Informazioni sulla configurazione di Azure Machine
Attenzione
Questo articolo fa riferimento a CentOS, una distribuzione Linux vicina allo stato end of life (EOL). Prendere in considerazione l'uso e la pianificazione di conseguenza. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.
La funzionalità di configurazione del computer di Criteri di Azure offre funzionalità native per controllare o configurare le impostazioni del sistema operativo come codice per i computer in esecuzione in Azure e ibrido Computer abilitati per Arc. È possibile usare la funzionalità direttamente per computer o orchestrarla su larga scala usando Criteri di Azure.
Le risorse di configurazione in Azure sono progettate come risorsa di estensione. È possibile immaginare ogni configurazione come un set aggiuntivo di proprietà per il computer. Le configurazioni possono includere impostazioni come:
- Impostazioni del sistema operativo
- Configurazione o presenza di applicazioni
- Impostazioni dell'ambiente
Le configurazioni sono distinte dalle definizioni dei criteri. La configurazione del computer usa Criteri di Azure per assegnare dinamicamente le configurazioni ai computer. È anche possibile assegnare configurazioni ai computer manualmente o usando altri servizi di Azure, ad esempio Automanage.
Nella tabella seguente sono riportati esempi di ogni scenario.
| Tipo | Descrizione | Storia di esempio |
|---|---|---|
| Gestione della configurazione | Si vuole una rappresentazione completa di un server, come codice nel controllo del codice sorgente. La distribuzione deve includere le proprietà del server (dimensioni, rete, archiviazione) e la configurazione delle impostazioni del sistema operativo e dell'applicazione. | "Questo computer deve essere un server Web configurato per ospitare il sito Web." |
| Conformità | Si vuole controllare o distribuire le impostazioni in tutti i computer nell'ambito in modo reattivo ai computer esistenti o in modo proattivo in nuovi computer durante la distribuzione. | "Tutti i computer devono usare TLS 1.2. Controlla i computer esistenti in modo da poter rilasciare le modifiche in base alle esigenze, in modo controllato, su larga scala. Per i nuovi computer, applicare l'impostazione quando vengono distribuiti." |
È possibile visualizzare i risultati per impostazione dalle configurazioni nella pagina Assegnazioni guest. Se un'assegnazione Criteri di Azure orchestrata la configurazione è orchestrata, è possibile selezionare il collegamento "Ultima risorsa valutata" nella pagina "Dettagli conformità".
È disponibile una procedura dettagliata video di questo documento. (Aggiornamento presto disponibile)
Abilitare la configurazione del computer
Per gestire lo stato dei computer nell'ambiente, inclusi i computer nei server abilitati per Azure e Arc, esaminare i dettagli seguenti.
Provider di risorse
Prima di poter usare la funzionalità di configurazione del computer di Criteri di Azure, è necessario registrare il Microsoft.GuestConfiguration provider di risorse. Se l'assegnazione di un criterio di configurazione del computer viene eseguita tramite il portale o se la sottoscrizione viene registrata in Microsoft Defender per il cloud, il provider di risorse viene registrato automaticamente. È possibile eseguire la registrazione manuale tramite il portale, Azure PowerShell o l'interfaccia della riga di comando di Azure.
Distribuire i requisiti per le macchine virtuali di Azure
Per gestire le impostazioni all'interno di un computer, viene abilitata un'estensione macchina virtuale e il computer deve avere un'identità gestita dal sistema. L'estensione scarica le assegnazioni di configurazione del computer applicabili e le dipendenze corrispondenti. L'identità viene usata per autenticare il computer durante la lettura e la scrittura nel servizio di configurazione del computer. L'estensione non è necessaria per i server abilitati per Arc perché è inclusa nell'agente del computer connesso con Arc.
Importante
L'estensione di configurazione del computer e un'identità gestita sono necessarie per gestire le macchine virtuali di Azure.
Per distribuire l'estensione su larga scala in più computer, assegnare l'iniziativa dei criteri Deploy prerequisites to enable Guest Configuration policies on virtual machines a un gruppo di gestione, una sottoscrizione o un gruppo di risorse contenente i computer da gestire.
Se si preferisce distribuire l'estensione e l'identità gestita in un singolo computer, vedere Configurare le identità gestite per le risorse di Azure in una macchina virtuale usando il portale di Azure.
Per usare i pacchetti di configurazione del computer che applicano configurazioni, è necessaria l'estensione di configurazione guest della macchina virtuale di Azure versione 1.26.24 o successiva.
