Grundlegendes zur Azure-Computerkonfiguration
Achtung
Dieser Artikel bezieht sich auf CentOS, eine Linux-Distribution, deren Dienstende (End-of-Life, EOL) ansteht. Sie sollten Ihre Nutzung entsprechend planen. Weitere Informationen finden Sie im CentOS End-of-Life-Leitfaden.
Das Azure Policy-Feature „Computerkonfiguration“ bietet native Funktionalität zum Überprüfen oder Konfigurieren von Betriebssystemeinstellungen als Code, sowohl für in Azure ausgeführte Computer als auch für hybride Arc-fähige Computer. Sie können das Feature direkt computerbezogen nutzen oder mit Azure Policy im großen Stil orchestrieren.
Konfigurationsressourcen in Azure sind als Erweiterungsressourcen konzipiert. Sie können sich jede Konfiguration als zusätzlichen Satz von Eigenschaften für den Computer vorstellen. Konfigurationen können Einstellungen enthalten wie:
- Betriebssystemeinstellungen
- Die Konfiguration oder das Vorhandensein der Anwendung
- Umgebungseinstellungen
Konfigurationen unterscheiden sich von Richtliniendefinitionen. „Computerkonfiguration“ nutzt Azure Policy, um Computern Konfigurationen dynamisch zuzuweisen. Sie können Computern Konfigurationen auch manuell oder mithilfe anderer Azure-Dienste wie AutoManage zuweisen.
Beispiele für jedes Szenario sind in der folgenden Tabelle aufgeführt.
type | BESCHREIBUNG | Beispielstory |
---|---|---|
Konfigurationsverwaltung | Sie möchten eine vollständige Darstellung eines Servers als Code in der Quellcodeverwaltung. Die Bereitstellung sollte Eigenschaften des Servers (Größe, Netzwerk, Speicher) und die Konfiguration von Betriebssystem- und Anwendungseinstellungen enthalten. | "Dieser Computer sollte ein Webserver sein, der zum Hosten meiner Websete konfiguriert ist." |
Compliance | Sie möchten Einstellungen für alle Computer im Bereich überwachen oder bereitstellen, entweder reaktiv auf vorhandenen Computern oder proaktiv auf neuen Computern, nachdem sie bereitgestellt wurden. | "Alle Computer sollten TLS 1.2 verwenden. Vorhandene Computer sollen überprüft werden, damit ich Änderungen dort vornehmen kann, wo sie benötigt werden, und zwar kontrolliert und im großen Stil. Für neue Computer soll die Einstellung erzwungen werden, wenn sie bereitgestellt werden.“ |
Sie können die Ergebnisse aus Konfigurationen auf der Seite Gastzuweisungen einstellungsbezogen anzeigen. Wenn eine Azure Policy-Zuweisung die Konfiguration orchestriert hat, können Sie auf der Seite Konformitätsdetails den Link „Zuletzt ausgewertete Ressource“ auswählen.
Durchsetzungsmodi für benutzerdefinierte Richtlinien
Um die Durchsetzung und Überwachung von Servereinstellungen, Anwendungen und Workloads zu verbessern, bietet die Computerkonfiguration drei Hauptdurchsetzungsmodi für jede Richtlinienzuweisung, wie in der folgenden Tabelle beschrieben.
Mode | Beschreibung |
---|---|
Überwachung | Nur Bericht über den Zustand des Computers |
Anwenden und überwachen | Auf den Computer angewendete Konfiguration und anschließende Überwachung auf Änderungen |
Anwenden und automatisch korrigieren | Auf den Computer angewendete Konfiguration und im Falle einer Abweichung wiederherstellen der Übereinstimmung |
Für dieses Dokument ist ein Video zur exemplarischen Vorgehensweise verfügbar. (Update in Kürze verfügbar)
Computerkonfiguration aktivieren
Sehen Sie sich die folgenden ausführlichen Informationen an, um den Status der Computer in Ihrer Umgebung zu verwalten, einschließlich Computern in Azure und Arc-fähiger Server.
Ressourcenanbieter
Um das Computerkonfigurationsfeature von Azure Policy verwenden zu können, müssen Sie den Microsoft.GuestConfiguration
-Ressourcenanbieter registrieren. Wenn die Zuweisung einer Computerkonfigurationsrichtlinie über das Portal erfolgt oder das Abonnement in Microsoft Defender für Cloud registriert ist, wird der Ressourcenanbieter automatisch registriert. Hierfür können Sie über das Portal, die Azure PowerShell oder Azure CLI manuell registrieren.
