Uygulamanın konuk yapılandırma özelliğini Azure İlkesi
Azure İlkesi konuk yapılandırma özelliği, hem Azure'da çalışan makineler hem de hibrit Arc özellikli makineler için işletim sistemi ayarlarını kod olarak denetlemeye veya yapılandırmaya yönelik yerel özellik sağlar. Bu özellik doğrudan makine başına veya sanal makine tarafından büyük ölçekte Azure İlkesi.
Azure'daki yapılandırma kaynakları bir uzantı kaynağı olarak tasarlanmıştır. Her yapılandırmayı makine için ek bir özellik kümesi olarak düşünebilirsiniz. Yapılandırmalar şunlar gibi ayarları içerebilir:
- İşletim sistemi ayarları
- Uygulama yapılandırması veya varlığı
- Ortam ayarları
Yapılandırmalar, ilke tanımlarından farklıdır. Konuk yapılandırması, Azure İlkesi dinamik olarak atamak için yapılandırmaları kullanır. Yapılandırmaları makinelere el ile veyaAutoManage gibi diğer Azure hizmetlerini kullanarak da atabilirsiniz.
Her senaryonun örnekleri aşağıdaki tabloda verilmiştir.
| Tür | Description | Örnek hikaye |
|---|---|---|
| Yapılandırma yönetimi | Kaynak denetiminde kod olarak bir sunucunun tam bir temsilini almak istiyor. Dağıtım, sunucunun özelliklerini (boyut, ağ, depolama) ve işletim sistemi ve uygulama ayarlarının yapılandırmasını içermeli. | "Bu makine, web sitemi barındırlayacak şekilde yapılandırılmış bir web sunucusu olmalı." |
| Uyumluluk | Ayarları mevcut makinelere reaktif olarak veya yeni makineler dağıtılırken proaktif olarak kapsamda olan tüm makinelere dağıtmak veya denetlemek istiyorsanız. | "Tüm makineler TLS 1.2 kullanabiliyor. Değişikliği gerektiğinde, büyük ölçekte denetimli bir şekilde yayınlayam için mevcut makineleri denetle. Yeni makineler için, dağıtıldıkları zaman ayarı zorunlu kılın." |
Yapılandırmaların ayar başına sonuçları Konuk atamaları sayfasında veya yapılandırma bir Azure İlkesi ataması tarafından, "Uyumluluk ayrıntıları" sayfasındaki "Son değerlendirilen kaynak" bağlantısına tıklayarak biçimlendirilmiş olabilir.
Bu belgenin videosunu izleyebilirsiniz. (güncelleştirme yakında)
Konuk yapılandırmasını etkinleştirme
Azure'daki makineler ve Arc özellikli sunucular da dahil olmak üzere ortamınıza makinelerin durumunu yönetmek için aşağıdaki ayrıntıları gözden geçirebilirsiniz.
Kaynak sağlayıcısı
Kaynak sağlayıcısının konuk yapılandırma özelliğini Azure İlkesi önce kaynak sağlayıcısını Microsoft.GuestConfiguration kaydetmeniz gerekir. Konuk yapılandırma ilkesi ataması portal üzerinden yapılıyorsa veya abonelik Azure Güvenlik Merkezi otomatik olarak kaydedilir. Portal, Azure PowerShell veyaAzure CLI aracılığıylael ile kaydolabilirsiniz.
Azure sanal makineleri için dağıtım gereksinimleri
Bir makinenin içindeki ayarları yapılandırmak için sanal makine uzantısı etkinleştirilir ve makinenin sistem tarafından yönetilen bir kimliği olması gerekir. Uzantı, uygulanabilir konuk yapılandırması atamasını ve buna karşılık gelen bağımlılıkları indirir. Kimlik, konuk yapılandırma hizmetinde okuma ve yazma işlemleri yaparak makinenin kimliğini doğrulamak için kullanılır. Arc özellikli sunucular için uzantı gerekmez çünkü bu Arc Connected Machine aracısına dahil edilmiştir.
Önemli
Azure sanal makinelerini yönetmek için konuk yapılandırma uzantısı ve yönetilen kimlik gereklidir.
Uzantıyı birçok makineye büyük ölçekte dağıtmak için ilke girişimini attayın Deploy prerequisites to enable guest configuration policies on virtual machines
yönetmeyi planladnız makineleri içeren bir yönetim grubuna, aboneliğe veya kaynak grubuna.