Limiti impostati per l'estensione
Per limitare l'estensione dall'impatto sulle applicazioni in esecuzione all'interno del computer, l'agente di configurazione del computer non può superare il 5% della CPU. Questo limite si applica sia alle definizioni predefinite sia a quelle personalizzate. Lo stesso vale per il servizio di configurazione del computer in Arc Connessione ed Machine Agent.
Strumenti di convalida
All'interno del computer, l'agente di configurazione del computer usa gli strumenti locali per eseguire attività.
La tabella seguente elenca gli strumenti locali usati in ciascun sistema operativo supportato. Per il contenuto predefinito, la configurazione del computer gestisce automaticamente il caricamento di questi strumenti.
| Sistema operativo | Strumento di convalida | Note |
|---|---|---|
| Windows | PowerShell Desired State Configuration v2 | Trasferimento locale in una cartella usata solo da Criteri di Azure. Non è in conflitto con Windows PowerShell DSC. PowerShell non viene aggiunto al percorso di sistema. |
| Linux | Desired State Configuration di PowerShell v3 | Trasferimento locale in una cartella usata solo da Criteri di Azure. PowerShell non viene aggiunto al percorso di sistema. |
| Linux | Chef InSpec | Installa Chef InSpec versione 2.2.61 nel percorso predefinito e lo aggiunge al percorso di sistema. Installa anche le dipendenze di InSpec, tra cui Ruby e Python. |
Frequenza di convalida
L'agente di configurazione del computer verifica la presenza di assegnazioni guest nuove o modificate ogni 5 minuti. Una volta ricevuta un'assegnazione guest, le impostazioni per tale configurazione vengono controllate di nuovo con un intervallo di 15 minuti. Se vengono assegnate più configurazioni, ognuna viene valutata in sequenza. Le configurazioni a esecuzione prolungata influiscono sull'intervallo per tutte le configurazioni, perché la successiva non può essere eseguita fino al termine della configurazione precedente.
I risultati vengono inviati al servizio di configurazione del computer al termine del controllo. Quando si verifica un trigger di valutazione dei criteri, lo stato del computer viene scritto nel provider di risorse di configurazione del computer. In seguito a questo aggiornamento, il servizio Criteri di Azure valuta le proprietà di Azure Resource Manager. Una valutazione Criteri di Azure su richiesta recupera il valore più recente dal provider di risorse di configurazione del computer. Tuttavia, non attiva una nuova attività all'interno del computer. Lo stato viene quindi scritto in Azure Resource Graph.
Tipi di client supportati
Le definizioni dei criteri di configurazione del computer sono incluse nelle nuove versioni. Le versioni precedenti dei sistemi operativi disponibili in Azure Marketplace vengono escluse se il client di configurazione guest non è compatibile. La tabella seguente mostra un elenco dei sistemi operativi supportati nelle immagini di Azure. Il .x testo è simbolico per rappresentare nuove versioni secondarie delle distribuzioni linux.
| Editore | Nome | Versioni |
|---|---|---|
| Alma | AlmaLinux | 9 |
| Amazon | Linux | 2 |
| Canonical | Ubuntu Server | 14.04 - 22.x |
| Credativ | Debian | 8 - 10.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Client Windows | Windows 10 |
| Microsoft | Windows Server | 2012 - 2022 |
| Oracle | Oracle-Linux | 7.x - 8.x |
| OpenLogic | CentOS | 7.3 - 8.x |
| Red Hat | Red Hat Enterprise Linux* | 7.4 - 9.x |
| Rocciosa | Rocky Linux | 9 |
| SUSE | SLES | 12 SP3-SP5, 15.x |
* Red Hat CoreOS non è supportato.
Le definizioni dei criteri di configurazione del computer supportano immagini di macchine virtuali personalizzate purché siano uno dei sistemi operativi nella tabella precedente.
Requisiti di rete
Le macchine virtuali di Azure possono usare la scheda di rete virtuale locale (vNIC) o collegamento privato di Azure per comunicare con il servizio di configurazione della macchina.
I computer abilitati per Azure Arc si connettono usando l'infrastruttura di rete locale per raggiungere i servizi di Azure e segnalare lo stato di conformità.
