer an einem sekundären Standort innerhalb des Bereichs von Azure Policy-Zuweisungen für dieselben Definitionen liegen, die dieselben Parameterwerte wie Computer am primären Standort verwenden.

Datenresidenz

Die Gastkonfiguration speichert/verarbeitet Kundendaten. Standardmäßig werden Kundendaten in die gekoppelte Region repliziert. Für die Regionen Singapur, Brasilien, Süden und Asien, Osten werden alle Kundendaten in der Region gespeichert und verarbeitet.

Problembehandlung bei der Gastkonfiguration

Weitere Informationen zur Problembehandlung bei der Gastkonfiguration finden Sie unter Problembehandlung mit Azure Policy.

Mehrere Zuweisungen

Aufgrund der Richtliniendefinitionen für die Gastkonfiguration kann die gleiche Gastzuweisung derzeit lediglich einmal pro Computer zugewiesen werden, auch wenn bei der Richtlinienzuweisung verschiedene Parameter verwendet werden.

Zuweisungen zu Azure-Verwaltungsgruppen

Azure Policy-Definitionen in der Kategorie „Gastkonfiguration“ können Verwaltungsgruppen nur zugewiesen werden, wenn die Auswirkung „AuditIfNotExists“ ist. Bei Richtliniendefinitionen mit der Auswirkung „DeployIfNotExists“ wird das Zuweisen für Verwaltungsgruppen nicht unterstützt.

Protokolldateien des Clients

Die Gastkonfigurationserweiterung schreibt Protokolldateien an die folgenden Speicherorte:

Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log

Linux

  • Azure-VM: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Arc-fähiger Server: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Remotesammeln von Protokollen

Im ersten Schritt bei der Problembehandlung von Konfigurationen oder Modulen der Gastkonfiguration sollten die Cmdlets entsprechend den unter Testen von Gastkonfigurations-Paketartefakten beschriebenen Schritten ausgeführt werden. Wenn dies nicht erfolgreich ist, kann das Sammeln von Clientprotokollen helfen, Probleme zu diagnostizieren.

Windows

Erfassen Sie Informationen aus Protokolldateien mithilfe des Azure-VM-Befehls Ausführen, wobei das folgende PowerShell-Beispiel hilfreich sein kann.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$linesToIncludeAfterMatch | Select-Object -Last 10

Linux

Erfassen Sie Informationen aus Protokolldateien mithilfe des Azure VM-Befehls Ausführen, wobei das folgende Bash-Beispiel hilfreich sein kann.

linesToIncludeBeforeMatch=0
linesToIncludeAfterMatch=10
logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tail

Agent-Dateien

Der Gastkonfigurations-Agent lädt Inhaltspakete auf einen Computer herunter und extrahiert deren Inhalte. Um zu überprüfen, welche Inhalte heruntergeladen und gespeichert wurden, sehen Sie sich die unten angegebenen Ordnerspeicherorte an.

Windows: c:\programdata\guestconfig\configuration

Linux: /var/lib/GuestConfig/Configuration

Gastkonfigurationsbeispiele

Beispiele für integrierte Gastkonfigurationsrichtlinien finden Sie unter:

Nächste Schritte