Compartir a través de


Opciones de corrección para la configuración de la máquina

Antes de comenzar, es aconsejable leer la página de información general de la configuración de máquina.

Importante

Se requiere la extensión de configuración de la máquina para máquinas virtuales de Azure. Para implementar la extensión a gran escala en todas las máquinas, asigne la iniciativa de directiva siguiente: Deploy prerequisites to enable guest configuration policies on virtual machines

Para usar paquetes de configuración de máquina que aplican configuraciones, se requiere la versión de la extensión de configuración de invitado de máquina virtual de Azure 1.26.24 o posterior, o el agente de Arc 1.10.0 o posterior.

Las definiciones de directiva de configuración de máquinas personalizadas que usan tanto AuditIfNotExists como DeployIfNotExists están en estado de compatibilidad con disponibilidad general (GA).

Administración de la configuración de máquina mediante la corrección (Set)

La configuración de la máquina usa el efecto de directiva DeployIfNotExists en las definiciones que proporcionan cambios dentro de las máquinas. Establezca las propiedades de una asignación de directiva para controlar cómo la evaluación proporciona configuraciones automáticamente o a petición.

Hay disponible un tutorial de vídeo de este documento.

Tipos de asignación de configuración de máquinas

Hay tres tipos de asignación disponibles cuando se crean asignaciones de invitado. La propiedad está disponible como parámetro de definiciones de configuración de máquina que admiten DeployIfNotExists.

La propiedad assignmentType distingue mayúsculas de minúsculas

Tipo de asignación Comportamiento
Audit Informe sobre el estado de la máquina, pero no realice cambios.
ApplyAndMonitor Se aplica a la máquina una vez y, luego, se supervisan los cambios. Si la configuración se desvía y se convierte en NonCompliant, no se corrige automáticamente a menos que se active la corrección.
ApplyAndAutoCorrect Se aplica a la máquina. Si se desvía, el servicio local dentro de la máquina realiza una corrección en la siguiente evaluación.

Cuando se asigna una nueva directiva de asignación a una máquina existente, se crea una asignación de invitado para primero auditar el estado de la configuración. La auditoría le proporciona información que puede usar para decidir qué máquinas necesitan corrección.

Corrección a petición (ApplyAndMonitor)

De manera predeterminada, las asignaciones de configuración de la máquina funcionan en un escenario de corrección bajo demanda. La configuración se aplica y, luego, se permite que se desvíe de los requisitos de cumplimiento.

El estado de cumplimiento de la asignación de invitado es Compliant a menos que:

  • Se produce un error al aplicar la configuración
  • Si la máquina ya no está en el estado deseado durante la siguiente evaluación

Cuando se cumplen cualquiera de esas condiciones, el agente notifica el estado como NonCompliant y no lo corrige automáticamente.

Para habilitar este comportamiento, establezca la propiedad assignmentType de la asignación de configuración de la máquina en ApplyandMonitor. Cada vez que se procesa la asignación dentro de la máquina, el agente clasifica como Compliant cada recurso cuando el método Test devuelve $true o como NonCompliant si devuelve $false.

Corrección continua (autocorrect)

La configuración de la máquina admite el concepto de corrección continua. Si la máquina se desvía de los requisitos de cumplimiento de una configuración, la próxima vez que se evalúe la configuración se corregirá automáticamente. A menos que se produzca un error, la máquina siempre notifica el estado Compliant para la configuración. No hay ninguna manera de notificar cuándo se corrigió automáticamente un desvío al usar la corrección continua.

Para habilitar este comportamiento, establezca la propiedad assignmentType de la asignación de configuración de la máquina en ApplyandAutoCorrect. Cada vez que se procesa la asignación dentro de la máquina, se ejecutará el método Set de manera automática para cada recurso y el método Test devuelve false.

Deshabilitación de la corrección

Cuando la propiedad assignmentType se establece en Audit, el agente solo realiza una auditoría de la máquina y no intenta corregir la configuración si no es compatible.