Di seguito è riportato un elenco degli endpoint di Archiviazione di Azure necessari per le macchine virtuali abilitate per Azure e Azure Arc per comunicare con il provider di risorse di configurazione del computer in Azure:
oaasguestconfigac2s1.blob.core.windows.netoaasguestconfigacs1.blob.core.windows.netoaasguestconfigaes1.blob.core.windows.netoaasguestconfigases1.blob.core.windows.netoaasguestconfigbrses1.blob.core.windows.netoaasguestconfigbrss1.blob.core.windows.netoaasguestconfigccs1.blob.core.windows.netoaasguestconfigces1.blob.core.windows.netoaasguestconfigcids1.blob.core.windows.netoaasguestconfigcuss1.blob.core.windows.netoaasguestconfigeaps1.blob.core.windows.netoaasguestconfigeas1.blob.core.windows.netoaasguestconfigeus2s1.blob.core.windows.netoaasguestconfigeuss1.blob.core.windows.netoaasguestconfigfcs1.blob.core.windows.netoaasguestconfigfss1.blob.core.windows.netoaasguestconfiggewcs1.blob.core.windows.netoaasguestconfiggns1.blob.core.windows.netoaasguestconfiggwcs1.blob.core.windows.netoaasguestconfigjiws1.blob.core.windows.netoaasguestconfigjpes1.blob.core.windows.netoaasguestconfigjpws1.blob.core.windows.netoaasguestconfigkcs1.blob.core.windows.netoaasguestconfigkss1.blob.core.windows.netoaasguestconfigncuss1.blob.core.windows.netoaasguestconfignes1.blob.core.windows.netoaasguestconfignres1.blob.core.windows.netoaasguestconfignrws1.blob.core.windows.netoaasguestconfigqacs1.blob.core.windows.netoaasguestconfigsans1.blob.core.windows.netoaasguestconfigscuss1.blob.core.windows.netoaasguestconfigseas1.blob.core.windows.netoaasguestconfigsecs1.blob.core.windows.netoaasguestconfigsfns1.blob.core.windows.netoaasguestconfigsfws1.blob.core.windows.netoaasguestconfigsids1.blob.core.windows.netoaasguestconfigstzns1.blob.core.windows.netoaasguestconfigswcs1.blob.core.windows.netoaasguestconfigswns1.blob.core.windows.netoaasguestconfigswss1.blob.core.windows.netoaasguestconfigswws1.blob.core.windows.netoaasguestconfiguaecs1.blob.core.windows.netoaasguestconfiguaens1.blob.core.windows.netoaasguestconfigukss1.blob.core.windows.netoaasguestconfigukws1.blob.core.windows.netoaasguestconfigwcuss1.blob.core.windows.netoaasguestconfigwes1.blob.core.windows.netoaasguestconfigwids1.blob.core.windows.netoaasguestconfigwus2s1.blob.core.windows.netoaasguestconfigwus3s1.blob.core.windows.netoaasguestconfigwuss1.blob.core.windows.net
Comunicare tramite reti virtuali in Azure
Per comunicare con il provider di risorse di configurazione del computer in Azure, i computer richiedono l'accesso in uscita ai data center di Azure sulla porta 443*. Se una rete in Azure non consente il traffico in uscita, configurare le eccezioni con le regole del gruppo di sicurezza di rete. I tagAzureArcInfrastructure del servizio e Storage possono essere usati per fare riferimento alla configurazione guest e ai servizi Archiviazione anziché gestire manualmente l'elenco di intervalli IP per i data center di Azure. Entrambi i tag sono necessari perché Archiviazione di Azure ospita i pacchetti di contenuto di configurazione del computer.
Comunicare tramite collegamento privato in Azure
Le macchine virtuali possono usare un collegamento privato per la comunicazione con il servizio di configurazione del computer.
Applicare tag con il nome EnablePrivateNetworkGC e il valore TRUE per abilitare questa funzionalità. Il tag può essere applicato prima o dopo l'applicazione delle definizioni dei criteri di configurazione del computer al computer.
Importante
Per comunicare tramite collegamento privato per i pacchetti personalizzati, è necessario aggiungere il collegamento al percorso del pacchetto all'elenco degli URL consentiti.
Il traffico viene instradato usando l'indirizzo IP pubblico virtuale di Azure per stabilire un canale sicuro e autenticato con le risorse della piattaforma Di Azure.
Comunicare tramite endpoint pubblici all'esterno di Azure
I server che si trovano in locale o in altri cloud possono essere gestiti con la configurazione del computer connettendoli ad Azure Arc.
