了解 Azure 机器配置

Azure Policy 的机器配置功能提供了将操作系统设置作为代码进行审核或配置的本机功能，同时适用于在 Azure 中运行的计算机和混合已启用 Arc 的计算机。 可以直接在每台计算机上使用该功能，也可以使用 Azure Policy 进行大规模编排。

Azure 中的配置资源被设计为扩展资源。 可以将每个配置想象为计算机的一组额外属性。 配置可以包含如下设置：

• 操作系统设置
• 应用程序配置或状态
• 环境设置

配置不同于策略定义。 机器配置利用 Azure Policy 将配置动态分配给计算机。 还可以 手动将配置分配给计算机。

下表中提供了每个场景的示例。

可以在“来宾分配”页的配置中查看每项设置的结果。 如果 Azure Policy 分配已编排配置，并且要对该分配进行编排，则可以在“合规性详细信息”页面上选择“最后评估的资源”链接。

自定义策略的强制模式

为了在服务器设置、应用程序和工作负载的强制和监视方面提供更大的灵活性，计算机配置为每个策略分配提供了三种主要强制模式，如下表所述。

提供本文档的视频演练。 （即将推出更新）

启用计算机配置

若要管理环境中计算机（包括 Azure 中的计算机和已启用 Arc 的服务器）的状态，请查看以下详细信息。

资源提供程序

在使用 Azure Policy 的计算机配置功能之前，必须先注册 Microsoft.GuestConfiguration 资源提供程序。 如果计算机配置策略的分配是通过门户完成的，或者如果订阅已在 Microsoft Defender for Cloud 内注册，则会自动注册该资源提供程序。 可以通过门户、Azure PowerShell 或 Azure CLI 手动注册。

部署 Azure 虚拟机的要求

若要管理计算机内部的设置，需要启用虚拟机扩展，并且该计算机必须具有系统托管标识。 该扩展下载适用的机器配置分配和相应的依赖项。 该标识用于在计算机读取和写入计算机配置服务时对计算机进行身份验证。 已启用 Arc 的服务器不需要该扩展，因为已连接 Arc 的计算机代理中包含该扩展。

若要跨多个计算机大规模部署该扩展，请将策略计划 分配到Deploy prerequisites to enable Guest Configuration policies on virtual machines 到包含你要管理的计算机的管理组、订阅或资源组。

如果你倾向于将扩展和托管标识部署到单个计算机，请参阅使用 Azure 门户在 VM 上为 Azure 资源配置托管标识。

要使用计算机配置包来应用配置，需要安装 Azure VM 来宾配置扩展版本 1.26.24 或更高版本。

对扩展设置的限制

为了限制扩展对计算机内部运行的应用程序的影响，计算机配置代理的 CPU 消耗不得超过 CPU 的 5%。 对于内置和自定义的定义都存在此限制。 对于已连接 Arc 的计算机代理中的计算机配置服务也是如此。

验证工具

在计算机内，计算机配置代理使用本地工具执行任务。

下表列出了每个受支持的操作系统上使用的本地工具。 对于内置内容，计算机配置会自动处理这些工具的加载。

验证频率

计算机配置代理每 5 分钟检查一次新的或更改的来宾分配。 在收到来宾分配后，将按 15 分钟的时间间隔重新检查该配置的设置。 如果分配了多个配置，将按顺序评估每个配置。 长时间运行的配置会影响所有配置的间隔，因为只有在前一个配置完成之后，才会运行下一个配置。

审核完成后，结果将发送到计算机配置服务。 当策略评估触发器执行时，会将计算机状态写入到计算机配置资源提供程序。 此更新会使 Azure Policy 评估 Azure 资源管理器属性。 按需 Azure Policy 评估会从计算机配置资源提供程序检索最新值。 但是，它不会在计算机中触发新活动。 然后，状态将写入 Azure Resource Graph。

