Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Precaución
En este artículo se hace referencia a CentOS, una distribución de Linux con un estado de finalización del servicio (EOL). Ten en cuenta su uso y realiza el planeamiento en consecuencia. Para más información, consulte la Guía de fin de ciclo de vida de CentOS.
La característica de configuración de máquina de Azure Policy proporciona funcionalidad nativa para auditar o configurar las opciones del sistema operativo como código, tanto para las máquinas que se ejecutan en Azure como para las máquinas híbridas habilitadas para Arc. Puede usar la característica directamente por máquina u organizarla a gran escala mediante Azure Policy.
Los recursos de configuración de Azure están diseñados como un recurso de extensión. Puede imaginar cada configuración como un conjunto adicional de propiedades para la máquina. Las configuraciones pueden incluir valores como:
- Opciones del sistema operativo
- Configuración de la aplicación o presencia
- Configuración del entorno
Las configuraciones son distintas de las definiciones de directiva. La configuración de máquina usa Azure Policy para asignar dinámicamente configuraciones a las máquinas. También puede asignar configuraciones a las máquinas manualmente.
En la tabla siguiente se proporcionan ejemplos de cada escenario.
| Tipo | Descripción | Caso de ejemplo |
|---|---|---|
| Administración de configuración | Quiere una representación completa de un servidor, como código en el control de código fuente. La implementación debe incluir las propiedades del servidor (tamaño, red, almacenamiento) y la configuración del sistema operativo y la configuración de la aplicación. | "Esta máquina debe ser un servidor web configurado para hospedar mi sitio web." |
| Cumplimiento normativo | Quiere auditar o implementar la configuración en todas las máquinas del ámbito de forma reactiva en las máquinas existentes o de forma proactiva en las nuevas máquinas a medida que se implementan. | "Todas las máquinas deben usar TLS 1.2. Audite las máquinas existentes para poder liberar el cambio cuando sea necesario, de forma controlada, a gran escala. En el caso de las nuevas máquinas, aplique la configuración cuando se implementen". |
Puede ver los resultados por configuración de las configuraciones en la página Asignaciones de invitados. Si una asignación de Azure Policy que orquestó la configuración está orquestada, puede seleccionar el vínculo "Último recurso evaluado" en la página "Detalles de cumplimiento".
Nota:
La configuración de la máquina admite actualmente la creación de hasta 50 asignaciones de invitados por máquina.
Modos de cumplimiento para directivas personalizadas
Para proporcionar una mayor flexibilidad en el cumplimiento y supervisión de la configuración del servidor, las aplicaciones y las cargas de trabajo, la configuración de máquina ofrece tres modos de cumplimiento principales para cada asignación de directiva, tal y como se describe en la tabla siguiente.
| Mode | Descripción |
|---|---|
| Auditoría | Informar solo sobre el estado de la máquina |
| Aplicar y supervisar | La configuración se aplicó a la máquina y, a continuación, se supervisaron los cambios |
| Aplicar y autocorregir | La configuración se aplicó a la máquina y se puso en conformidad en caso de desfase |
Hay disponible un tutorial de vídeo de este documento. (Actualización disponible próximamente)
Habilitación de la configuración de la máquina
Para administrar el estado de las máquinas del entorno, incluidas las de Azure y los servidores habilitados para Arc, revise los detalles siguientes.
Proveedor de recursos
Para poder usar la característica de configuración de máquina de Azure Policy, debe registrar el proveedor de recursos Microsoft.GuestConfiguration. Si la asignación de una directiva de configuración de máquina se realiza en el portal, o si la suscripción está inscrita en Microsoft Defender for Cloud, el proveedor de recursos se registra automáticamente. Puede registrarse manualmente mediante el portal, Azure PowerShell o la CLI de Azure.
Requisitos de implementación de Azure Virtual Machines
Para administrar la configuración en una máquina, se habilita una extensión de máquina virtual y la máquina debe tener una identidad administrada por el sistema. La extensión descarga la asignación de configuración de máquina aplicable y las dependencias correspondientes. La identidad se usa para autenticar la máquina a medida que lee y escribe en el servicio de configuración de máquina. La extensión no es necesaria para los servidores habilitados para Arc porque está incluida en el agente Connected Machine de Arc.