Per i server abilitati per Azure Arc, consentire il traffico usando i modelli seguenti:
- Porta: è necessaria solo la porta TCP 443 per l'accesso a Internet in uscita
- URL globale:
*.guestconfiguration.azure.com
Vedere i requisiti di rete dei server abilitati per Azure Arc per un elenco completo di tutti gli endpoint di rete richiesti dall'agente machine Connessione ed di Azure per gli scenari di configurazione principali di Azure Arc e computer.
Comunicare tramite collegamento privato all'esterno di Azure
Quando si usa un collegamento privato con i server abilitati per Arc, i pacchetti di criteri predefiniti vengono scaricati automaticamente tramite il collegamento privato. Non è necessario impostare tag nel server abilitato per Arc per abilitare questa funzionalità.
Assegnazione di criteri a computer esterni ad Azure
Le definizioni dei criteri di controllo disponibili per la configurazione del computer includono il tipo di risorsa Microsoft.HybridCompute/machines . Tutti i computer di cui è stato eseguito l'onboarding nei server abilitati per Azure Arc inclusi nell'ambito dell'assegnazione dei criteri vengono inclusi automaticamente.
Requisiti delle identità gestite
Le definizioni di criteri nell'iniziativa Deploy prerequisites to enable guest configuration policies on virtual machines abilitano un'identità gestita assegnata dal sistema, se non esiste. Nell'iniziativa sono disponibili due definizioni di criteri che gestiscono la creazione di identità. Le if condizioni nelle definizioni dei criteri garantiscono il comportamento corretto in base allo stato corrente della risorsa computer in Azure.
Importante
Queste definizioni creano un'identità gestita assegnata dal sistema nelle risorse di destinazione, oltre alle identità assegnate dall'utente esistenti (se presenti). Per le applicazioni esistenti, a meno che non specifichino l'identità assegnata dall'utente nella richiesta, per impostazione predefinita il computer usa l'identità assegnata dal sistema. Altre informazioni
Se il computer non dispone attualmente di identità gestite, i criteri effettivi sono: Aggiungere un'identità gestita assegnata dal sistema per abilitare le assegnazioni di configurazione guest nelle macchine virtuali senza identità
Se il computer ha attualmente un'identità di sistema assegnata dall'utente, il criterio effettivo è: Aggiungere un'identità gestita assegnata dal sistema per abilitare le assegnazioni di configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente
Disponibilità
I clienti che progettano una soluzione a disponibilità elevata devono considerare i requisiti di pianificazione della ridondanza per le macchine virtuali perché le assegnazioni guest sono estensioni delle risorse del computer in Azure. Quando viene effettuato il provisioning delle risorse di assegnazione guest in un'area di Azure abbinata, è possibile visualizzare i report di assegnazione guest se è disponibile almeno un'area nella coppia. Quando l'area di Azure non è associata e non è disponibile, non è possibile accedere ai report per un'assegnazione guest. Quando l'area viene ripristinata, è possibile accedere di nuovo ai report.
È consigliabile assegnare le stesse definizioni di criteri con gli stessi parametri a tutti i computer nella soluzione per le applicazioni a disponibilità elevata. Ciò vale soprattutto per gli scenari in cui viene effettuato il provisioning delle macchine virtuali nei set di disponibilità dietro una soluzione di bilanciamento del carico. Un'assegnazione di criteri singola che si estende su tutti i computer ha un sovraccarico amministrativo minimo.
Per i computer protetti da Azure Site Recovery, assicurarsi che i computer nel sito primario e secondario siano inclusi nell'ambito delle assegnazioni di Criteri di Azure per le stesse definizioni. Usare gli stessi valori di parametro per entrambi i siti.
Residenza dei dati
La configurazione del computer archivia ed elabora i dati dei clienti. Per impostazione predefinita, i dati dei clienti vengono replicati nell'area abbinata. Per le aree Singapore, Brasile meridionale e Asia orientale, tutti i dati dei clienti vengono archiviati ed elaborati nell'area.
Risoluzione dei problemi relativi alla configurazione del computer
Per altre informazioni sulla risoluzione dei problemi relativi alla configurazione del computer, vedere Criteri di Azure risoluzione dei problemi.
Assegnazioni multiple
Attualmente, solo alcune definizioni di criteri di configurazione del computer predefinite supportano più assegnazioni. Tuttavia, tutti i criteri personalizzati supportano più assegnazioni per impostazione predefinita se è stata usata la versione più recente del modulo PowerShell GuestConfiguration per creare pacchetti e criteri di configurazione del computer.
