Informacje o konfiguracji maszyny platformy Azure
Uwaga
W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która jest stanem End Of Life (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.
Funkcja konfiguracji maszyny usługi Azure Policy zapewnia natywną możliwość inspekcji lub konfigurowania ustawień systemu operacyjnego jako kodu dla maszyn działających na platformie Azure i maszynach z obsługą hybrydowej usługi Arc. Możesz użyć funkcji bezpośrednio na maszynę lub zorganizować ją na dużą skalę przy użyciu usługi Azure Policy.
Zasoby konfiguracji na platformie Azure są projektowane jako zasób rozszerzenia. Można sobie wyobrazić każdą konfigurację jako dodatkowy zestaw właściwości dla maszyny. Konfiguracje mogą obejmować ustawienia, takie jak:
- Ustawienia systemu operacyjnego
- Konfiguracja lub obecność aplikacji
- Ustawienia środowiska
Konfiguracje różnią się od definicji zasad. Konfiguracja maszyny używa usługi Azure Policy do dynamicznego przypisywania konfiguracji do maszyn. Konfiguracje można również przypisywać do maszyn ręcznie lub przy użyciu innych usług platformy Azure, takich jak Automanage.
Przykłady każdego scenariusza znajdują się w poniższej tabeli.
Type | Opis | Przykładowa historia |
---|---|---|
Zarządzanie konfiguracją | Potrzebujesz pełnej reprezentacji serwera jako kodu w kontroli źródła. Wdrożenie powinno zawierać właściwości serwera (rozmiar, sieć, magazyn) oraz konfigurację systemu operacyjnego i ustawień aplikacji. | "Ta maszyna powinna być serwerem sieci Web skonfigurowanym do hostowania mojej witryny internetowej". |
Zgodność z przepisami | Chcesz przeprowadzić inspekcję lub wdrożyć ustawienia na wszystkich maszynach w zakresie reaktywnie do istniejących maszyn lub proaktywnie na nowych maszynach podczas ich wdrażania. | "Wszystkie maszyny powinny używać protokołu TLS 1.2. Przeprowadź inspekcję istniejących maszyn, abym mógł zwolnić zmiany tam, gdzie jest to potrzebne, w kontrolowany sposób, na dużą skalę. W przypadku nowych maszyn wymuś ustawienie po ich wdrożeniu". |
Wyniki poszczególnych ustawień można wyświetlić na stronie Przypisania gościa. Jeśli przypisanie usługi Azure Policy zaaranżowane konfigurację zostanie zaaranżowane, możesz wybrać link "Ostatnio oceniony zasób" na stronie "Szczegóły zgodności".
Tryby wymuszania dla zasad niestandardowych
Aby zapewnić większą elastyczność wymuszania i monitorowania ustawień serwera, aplikacji i obciążeń, usługa Machine Configuration oferuje trzy główne tryby wymuszania dla każdego przypisania zasad zgodnie z opisem w poniższej tabeli.
Tryb | opis |
---|---|
Audit | Raport tylko o stanie maszyny |
Stosowanie i monitorowanie | Konfiguracja zastosowana do maszyny, a następnie monitorowana pod kątem zmian |
Stosowanie i autokorekta | Konfiguracja zastosowana do maszyny i przywrócona do zgodności w przypadku dryfu |
Dostępny jest przewodnik wideo dotyczący tego dokumentu. (Aktualizacja będzie dostępna wkrótce)
Włączanie konfiguracji maszyny
Aby zarządzać stanem maszyn w środowisku, w tym maszyn na serwerach z obsługą platformy Azure i usługi Arc, zapoznaj się z poniższymi szczegółami.
Dostawca zasobów
Aby móc korzystać z funkcji konfiguracji maszyny usługi Azure Policy, należy zarejestrować dostawcę Microsoft.GuestConfiguration
zasobów. Jeśli przypisanie zasad konfiguracji maszyny odbywa się za pośrednictwem portalu lub jeśli subskrypcja jest zarejestrowana w Microsoft Defender dla Chmury, dostawca zasobów jest rejestrowany automatycznie. Możesz ręcznie zarejestrować się za pomocą portalu, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Wymagania dotyczące wdrażania maszyn wirtualnych platformy Azure
Aby można było zarządzać ustawieniami wewnątrz maszyny, rozszerzenie maszyny wirtualnej musi być włączone, a maszyna musi mieć tożsamość zarządzaną przez system. Rozszerzenie pobiera odpowiednie przypisania konfiguracji maszyny i odpowiednie zależności. Tożsamość jest używana do uwierzytelniania maszyny podczas odczytywania i zapisywania w usłudze konfiguracji maszyny. Rozszerzenie nie jest wymagane w przypadku serwerów z włączoną usługą Arc, ponieważ jest ono dostępne w agencie maszyny połączonej z usługą Arc.