Importante
La extensión de configuración de máquina y una identidad administrada son necesarias para administrar las máquinas virtuales de Azure.
Para implementar la extensión a gran escala en muchas máquinas, asigne la iniciativa de directiva
Deploy prerequisites to enable Guest Configuration policies on virtual machines a un grupo de administración, una suscripción o un grupo de recursos que contenga las máquinas que planea administrar.
Si prefiere implementar la extensión y la identidad administrada de una sola máquina, consulte Configuración de identidades administradas para recursos de Azure en una VM mediante Azure Portal.
Para utilizar paquetes de configuración de máquinas que aplican configuraciones, se requiere la extensión de configuración de invitado de Azure VM versión 1.26.24 o posterior.
Importante
La creación de una identidad administrada o la asignación de una directiva con el rol "Colaborador de recursos de configuración de invitado" son acciones que requieren los permisos adecuados de RBAC de Azure para su realización. Para obtener más información sobre Azure Policy y RBAC de Azure, consulte control de acceso basado en roles en Azure Policy.
Límites establecidos en la extensión
Para limitar que la extensión afecte a las aplicaciones que se ejecutan en la máquina, no se permite que el agente de configuración de máquina supere el 5 % de la CPU. Esta limitación existe tanto para definiciones integradas como personalizadas. Lo mismo se aplica al servicio de configuración de máquina en el agente Connected Machine de Arc.
Herramientas de validación
Dentro de la máquina, el cliente de configuración de máquina usa herramientas locales para realizar tareas.
En la tabla siguiente se muestra una lista de las herramientas locales usadas en cada sistema operativo compatible. En el caso de contenido integrado, la configuración de máquina controla la carga de estas herramientas automáticamente.
| Sistema operativo | Herramienta de validación | Notas |
|---|---|---|
| Windows | Desired State Configuration de PowerShell | Instalado de prueba en una carpeta que solo usa Azure Policy. No entra en conflicto con DSC de Windows PowerShell. PowerShell no se agrega a la ruta de acceso del sistema. |
| Linux | Desired State Configuration de PowerShell | Instalado de prueba en una carpeta que solo usa Azure Policy. PowerShell no se agrega a la ruta de acceso del sistema. |
| Linux | Chef InSpec | Instala Chef InSpec versión 2.2.61 en la ubicación predeterminada y lo agrega a la ruta de acceso del sistema. También instala las dependencias de InSpec, como Ruby y Python. |
Frecuencia de validación
El cliente de configuración de máquina busca asignaciones de invitados nuevas o modificadas cada cinco minutos. Una vez que se recibe una asignación de invitado, se comprueban los valores de esa configuración en un intervalo de 15 minutos. Si se asignan varias configuraciones, cada una se evalúa secuencialmente. Las configuraciones de larga duración afectan al intervalo de todas las configuraciones, ya que la siguiente no se ejecutará hasta que finalice la configuración anterior.
Los resultados se envían al servicio de configuración de máquina cuando finaliza la auditoría. Cuando se produce un desencadenador de evaluación de directiva, el estado de la máquina se escribe en el proveedor de recursos de configuración de máquina. Esta actualización hace que Azure Policy evalúe las propiedades de Azure Resource Manager. Una evaluación de Azure Policy a petición recupera el valor más reciente del proveedor de recursos de la configuración de máquina. Pero no desencadena una nueva actividad dentro de la máquina. Después, el estado se escribe en Azure Resource Graph.
Tipos de cliente admitidos
Las definiciones de directivas de configuración de máquina son inclusivas de las nuevas versiones. Las versiones anteriores de los sistemas operativos disponibles en Azure Marketplace se excluyen si el cliente de configuración de invitado no es compatible. Además, las versiones de servidor Linux que no son compatibles con la duración de sus respectivos publicadores se excluyen de la matriz de compatibilidad.