Bereitstellen von Anforderungen für virtuelle Azure-Computer
Für die Verwaltung von Einstellungen innerhalb eines Computers ist eine VM-Erweiterung aktiviert, und der Computer muss über eine systemseitig verwaltete Identität verfügen. Die Erweiterung lädt die zutreffenden Computerkonfigurationszuweisungen sowie die entsprechenden Abhängigkeiten herunter. Die Identität wird verwendet, um den Computer zu authentifizieren, wenn Lese- und Schreibvorgänge im Computerkonfigurationsdienst ausgeführt werden. Bei Arc-fähigen Servern wird die Erweiterung nicht benötigt, da sie bereits im Arc Connected Machine-Agent enthalten ist.
Wichtig
Für die Verwaltung von virtuellen Azure-Computern sind die Computerkonfigurationserweiterung und eine verwaltete Identität erforderlich.
Wenn Sie die Erweiterung im großen Stil auf vielen Computern bereitstellen möchten, weisen Sie die Richtlinieninitiative Deploy prerequisites to enable Guest Configuration policies on virtual machines
zu einer Verwaltungsgruppe, einem Abonnement oder einer Ressourcengruppe mit den Maschinen, die Sie verwalten möchten.
Wenn Sie es vorziehen, die Erweiterung und verwaltete Identität auf einem einzelnen Computer bereitzustellen, lesen Sie Konfigurieren von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Computer über das Azure-Portal.
Für die Verwendung von Gastkonfigurationspaketen, die Konfigurationen anwenden, ist die Azure-VM-Gastkonfigurationserweiterung, Version 1.26.24 oder höher, erforderlich.
Wichtig
Die Erstellung einer verwalteten Identität oder Zuweisung einer Richtlinie mit der Rolle „Gastkonfigurations-Ressourcenmitwirkender“ sind Aktionen, die entsprechende Azure RBAC-Berechtigungen erfordern. Weitere Informationen zu Azure Policyund Azure RBAC finden Sie unter rollenbasierte Zugriffssteuerung in Azure Policy.
Für die Erweiterung festgelegte Grenzwerte
Um die Auswirkungen der Erweiterung auf die auf dem Computer ausgeführten Anwendungen zu beschränken, darf der Computerkonfigurations-Agent höchstens 5 % der CPU auslasten. Diese Einschränkung gilt sowohl für integrierte als auch für angepasste Definitionen. Dies gilt auch für den Computerkonfigurationsdienst im Arc Connected Machine-Agent.
Überprüfungstools
Auf dem Computer verwendet der Computerkonfigurations-Agent für die Ausführung von Tasks lokale Tools.
In der folgenden Tabelle sind die lokalen Tools aufgeführt, die unter den jeweiligen unterstützten Betriebssystemen verwendet werden. Bei integrierten Inhalten werden diese Tools in der Computerkonfiguration automatisch geladen.
Betriebssystem | Überprüfungstool | Notizen |
---|---|---|
Windows | PowerShell Desired State Configuration v2 | Wird mittels Sideloading in einen Ordner quergeladen, der nur von Azure Policy verwendet wird. Verursacht keinen Konflikt mit Windows PowerShell DSC. PowerShell wird nicht zum Systempfad hinzugefügt. |
Linux | PowerShell Desired State Configuration, Version 3 | Wird mittels Sideloading in einen Ordner quergeladen, der nur von Azure Policy verwendet wird. PowerShell wird nicht zum Systempfad hinzugefügt. |
Linux | Chef InSpec | Installiert Chef InSpec (Version 2.2.61) am Standardspeicherort und wird dessen Systempfad hinzugefügt. Außerdem werden Abhängigkeiten von InSpec installiert, einschließlich Ruby und Python. |
Validierungshäufigkeit
Der Gastkonfigurations-Agent überprüft alle 5 Minuten, ob Gastzuweisungen hinzugefügt oder geändert wurden. Nachdem eine Gastzuweisung empfangen wurde, werden die Einstellungen für diese Konfiguration alle 15 Minuten erneut überprüft. Wenn mehrere Konfigurationen zugewiesen sind, werden diese einzeln nacheinander ausgewertet. Zeitintensive Konfigurationen wirken sich auf das Intervall für alle Konfigurationen aus, da die nächste Konfiguration erst ausgeführt werden kann, wenn die vorherige abgeschlossen ist.