Ważne
Rozszerzenie konfiguracji maszyny i tożsamość zarządzana są wymagane do zarządzania maszynami wirtualnymi platformy Azure.
Aby wdrożyć rozszerzenie na dużą skalę na wielu maszynach, przypisz inicjatywę zasad Deploy prerequisites to enable Guest Configuration policies on virtual machines
do grupy zarządzania, subskrypcji lub grupy zasobów zawierającej maszyny, którymi planujesz zarządzać.
Jeśli wolisz wdrożyć rozszerzenie i tożsamość zarządzaną na jednej maszynie, zobacz Konfigurowanie tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej przy użyciu witryny Azure Portal.
Aby użyć pakietów konfiguracji maszyny, które stosują konfiguracje, wymagane jest rozszerzenie konfiguracji gościa maszyny wirtualnej platformy Azure w wersji 1.26.24 lub nowszej.
Ważne
Tworzenie tożsamości zarządzanej lub przypisywania zasad z rolą "Współautor zasobu konfiguracji gościa" to akcje, które wymagają odpowiednich uprawnień RBAC platformy Azure do wykonania. Aby dowiedzieć się więcej o usługach Azure Policy i Azure RBAC, zobacz Kontrola dostępu oparta na rolach w usłudze Azure Policy.
Limity ustawione dla rozszerzenia
Aby ograniczyć wpływ rozszerzenia na aplikacje działające wewnątrz maszyny, agent konfiguracji maszyny nie może przekroczyć więcej niż 5% procesora CPU. To ograniczenie istnieje zarówno dla wbudowanych, jak i niestandardowych definicji. To samo dotyczy usługi konfiguracji maszyny w agencie maszyny połączonej z usługą Arc.
Narzędzia do walidacji
Na maszynie agent konfiguracji maszyny używa narzędzi lokalnych do wykonywania zadań.
W poniższej tabeli przedstawiono listę narzędzi lokalnych używanych w poszczególnych obsługiwanych systemach operacyjnych. W przypadku zawartości wbudowanej konfiguracja maszyny automatycznie obsługuje ładowanie tych narzędzi.
System operacyjny | Narzędzie do walidacji | Uwagi |
---|---|---|
Windows | Konfiguracja żądanego stanu programu PowerShell w wersji 2 | Ładowane bezpośrednio do folderu używanego tylko przez usługę Azure Policy. Nie powoduje konfliktu z rozszerzeniami DSC programu Windows PowerShell. Program PowerShell nie jest dodawany do ścieżki systemowej. |
Linux | PowerShell Desired State Configuration wersja 3 | Ładowane bezpośrednio do folderu używanego tylko przez usługę Azure Policy. Program PowerShell nie jest dodawany do ścieżki systemowej. |
Linux | Chef InSpec | Instaluje program Chef InSpec w wersji 2.2.61 w domyślnej lokalizacji i dodaje go do ścieżki systemowej. Instaluje również zależności inspec, w tym Ruby i Python. |
Częstotliwość walidacji
Agent konfiguracji maszyny sprawdza nowe lub zmienione przypisania gościa co 5 minut. Po odebraniu przypisania gościa ustawienia tej konfiguracji są ponownie kontrolowane w 15-minutowym interwale. Jeśli przypisano wiele konfiguracji, każda z nich jest oceniana sekwencyjnie. Długotrwałe konfiguracje mają wpływ na interwał dla wszystkich konfiguracji, ponieważ następne nie można uruchomić do momentu zakończenia poprzedniej konfiguracji.
Wyniki są wysyłane do usługi konfiguracji maszyny po zakończeniu inspekcji. Po wystąpieniu wyzwalacza oceny zasad stan maszyny jest zapisywany w dostawcy zasobów konfiguracji maszyny. Ta aktualizacja powoduje, że usługa Azure Policy ocenia właściwości usługi Azure Resource Manager. Ocena usługi Azure Policy na żądanie pobiera najnowszą wartość od dostawcy zasobów konfiguracji maszyny. Nie wyzwala jednak nowego działania na maszynie. Stan jest następnie zapisywany w usłudze Azure Resource Graph.