En la tabla siguiente se muestra una lista de sistemas operativos compatibles en imágenes de Azure. El texto .x es simbólico y se usa para representar nuevas versiones secundarias de distribuciones de Linux.
| Publicador | Nombre | Versiones |
|---|---|---|
| Alma | AlmaLinux | 9 |
| Amazon | Linux | 2 |
| Canónico | Ubuntu Server | 16.04 - 24.x |
| Credativ | Debian | 10.x - 13.x |
| Microsoft | CBL-Mariner | 1 - 2 |
| Microsoft | Azure Linux | 3 |
| Microsoft | Cliente Windows | Windows 10 y 11 |
| Microsoft | Servidor de Windows | 2012 - 2025 |
| Oráculo | Oracle-Linux | 7.x - 8.x |
| OpenLogic | CentOS | 7.3 - 8.x |
| Red Hat | Red Hat Enterprise Linux* | 7.4 - 9.x |
| Rocky | Rocky Linux | 8 |
| SUSE | SLES | 12 SP5, 15.x |
* No se admite Red Hat CoreOS.
Las definiciones de directivas de configuración de máquina admiten imágenes de máquina virtual personalizadas, siempre y cuando se trate de uno de los sistemas operativos de la tabla anterior. La configuración de máquina no admite VMSS uniforme, pero sí VMSS Flex.
Importante
Para que cualquier extensión de máquina virtual funcione correctamente en Azure, se deben conceder permisos de escritura al directorio /var/lib. Sin este permiso, no se puede instalar la extensión Machine Configuration. En el caso de los servidores habilitados para Azure Arc, también se requiere acceso de escritura a directorios específicos para habilitar el registro y la telemetría. Como resultado, Azure Machine Configuration no tiene compatibilidad oficial con configuraciones predeterminadas protegidas por CIS o SELinux. Es posible que sea necesaria una configuración adicional para que la extensión funcione según lo previsto. Los clientes que usan entornos protegidos deben evaluar la compatibilidad y planear en consecuencia.
Requisitos de red
Las máquinas virtuales de Azure pueden usar su adaptador de red virtual local (vNIC) o Azure Private Link para comunicarse con el servicio de configuración de máquina.
Las máquinas de Azure habilitadas para Arc se conectan mediante la infraestructura de red local para llegar a los servicios de Azure e informar del estado de cumplimiento.
En la tabla siguiente se muestran los puntos de conexión admitidos para máquinas habilitadas para Azure y Azure Arc:
| Región | Geografía | URL | Punto de conexión de almacenamiento |
|---|---|---|---|
| EastAsia | Asia Pacífico | agentserviceapi.guestconfiguration.azure.com eastasia-gas.guestconfiguration.azure.com ea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SoutheastAsia | Asia Pacífico |
agentserviceapi.guestconfiguration.azure.com southeastasia-gas.guestconfiguration.azure.com sea-gas.guestconfiguration.azure.com |
oaasguestconfigeas1.blob.core.windows.net oaasguestconfigseas1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaEast | Australia | agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AustraliaSoutheast | Australia | agentserviceapi.guestconfiguration.azure.com australiaeast-gas.guestconfiguration.azure.com ae-gas.guestconfiguration.azure.com |
oaasguestconfigases1.blob.core.windows.net oaasguestconfigaes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| BrazilSouth | Brasil | agentserviceapi.guestconfiguration.azure.com brazilsouth-gas.guestconfiguration.azure.com brs-gas.guestconfiguration.azure.com |
oaasguestconfigbrss1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaCentral | Canadá | agentserviceapi.guestconfiguration.azure.com canadacentral-gas.guestconfiguration.azure.com cc-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CanadaEast | Canadá | agentserviceapi.guestconfiguration.azure.com canadaeast-gas.guestconfiguration.azure.com ce-gas.guestconfiguration.azure.com |
oaasguestconfigccs1.blob.core.windows.net oaasguestconfigces1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ChinaEast2 | China | agentserviceapi.guestconfiguration.azure.cn chinaeast2-gas.guestconfiguration.azure.cn chne2-gas.guestconfiguration.azure.cn |
oaasguestconfigchne2s2.blob.core.chinacloudapi.cn |
| ChinaNorth | China |
agentserviceapi.guestconfiguration.azure.cn chinanorth-gas.guestconfiguration.azure.cn chnn-gas.guestconfiguration.azure.cn |
oaasguestconfigchnns2.blob.core.chinacloudapi.cn |
