Možnosti nápravy konfigurace počítače
Než začnete, je vhodné si přečíst stránku s přehledem konfigurace počítače.
Důležité
Rozšíření konfigurace počítače se vyžaduje pro virtuální počítače Azure. Pokud chcete rozšíření nasadit ve velkém měřítku na všech počítačích, přiřaďte následující iniciativu zásad: Deploy prerequisites to enable guest configuration policies on virtual machines
Pokud chcete používat balíčky konfigurace počítače, které používají konfigurace, vyžaduje se rozšíření konfigurace hosta virtuálního počítače Azure verze 1.26.24 nebo novější nebo agent Arc 1.10.0 nebo novější.
Definice vlastních zásad konfigurace počítačů, které používají AuditIfNotExists , a DeployIfNotExists jsou ve stavu podpory obecně dostupné (GA).
Jak konfigurace počítače spravuje nápravu (set)
Konfigurace počítače používá efekt zásad DeployIfNotExists pro definice, které doručují změny v počítačích. Nastavte vlastnosti přiřazení zásady, abyste mohli řídit, jak vyhodnocení poskytuje konfigurace automaticky nebo na vyžádání.
K dispozici je video s návodem k tomuto dokumentu.
Typy přiřazení konfigurace počítače
Při vytváření přiřazení hostů existují tři dostupné typy přiřazení. Vlastnost je k dispozici jako parametr definic konfigurace počítače, které podporují DeployIfNotExists.
Vlastnost assignmentType rozlišují malá a velká písmena.
| Typ přiřazení | Chování |
|---|---|
Audit |
Hlásit stav počítače, ale neprovádí změny. |
ApplyAndMonitor |
Použije se na počítač jednou a pak monitoruje změny. Pokud se konfigurace posune a stane NonCompliantse , není automaticky opravena, pokud se neaktivuje náprava. |
ApplyAndAutoCorrect |
Použije se na počítač. Pokud se posune, místní služba uvnitř počítače provede opravu při dalším vyhodnocení. |
Když je k existujícímu počítači přiřazené nové přiřazení zásad, vytvoří se přiřazení hosta automaticky pro audit stavu konfigurace. Audit poskytuje informace, které můžete použít k rozhodnutí, které počítače potřebují nápravu.
Náprava na vyžádání (ApplyAndMonitor)
Přiřazení konfigurace počítače ve výchozím nastavení fungují ve scénáři nápravy na vyžádání. Konfigurace se použije a pak se může odhlásit od dodržování předpisů.
Stav dodržování předpisů přiřazení hosta není Compliant :
- Při použití konfigurace dojde k chybě.
- Pokud už počítač není v požadovaném stavu během dalšího vyhodnocení
Pokud jsou splněné některé z těchto podmínek, agent hlásí stav jako NonCompliant a automaticky ho nenapraví.
Chcete-li toto chování povolit, nastavte vlastnost assignmentType přiřazení konfigurace počítače na ApplyandMonitor. Pokaždé, když je přiřazení zpracováno v rámci počítače, agent hlásí Compliant pro každý prostředek, když test metoda vrátí $true nebo NonCompliant pokud metoda vrátí $false.
Průběžná náprava (automatické opravy)
Konfigurace počítače podporuje koncept průběžné nápravy. Pokud se počítač odpojí od dodržování předpisů pro konfiguraci, při příštím vyhodnocení konfigurace se konfigurace opraví automaticky. Pokud nedojde k chybě, počítač vždy hlásí stav Compliant konfigurace. Při použití průběžné nápravy neexistuje způsob, jak oznámit, že při nedodržení předpisů došlo k automatické opravě.
Chcete-li toto chování povolit, nastavte vlastnost assignmentType přiřazení konfigurace počítače na ApplyandAutoCorrect. Pokaždé, když se přiřazení zpracuje v rámci počítače, metoda Set se spustí automaticky pro každý prostředek , který metoda Test vrátí false.
Zakázání nápravy
Pokud je vlastnost assignmentType nastavena na Audit, agent provádí pouze audit počítače a nepokouší se napravit konfiguraci, pokud není kompatibilní.
