Aktivera State Configuration i Azure Automation
Kommentar
Azure Automation State Configuration tas ur bruk den 30 september 2027. Övergå till Azure Machine Configuration senast det datumet. Mer information finns i blogginlägget. Azure Machine Configuration-tjänsten kombinerar funktioner i DSC-tillägget, Azure Automation State Configuration och de vanligaste funktionerna från kundfeedback. Azure Machine Configuration innehåller även stöd för hybriddatorer via Arc-aktiverade servrar.
Varning
Azure Automation DSC för Linux har dragits tillbaka den 30 september 2023. Mer information finns i meddelandet.
Den här artikeln beskriver hur du kan konfigurera dina datorer för hantering med Azure Automation State Configuration. Mer information om den här tjänsten finns i Översikt över Azure Automation State Configuration.
Aktivera virtuella Azure-datorer
Med Azure Automation State Configuration kan du enkelt aktivera virtuella Azure-datorer för konfigurationshantering med hjälp av Azure Portal, Azure Resource Manager-mallar eller PowerShell. Tillägget Desired State Configuration för den virtuella Azure-datorn registrerar den virtuella datorn automatiskt med Azure Automation State Configuration. Eftersom Azure-tillägget körs asynkront anges steg för att spåra dess förlopp i Kontrollera status för konfigurationen av den virtuella datorn.
Kommentar
Om du distribuerar DSC till en Linux-nod används mappen /tmp . Moduler som nxautomation
laddas ned tillfälligt för verifiering innan de installeras på lämpliga platser. För att säkerställa att modulerna installeras korrekt behöver Log Analytics-agenten för Linux läs-/skrivbehörighet för mappen /tmp . Log Analytics-agenten omsagent
för Linux körs som användare.
Om du vill ge >användaren skrivbehörighet omsagent
kör du kommandot setfacl -m u:omsagent:rwx /tmp
.
Aktivera en virtuell dator med hjälp av Azure Portal
Så här aktiverar du en virtuell Azure-dator för tillståndskonfiguration via Azure Portal:
- Gå till Azure Automation-kontot där du vill aktivera virtuella datorer.
- På sidan Tillståndskonfiguration väljer du fliken Noder och väljer sedan Lägg till.
- Välj en virtuell dator som ska aktiveras.
- Om datorn inte har det önskade PowerShell-tillståndstillägget installerat och energitillståndet körs väljer du Anslut.
- Under Registrering anger du de PowerShell DSC Local Configuration Manager-värden som krävs för ditt användningsfall. Du kan också ange en nodkonfiguration som ska tilldelas till den virtuella datorn.
Aktivera en virtuell dator med hjälp av Azure Resource Manager-mallar
Du kan installera och aktivera en virtuell dator för tillståndskonfiguration med hjälp av Azure Resource Manager-mallar. Se Server som hanteras av Desired State Configuration-tjänsten för en exempelmall som aktiverar en befintlig virtuell dator för tillståndskonfiguration. Om du hanterar en VM-skalningsuppsättning kan du läsa exempelmallen i Konfiguration av vm-skalningsuppsättningar som hanteras av Azure Automation.
Aktivera datorer med PowerShell
Du kan använda cmdleten Register-AzAutomationDscNode i PowerShell för att aktivera virtuella datorer för tillståndskonfiguration.
Kommentar
Cmdleten Register-AzAutomationDscNode
implementeras för närvarande endast för datorer som kör Windows, eftersom den bara utlöser Windows-tillägget.
Registrera virtuella datorer i Azure-prenumerationer
Det bästa sättet att registrera virtuella datorer från andra Azure-prenumerationer är att använda DSC-tillägget i en Azure Resource Manager-distributionsmall. Exempel finns i Desired State Configuration-tillägget med Azure Resource Manager-mallar.