Uzantıyı ve yönetilen kimliği tek bir makineye dağıtmayı tercih ediyorsanız, her biri için yönergeleri izleyin:
- Azure İlkesi Konuk Yapılandırma uzantısına genel bakış
- Sanal makineyi kullanarak vm'de Azure kaynakları için yönetilen kimlikleri Azure portal
Yapılandırmaları uygulayan konuk yapılandırması paketlerini kullanmak için Azure VM konuk yapılandırması uzantısının 1.29.24 veya sonraki bir sürümü gereklidir.
Uzantıda ayarlanmış sınırlar
Uzantının makine içinde çalışan uygulamaları etkilemesini sınırlamak için konuk yapılandırma aracısına CPU'nun %5'inden fazlasını aşma izni verilmez. Bu sınırlama hem yerleşik hem de özel tanımlar için mevcuttur. Arc Connected Machine aracısı konuk yapılandırma hizmeti için de aynı durum aynıdır.
Doğrulama araçları
Konuk yapılandırma aracısı, makine içinde görevleri gerçekleştirmek için yerel araçları kullanır.
Aşağıdaki tabloda desteklenen her işletim sisteminde kullanılan yerel araçların listesi gösterilir. Yerleşik içerik için, konuk yapılandırması bu araçları otomatik olarak yüklemeyi işler.
| İşletim sistemi | Doğrulama aracı | Notlar |
|---|---|---|
| Windows | PowerShell Desired State Configuration v3 | Klasöre dışarıdan yüklenir, yalnızca Azure İlkesi tarafından kullanılır. Windows PowerShell DSC ile çakışmaz. PowerShell Core sistem yoluna eklenmedi. |
| Linux | PowerShell Desired State Configuration v3 | Klasöre dışarıdan yüklenir, yalnızca Azure İlkesi tarafından kullanılır. PowerShell Core sistem yoluna eklenmedi. |
| Linux | Chef InSpec | Chef InSpec sürüm 2.2.61'i varsayılan konuma yüklenir ve sistem yoluna eklenir. InSpec paketi için Ruby ve Python da dahil olmak üzere bağımlılıklar da yüklenir. |
Doğrulama sıklığı
Konuk yapılandırma aracısı her 5 dakikada bir yeni veya değiştirilmiş konuk atamalarını denetler. Bir konuk ataması alındıktan sonra, bu yapılandırmanın ayarları 15 dakikalık bir aralıkla yeniden denetlener. Birden çok yapılandırma atanırsa, her biri sırayla değerlendirilir. Uzun süre çalışan yapılandırmalar tüm yapılandırmaların aralığını etkiler, çünkü önceki yapılandırma tamam olana kadar bir sonraki çalışmaz.
Denetim tamamlandığında sonuçlar konuk yapılandırma hizmetine gönderilir. İlke değerlendirme tetikleyicisi oluştuğunda makinenin durumu konuk yapılandırma kaynak sağlayıcısına yazılır. Bu güncelleştirme, Azure İlkesi özelliklerini değerlendirmeye Azure Resource Manager neden olur. Bir isteğe Azure İlkesi değerlendirmesi konuk yapılandırma kaynak sağlayıcısından en son değeri almaktadır. Ancak makine içinde yeni bir etkinlik tetiklemez. Durum daha sonra Azure Resource Graph.
Desteklenen istemci türleri
Konuk yapılandırma ilkesi tanımları yeni sürümleri içerir. Konuk Yapılandırması istemcisi uyumlu değilse Azure Market işletim sistemlerinin eski sürümleri hariç tutulmaktadır. Aşağıdaki tabloda, Azure görüntülerde desteklenen işletim sistemlerinin listesi yer alır. ".x" metni, Linux dağıtımlarının yeni ikincil sürümlerini temsil etmek için semboliktir.
| Publisher | Name | Sürümler |
|---|---|---|
| Amazon | Linux | 2 |
| Canonical | Ubuntu Server | 14.04 - 20.x |
| Credativ | Debian | 8 - 10.x |
| Microsoft | Windows Server | 2012-2019 |
| Microsoft | Windows İstemcisi | Windows 10 |
| Oracle | Oracle-Linux | 7. x-8. x |
| OpenLogic | CentOS | 7,3 -8. x |
| Red Hat | Red Hat Enterprise Linux* | 7,4-8. x |
| SUSE | SLES | 12 SP3-SP5, 15. x |
* Red Hat CoreOS desteklenmez.
Özel sanal makine görüntüleri, Konuk yapılandırma ilkesi tanımları tarafından, yukarıdaki tablodaki işletim sistemlerinden biri oldukları sürece desteklenir.