Obsługiwane typy klientów
Definicje zasad konfiguracji maszyny zawierają nowe wersje. Starsze wersje systemów operacyjnych dostępnych w witrynie Azure Marketplace są wykluczone, jeśli klient konfiguracji gościa nie jest zgodny. Ponadto wersje serwera z systemem Linux, które nie są przez całe życie obsługiwane przez odpowiednich wydawców, są wykluczone z macierzy obsługi.
W poniższej tabeli przedstawiono listę obsługiwanych systemów operacyjnych na obrazach platformy Azure. Tekst .x
jest symboliczny do reprezentowania nowych wersji pomocniczych dystrybucji systemu Linux.
Publisher | Nazwisko | Wersje |
---|---|---|
Alma | AlmaLinux | 9 |
Amazon | Linux | 2 |
Canonical | Ubuntu Server | 16.04 – 22.x |
Credativ | Debian | 10.x - 12.x |
Microsoft | CBL-Mariner | 1 - 2 |
Microsoft | Klient systemu Windows | Windows 10, 11 |
Microsoft | Windows Server | 2012 - 2022 |
Oracle | Oracle-Linux | 7.x — 8.x |
OpenLogic | CentOS | 7.3 – 8.x |
Red Hat | Red Hat Enterprise Linux* | 7.4 – 9.x |
Skalisty | Rocky Linux | 8 |
SUSE | SLES | 12 SP5, 15.x |
* System Red Hat CoreOS nie jest obsługiwany.
Definicje zasad konfiguracji maszyny obsługują niestandardowe obrazy maszyn wirtualnych, o ile są one jednym z systemów operacyjnych w poprzedniej tabeli. Konfiguracja maszyny nie obsługuje ujednoliconego zestawu skalowania maszyn wirtualnych, ale obsługuje usługę VMSS Flex.
Wymagania dotyczące sieci
Maszyny wirtualne platformy Azure mogą używać lokalnej wirtualnej karty sieciowej (vNIC) lub usługi Azure Private Link do komunikowania się z usługą konfiguracji maszyny.
Maszyny z obsługą usługi Azure Arc łączą się przy użyciu lokalnej infrastruktury sieciowej w celu uzyskania dostępu do usług platformy Azure i raportowania stanu zgodności.
Poniżej znajduje się lista punktów końcowych usługi Azure Storage wymaganych dla maszyn wirtualnych z obsługą platformy Azure i usługi Azure Arc do komunikowania się z dostawcą zasobów konfiguracji maszyny na platformie Azure:
oaasguestconfigac2s1.blob.core.windows.net
oaasguestconfigacs1.blob.core.windows.net
oaasguestconfigaes1.blob.core.windows.net
oaasguestconfigases1.blob.core.windows.net
oaasguestconfigbrses1.blob.core.windows.net
oaasguestconfigbrss1.blob.core.windows.net
oaasguestconfigccs1.blob.core.windows.net
oaasguestconfigces1.blob.core.windows.net
oaasguestconfigcids1.blob.core.windows.net
oaasguestconfigcuss1.blob.core.windows.net
oaasguestconfigeaps1.blob.core.windows.net
oaasguestconfigeas1.blob.core.windows.net
oaasguestconfigeus2s1.blob.core.windows.net
oaasguestconfigeuss1.blob.core.windows.net
oaasguestconfigfcs1.blob.core.windows.net
oaasguestconfigfss1.blob.core.windows.net
oaasguestconfiggewcs1.blob.core.windows.net
oaasguestconfiggns1.blob.core.windows.net
oaasguestconfiggwcs1.blob.core.windows.net
oaasguestconfigjiws1.blob.core.windows.net
oaasguestconfigjpes1.blob.core.windows.net
oaasguestconfigjpws1.blob.core.windows.net
oaasguestconfigkcs1.blob.core.windows.net
oaasguestconfigkss1.blob.core.windows.net
oaasguestconfigncuss1.blob.core.windows.net
oaasguestconfignes1.blob.core.windows.net
oaasguestconfignres1.blob.core.windows.net
oaasguestconfignrws1.blob.core.windows.net
oaasguestconfigqacs1.blob.core.windows.net
oaasguestconfigsans1.blob.core.windows.net
oaasguestconfigscuss1.blob.core.windows.net
oaasguestconfigseas1.blob.core.windows.net
oaasguestconfigsecs1.blob.core.windows.net
oaasguestconfigsfns1.blob.core.windows.net