Die Ergebnisse werden nach Abschluss der Überprüfung an den Computerkonfigurationsdienst gesendet. Wenn ein Auswertungstrigger für Richtlinien auftritt, wird der Status des Computers an den Ressourcenanbieter der Computerkonfiguration übermittelt. Dieses Update bewirkt, dass Azure Policy die Azure Resource Manager-Eigenschaften auswertet. Bei einer bei Bedarf ausgelösten Auswertung durch Azure Policy wird der aktuelle Wert beim Ressourcenanbieter der Computerkonfiguration abgerufen. Es wird jedoch keine neue Aktivität auf dem Computer ausgelöst. Der Status wird anschließend an Azure Resource Graph übermittelt.
Unterstützte Clienttypen
Richtliniendefinitionen für die Computerkonfiguration umfassen neue Versionen. Ältere Versionen von Betriebssystemen, die im Azure Marketplace verfügbar sind, sind ausgeschlossen, wenn der Gastkonfigurationsclient nicht kompatibel ist. Darüber hinaus werden Linux-Serverversionen, die von ihren jeweiligen Herausgebern nicht mehr unterstützt werden, von der Supportmatrix ausgeschlossen.
In der folgenden Tabelle werden die für Azure-Images unterstützten Betriebssysteme aufgeführt. Die Angabe .x
steht symbolisch für neue Nebenversionen von Linux-Distributionen.
Herausgeber | Name | Versionen |
---|---|---|
Alma | AlmaLinux | 9 |
Amazon | Linux | 2 |
Canonical | Ubuntu Server | 16.04 - 22.x |
Credativ | Debian | 10.x - 12.x |
Microsoft | CBL-Mariner | 1 - 2 |
Microsoft | Windows-Client | Windows 10, 11 |
Microsoft | Windows Server | 2012 - 2022 |
Oracle | Oracle-Linux | 7.x – 8.x |
OpenLogic | CentOS | 7.3 – 8.x |
Red Hat | Red Hat Enterprise Linux* | 7.4 – 9.x |
Rocky | Rocky Linux | 8 |
SUSE | SLES | 12 SP5, 15.x |
* Red Hat CoreOS wird nicht unterstützt.
Benutzerdefinierte VM-Images werden von Richtliniendefinitionen für „Computerkonfiguration“ unterstützt, sofern es sich um eines der Betriebssysteme in der vorherigen Tabelle handelt. Die Computerkonfiguration unterstützt VMSS Uniform nicht, unterstützt aber VMSS Flex.
Netzwerkanforderungen
Virtuelle Azure-Computer können entweder ihren lokalen virtuellen Netzwerkadapter (vNIC) oder Azure Private Link verwenden, um mit dem Computerkonfigurationsdienst zu kommunizieren.
Computer mit Azure Arc-Unterstützung stellen mithilfe der lokalen Netzwerkinfrastruktur eine Verbindung her, um Azure-Dienste zu erreichen und den Compliancestatus zu melden.
Im Folgenden finden Sie eine Liste der Azure Storage-Endpunkte, die für Azure-VMs und VMs mit Azure Arc-Unterstützung erforderlich sind, um mit dem Ressourcenanbieter für die Computerkonfiguration in Azure zu kommunizieren:
oaasguestconfigac2s1.blob.core.windows.net
oaasguestconfigacs1.blob.core.windows.net
oaasguestconfigaes1.blob.core.windows.net
oaasguestconfigases1.blob.core.windows.net
oaasguestconfigbrses1.blob.core.windows.net
oaasguestconfigbrss1.blob.core.windows.net
oaasguestconfigccs1.blob.core.windows.net
oaasguestconfigces1.blob.core.windows.net
oaasguestconfigcids1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigeaps1.blob.core.windows.net
oaasguestconfigeas1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigfcs1.blob.core.windows.net
oaasguestconfigfss1.blob.core.windows.net
oaasguestconfiggewcs1.blob.core.windows.net
oaasguestconfiggns1.blob.core.windows.net
oaasguestconfiggwcs1.blob.core.windows.net
oaasguestconfigjiws1.blob.core.windows.net
oaasguestconfigjpes1.blob.core.windows.net
oaasguestconfigjpws1.blob.core.windows.net
oaasguestconfigkcs1.blob.core.windows.net
oaasguestconfigkss1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfignes1.blob.core.windows.net
oaasguestconfignres1.blob.core.windows.net
oaasguestconfignrws1.blob.core.windows.net
oaasguestconfigqacs1.blob.core.windows.net
oaasguestconfigsans1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigseas1.blob.core.windows.net
oaasguestconfigsecs1.blob.core.windows.net
oaasguestconfigsfns1.blob.core.windows.net
oaasguestconfigsfws1.blob.core.windows.net
oaasguestconfigsids1.blob.core.windows.net