| ChinaNorth2 | China |
agentserviceapi.guestconfiguration.azure.cn chinanorth2-gas.guestconfiguration.azure.cn chnn2-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn2s2.blob.core.chinacloudapi.cn |
| ChinaNorth3 | China | agentserviceapi.guestconfiguration.azure.cn chinanorth3-gas.guestconfiguration.azure.cn chnn3-gas.guestconfiguration.azure.cn |
oaasguestconfigchnn3s1.blob.core.chinacloudapi.cn |
| NorthEurope | Europa | agentserviceapi.guestconfiguration.azure.com northeurope-gas.guestconfiguration.azure.com ne-gas.guestconfiguration.azure.com |
oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestEurope | Europa | oaasguestconfignes1.blob.core.windows.net oaasguestconfigwes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
|
| FranceCentral | Francia | agentserviceapi.guestconfiguration.azure.com francecentral-gas.guestconfiguration.azure.comfc-gas.guestconfiguration.azure.com |
oaasguestconfigfcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AlemaniaNorth | Alemania | agentserviceapi.guestconfiguration.azure.com germanynorth-gas.guestconfiguration.azure.com gen-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| AlemaniaWestCentral | Alemania |
agentserviceapi.guestconfiguration.azure.com germanywestcentral-gas.guestconfiguration.azure.com gewc-gas.guestconfiguration.azure.com |
oaasguestconfiggens1.blob.core.windows.net oaasguestconfiggewcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralIndia | India | agentserviceapi.guestconfiguration.azure.com centralindia-gas.guestconfiguration.azure.com cid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthIndia | India | agentserviceapi.guestconfiguration.azure.com southindia-gas.guestconfiguration.azure.com sid-gas.guestconfiguration.azure.com |
oaasguestconfigcids1.blob.core.windows.net oaasguestconfigsids1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| IsraelCentral | Israel |
agentserviceapi.guestconfiguration.azure.com israelcentral-gas.guestconfiguration.azure.com ilc-gas.guestconfiguration.azure.com |
oaasguestconfigilcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| ItaliaNorth | Italia | agentserviceapi.guestconfiguration.azure.com italynorth-gas.guestconfiguration.azure.com itn-gas.guestconfiguration.azure.com |
oaasguestconfigitns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanEast | Japón |
agentserviceapi.guestconfiguration.azure.com japaneast-gas.guestconfiguration.azure.com jpe-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| JapanWest | Japón | agentserviceapi.guestconfiguration.azure.com japanwest-gas.guestconfiguration.azure.com jpw-gas.guestconfiguration.azure.com |
oaasguestconfigjpws1.blob.core.windows.net oaasguestconfigjpes1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| KoreaCentral | Corea |
agentserviceapi.guestconfiguration.azure.com koreacentral-gas.guestconfiguration.azure.com kc-gas.guestconfiguration.azure.com |
oaasguestconfigkcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| MéxicoCentral | México | agentserviceapi.guestconfiguration.azure.com mexicocentral-gas.guestconfiguration.azure.com mxc-gas.guestconfiguration.azure.com |
oaasguestconfigmxcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NoruegaEast | Noruega | agentserviceapi.guestconfiguration.azure.com norwayeast-gas.guestconfiguration.azure.com noe-gas.guestconfiguration.azure.com |
oaasguestconfignoes2.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| PoloniaCentral | Polonia | agentserviceapi.guestconfiguration.azure.com polandcentral-gas.guestconfiguration.azure.com plc-gas.guestconfiguration.azure.com |
oaasguestconfigwcuss1.blob.core.windows.net |
| QatarCentral | Qatar | agentserviceapi.guestconfiguration.azure.com qatarcentral-gas.guestconfiguration.azure.com qac-gas.guestconfiguration.azure.com |
oaasguestconfigqacs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaNorth | SouthAfrica | agentserviceapi.guestconfiguration.azure.com southafricanorth-gas.guestconfiguration.azure.com san-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthAfricaWest | SouthAfrica | agentserviceapi.guestconfiguration.azure.com southafricawest-gas.guestconfiguration.azure.com saw-gas.guestconfiguration.azure.com |