Använda DSC-metakonfiguration för att registrera hybriddatorer
Du kan aktivera datorer på ett säkert sätt för ett Azure Automation-konto via DSC-metakonfigurationen. Protokollen som implementeras i DSC använder information från metakonfigurationen för att autentisera till Azure Automation State Configuration. Noden registreras med tjänsten på registrerings-URL:en och autentiserar med hjälp av en registreringsnyckel. Under registreringen förhandlar DSC-noden och DSC-tjänsten om ett unikt certifikat för noden som ska användas för autentisering till servern efter registreringen. Den här processen förhindrar att aktiverade noder personifierar varandra, till exempel om en nod komprometteras och beter sig skadligt. Efter registreringen används inte registreringsnyckeln för autentisering igen och tas bort från noden.
Du kan hämta den information som krävs för registreringsprotokollet för tillståndskonfiguration från Nycklar under Kontoinställningar i Azure Portal.
- Registrerings-URL är FÄLTET URL på sidan Nycklar.
- Registreringsnyckel är värdet för fältet Primär åtkomstnyckel eller fältet Sekundär åtkomstnyckel på sidan Nycklar. Båda nycklarna kan användas.
För ökad säkerhet kan du återskapa de primära och sekundära åtkomstnycklarna för ett Automation-konto när som helst på sidan Nycklar. Nyckelåterställning förhindrar att framtida nodregistreringar använder tidigare nycklar.
Generera DSC-metakonfigurationer
Om du vill aktivera valfri dator för tillståndskonfiguration kan du generera en DSC-metakonfiguration. Den här konfigurationen instruerar DSC-agenten att hämta från och/eller rapportera till Azure Automation State Configuration. Du kan generera en DSC-metakonfiguration för Azure Automation State Configuration med antingen en PowerShell DSC-konfiguration eller Azure Automation PowerShell-cmdletar.
Kommentar
DSC-metakonfigurationer innehåller de hemligheter som behövs för att aktivera en dator i ett Automation-konto för hantering. Se till att skydda alla DSC-metakonfigurationer som du skapar eller ta bort dem efter användning.
Local Configuration Manager (LCM) styr proxystöd för metakonfigurationer. LCM körs på alla målnoder och ansvarar för att anropa konfigurationsresurserna som ingår i ett DSC-metakonfigurationsskript. Du kan inkludera proxystöd i en metakonfiguration genom att inkludera definitioner av ProxyURL
och ProxyCredential
egenskaper efter behov i blocken ConfigurationRepositoryWeb
, ResourceRepositoryWeb
och ReportServerWeb
. Ett exempel på URL-inställningen är ProxyURL = "http://172.16.3.6:3128";
. Egenskapen ProxyCredential
är inställd på ett PSCredential
objekt enligt beskrivningen i Hantera autentiseringsuppgifter i Azure Automation.
Generera DSC-metakonfigurationer med hjälp av en DSC-konfiguration
Öppna en textredigerare, till exempel Visual Studio Code (VS Code), som administratör på en dator i din lokala miljö. Datorn måste ha den senaste versionen av WMF 5 installerad.
Kopiera följande skript lokalt. Det här skriptet innehåller en PowerShell DSC-konfiguration för att skapa metakonfigurationer och ett kommando för att starta skapandet av metakonfigurationen.
Kommentar
Konfigurationsnamn för tillståndskonfigurationsnoder är skiftlägeskänsliga i Azure Portal. Om ärendet är matchningsfel visas inte noden under fliken Noder .