oaasguestconfigsfws1.blob.core.windows.net
oaasguestconfigsids1.blob.core.windows.net
oaasguestconfigstzns1.blob.core.windows.net
oaasguestconfigswcs1.blob.core.windows.net
oaasguestconfigswns1.blob.core.windows.net
oaasguestconfigswss1.blob.core.windows.net
oaasguestconfigswws1.blob.core.windows.net
oaasguestconfiguaecs1.blob.core.windows.net
oaasguestconfiguaens1.blob.core.windows.net
oaasguestconfigukss1.blob.core.windows.net
oaasguestconfigukws1.blob.core.windows.net
oaasguestconfigwcuss1.blob.core.windows.net
oaasguestconfigwes1.blob.core.windows.net
oaasguestconfigwids1.blob.core.windows.net
oaasguestconfigwus2s1.blob.core.windows.net
oaasguestconfigwus3s1.blob.core.windows.net
oaasguestconfigwuss1.blob.core.windows.net
Komunikacja za pośrednictwem sieci wirtualnych na platformie Azure
Aby komunikować się z dostawcą zasobów konfiguracji maszyny na platformie Azure, maszyny wymagają dostępu wychodzącego do centrów danych platformy Azure na porcie 443
*. Jeśli sieć na platformie Azure nie zezwala na ruch wychodzący, skonfiguruj wyjątki z regułami sieciowej grupy zabezpieczeń. Tagi AzureArcInfrastructure
usług i Storage
mogą służyć do odwołowania się do konfiguracji gościa i usług magazynu, a nie ręcznego utrzymywania listy zakresów adresów IP dla centrów danych platformy Azure. Oba tagi są wymagane, ponieważ usługa Azure Storage hostuje pakiety zawartości konfiguracji maszyny.
Komunikacja za pośrednictwem usługi Private Link na platformie Azure
Maszyny wirtualne mogą używać łącza prywatnego do komunikacji z usługą konfiguracji maszyny.
Zastosuj tag z nazwą EnablePrivateNetworkGC
i wartością TRUE
, aby włączyć tę funkcję. Tag można zastosować przed lub po zastosowaniu definicji zasad konfiguracji maszyny do maszyny.
Ważne
Aby komunikować się za pośrednictwem łącza prywatnego dla pakietów niestandardowych, należy dodać link do lokalizacji pakietu do listy dozwolonych adresów URL.
Ruch jest kierowany przy użyciu wirtualnego publicznego adresu IP platformy Azure w celu ustanowienia bezpiecznego, uwierzytelnionego kanału z zasobami platformy Azure.
Komunikacja za pośrednictwem publicznych punktów końcowych poza platformą Azure
Serwery znajdujące się lokalnie lub w innych chmurach można zarządzać za pomocą konfiguracji maszyny, łącząc je z usługą Azure Arc.
W przypadku serwerów z obsługą usługi Azure Arc zezwalaj na ruch przy użyciu następujących wzorców:
- Port: dla wychodzącego dostępu internetowego wymagany jest tylko port 443 protokołu TCP
- Globalny adres URL:
*.guestconfiguration.azure.com
Zobacz wymagania sieciowe serwerów z obsługą usługi Azure Arc, aby uzyskać pełną listę wszystkich punktów końcowych sieci wymaganych przez agenta połączonej maszyny platformy Azure dla podstawowych scenariuszy konfiguracji usługi Azure Arc i maszyny.
Komunikacja za pośrednictwem usługi Private Link poza platformą Azure
W przypadku korzystania z łącza prywatnego z serwerami z obsługą usługi Arc wbudowane pakiety zasad są automatycznie pobierane za pośrednictwem łącza prywatnego. Nie musisz ustawiać żadnych tagów na serwerze z obsługą usługi Arc, aby włączyć tę funkcję.
Przypisywanie zasad do maszyn spoza platformy Azure
Definicje zasad inspekcji dostępne dla konfiguracji maszyny obejmują typ zasobu Microsoft.HybridCompute/machines . Wszystkie maszyny dołączone do serwerów z obsługą usługi Azure Arc, które znajdują się w zakresie przypisania zasad, są automatycznie dołączane.
