Informazioni sulla funzionalità di configurazione guest di Criteri di Azure

la Criteri di Azure di configurazione guest di Criteri di Azure offre funzionalità native per controllare o configurare le impostazioni del sistema operativo come codice, sia per i computer in esecuzione in Azure che per i computer abilitati per Arcibrido. La funzionalità può essere usata direttamente per computer o su larga scala orchestrata da Criteri di Azure.

Le risorse di configurazione in Azure sono progettate come risorsa di estensione. È possibile immaginare ogni configurazione come un set aggiuntivo di proprietà per il computer. Le configurazioni possono includere impostazioni quali:

  • Impostazioni del sistema operativo
  • Configurazione o presenza di applicazioni
  • Impostazioni dell'ambiente

Le configurazioni sono diverse dalle definizioni dei criteri. La configurazione guest usa Criteri di Azure per assegnare in modo dinamico le configurazioni ai computer. È anche possibile assegnare le configurazioniai computer manualmente o usando altri servizi di Azure, ad esempio Gestione automatica.

Nella tabella seguente sono riportati esempi di ogni scenario.

Tipo Descrizione Storia di esempio
Gestione della configurazione Si vuole una rappresentazione completa di un server, come codice nel controllo del codice sorgente. La distribuzione deve includere le proprietà del server (dimensioni, rete, archiviazione) e la configurazione delle impostazioni del sistema operativo e dell'applicazione. "Il computer deve essere un server Web configurato per ospitare il sito Web."
Conformità Si vuole controllare o distribuire le impostazioni in tutti i computer nell'ambito in modo reattivo nei computer esistenti o in modo proattivo nei nuovi computer durante la distribuzione. "Tutti i computer devono usare TLS 1.2. Controllare i computer esistenti in modo da rilasciare le modifiche laddove necessario, in modo controllato, su larga scala. Per i nuovi computer, applicare l'impostazione quando vengono distribuiti."

I risultati delle configurazioni per impostazione possono essere visualizzati nella pagina Assegnazioni guest o se la configurazione è orchestrata da un'assegnazione Criteri di Azure facendo clic sul collegamento "Ultima risorsa valutata" nella pagina "Dettagli conformità".

È disponibile una procedura video di questo documento. (aggiornamento presto disponibile)

Abilitare la configurazione guest

Per gestire lo stato dei computer nell'ambiente, inclusi i computer nei server abilitati per Azure e Arc, esaminare i dettagli seguenti.

Provider di risorse

Prima di poter usare la funzionalità di configurazione guest di Criteri di Azure, è necessario registrare il Microsoft.GuestConfiguration provider di risorse. Se l'assegnazione di un criterio di configurazione guest viene eseguita tramite il portale o se la sottoscrizione è registrata in Centro sicurezza di Azure, il provider di risorse viene registrato automaticamente. È possibile eseguire la registrazione manuale tramite il portale, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Requisiti di distribuzione per le macchine virtuali di Azure

Per gestire le impostazioni all'interno di un computer, viene abilitata un'estensione macchina virtuale e il computer deve avere un'identità gestita dal sistema. L'estensione scarica l'assegnazione della configurazione guest applicabile e le dipendenze corrispondenti. L'identità viene usata per autenticare il computer durante la lettura e la scrittura nel servizio di configurazione guest. L'estensione non è necessaria per i server abilitati per Arc perché è inclusa nell'agente del computer connesso con Arc.

Importante

L'estensione di configurazione guest e un'identità gestita sono necessarie per gestire le macchine virtuali di Azure.

Per distribuire l'estensione su larga scala tra più computer, assegnare l'iniziativa dei criteri Deploy prerequisites to enable guest configuration policies on virtual machines a un gruppo di gestione, una sottoscrizione o un gruppo di risorse contenente i computer che si intende gestire.

Se si preferisce distribuire l'estensione e l'identità gestita in un singolo computer, seguire le indicazioni per ognuno:

Per usare i pacchetti di configurazione guest che applicano le configurazioni, è necessaria la versione 1.29.24 dell'estensione della configurazione guest della macchina virtuale di Azure o una versione successiva.

Limiti impostati per l'estensione

Per limitare l'estensione dalle applicazioni in esecuzione all'interno del computer, l'agente di configurazione guest non può superare il 5% della CPU. Questo limite si applica sia alle definizioni predefinite sia a quelle personalizzate. Lo stesso vale per il servizio di configurazione guest nell'agente Arc Connected Machine.

Strumenti di convalida

All'interno del computer, l'agente di configurazione guest usa strumenti locali per eseguire attività.

La tabella seguente elenca gli strumenti locali usati in ciascun sistema operativo supportato. Per il contenuto incorporato, la configurazione guest gestisce il caricamento automatico di questi strumenti.