# The DSC configuration that will generate metaconfigurations [DscLocalConfigurationManager()] Configuration DscMetaConfigs { param ( [Parameter(Mandatory=$True)] [String]$RegistrationUrl, [Parameter(Mandatory=$True)] [String]$RegistrationKey, [Parameter(Mandatory=$True)] [String[]]$ComputerName, [Int]$RefreshFrequencyMins = 30, [Int]$ConfigurationModeFrequencyMins = 15, [String]$ConfigurationMode = 'ApplyAndMonitor', [String]$NodeConfigurationName, [Boolean]$RebootNodeIfNeeded= $False, [String]$ActionAfterReboot = 'ContinueConfiguration', [Boolean]$AllowModuleOverwrite = $False, [Boolean]$ReportOnly ) if(!$NodeConfigurationName -or $NodeConfigurationName -eq '') { $ConfigurationNames = $null } else { $ConfigurationNames = @($NodeConfigurationName) } if($ReportOnly) { $RefreshMode = 'PUSH' } else { $RefreshMode = 'PULL' } Node $ComputerName { Settings { RefreshFrequencyMins = $RefreshFrequencyMins RefreshMode = $RefreshMode ConfigurationMode = $ConfigurationMode AllowModuleOverwrite = $AllowModuleOverwrite RebootNodeIfNeeded = $RebootNodeIfNeeded ActionAfterReboot = $ActionAfterReboot ConfigurationModeFrequencyMins = $ConfigurationModeFrequencyMins } if(!$ReportOnly) { ConfigurationRepositoryWeb AzureAutomationStateConfiguration { ServerUrl = $RegistrationUrl RegistrationKey = $RegistrationKey ConfigurationNames = $ConfigurationNames } ResourceRepositoryWeb AzureAutomationStateConfiguration { ServerUrl = $RegistrationUrl RegistrationKey = $RegistrationKey } } ReportServerWeb AzureAutomationStateConfiguration { ServerUrl = $RegistrationUrl RegistrationKey = $RegistrationKey } } } # Create the metaconfigurations # NOTE: DSC Node Configuration names are case sensitive in the portal. # TODO: edit the below as needed for your use case $Params = @{ RegistrationUrl = '<fill me in>'; RegistrationKey = '<fill me in>'; ComputerName = @('<some VM to onboard>', '<some other VM to onboard>'); NodeConfigurationName = 'SimpleConfig.webserver'; RefreshFrequencyMins = 30; ConfigurationModeFrequencyMins = 15; RebootNodeIfNeeded = $False; AllowModuleOverwrite = $False; ConfigurationMode = 'ApplyAndMonitor'; ActionAfterReboot = 'ContinueConfiguration'; ReportOnly = $False; # Set to $True to have machines only report to AA DSC but not pull from it } # Use PowerShell splatting to pass parameters to the DSC configuration being invoked # For more info about splatting, run: Get-Help -Name about_Splatting DscMetaConfigs @Params
Fyll i registreringsnyckeln och URL:en för ditt Automation-konto och namnen på de datorer som ska aktiveras. Alla andra parametrar är valfria. Information om hur du hittar registreringsnyckeln och registrerings-URL:en för ditt Automation-konto finns i Använda DSC-metakonfiguration för att registrera hybriddatorer.
Om du vill att datorerna ska rapportera DSC-statusinformation till Azure Automation State Configuration, men inte pull-konfiguration eller PowerShell-moduler, anger du parametern
ReportOnly
till true.Om
ReportOnly
inte har angetts rapporterar datorerna DSC-statusinformation till Azure Automation State Configuration och pull-konfiguration eller PowerShell-moduler. Ange parametrar i enlighet med blockenConfigurationRepositoryWeb
,ResourceRepositoryWeb
ochReportServerWeb
.Kör skriptet. Nu bör du ha en arbetskatalogmapp med namnet DscMetaConfigs som innehåller PowerShell DSC-metakonfigurationer som datorerna ska aktivera (som administratör).
Set-DscLocalConfigurationManager -Path ./DscMetaConfigs
Generera DSC-metakonfigurationer med hjälp av Azure Automation-cmdletar
Du kan generera DSC-metakonfigurationerna med hjälp av Azure Automation-cmdletarna under följande villkor:
- LCM-standardinställningarna matchar ditt användningsfall
- Du vill göra det möjligt för datorer att både hämta från och rapportera till Azure Automation State Configuration
Använd följande steg för att generera metakonfigurationerna:
Öppna PowerShell-konsolen eller VS Code som administratör på en dator i din lokala miljö.
Ladda ned PowerShell DSC-metakonfigurationerna för de datorer som du vill aktivera från Automation-kontot där du konfigurerar noder.