Zakázání nápravy vlastního obsahu
Vlastnost typu přiřazení pro vlastní balíčky obsahu můžete přepsat přidáním značky do počítače s názvem CustomGuestConfigurationSetPolicy a hodnotou disable. Přidání značky zakáže nápravu pouze pro vlastní balíčky obsahu, ne pro integrovaný obsah poskytovaný Microsoftem.
Vynucení služby Azure Policy
Přiřazení azure Policy zahrnují požadovaný režim vynucování vlastností, který určuje chování nových a existujících prostředků. Pomocí této vlastnosti můžete řídit, jestli se na počítače automaticky použijí konfigurace.
Ve výchozím nastavení je vynucení nastaveno na Enabledhodnotu . Azure Policy automaticky použije konfiguraci při nasazení nového počítače. Použije také konfiguraci, když se aktualizují vlastnosti počítače v oboru přiřazení služby Azure Policy se zásadami v kategorii Guest Configuration . Operace aktualizace zahrnují akce, ke kterým dochází v Azure Resource Manageru, jako je přidání nebo změna značky. Operace aktualizace také zahrnují změny virtuálních počítačů, jako je změna velikosti nebo připojení disku.
Vynucení ponechte povolené, pokud by se konfigurace měla napravit, když dojde ke změnám prostředku počítače v Azure. Změny, ke kterým dochází uvnitř počítače, neaktivují automatickou nápravu, pokud neměňí prostředek počítače v Azure Resource Manageru.
Pokud je vynucení nastaveno na Disabled, přiřazení konfigurace audituje stav počítače, dokud úloha nápravy nezmění chování. Definice konfigurace počítače ve výchozím nastavení aktualizují vlastnost Audit assignmentType tak, aby ApplyandMonitor se konfigurace použila jednou a pak se znovu nepoužije, dokud se neaktivuje náprava.
Volitelné: Náprava všech existujících počítačů
Pokud se přiřazení Azure Policy vytvoří z webu Azure Portal, na kartě Náprava je k dispozici zaškrtávací políčko "Vytvořit úlohu nápravy". Když je políčko zaškrtnuté, po vytvoření přiřazení zásady úkoly nápravy automaticky opraví všechny prostředky, které se vyhodnotí jako NonCompliant.
Výsledkem tohoto nastavení pro konfiguraci počítače je, že konfiguraci můžete nasadit napříč mnoha počítači přiřazením zásady. Úlohu nápravy také nemusíte spouštět ručně pro počítače, které nedodržují předpisy.
Ruční aktivace nápravy mimo Azure Policy
Nápravu můžete orchestrovat mimo prostředí Azure Policy aktualizací prostředku přiřazení hosta, i když aktualizace neprovádí změny vlastností prostředku.
Při vytvoření přiřazení konfigurace počítače je vlastnost complianceStatus nastavena na Pendinghodnotu . Služba konfigurace počítače vyžaduje seznam přiřazení každých 5 minut. Pokud je přiřazení konfigurace počítače a jeho vlastnost configurationMode je Pending ApplyandMonitor nebo ApplyandAutoCorrect, služba v počítači tuto konfiguraci použije.
Po použití konfigurace určuje režim konfigurace, jestli se má chování hlásit pouze o stavu dodržování předpisů a povolit posun nebo automaticky opravit.
Principy kombinací nastavení
| ~ | Audit | ApplyandMonitor | ApplyandAutoCorrect |
|---|---|---|---|
| Vynucení povoleno | Pouze hlásí stav. | Konfigurace použitá u vytvoření a opětovného použití virtuálního počítače v aktualizaci, ale jinak se povoluje posun | Konfigurace použitá na vytvoření virtuálního počítače, opětovné použití při aktualizaci a oprava v dalším intervalu, pokud dojde k posunu |
| Vynucení zakázáno | Pouze hlásí stav. | Konfigurace použitá, ale povolená posun | Konfigurace použitá na vytvoření nebo aktualizaci virtuálního počítače a opravená při dalším intervalu, pokud dojde k posunu |
Další kroky
- Vývoj vlastního konfiguračního balíčku počítače
- Pomocí modulu GuestConfiguration vytvořte definici služby Azure Policy pro správu vašeho prostředí ve velkém měřítku.
- Přiřazení vlastní definice zásad pomocí webu Azure Portal
- Zjistěte, jak zobrazit podrobnosti o dodržování předpisů pro přiřazení zásad konfigurace počítače.