Ağ gereksinimleri
Azure 'daki sanal makineler, Konuk Yapılandırma hizmetiyle iletişim kurmak için yerel ağ bağdaştırıcısı veya özel bir bağlantı kullanabilir.
Azure Arc makineleri, Azure hizmetlerine ulaşmak ve uyumluluk durumunu raporlamak için şirket içi ağ altyapısını kullanarak bağlanır.
Azure 'da sanal ağlar üzerinden iletişim kurma
Azure 'daki Konuk yapılandırma kaynak sağlayıcısıyla iletişim kurmak için makineler 443 numaralı bağlantı noktasında Azure veri merkezlerine giden erişim gerektirir. Azure 'daki bir ağ giden trafiğe izin vermezse, ağ güvenlik grubu kuralları ile özel durumlar yapılandırın. "AzureArcInfrastructure" ve "Depolama" hizmet etiketleri , Azure veri merkezleri için ıp aralıklarının listesini el ile korumak yerine konuk yapılandırma ve Depolama hizmetlerine başvurmak için kullanılabilir. konuk yapılandırması içerik paketleri Azure Depolama tarafından barındırıldığından her iki etiket de gereklidir.
Azure 'da özel bağlantı üzerinden iletişim kurma
Sanal makineler, Konuk yapılandırma hizmeti ile iletişim kurmak için özel bağlantıyı kullanabilir. EnablePrivateNetworkGCBu özelliği etkinleştirmek için adı ve değeri ile etiket uygulayın TRUE . Bu etiket, Konuk yapılandırma ilkesi tanımlarının makineye uygulanmadan önce veya sonra uygulanabilir.
Azure platform kaynaklarıyla güvenli ve kimliği doğrulanmış bir kanal oluşturmak için Azure sanal genel IP adresi kullanılarak trafik yönlendirilir.
Azure Arc özellikli sunucular
Azure Arc tarafından bağlanan Azure dışında bulunan düğümlerin Konuk yapılandırma hizmetine bağlantısı olması gerekir. Azure Arc belgelerindesunulan ağ ve ara sunucu gereksinimleriyle ilgili ayrıntılar.
Özel veri merkezlerinde yay özellikli sunucular için aşağıdaki desenleri kullanarak trafiğe izin verin:
- Bağlantı noktası: giden internet erişimi için yalnızca TCP 443 gerekir
- Genel URL:
*.guestconfiguration.azure.com
Azure dışındaki makinelere ilke atama
Konuk yapılandırması için kullanılabilen Denetim ilkesi tanımları, Microsoft. HybridCompute/machines kaynak türünü içerir. İlke atamasının kapsamındaki sunucular Için Azure yaya eklendi tüm makineler otomatik olarak eklenir.
Yönetilen kimlik gereksinimleri
Girişim dağıtımı önkoşulları sanal makinelerde Konuk yapılandırma ilkelerini etkinleştirmek için ilke tanımları, bir tane yoksa, sistem tarafından atanan bir yönetilen kimliği etkinleştirir. Girişimde kimlik oluşturmayı yöneten iki ilke tanımı vardır. İlke tanımlarındaki koşullar, Azure 'daki makine kaynağının geçerli durumuna bağlı olarak doğru davranışı güvence altına alır.
Önemli
Bu tanımlar, mevcut User-Assigned kimliklerine (varsa) ek olarak, hedef kaynaklarda System-Assigned yönetilen bir kimlik oluşturur. İstekte User-Assigned kimliğini belirtmedikleri takdirde, mevcut uygulamalar için, makine varsayılan olarak System-Assigned kimliğini kullanacaktır. Daha Fazla Bilgi
Makinenin Şu anda herhangi bir yönetilen kimliği yoksa, etkin ilke: kimliği olmayan sanal makinelerde Konuk yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik Ekle
Makinenin Şu anda Kullanıcı tarafından atanan bir sistem kimliği varsa, etkin ilke: Kullanıcı tarafından atanan bir kimliğe sahip VM 'lerde Konuk yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik Ekle
Kullanılabilirlik
Yüksek oranda kullanılabilir bir çözüm tasarlayan müşteriler, Konuk atamaları Azure 'da makine kaynakları uzantıları olduğundan, sanal makineler için artıklık planlama gereksinimlerini dikkate almalıdır. Bir çiftin en az bir bölgesi kullanılabildiği sürece, Konuk atama kaynakları eşlenmişbir Azure bölgesine sağlandığında, Konuk atama raporları kullanılabilir. Azure bölgesi eşlenmemişse ve kullanılamaz hale gelirse, bölge geri yüklenene kadar Konuk atama raporlarına erişmek mümkün değildir.