# Define the parameters for Get-AzAutomationDscOnboardingMetaconfig using PowerShell Splatting $Params = @{ ResourceGroupName = 'ContosoResources' # The Resource Group that contains your Azure Automation account AutomationAccountName = 'ContosoAutomation'; # The Azure Automation account where you want to onboard the node ComputerName = @('web01', 'web02', 'sql01'); # The computers to generate the metaconfigurations for OutputFolder = "$env:UserProfile\Desktop\"; } # Use PowerShell splatting to pass parameters to the Azure Automation cmdlet being invoked # For more info about splatting, run: Get-Help -Name about_Splatting Get-AzAutomationDscOnboardingMetaconfig @Params
Nu bör du ha en DscMetaConfigs-mapp som innehåller PowerShell DSC-metakonfigurationerna för datorerna som ska aktiveras (som administratör).
Set-DscLocalConfigurationManager -Path $env:UserProfile\Desktop\DscMetaConfigs
Aktivera fysiska/virtuella Windows-datorer
Du kan aktivera Windows-servrar som körs lokalt eller i andra molnmiljöer (inklusive AWS EC2-instanser) till Azure Automation State Configuration. Servrarna måste ha utgående åtkomst till Azure.
Kontrollera att den senaste versionen av WMF 5 är installerad på datorerna för att aktivera för tillståndskonfiguration. Dessutom måste WMF 5 installeras på den dator som du använder för att aktivera datorerna.
Om du vill skapa en mapp som innehåller nödvändiga DSC-metakonfigurationer följer du anvisningarna i Generera DSC-metakonfigurationer.
Använd följande cmdlet för att fjärraktivera PowerShell DSC-metakonfigurationerna på datorerna.
Set-DscLocalConfigurationManager -Path C:\Users\joe\Desktop\DscMetaConfigs -ComputerName MyServer1, MyServer2
Om du inte kan fjärransluta PowerShell DSC-metakonfigurationerna kopierar du mappen metakonfigurationer till de datorer som du aktiverar. Lägg sedan till kod för att anropa Set-DscLocalConfigurationManager lokalt på datorerna.
Med hjälp av Azure Portal eller cmdletar kontrollerar du att datorerna visas som tillståndskonfigurationsnoder som registrerats i ditt Azure Automation-konto.
Aktivera fysiska/virtuella Linux-datorer
Du kan aktivera Linux-servrar som körs lokalt eller i andra molnmiljöer för tillståndskonfiguration. Servrarna måste ha utgående åtkomst till Azure.
Kontrollera att den senaste versionen av PowerShell Desired State Configuration för Linux är installerad på datorerna för att aktivera för tillståndskonfiguration.
-
På varje Linux-dator som ska aktiveras använder du
Register.py
för att aktivera datorn med standardinställningarna för PowerShell DSC Local Configuration Manager./opt/microsoft/dsc/Scripts/Register.py <Automation account registration key> <Automation account registration URL>
Information om hur du hittar registreringsnyckeln och registrerings-URL:en för ditt Automation-konto finns i Använda DSC-metakonfiguration för att registrera hybriddatorer.
Om standardinställningarna för PowerShell DSC Local Configuration Manager (LCM) inte matchar ditt användningsfall, eller om du vill aktivera datorer som endast rapporterar till Azure Automation State Configuration, följer du steg 4–7. Annars fortsätter du direkt till steg 7.
Följ anvisningarna i avsnittet Generera DSC-metakonfigurationer för att skapa en mapp som innehåller nödvändiga DSC-metakonfigurationer.
Kontrollera att den senaste versionen av WMF 5 är installerad på den dator som används för att aktivera dina datorer för tillståndskonfiguration.
Lägg till kod på följande sätt för att fjärraktivera PowerShell DSC-metakonfigurationerna på datorerna.
$SecurePass = ConvertTo-SecureString -String '<root password>' -AsPlainText -Force $Cred = New-Object System.Management.Automation.PSCredential 'root', $SecurePass $Opt = New-CimSessionOption -UseSsl -SkipCACheck -SkipCNCheck -SkipRevocationCheck # need a CimSession for each Linux machine to onboard $Session = New-CimSession -Credential $Cred -ComputerName <your Linux machine> -Port 5986 -Authentication basic -SessionOption $Opt Set-DscLocalConfigurationManager -CimSession $Session -Path C:\Users\joe\Desktop\DscMetaConfigs
Om du inte kan fjärransluta PowerShell DSC-metakonfigurationerna kopierar du de metakonfigurationer som motsvarar fjärrdatorerna från mappen som beskrivs i steg 4 till Linux-datorerna.