oaasguestconfigstzns1.blob.core.windows.net
oaasguestconfigswcs1.blob.core.windows.net
oaasguestconfigswns1.blob.core.windows.net
oaasguestconfigswss1.blob.core.windows.net
oaasguestconfigswws1.blob.core.windows.net
oaasguestconfiguaecs1.blob.core.windows.net
oaasguestconfiguaens1.blob.core.windows.net
oaasguestconfigukss1.blob.core.windows.net
oaasguestconfigukws1.blob.core.windows.net
oaasguestconfigwcuss1.blob.core.windows.net
oaasguestconfigwes1.blob.core.windows.net
oaasguestconfigwids1.blob.core.windows.net
oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net
Kommunizieren über virtuelle Netzwerke in Azure
Für die Kommunikation mit dem Ressourcenanbieter von „Computerkonfiguration“ in Azure benötigen Computer ausgehenden Zugriff auf Azure-Rechenzentren über Port 443
*. Wenn ein Netzwerk in Azure keinen ausgehenden Datenverkehr zulässt, müssen Ausnahmen über Netzwerksicherheitsgruppen-Regeln konfiguriert werden. Die DiensttagsAzureArcInfrastructure
und Storage
können verwendet werden, um auf den Gastkonfigurations- und Storage-Dienst zu verweisen, damit die Liste der IP-Adressbereiche für Azure-Rechenzentren nicht manuell geführt werden muss. Beide Tags sind erforderlich, da Inhaltspakete für „Computerkonfiguration“ von Azure Storage gehostet werden.
Kommunizieren über Private Link in Azure
Für die Kommunikation mit dem Computerkonfigurationsdienst können virtuelle Computer eine private Verbindung verwenden.
Wenden Sie ein Tag mit dem Namen EnablePrivateNetworkGC
und dem Wert TRUE
an, um dieses Feature zu aktivieren. Das Tag kann vor oder nach der Anwendung der Richtliniendefinitionen der Computerkonfiguration auf den Computer angewendet werden.
Wichtig
Für die Kommunikation über eine private Verbindung für benutzerdefinierte Pakete muss der Link zum Speicherort des Pakets der Liste zulässiger URLs hinzugefügt werden.
Der Datenverkehr wird mithilfe der virtuellen öffentlichen IP-Adresse von Azure weitergeleitet, um einen sicheren, authentifizierten Kanal mit Azure-Plattformressourcen einzurichten.
Kommunikation über öffentliche Endpunkte außerhalb von Azure
Server, die sich in lokalen Umgebungen oder in anderen Clouds befinden, können mithilfe der Computerkonfiguration verwaltet werden, indem sie mit Azure Arc verbunden werden.
Lassen Sie bei Servern mit Azure Arc-Unterstützung den Datenverkehr anhand der folgenden Muster zu:
- Port: Für ausgehenden Zugriff auf das Internet ist nur TCP 443 erforderlich
- Globale URL:
*.guestconfiguration.azure.com
Unter Netzwerkanforderungen für Server mit Azure Arc-Unterstützung finden Sie eine vollständige Liste aller Netzwerkendpunkte, die vom Azure Connected Machine-Agent für wichtige Azure Arc- und Computerkonfigurationsszenarien erforderlich sind.
Kommunikation über Private Link außerhalb von Azure
Bei Verwendung einer privaten Verbindung mit Arc-fähigen Servern werden integrierte Richtlinienpakete automatisch über die private Verbindung heruntergeladen. Sie müssen auf dem Arc-fähigen Server keine Tags festlegen, um dieses Feature zu aktivieren.
Zuweisen von Richtlinien zu Computern außerhalb von Azure
Die für die Computerkonfiguration verfügbaren Überwachungsrichtliniendefinitionen umfassen den Ressourcentyp Microsoft.HybridCompute/machines. Alle Computer, für die ein Onboarding auf Servern mit Azure Arc-Unterstützung durchgeführt wurde und die sich im Geltungsbereich der Richtlinienzuweisung befinden, werden automatisch eingeschlossen.
Anforderungen für verwaltete Identitäten
Durch die Richtliniendefinitionen in der Initiative Deploy prerequisites to enable guest configuration policies on virtual machines
wird eine systemseitig zugewiesene verwaltete Identität aktiviert, sofern noch keine solche vorhanden ist. Die Initiative enthält zwei Richtliniendefinitionen, durch die die Identitätserstellung verwaltet wird. Die if
-Bedingungen in den Richtliniendefinitionen gewährleisten das ordnungsgemäße Verhalten basierend auf dem aktuellen Zustand der Computerressource in Azure.