Yüksek oranda kullanılabilir uygulamalar için bir mimari düşünürken, özellikle de sanal makinelerin yüksek kullanılabilirlik sağlamak üzere bir yük dengeleyici çözümünün arkasındaki kullanılabilirlik kümelerinde sağlanması durumunda, Çözümdeki tüm makinelere aynı parametrelerle aynı ilke tanımlarını atamak en iyi uygulamadır. Mümkünse, tüm makineleri kapsayan tek bir ilke ataması, en az yönetim yükünü sunmaktadır.
Azure Site Recoverytarafından korunan makineler için, ikincil bir sitedeki makinelerin, birincil sitedeki makinelerle aynı parametre değerlerini kullanan aynı tanımlar Için Azure ilke atamalarının kapsamında olduğundan emin olun.
Veri yerleşimi
Konuk yapılandırması müşteri verilerini depolar/işler. Varsayılan olarak, müşteri verileri eşleştirilmiş bölgeye çoğaltılır. Tek bir yerleşik bölge için tüm müşteri verileri bölgede depolanır ve işlenir.
Konuk yapılandırması sorunlarını giderme
Konuk yapılandırma sorunlarını giderme hakkında daha fazla bilgi için bkz. Azure İlkesi sorunlarını giderme.
Birden çok atama
Konuk yapılandırma ilkesi tanımları Şu anda yalnızca ilke ataması farklı parametreler kullandığında makine başına aynı Konuk atamasını atamayı destekler.
Azure Yönetim Grupları atamaları
' Konuk yapılandırması ' kategorisindeki Azure Ilke tanımları yalnızca ' Auditınotexists ' olduğunda Yönetim Grupları atanabilir. ' DeployIfNotExists ' efektli ilke tanımları Yönetim Grupları atamalar olarak desteklenmez.
İstemci günlük dosyaları
Konuk yapılandırma uzantısı, günlük dosyalarını aşağıdaki konumlara Yazar:
Windows: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
Linux
- Azure VM:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Yay etkin sunucu:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Günlükleri uzaktan toplama
Konuk yapılandırma yapılandırmalarının veya modüllerinin sorunlarını gidermenin ilk adımı, Konuk yapılandırma paketi yapıtlarını test etmebölümündeki adımları izleyerek cmdlet 'leri kullanmalıdır. Bu başarılı olmazsa, istemci günlüklerinin toplanması sorunları tanılamanıza yardımcı olabilir.
Windows
Azure VM Run komutunukullanarak günlük dosyalarından bilgi yakala, aşağıdaki örnek PowerShell betiği yararlı olabilir.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$logPath = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Select-String -Path $logPath -pattern 'DSCEngine','DSCManagedEngine' -CaseSensitive -Context $linesToIncludeBeforeMatch,$linesToIncludeAfterMatch | Select-Object -Last 10
Linux
Azure VM Run komutunukullanarak günlük dosyalarından bilgi yakala, aşağıdaki örnek Bash betiği yararlı olabilir.
linesToIncludeBeforeMatch=0
linesToIncludeAfterMatch=10
logPath=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $linesToIncludeBeforeMatch -A $linesToIncludeAfterMatch 'DSCEngine|DSCManagedEngine' $logPath | tail
Aracı dosyaları
Konuk yapılandırma Aracısı içerik paketlerini bir makineye indirir ve içeriği ayıklar. Hangi içeriğin indirilip depolandığını doğrulamak için aşağıda verilen klasör konumlarını görüntüleyin.
Windows: c:\programdata\guestconfig\configuration
Linux: /var/lib/GuestConfig/Configuration
Konuk yapılandırma örnekleri
Konuk yapılandırması yerleşik ilke örnekleri aşağıdaki konumlarda bulunur:
- Yerleşik ilke tanımları-Konuk yapılandırma
- Yerleşik girişimler-Konuk yapılandırma
- Azure ilke örnekleri GitHub deposu
Sonraki adımlar
- Özel konuk yapılandırma paketi geliştirme ortamını ayarlayın.
- Konuk yapılandırması için bir paket yapıtı oluşturun.
- Geliştirme ortamınızdan paket yapıtını test edin.
- Ortamınızın büyük ölçekte yönetimi için
GuestConfigurationmodülünü kullanarak bir Azure İlkesi tanımı oluşturun. - Azure portalı kullanarak özel ilke tanımınızı atayın.
- Konuk yapılandırması ilke atamaları için uyumluluk ayrıntılarını görüntülemeyi öğrenin.