Lägg till kod för att anropa
Set-DscLocalConfigurationManager.py
lokalt på varje Linux-dator för att aktivera för tillståndskonfiguration./opt/microsoft/dsc/Scripts/SetDscLocalConfigurationManager.py -configurationmof <path to metaconfiguration file>
Se till att datorerna visas som DSC-noder registrerade i ditt Azure Automation-konto. Du kan använda Azure Portal eller cmdletar.
Registrera om en nod
När du har registrerat en dator som en DSC-nod i Azure Automation State Configuration finns det flera orsaker till att du kan behöva registrera noden igen i framtiden.
Certifikatförnyelse. För versioner av Windows Server före Windows Server 2019 förhandlar varje nod automatiskt om ett unikt certifikat för autentisering som upphör att gälla efter ett år. Om ett certifikat upphör att gälla utan förnyelse kan noden inte kommunicera med Azure Automation och har markerats
Unresponsive
. För närvarande kan PowerShell DSC-registreringsprotokollet inte automatiskt förnya certifikat när de snart upphör att gälla, och du måste registrera noderna igen efter ett års tid. Innan du registrerar om kontrollerar du att varje nod kör WMF 5 RTM.Ett nytt certifikat genereras och används om du registrerar om 90 dagar eller mindre från certifikatets förfallotid eller när som helst efter certifikatets förfallotid. Det här problemet har åtgärdats i Windows Server 2019 och senare.
Ändringar i DSC LCM-värden. Du kan behöva ändra De LCM-värden för PowerShell DSC som angetts under den första registreringen av noden, till exempel
ConfigurationMode
. För närvarande kan du bara ändra dessa DSC-agentvärden genom omregistrering. Det enda undantaget är nodkonfigurationsvärdet. Du kan ändra det här värdet i Azure Automation DSC direkt.
Du kan registrera om en nod precis som du registrerade noden från början med någon av de metoder som beskrivs i det här dokumentet. Du behöver inte avregistrera en nod från Azure Automation State Configuration innan du registrerar den igen.
Kontrollera status för konfiguration av virtuell dator
Med tillståndskonfiguration kan du enkelt aktivera virtuella Azure Windows-datorer för konfigurationshantering. Under huven används tillägget Desired State Configuration för virtuella Azure-datorer för att registrera den virtuella datorn med Azure Automation State Configuration. Eftersom tillägget Desired State Configuration för den virtuella Azure-datorn körs asynkront kan det vara viktigt att spåra förloppet och felsöka dess körning.
Kommentar
Alla metoder för att aktivera virtuella Azure Windows-datorer för tillståndskonfiguration som använder tillägget Desired State Configuration för virtuella Azure-datorer kan ta upp till en timme för Azure Automation att visa virtuella datorer som registrerade. Den här fördröjningen beror på installationen av WMF 5 på den virtuella datorn av tillägget Desired State Configuration för den virtuella Azure-datorn, vilket krävs för att aktivera virtuella datorer för tillståndskonfiguration.
Så här visar du status för tillägget Desired State Configuration för den virtuella Azure-datorn:
- I Azure Portal navigerar du till den virtuella dator som är aktiverad.
- Välj Tillägg under Inställningar.
- Välj nu DSC eller DSCForLinux, beroende på operativsystemet.
- Om du vill ha mer information kan du välja Visa detaljerad status.
Nästa steg
- Kom igång genom att läsa Kom igång med Azure Automation State Configuration.
- Mer information om hur du kompilerar DSC-konfigurationer så att du kan tilldela dem till målnoder finns i Kompilera DSC-konfigurationer i Azure Automation State Configuration.
- En PowerShell-cmdlet-referens finns i Az.Automation.
- Prisinformation finns i Prissättning för Azure Automation State Configuration.
- Ett exempel på hur du använder Azure Automation State Configuration i en pipeline för kontinuerlig distribution finns i Konfigurera kontinuerlig distribution med Chocolatey.
- Felsökningsinformation finns i Felsöka Azure Automation State Configuration.