支持的客户端类型

计算机配置策略定义包含新版本。 如果来宾配置客户端不兼容，则会排除 Azure 市场中提供的旧版操作系统。 此外，不受其各自发布者生存期支持的 Linux 服务器版本从支持矩阵中排除。

下表显示了 Azure 映像上支持的操作系统列表。 .x 文本是表示 Linux 发行版的新次要版本的符号。

* 不支持 Red Hat CoreOS。

机器配置策略定义支持自定义虚拟机映像，但前提是它们必须是上表中的操作系统之一。 计算机配置不支持 VMSS 统一，但支持 VMSS Flex。

网络要求

Azure 虚拟机可以使用其本地虚拟网络适配器 (vNIC) 或 Azure 专用链接与计算机配置服务通信。

已启用 Azure Arc 的计算机使用本地网络基础结构连接到 Azure 服务并报告符合性状态。

下表显示了支持 Azure 和启用了 Azure Arc 的计算机的终结点：

通过 Azure 中的虚拟网络进行通信

要与 Azure 中的机器配置资源提供程序通信，计算机需要对端口 443 上的 Azure 数据中心进行出站访问。 如果 Azure 中的网络不允许出站流量，请使用网络安全组规则配置异常。 可使用服务标记AzureArcInfrastructure 和 Storage 引用来宾配置和存储服务，而不必手动维护 Azure 数据中心的 IP 范围列表。 这两个标记都是必需的，因为机器配置内容包由 Azure 存储托管。

通过 Azure 中的专用链接通信

虚拟机可以使用专用链接与计算机配置服务通信。 应用名称为 EnablePrivateNetworkGC 且值为 TRUE 的标签以启用此功能。 在将计算机配置策略定义应用到计算机之前或之后，可以应用该标记。

流量使用 Azure 虚拟公共 IP 地址进行路由，以便使用 Azure 平台资源建立经过身份验证的安全通道。

通过 Azure 外部的公共终结点进行通信

通过将位于本地或其他云中的服务器连接到 Azure Arc，可以使用计算机配置对其进行管理。

对于已启用 Azure Arc 的服务器，允许使用以下模式的流量：

• 端口：只需使用 TCP 443 即可进行出站 Internet 访问
• 全局 URL：*.guestconfiguration.azure.com

有关 Azure Connected Machine Agent 针对核心 Azure Arc 和计算机配置方案所需的所有网络终结点的完整列表，请参阅已启用 Azure Arc 的服务器网络要求。

通过 Azure 外部的专用链接进行通信

将专用链接与已启用 Arc 的服务器配合使用时，将通过专用链接自动下载内置策略包。 无需在已启用 Arc 的服务器上设置任何标记即可启用此功能。

将策略分配给 Azure 之外的计算机

适用于计算机配置的审核策略定义包括 Microsoft.HybridCompute/machines 资源类型。 将自动包括载入到策略分配范围内已启用 Azure Arc 的服务器的任何计算机。

托管标识要求

Deploy prerequisites to enable guest configuration policies on virtual machines 计划中的策略定义会启用系统分配的托管标识（如果不存在）。 计划中有两个管理标识创建的策略定义。 策略定义中的 if 条件基于 Azure 中计算机资源的当前状态确保行为正确。

如果计算机当前没有任何托管标识，则有效策略是：添加系统分配的托管标识，在没有标识的虚拟机上启用来宾配置分配

如果计算机当前具有用户分配的系统标识，则有效策略是：添加系统分配的托管标识，在具有用户分配的标识的 VM 上启用来宾配置分配

可用性

设计高度可用解决方案的客户应考虑虚拟机的冗余计划要求，因为来宾分配是 Azure 中计算机资源的扩展。 将来宾分配资源预配到配对的 Azure 区域时，只要该对中至少有一个区域可用，就可查看来宾分配报告。 如果 Azure 区域未配对且变得不可用，则无法访问来宾分配报告。 可以在区域还原后再次访问报告。

