Rozšíření Konfigurace počítače Azure
Rozšíření Konfigurace počítače provádí operace auditu a konfigurace uvnitř virtuálních počítačů.
Pokud chcete zkontrolovat zásady uvnitř virtuálních počítačů, jako jsou definice standardních hodnot zabezpečení služby Azure pro Linux a Windows, musí být nainstalované rozšíření Konfigurace počítače.
Požadavky
Pokud chcete virtuálnímu počítači povolit ověření ve službě Konfigurace počítače, musí mít váš virtuální počítač spravovanou identitu přiřazenou systémem. Požadavek na identitu pro virtuální počítač můžete splnit nastavením "type": "SystemAssigned" vlastnosti:
"identity": {
"type": "SystemAssigned"
}
Operační systémy
Podpora operačního systému pro rozšíření Konfigurace počítače je stejná jako podpora zdokumentovaného operačního systému pro kompletní řešení.
Připojení k internetu
Agent nainstalovaný rozšířením Konfigurace počítače musí být schopný kontaktovat balíčky obsahu uvedené přiřazením konfigurace hosta a hlásit stav službě Konfigurace počítače. Virtuální počítač se může připojit pomocí odchozího protokolu HTTPS přes port TCP 443 nebo pomocí připojení poskytovaného prostřednictvím privátních sítí.
Další informace o privátních sítích najdete v následujících článcích:
- Konfigurace Azure Mchine, komunikace přes Azure Private Link
- Použití privátních koncových bodů pro Azure Storage
Instalace rozšíření
Rozšíření Konfigurace počítače můžete nainstalovat a nasadit přímo z Azure CLI nebo PowerShellu. Šablony nasazení jsou k dispozici také pro Azure Resource Manager (ARM), Bicep a Terraform. Podrobnosti o šabloně nasazení najdete v tématu Microsoft.GuestConfiguration guestConfigurationAssignments.
Poznámka:
V následujících příkladech nasazení nahraďte <placeholder> hodnoty parametrů konkrétními hodnotami pro vaši konfiguraci.
Aspekty nasazení
Než nainstalujete a nasadíte rozšíření Konfigurace počítače, projděte si následující aspekty.
Název instance Při instalaci rozšíření Konfigurace počítače musí být název instance rozšíření nastaven na
AzurePolicyforWindowshodnotu neboAzurePolicyforLinux. Zásady definice standardních hodnot zabezpečení popsané výše vyžadují tyto konkrétní řetězce.Verze. Ve výchozím nastavení se všechna nasazení aktualizují na nejnovější verzi. Hodnota
autoUpgradeMinorVersionvlastnosti je výchozítrue, pokud není zadán jinak. Tato funkce pomáhá zmírnit obavy týkající se aktualizace kódu při vydání nových verzí rozšíření Konfigurace počítače.Automatický upgrade. Rozšíření Konfigurace počítače podporuje
enableAutomaticUpgradevlastnost. Pokud je tato vlastnost nastavená natrue, Azure automaticky upgraduje na nejnovější verzi rozšíření, jakmile budou k dispozici budoucí verze. Další informace najdete v tématu Automatický upgrade rozšíření pro virtuální počítače a škálovací sady virtuálních počítačů v Azure.Azure Policy. Pokud chcete nasadit nejnovější verzi rozšíření konfigurace počítače ve velkém měřítku, včetně požadavků na identitu, postupujte podle kroků v tématu Vytvoření přiřazení zásady a identifikujte nekompatibilní prostředky. Pomocí služby Azure Policy vytvořte následující přiřazení:
Další vlastnosti. V rozšíření Konfigurace počítače nemusíte zahrnout žádná nastavení ani vlastnosti nastavení chráněného nastavení. Agent načte tuto třídu informací z prostředků přiřazení konfigurace hosta rozhraní Azure REST API. Například ,
ConfigurationUriModeaConfigurationSettingvlastnosti jsou každá spravovaná podle konfigurace místo rozšíření virtuálního počítače.