Wymagania dotyczące tożsamości zarządzanej
Definicje zasad w inicjatywie Deploy prerequisites to enable guest configuration policies on virtual machines
umożliwiają przypisaną przez system tożsamość zarządzaną, jeśli nie istnieje. W inicjatywie istnieją dwie definicje zasad, które zarządzają tworzeniem tożsamości. Warunki if
w definicjach zasad zapewniają prawidłowe zachowanie na podstawie bieżącego stanu zasobu maszyny na platformie Azure.
Ważne
Te definicje tworzą tożsamość zarządzaną przypisaną przez system w zasobach docelowych, a także istniejące tożsamości przypisane przez użytkownika (jeśli istnieją). W przypadku istniejących aplikacji, chyba że określą tożsamość przypisaną przez użytkownika w żądaniu, maszyna będzie domyślnie używać tożsamości przypisanej przez system. Dowiedz się więcej
Jeśli maszyna nie ma obecnie żadnych tożsamości zarządzanych, obowiązują zasady to: Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości
Jeśli maszyna ma obecnie tożsamość systemową przypisaną przez użytkownika, obowiązujące zasady to: Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika
Dostępność
Klienci projektujący rozwiązanie o wysokiej dostępności powinni rozważyć wymagania dotyczące planowania nadmiarowości maszyn wirtualnych, ponieważ przypisania gościa to rozszerzenia zasobów maszyny na platformie Azure. Gdy zasoby przypisania gościa są aprowidowane w sparowanym regionie platformy Azure, możesz wyświetlić raporty dotyczące przypisań gościa, jeśli jest dostępny co najmniej jeden region w parze. Gdy region platformy Azure nie jest sparowany i staje się niedostępny, nie możesz uzyskać dostępu do raportów dotyczących przypisania gościa. Po przywróceniu regionu można ponownie uzyskać dostęp do raportów.
Najlepszym rozwiązaniem jest przypisanie tych samych definicji zasad z tymi samymi parametrami do wszystkich maszyn w rozwiązaniu dla aplikacji o wysokiej dostępności. Dotyczy to szczególnie scenariuszy, w których maszyny wirtualne są aprowidowane w zestawach dostępności za rozwiązaniem modułu równoważenia obciążenia. Pojedyncze przypisanie zasad obejmujące wszystkie maszyny ma najmniejsze obciążenie administracyjne.
W przypadku maszyn chronionych przez usługę Azure Site Recovery upewnij się, że maszyny w lokacji głównej i dodatkowej znajdują się w zakresie przypisań usługi Azure Policy dla tych samych definicji. Użyj tych samych wartości parametrów dla obu lokacji.
Przechowywanie danych
Konfiguracja maszyny przechowuje i przetwarza dane klientów. Domyślnie dane klienta są replikowane do sparowanego regionu. W regionach Singapur, Brazylia Południowa i Azja Wschodnia wszystkie dane klientów są przechowywane i przetwarzane w regionie.
Rozwiązywanie problemów z konfiguracją maszyny
Aby uzyskać więcej informacji na temat rozwiązywania problemów z konfiguracją maszyny, zobacz Rozwiązywanie problemów z usługą Azure Policy.
Wiele przypisań
Obecnie tylko niektóre wbudowane definicje zasad konfiguracji maszyny obsługują wiele przypisań. Jednak wszystkie zasady niestandardowe domyślnie obsługują wiele przypisań, jeśli do tworzenia pakietów i zasad konfiguracji maszyny użyto najnowszej wersji modułu GuestConfiguration programu PowerShell.
Poniżej znajduje się lista wbudowanych definicji zasad konfiguracji maszyny, które obsługują wiele przypisań:
ID | DisplayName |
---|---|
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Metody uwierzytelniania lokalnego powinny być wyłączone na serwerach z systemem Windows |
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Lokalne metody uwierzytelniania powinny być wyłączone na maszynach z systemem Linux |
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Wersja zapoznawcza]: Dodawanie tożsamości zarządzanej przypisanej przez użytkownika w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych |
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Wersja zapoznawcza]: Maszyny z systemem Linux powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure |
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Wersja zapoznawcza]: Maszyny z systemem Windows powinny spełniać wymagania zgodności STIG dla obliczeń platformy Azure |
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Wersja zapoznawcza]: Maszyny z systemem Linux z zainstalowanym rozwiązaniem OMI powinny mieć wersję 1.6.8-1 lub nowszą |
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Przeprowadź inspekcję maszyn z systemem Windows, które nie zawierają określonych certyfikatów w zaufanym katalogu głównym |
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Inspekcja maszyn z systemem Windows, na których konfiguracja DSC nie jest zgodna |
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają określonych zasad wykonywania programu Windows PowerShell |
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych modułów programu Windows PowerShell |
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Inspekcja maszyn z systemem Windows, na których nie włączono konsoli szeregowej systemu Windows |
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdd94df | Przeprowadź inspekcję maszyn z systemem Windows, na których nie zainstalowano określonych usług i "Uruchomiono" |
/providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f505 | Przeprowadź inspekcję maszyn z systemem Windows, które nie są ustawione na określoną strefę czasową |
Uwaga
Okresowo sprawdzaj tę stronę pod kątem aktualizacji listy wbudowanych definicji zasad konfiguracji maszyny, które obsługują wiele przypisań.