Wichtig
Diese Definitionen erstellen eine vom System zugewiesene verwaltete Identität auf den Zielressourcen, zusätzlich zu vorhandenen benutzerzugewiesenen Identitäten (sofern vorhanden). Wenn die benutzerseitig zugewiesene Identität nicht extra angegeben wird, wird auf dem Computer für vorhandene Anwendungen standardmäßig die systemseitig zugewiesene Identität verwendet. Weitere Informationen
Wenn der Computer derzeit über keine verwalteten Identitäten verfügt, ist die effektive Richtlinie: Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren.
Wenn der Computer derzeit über eine benutzerseitig zugewiesene Systemidentität verfügt, ist die effektive Richtlinie: Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen verwalteten Identität zu aktivieren.
Verfügbarkeit
Kunden, die eine hochverfügbare Lösung entwerfen, sollten die Anforderungen an die Redundanzplanung für virtuelle Computer berücksichtigen, da Gastzuweisungen Erweiterungen von Computerressourcen in Azure sind. Wenn Gastzuweisungsressourcen in einer gekoppelten Azure-Region bereitgestellt werden, können Sie Berichte über Gastzuweisungen anzeigen, wenn mindestens eine Region in der Kopplung verfügbar ist. Wenn die Azure-Region nicht gekoppelt und nicht mehr verfügbar ist, können Sie nicht auf Berichte zu einer Gastzuweisung zugreifen. Nach Wiederherstellung der Region können Sie wieder auf die Berichte zugreifen.
Bewährte hat sich die Methode, allen Computern in der Lösung für hochverfügbare Anwendungen die gleichen Richtliniendefinitionen mit den gleichen Parametern zuzuweisen. Dies gilt insbesondere für Szenarien, in denen virtuelle Computer in Verfügbarkeitsgruppen hinter einer Lastenausgleichslösung bereitgestellt werden. Eine einzelne Richtlinienzuweisung für alle Computer ist mit dem geringsten Verwaltungsaufwand verbunden.
Stellen Sie für durch Azure Site Recovery geschützte Computer sicher, dass sie sich am primären und sekundären Standort innerhalb des Bereichs von Azure Policy-Zuweisungen mit denselben Definitionen befinden. Verwenden Sie für beide Standorte die gleichen Parameterwerte.
Datenresidenz
„Computerkonfiguration“ speichert und verarbeitet Kundendaten. Standardmäßig werden Kundendaten in die gekoppelte Region repliziert. Für die Regionen Singapur, Brasilien, Süden und Asien, Osten werden alle Kundendaten in der Region gespeichert und verarbeitet.
Problembehandlung bei der Computerkonfiguration
Weitere Informationen zur Problembehandlung bei der Computerkonfiguration finden Sie unter Problembehandlung mit Azure Policy.
Mehrere Zuweisungen
Derzeit unterstützen nur einige integrierte Richtliniendefinitionen für „Computerkonfiguration“ mehrere Zuweisungen. Alle benutzerdefinierten Richtlinien unterstützen jedoch standardmäßig mehrere Zuweisungen, wenn Sie mit der neuesten Version des PowerShell-Moduls GuestConfiguration Computerkonfigurationspaketen und -richtlinien erstellt haben.
Es folgt die Liste integrierter Richtliniendefinitionen für „Computerkonfiguration“, die mehrere Zuweisungen unterstützen:
ID | DisplayName |
---|---|
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Lokale Authentifizierungsmethoden sollten auf Windows-Servern deaktiviert werden |
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Lokale Authentifizierungsmethoden sollten auf Linux-Servern deaktiviert werden |
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Vorschau]: Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität zum Aktivieren von Gastkonfigurationszuweisungen auf virtuellen Computern |
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Vorschau]: Linux-Computer müssen die STIG-Complianceanforderung für Azure Compute erfüllen |
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Vorschau]: Windows-Computer müssen die STIG-Konformitätsanforderungen für Azure Compute erfüllen |
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Vorschau]: Auf Linux-Computern mit installierter OMI muss mindestens Version 1.6.8-1 installiert sein |
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Windows-Computer überwachen, die nicht die angegebenen Zertifikate im vertrauenswürdigen Stamm enthalten |
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Windows-Computer mit nicht konformer DSC-Konfiguration überwachen |
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Windows-VMs ohne die angegebene Windows PowerShell-Ausführungsrichtlinie überwachen |
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Windows-VMs ohne Installation der angegebenen Windows PowerShell-Module überwachen |
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Windows-Computer ohne aktivierte serielle Windows-Konsole überwachen |
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Windows-Computer überwachen, auf denen die angegebenen Dienste nicht installiert sind und ausgeführt werden |
/providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Windows-Computer überwachen, die nicht auf die angegebene Zeitzone festgelegt sind |
Hinweis
Überprüfen Sie diese Seite in regelmäßigen Abständen auf Aktualisierungen der Liste integrierter Richtliniendefinitionen für „Computerkonfiguration“, die mehrere Zuweisungen unterstützen.