Sistema operativo Strumento di convalida Note
Windows Desired State Configuration di PowerShell v3 Trasferimento locale in una cartella usata solo da Criteri di Azure. Non sarà in conflitto con Windows PowerShell DSC. PowerShell Core non viene aggiunto al percorso di sistema.
Linux Desired State Configuration di PowerShell v3 Trasferimento locale in una cartella usata solo da Criteri di Azure. PowerShell Core non viene aggiunto al percorso di sistema.
Linux Chef InSpec Installare Chef InSpec versione 2.2.61 nel percorso predefinito e aggiunto al percorso di sistema. Sono installate anche le dipendenze per il pacchetto InSpec, tra cui Ruby e Python.

Frequenza di convalida

L'agente di configurazione guest verifica la presenza di assegnazioni guest nuove o modificate ogni 5 minuti. Una volta ricevuta un'assegnazione guest, le impostazioni per tale configurazione vengono controllate di nuovo con un intervallo di 15 minuti. Se vengono assegnate più configurazioni, ognuna viene valutata in sequenza. Le configurazioni con esecuzione lunga influiscono sull'intervallo per tutte le configurazioni, perché la successiva non verrà eseguita fino al termine della configurazione precedente.

I risultati vengono inviati al servizio di configurazione guest al termine del controllo. Quando si verifica un trigger di valutazione dei criteri, lo stato del computer viene scritto nel provider di risorse di configurazione guest. In seguito a questo aggiornamento, il servizio Criteri di Azure valuta le proprietà di Azure Resource Manager. Una valutazione su richiesta Criteri di Azure recupera il valore più recente dal provider di risorse di configurazione guest. Tuttavia, non attiva una nuova attività all'interno del computer. Lo stato viene quindi scritto in Azure Resource Graph.

Tipi di client supportati

Le definizioni dei criteri di configurazione guest sono incluse nelle nuove versioni. Le versioni precedenti dei sistemi operativi disponibili in Azure Marketplace sono escluse se il client di Configurazione guest non è compatibile. La tabella seguente mostra un elenco dei sistemi operativi supportati nelle immagini di Azure. Il testo ".x" è simbolico per rappresentare le nuove versioni secondarie delle distribuzioni linux.

Editore Nome Versioni
Amazon Linux 2
Canonical Ubuntu Server 14.04 - 20.x
Credativ Debian 8 - 10.x
Microsoft Windows Server 2012 - 2019
Microsoft Client Windows Windows 10
Oracle Oracle-Linux 7.x-8.x
OpenLogic CentOS 7.3 -8.x
Red Hat Red Hat Enterprise Linux* 7.4 - 8.x
SUSE SLES 12 SP3-SP5, 15.x

* Red Hat CoreOS non è supportato.

Le immagini di macchine virtuali personalizzate sono supportate dalle definizioni dei criteri di configurazione guest, purché siano uno dei sistemi operativi indicati nella tabella precedente.

Requisiti di rete

Le macchine virtuali in Azure possono usare la scheda di rete locale o un collegamento privato per comunicare con il servizio di configurazione guest.

Azure Arc computer si connettono usando l'infrastruttura di rete locale per raggiungere i servizi di Azure e segnalare lo stato di conformità.

Comunicare tramite reti virtuali in Azure

Per comunicare con il provider di risorse di configurazione guest in Azure, i computer richiedono l'accesso in uscita ai data center di Azure sulla porta 443. Se una rete in Azure non consente il traffico in uscita, configurare le eccezioni con le regole del gruppo di sicurezza di rete. I tag di servizio "AzureArcInfrastructure" e "Archiviazione" possono essere usati per fare riferimento alla configurazione guest e ai servizi Archiviazione anziché gestire manualmente l'elenco di intervalli IP per i data center di Azure. Entrambi i tag sono necessari perché i pacchetti di contenuto di configurazione guest sono ospitati da Archiviazione di Azure.

Le macchine virtuali possono usare il collegamento privato per la comunicazione con il servizio di configurazione guest. Applicare il tag con il nome EnablePrivateNetworkGC e il valore per abilitare questa TRUE funzionalità. Il tag può essere applicato prima o dopo l'applicazione delle definizioni dei criteri di configurazione guest al computer.

Il traffico viene instradato usando l'indirizzo IP pubblico virtuale di Azure per stabilire un canale sicuro e autenticato con le risorse della piattaforma Azure.

Server abilitati per Azure Arc

I nodi che si trovano all'esterno di Azure connessi Azure Arc richiedono la connettività al servizio di configurazione guest. Informazioni dettagliate sui requisiti di rete e proxy forniti nella documentazione Azure Arc .

Per i server abilitati per Arc nei data center privati, consentire il traffico usando i modelli seguenti:

  • Porta: è necessaria solo la porta TCP 443 per l'accesso a Internet in uscita
  • URL globale: *.guestconfiguration.azure.com

Assegnazione di criteri a computer esterni ad Azure

Le definizioni dei criteri di controllo disponibili per la configurazione guest includono il tipo di risorsa Microsoft.HybridCompute/machines. Tutti i computer di cui è stato eseguito l'onboarding in Azure Arc per server inclusi nell'ambito dell'assegnazione dei criteri vengono inclusi automaticamente.