Przypisania do grup zarządzania platformy Azure
Definicje usługi Azure Policy w kategorii Guest Configuration
można przypisać do grup zarządzania, gdy efekt to AuditIfNotExists
lub DeployIfNotExists
.
Pliki dziennika klienta
Rozszerzenie konfiguracji maszyny zapisuje pliki dziennika w następujących lokalizacjach:
Windows
- Maszyna wirtualna platformy Azure:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
- Serwer z obsługą usługi Arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- Maszyna wirtualna platformy Azure:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
- Serwer z obsługą usługi Arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Zdalne zbieranie dzienników
Pierwszym krokiem rozwiązywania problemów z konfiguracjami lub modułami maszyny powinno być użycie poleceń cmdlet, wykonując kroki opisane w temacie Jak przetestować artefakty pakietu konfiguracji maszyny. Jeśli to nie powiedzie się, zbieranie dzienników klientów może pomóc zdiagnozować problemy.
Windows
Przechwytywanie informacji z plików dziennika przy użyciu polecenia uruchamiania maszyny wirtualnej platformy Azure może być przydatne w poniższym przykładzie skryptu programu PowerShell.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Przechwyć informacje z plików dziennika przy użyciu polecenia uruchamiania maszyny wirtualnej platformy Azure. Poniższy przykładowy skrypt powłoki Bash może być przydatny.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Pliki agenta
Agent konfiguracji maszyny pobiera pakiety zawartości na maszynę i wyodrębnia zawartość. Aby sprawdzić, jaka zawartość została pobrana i zapisana, wyświetl lokalizacje folderów na poniższej liście.
- Windows:
C:\ProgramData\guestconfig\configuration
- Linux:
/var/lib/GuestConfig/Configuration
Funkcje modułu nxtools typu open source
Nowy moduł nxtools typu open source został wydany, aby ułatwić zarządzanie systemami Linux użytkownikom programu PowerShell.
Moduł ułatwia zarządzanie typowymi zadaniami, takimi jak:
- Zarządzanie użytkownikami i grupami
- Wykonywanie operacji systemu plików
- Zarządzanie usługami
- Wykonywanie operacji archiwum
- Zarządzanie pakietami
Moduł zawiera oparte na klasie zasoby DSC dla systemu Linux i wbudowane pakiety konfiguracji maszyny.
Aby przekazać opinię na temat tej funkcji, otwórz problem w dokumentacji. Obecnie nie akceptujemy żądania ściągnięcia dla tego projektu i pomoc techniczna jest najlepszym rozwiązaniem.
Przykłady konfiguracji maszyny
Wbudowane przykłady zasad konfiguracji maszyny są dostępne w następujących lokalizacjach:
- Wbudowane definicje zasad — konfiguracja gościa
- Inicjatywy wbudowane — konfiguracja gościa
- Repozytorium GitHub przykładów usługi Azure Policy
- Przykładowe moduły zasobów DSC
Następne kroki
- Konfigurowanie niestandardowego środowiska programistycznego pakietu konfiguracji maszyny.
- Utwórz artefakt pakietu dla konfiguracji maszyny.
- Przetestuj artefakt pakietu w środowisku projektowym.
- Użyj modułu GuestConfiguration , aby utworzyć definicję usługi Azure Policy na potrzeby zarządzania środowiskiem na dużą skalę.
- Przypisz niestandardową definicję zasad przy użyciu witryny Azure Portal.
- Dowiedz się, jak wyświetlić szczegóły zgodności przypisań zasad konfiguracji maszyny.