最佳做法是，将具有相同参数的相同策略定义分配给解决方案中的所有计算机，以实现高可用性应用程序。 这种方法对于在负载均衡器解决方案后面的可用性集中预配虚拟机的情况尤其适用。 跨所有计算机的单个策略分配的管理开销最小。

对于受 Azure Site Recovery 保护的计算机，请确保主站点和辅助站点中的计算机处于相同定义的 Azure Policy 分配范围内。 对两个站点使用相同的参数值。

数据驻留

机器配置会存储和处理客户数据。 默认情况下，客户数据将复制到配对区域。对于新加坡、巴西南部和东亚区域，所有客户数据将在该区域中进行存储和处理。

计算机配置故障排除

有关对计算机配置进行故障排除的详细信息，请参阅 Azure Policy 故障排除。

多个分配

目前，只有某些内置的计算机加配置策略定义支持多个分配。 但是，如果使用最新版本的 GuestConfiguration PowerShell 模块创建机器配置包和策略，则在默认情况下，所有自定义策略都支持多个分配。

下面是支持多个分配的内置机器配置策略定义列表：

给 Azure 管理组的任务

当效果为 Guest Configuration 或 AuditIfNotExists 时，可以将“DeployIfNotExists”类别中的 Azure Policy 定义分配到管理组。

客户端日志文件

计算机配置扩展将日志文件写入以下位置：

Windows操作系统

• Azure VM：C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
• 已启用 Arc 的服务器：C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Linux

• Azure VM：/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
• 已启用 Arc 的服务器：/var/lib/GuestConfig/arc_policy_logs/gc_agent.log

远程收集日志

对计算机配置或模块进行故障排除的第一步应该是按照如何测试计算机配置包工件中的步骤使用 cmdlet。 如果未成功，则收集客户端日志有助于诊断问题。

Windows操作系统

使用 Azure VM 运行命令从日志文件中捕获信息，下面的示例 PowerShell 脚本可能会很有帮助。

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch  = 10
$params = @{
    Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
    Pattern = @(
        'DSCEngine'
        'DSCManagedEngine'
    )
    CaseSensitive = $true
    Context = @(
        $linesToIncludeBeforeMatch
        $linesToIncludeAfterMatch
    )
}
Select-String @params | Select-Object -Last 10

Linux

使用 Azure VM 运行命令从日志文件中捕获信息，下面的示例 Bash 脚本可能会很有帮助。

LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail

代理文件

计算机配置代理将内容包下载到计算机中并提取其内容。 要验证已下载和存储的内容，请查看以下列表中的文件夹位置。

• Windows： C:\ProgramData\guestconfig\configuration
• Linux：/var/lib/GuestConfig/Configuration

开放源代码 nxtool 模块功能

新的开放源代码 nxtool 模块 已经发布，以帮助 PowerShell 用户更轻松地管理 Linux 系统。

该模块将有助于管理常见任务，例如：

• 管理用户和组
• 执行文件系统操作
• 管理服务
• 执行存档操作
• 管理包

该模块包括用于 Linux 的基于类的 DSC 资源，以及内置的机器配置包。

要提供有关此功能的反馈，请在文档上打开问题。 目前不接受此项目的 PR，尽力提供最大的支持。

计算机配置示例

以下位置提供了计算机配置内置策略示例：

• 内置策略定义 - 来宾配置
• 内置计划 - 来宾配置
• Azure Policy 示例 GitHub 存储库
• 示例 DSC 资源模块

后续步骤

• 设置自定义计算机配置包开发环境。
• 为计算机配置创建包项目。
• 从开发环境测试包项目。
• 使用 GuestConfiguration 模块创建 Azure Policy 定义，用于对环境进行大规模管理。
• 使用 Azure 门户分配自定义策略定义。
• 了解如何查看计算机配置策略分配的合规性详细信息。