Requisiti delle identità gestite

Le definizioni dei criteri nell'iniziativa Distribuisci i prerequisiti per abilitare i criteri di configurazione guest nelle macchine virtuali abilitano un'identità gestita assegnata dal sistema, se non ne esiste una. Nell'iniziativa sono disponibili due definizioni di criteri che gestiscono la creazione di identità. Le condizioni IF nelle definizioni dei criteri garantiscono il comportamento corretto in base allo stato corrente della risorsa del computer in Azure.

Importante

Queste definizioni creano System-Assigned'identità gestita nelle risorse di destinazione, oltre alle eventuali identità User-Assigned esistenti. Per le applicazioni esistenti, a meno che non User-Assigned'identità nella richiesta, per impostazione predefinita il computer usa System-Assigned Identity. Altre informazioni

Se il computer non dispone attualmente di identità gestite, il criterio effettivo è: Aggiungere un'identità gestita assegnata dal sistema per abilitare le assegnazioni di configurazione guest nelle macchine virtuali senza identità

Se il computer ha attualmente un'identità di sistema assegnata dall'utente, il criterio effettivo è: Aggiungere un'identità gestita assegnata dal sistema per abilitare le assegnazioni di configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente

Disponibilità

I clienti che progettano una soluzione a disponibilità elevata devono prendere in considerazione i requisiti di pianificazione della ridondanza per le macchine virtuali perché le assegnazioni guest sono estensioni delle risorse del computer in Azure. Quando viene effettuato il provisioning delle risorse di assegnazione guest in un'area di Azure abbinata, purché sia disponibile almeno un'area nella coppia, sono disponibili i report di assegnazione guest. Se l'area di Azure non è associata e non è più disponibile, non è possibile accedere ai report per un'assegnazione guest fino a quando l'area non viene ripristinata.

Quando si prende in considerazione un'architettura per le applicazioni a disponibilità elevata, in particolare quando viene effettuato il provisioning delle macchine virtuali nei set di disponibilità dietro una soluzione di bilanciamento del carico per garantire la disponibilità elevata, è consigliabile assegnare le stesse definizioni di criteri con gli stessi parametri a tutti i computer nella soluzione. Se possibile, una singola assegnazione di criteri che si estende a tutti i computer offrirebbe il minor sovraccarico amministrativo.

Per i computer protetti da Azure Site Recovery, assicurarsi che i computer in un sito secondario siano nell'ambito delle assegnazioni Criteri di Azure per le stesse definizioni usando gli stessi valori dei parametri dei computer nel sito primario.

Residenza dei dati

La configurazione guest archivia/elabora i dati dei clienti. Per impostazione predefinita, i dati dei clienti vengono replicati nell'area abbinata. Per una singola area residenti, tutti i dati dei clienti vengono archiviati ed elaborati nell'area.

Risoluzione dei problemi di configurazione guest

Per altre informazioni sulla risoluzione dei problemi di configurazione guest, Criteri di Azure risoluzione dei problemi.

Assegnazioni multiple

Le definizioni dei criteri di configurazione guest supportano attualmente l'assegnazione della stessa assegnazione guest una sola volta per ogni computer quando l'assegnazione dei criteri usa parametri diversi.

Assegnazioni ad Azure Gruppi di gestione

Criteri di Azure definizioni nella categoria "Configurazione guest" possono essere assegnate a Gruppi di gestione solo quando l'effetto è "AuditIfNotExists". Le definizioni dei criteri con effetto 'DeployIfNotExists' non sono supportate come assegnazioni Gruppi di gestione.

File di log del client

L'estensione di configurazione guest scrive i file di log nei percorsi seguenti:

Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log

Linux

  • Macchina virtuale di Azure: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Server abilitato per Arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Raccolta di log in modalità remota

Il primo passaggio per la risoluzione dei problemi relativi alle configurazioni o ai moduli di configurazione guest consiste nell'usare i cmdlet seguendo la procedura descritta in Come testare gli artefatti del pacchetto di configurazione guest. Se l'operazione non riesce, la raccolta dei log del client può aiutare a diagnosticare i problemi.

Windows

Acquisire informazioni dai file di log usando il comando Run per le macchine virtuali di Azure. Lo script di esempio di PowerShell seguente può essere utile.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$linesToIncludeAfterMatch | Select-Object -Last 10

Linux

Acquisire informazioni dai file di log usando il comando Run per le macchine virtuali di Azure. Lo script di esempio di Bash seguente può essere utile.

linesToIncludeBeforeMatch=0
linesToIncludeAfterMatch=10
logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tail

File dell'agente

L'agente di configurazione guest scarica i pacchetti di contenuto in un computer ed estrae il contenuto. Per verificare quale contenuto è stato scaricato e archiviato, visualizzare i percorsi delle cartelle indicati di seguito.

Windows: c:\programdata\guestconfig\configuration

Linux: /var/lib/GuestConfig/Configuration

Esempi di configurazione guest

Gli esempi di criteri predefiniti di configurazione guest sono disponibili nelle posizioni seguenti:

Passaggi successivi