Di seguito è riportato l'elenco delle definizioni dei criteri di configurazione dei computer predefinite che supportano più assegnazioni:
| ID | DisplayName |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | I metodi di autenticazione locali devono essere disabilitati nei server Windows |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | I metodi di autenticazione locali devono essere disabilitati nei computer Linux |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Anteprima]: Aggiungere un'identità gestita assegnata dall'utente per abilitare le assegnazioni di configurazione guest nelle macchine virtuali |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Anteprima]: i computer Linux devono soddisfare i requisiti di conformità STIG per il calcolo di Azure |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Anteprima]: i computer Windows devono soddisfare i requisiti di conformità STIG per l'ambiente di calcolo di Azure |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Anteprima]: i computer Linux con OMI installato devono avere la versione 1.6.8-1 o successiva |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Controlla i computer Windows in cui la configurazione DSC non è conforme |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Controlla i computer Windows in cui non sono disponibili i criteri di esecuzione di Windows PowerShell specificati |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Controlla i computer Windows in cui non sono installati i moduli di Windows PowerShell specificati |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Controlla i computer Windows in cui la console seriale Windows non è abilitata |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Controlla i computer Windows in cui i servizi specificati non sono installati e in esecuzione |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Controlla i computer Windows che non sono impostati sul fuso orario specificato |
Nota
Controllare periodicamente questa pagina per gli aggiornamenti all'elenco delle definizioni dei criteri di configurazione dei computer predefiniti che supportano più assegnazioni.
Assegnazioni ai gruppi di gestione di Azure
Criteri di Azure definizioni nella categoria Guest Configuration possono essere assegnate ai gruppi di gestione quando l'effetto è AuditIfNotExists o DeployIfNotExists.
File di log del client
L'estensione di configurazione del computer scrive i file di log nei percorsi seguenti:
Windows
- Macchina virtuale di Azure:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Server con abilitazione di Arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Macchina virtuale di Azure:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Server con abilitazione di Arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Raccolta di log in modalità remota
Il primo passaggio per la risoluzione dei problemi relativi alle configurazioni dei computer o ai moduli deve essere usare i cmdlet seguendo i passaggi descritti in Come testare gli artefatti del pacchetto di configurazione del computer. Se l'operazione non riesce, la raccolta dei log del client può aiutare a diagnosticare i problemi.
Windows
Acquisire informazioni dai file di log usando il comando Run per le macchine virtuali di Azure. Lo script di esempio di PowerShell seguente può essere utile.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Acquisire informazioni dai file di log usando il comando Run per le macchine virtuali di Azure. Lo script di esempio di Bash seguente può essere utile.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
File dell'agente
L'agente di configurazione del computer scarica i pacchetti di contenuto in un computer ed estrae il contenuto. Per verificare il contenuto scaricato e archiviato, visualizzare i percorsi delle cartelle nell'elenco seguente.
- Windows:
C:\ProgramData\guestconfig\configuration - Linux:
/var/lib/GuestConfig/Configuration
Funzionalità del modulo nxtools open source
È stato rilasciato un nuovo modulo nxtools open source per semplificare la gestione dei sistemi Linux per gli utenti di PowerShell.
Il modulo consente di gestire attività comuni, ad esempio:
- Gestione di utenti e gruppi
- Esecuzione di operazioni di file system
- Gestione dei servizi
- Esecuzione di operazioni di archiviazione
- Gestione di pacchetti
Il modulo include risorse DSC basate su classi per i pacchetti di configurazione del computer Linux e predefiniti.
Per fornire commenti e suggerimenti su questa funzionalità, aprire un problema nella documentazione. Attualmente non si accettano richieste pull per questo progetto e il supporto è il massimo sforzo.
Esempi di configurazione del computer
Gli esempi di criteri predefiniti per la configurazione del computer sono disponibili nei percorsi seguenti:
- Definizioni dei criteri predefiniti - Configurazione guest
- Iniziative predefinite - Configurazione guest
- repository GitHub di esempi Criteri di Azure
- Moduli di risorse DSC di esempio
Passaggi successivi
- Configurare un ambiente di sviluppo di pacchetti di configurazione del computer personalizzato.
- Creare un artefatto del pacchetto per la configurazione del computer.
- Testare l'artefatto del pacchetto dall'ambiente di sviluppo.
- Usare il modulo GuestConfiguration per creare una definizione di Criteri di Azure per la gestione su larga scala dell'ambiente.
- Assegnare la definizione dei criteri personalizzata usando il portale di Azure.
- Informazioni su come visualizzare i dettagli di conformità per le assegnazioni dei criteri di configurazione del computer.