Zuweisungen zu Azure-Verwaltungsgruppen
Azure Policy-Definitionen in der Kategorie Guest Configuration
können Verwaltungsgruppen zugewiesen werden, wenn die Auswirkung AuditIfNotExists
oder DeployIfNotExists
ist.
Protokolldateien des Clients
Die Computerkonfigurationserweiterung schreibt Protokolldateien an die folgenden Speicherorte:
Windows
- Azure-VM:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
- Arc-fähiger Server:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Azure-VM:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
- Arc-fähiger Server:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Remotesammeln von Protokollen
Im ersten Schritt bei der Problembehandlung von Computerkonfigurationen oder Modulen sollten die Cmdlets entsprechend den unter Testen von Computerkonfigurations-Paketartefakten beschriebenen Schritten ausgeführt werden. Wenn dies nicht erfolgreich ist, kann das Sammeln von Clientprotokollen helfen, Probleme zu diagnostizieren.
Windows
Erfassen Sie Informationen aus Protokolldateien mithilfe des Azure-VM-Befehls Ausführen, wobei das folgende PowerShell-Beispiel hilfreich sein kann.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Erfassen Sie Informationen aus Protokolldateien mithilfe des Azure VM-Befehls Ausführen, wobei das folgende Bash-Beispiel hilfreich sein kann.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Agent-Dateien
Der Computerkonfigurations-Agent lädt Inhaltspakete auf einen Computer herunter und extrahiert deren Inhalte. Um zu überprüfen, welche Inhalte heruntergeladen und gespeichert wurden, sehen Sie sich die Ordnerspeicherorte in der folgenden Liste an.
- Windows:
C:\ProgramData\guestconfig\configuration
- Linux:
/var/lib/GuestConfig/Configuration
Funktionen des Open-Source-Moduls nxtools
Das neue Open-Source-Modul nxtools wurde veröffentlicht, um die Verwaltung von Linux-Systemen für PowerShell-Benutzer zu vereinfachen.
Das Modul unterstützt Sie bei allgemeinen Aufgaben wie z. B.:
- Verwalten von Benutzern und Gruppen
- Ausführen von Dateisystemvorgängen
- Verwalten von Diensten
- Ausführen von Archivvorgängen
- Verwalten von Paketen
Das Modul enthält klassenbasierte DSC-Ressourcen für Linux sowie integrierte Computerkonfigurationspakete.
Um Feedback zu dieser Funktionalität zu geben, erstellen Sie ein Issue zur Dokumentation. Wir akzeptieren derzeit keine PRs für dieses Projekt, und Unterstützung wird auf bestmögliche Weise bereitgestellt.
Computerkonfigurationsbeispiele
Beispiele für integrierte Computerkonfigurationsrichtlinien finden Sie unter:
- Integrierte Richtliniendefinitionen: Gastkonfiguration
- Integrierte Initiativen: Gastkonfiguration
- Azure Policy-Beispiele: GitHub-Repository
- Beispiel für DSC-Ressourcenmodule
Nächste Schritte
- Richten Sie eine Entwicklungsumgebung für benutzerdefinierte Computerkonfigurationspakete ein.
- Erstellen Sie ein Paketartefakt für die Computerkonfiguration.
- Testen Sie das Paketartefakt aus Ihrer Entwicklungsumgebung.
- Verwenden Sie das GuestConfiguration-Modul, um eine Azure-Richtliniendefinition für die Verwaltung Ihrer Umgebung im großen Maßstab zu erstellen.
- Weisen Sie Ihre Richtliniendefinition mithilfe des Azure-Portals zu.
- Erfahren Sie, wie Sie die Richtlinienzuweisungen Konformitätsdetails für die Maschinenkonfiguration anzeigen.