Deshabilitación de la corrección del contenido personalizado

Puede invalidar la propiedad de tipo de asignación en los paquetes de contenido personalizado; para ello, agregue una etiqueta a la máquina con el nombre CustomGuestConfigurationSetPolicy y el valor disable. Al agregar la etiqueta se deshabilita la corrección solo para paquetes de contenido personalizado, no para el contenido integrado proporcionado por Microsoft.

Cumplimiento de Azure Policy

Las asignaciones de Azure Policy incluyen una propiedad obligatoria Enforcement Mode (Modo de cumplimiento) que determina el comportamiento de los recursos nuevos y existentes. Use esta propiedad para controlar si las configuraciones se aplican automáticamente a las máquinas.

De forma predeterminada, el cumplimiento está establecido en Enabled. Azure Policy aplica automáticamente la configuración cuando se implementa una máquina nueva. También aplica la configuración cuando se actualizan las propiedades de una máquina en el ámbito de una asignación de Azure Policy con una directiva de la categoría Guest Configuration. Las operaciones de actualización incluyen acciones que se producen en Azure Resource Manager, como agregar o cambiar una etiqueta. Las operaciones de actualización también incluyen cambios en las máquinas virtuales, como cambiar el tamaño o conectar un disco.

Deje habilitado el cumplimiento si se debe corregir la configuración cuando se produzcan cambios en el recurso de máquina de Azure. Los cambios que se realicen dentro de la máquina no desencadenan la corrección automática, siempre y cuando no cambien el recurso de la máquina en Azure Resource Manager.

Si el cumplimiento está Disabled, la asignación de configuración audita el estado de la máquina hasta que una tarea de corrección cambie el comportamiento. De forma predeterminada, las definiciones de configuración de la máquina actualizan la propiedad assignmentType de Audit a ApplyandMonitor para que la configuración se aplique una vez y, luego, no se volverá a aplicar hasta que se active una corrección.

Opcional: corrección de todas las máquinas existentes

Si se crea una asignación de Azure Policy desde Azure Portal, en la pestaña "Corrección" hay una casilla llamada "Crear una tarea de corrección" disponible. Cuando la casilla está activada, después de que se crea la asignación de directiva, las tareas de corrección corrigen automáticamente los recursos que se evalúen como NonCompliant.

El efecto de esta configuración para la configuración de la máquina es que puede implementar una configuración en muchas máquinas con solo asignar una directiva. Tampoco tiene que ejecutar manualmente la tarea de corrección en las máquinas que no sean compatibles.

Activación manual de la corrección fuera de Azure Policy

Puede organizar la corrección fuera de la experiencia de Azure Policy mediante la actualización de un recurso de asignación de invitado, incluso si la actualización no realiza cambios en las propiedades del recurso.

Cuando se crea una asignación de configuración de máquina, la propiedad complianceStatus se establece en Pending. El servicio de configuración de la máquina solicita una lista de asignaciones cada 5 minutos. Si la asignación de configuración de la máquina complianceStatus es Pending y su configurationMode es ApplyandMonitor o ApplyandAutoCorrect, el servicio de la máquina aplica la configuración.

Después de aplicar la configuración, el modo de configuración determina si el comportamiento es notificar solo el estado de cumplimiento y permitir el desvío o corregir automáticamente.

Descripción de las combinaciones de configuraciones

~ Auditoría ApplyandMonitor ApplyandAutoCorrect
Cumplimiento habilitado Solo notifica el estado Configuración aplicada en VM Create y aplicada de nuevo en Update; de lo contrario, se permite el desvío Configuración aplicada en VM Create, aplicada de nuevo en Update y corregida en el siguiente intervalo si se produce un desvío
Cumplimiento deshabilitado Solo notifica el estado Configuración aplicada, pero se permite el desvío Configuración aplicada en VM Create o Update y corregida en el siguiente intervalo si se produce un desvío

Pasos siguientes