Azure CLI
Nasazení rozšíření pro Linux:
az vm extension set --publisher Microsoft.GuestConfiguration --name ConfigurationForLinux --extension-instance-name AzurePolicyforLinux --resource-group <myResourceGroup> --vm-name <myVM> --enable-auto-upgrade true
Nasazení rozšíření pro Windows:
az vm extension set --publisher Microsoft.GuestConfiguration --name ConfigurationforWindows --extension-instance-name AzurePolicyforWindows --resource-group <myResourceGroup> --vm-name <myVM> --enable-auto-upgrade true
PowerShell
Nasazení rozšíření pro Linux:
Set-AzVMExtension -Publisher 'Microsoft.GuestConfiguration' -ExtensionType 'ConfigurationForLinux' -Name 'AzurePolicyforLinux' -TypeHandlerVersion 1.0 -ResourceGroupName '<myResourceGroup>' -Location '<myLocation>' -VMName '<myVM>' -EnableAutomaticUpgrade $true
Nasazení rozšíření pro Windows:
Set-AzVMExtension -Publisher 'Microsoft.GuestConfiguration' -ExtensionType 'ConfigurationforWindows' -Name 'AzurePolicyforWindows' -TypeHandlerVersion 1.0 -ResourceGroupName '<myResourceGroup>' -Location '<myLocation>' -VMName '<myVM>' -EnableAutomaticUpgrade $true
Šablona ARM
Nasazení rozšíření pro Linux:
{
"type": "Microsoft.Compute/virtualMachines/extensions",
"name": "[concat(parameters('VMName'), '/AzurePolicyforLinux')]",
"apiVersion": "2020-12-01",
"location": "[parameters('location')]",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/', parameters('VMName'))]"
],
"properties": {
"publisher": "Microsoft.GuestConfiguration",
"type": "ConfigurationForLinux",
"typeHandlerVersion": "1.0",
"autoUpgradeMinorVersion": true,
"enableAutomaticUpgrade": true,
"settings": {},
"protectedSettings": {}
}
}
Nasazení rozšíření pro Windows:
{
"type": "Microsoft.Compute/virtualMachines/extensions",
"name": "[concat(parameters('VMName'), '/AzurePolicyforWindows')]",
"apiVersion": "2020-12-01",
"location": "[parameters('location')]",
"dependsOn": [
"[concat('Microsoft.Compute/virtualMachines/', parameters('VMName'))]"
],
"properties": {
"publisher": "Microsoft.GuestConfiguration",
"type": "ConfigurationforWindows",
"typeHandlerVersion": "1.0",
"autoUpgradeMinorVersion": true,
"enableAutomaticUpgrade": true,
"settings": {},
"protectedSettings": {}
}
}
Šablona Bicep
Nasazení rozšíření pro Linux:
resource virtualMachine 'Microsoft.Compute/virtualMachines@2021-03-01' existing = {
name: 'VMName'
}
resource windowsVMGuestConfigExtension 'Microsoft.Compute/virtualMachines/extensions@2020-12-01' = {
parent: virtualMachine
name: 'AzurePolicyforLinux'
location: resourceGroup().location
properties: {
publisher: 'Microsoft.GuestConfiguration'
type: 'ConfigurationForLinux'
typeHandlerVersion: '1.0'
autoUpgradeMinorVersion: true
enableAutomaticUpgrade: true
settings: {}
protectedSettings: {}
}
}
Nasazení rozšíření pro Windows:
resource virtualMachine 'Microsoft.Compute/virtualMachines@2021-03-01' existing = {
name: 'VMName'
}
resource windowsVMGuestConfigExtension 'Microsoft.Compute/virtualMachines/extensions@2020-12-01' = {
parent: virtualMachine
name: 'AzurePolicyforWindows'
location: resourceGroup().location
properties: {
publisher: 'Microsoft.GuestConfiguration'
type: 'ConfigurationforWindows'
typeHandlerVersion: '1.0'
autoUpgradeMinorVersion: true
enableAutomaticUpgrade: true
settings: {}
protectedSettings: {}
}
}
Šablona Terraformu
Nasazení rozšíření pro Linux:
resource "azurerm_virtual_machine_extension" "gc" {
name = "AzurePolicyforLinux"
virtual_machine_id = "<myVMID>"
publisher = "Microsoft.GuestConfiguration"
type = "ConfigurationForLinux"
type_handler_version = "1.0"
auto_upgrade_minor_version = "true"
}
Nasazení rozšíření pro Windows:
resource "azurerm_virtual_machine_extension" "gc" {
name = "AzurePolicyforWindows"
virtual_machine_id = "<myVMID>"
publisher = "Microsoft.GuestConfiguration"
type = "ConfigurationforWindows"
type_handler_version = "1.0"
auto_upgrade_minor_version = "true"
}
Chybové zprávy
Následující tabulka uvádí možné chybové zprávy související s povolením rozšíření Konfigurace hosta.
| Kód chyby | Popis |
|---|---|
| NoComplianceReport | Virtuální počítač nenahlásil data dodržování předpisů. |
| GCExtensionMissing | Chybí rozšíření Konfigurace počítače (konfigurace hosta). |
| ManagedIdentityMissing | Spravovaná identita chybí. |
| UserIdentityMissing | Chybí identita přiřazená uživatelem. |
| GCExtensionManagedIdentityMissing | Chybí rozšíření Konfigurace počítače (konfigurace hosta) a spravovaná identita. |
| GCExtensionUserIdentityMissing | Chybí rozšíření Konfigurace počítače (konfigurace hosta) a identita přiřazená uživatelem. |
| GCExtensionIdentityMissing | Chybí rozšíření Konfigurace počítače (konfigurace hosta), spravovaná identita a identita přiřazená uživatelem. |
Další kroky
- Další informace o rozšíření Konfigurace počítače najdete v tématu Vysvětlení konfigurace počítače Azure.
- Další informace o tom, jak agent a rozšíření pro Linux fungují, najdete v tématu Rozšíření a funkce virtuálních počítačů pro Linux.
- Další informace o tom, jak agent hosta a rozšíření systému Windows fungují, najdete v tématu Rozšíření a funkce virtuálního počítače pro Windows.
- Pokud chcete nainstalovat agenta hosta systému Windows, přečtěte si téma Přehled agenta virtuálního počítače Azure.
- Informace o instalaci agenta pro Linux najdete v tématu Principy a používání agenta Azure Linux.