oaasguestconfigsans1.blob.core.windows.net oaasguestconfigsaws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SpainCentral | España |
agentserviceapi.guestconfiguration.azure.com spaincentral-gas.guestconfiguration.azure.com spc-gas.guestconfiguration.azure.com |
oaasguestconfigspcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SueciaCentral | Suecia | agentserviceapi.guestconfiguration.azure.com swedencentral-gas.guestconfiguration.azure.com swc-gas.guestconfiguration.azure.com |
oaasguestconfigswcs1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SuizaNorth | Suiza | agentserviceapi.guestconfiguration.azure.com switzerlandnorth-gas.guestconfiguration.azure.com stzn-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SuizaWest | Suiza | agentserviceapi.guestconfiguration.azure.com switzerlandwest-gas.guestconfiguration.azure.com stzw-gas.guestconfiguration.azure.com |
oaasguestconfigstzns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| TaiwánNorth | Taiwán |
agentserviceapi.guestconfiguration.azure.com taiwannorth-gas.guestconfiguration.azure.com twn-gas.guestconfiguration.azure.com |
oaasguestconfigtwns1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UAENorth | Emiratos Árabes Unidos | agentserviceapi.guestconfiguration.azure.com uaenorth-gas.guestconfiguration.azure.com uaen-gas.guestconfiguration.azure.com |
oaasguestconfiguaens1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKSouth | Reino Unido | agentserviceapi.guestconfiguration.azure.com uksouth-gas.guestconfiguration.azure.com uks-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| UKWest | Reino Unido | agentserviceapi.guestconfiguration.azure.com ukwest-gas.guestconfiguration.azure.com ukw-gas.guestconfiguration.azure.com |
oaasguestconfigukss1.blob.core.windows.net oaasguestconfigukws1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS | EE. UU. | agentserviceapi.guestconfiguration.azure.com eastus-gas.guestconfiguration.azure.com eus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| EastUS2 | EE. UU. | agentserviceapi.guestconfiguration.azure.com eastus2-gas.guestconfiguration.azure.com eus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS | EE. UU. | agentserviceapi.guestconfiguration.azure.com westus-gas.guestconfiguration.azure.com wus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS2 | EE. UU. | agentserviceapi.guestconfiguration.azure.com westus2-gas.guestconfiguration.azure.com wus2-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestUS3 | EE. UU. | agentserviceapi.guestconfiguration.azure.com westus3-gas.guestconfiguration.azure.com wus3-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| CentralUS | EE. UU. | agentserviceapi.guestconfiguration.azure.com centralus-gas.guestconfiguration.azure.com cus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| NorthCentralUS | EE. UU. | agentserviceapi.guestconfiguration.azure.com northcentralus-gas.guestconfiguration.azure.com ncus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| SouthCentralUS | EE. UU. | agentserviceapi.guestconfiguration.azure.com southcentralus-gas.guestconfiguration.azure.com scus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| WestCentralUS | EE. UU. | agentserviceapi.guestconfiguration.azure.com westcentralus-gas.guestconfiguration.azure.com wcus-gas.guestconfiguration.azure.com |
oaasguestconfigeuss1.blob.core.windows.net oaasguestconfigeus2s1.blob.core.windows.net oaasguestconfigwuss1.blob.core.windows.net oaasguestconfigwus2s1.blob.core.windows.net oaasguestconfigncuss1.blob.core.windows.net oaasguestconfigcuss1.blob.core.windows.net oaasguestconfigscuss1.blob.core.windows.net oaasguestconfigwus3s1.blob.core.windows.net oaasguestconfigwcuss1.blob.core.windows.net |
| USGovArizona | Gobierno de EE.UU. | agentserviceapi.guestconfiguration.azure.us usgovarizona-gas.guestconfiguration.azure.us usga-gas.guestconfiguration.azure.us |
oaasguestconfigusgas1.blob.core.usgovcloudapi.net |
| USGovTexas | Gobierno de EE.UU. | agentserviceapi.guestconfiguration.azure.us usgovtexas-gas.guestconfiguration.azure.us usgt-gas.guestconfiguration.azure.us |
oaasguestconfigusgts1.blob.core.usgovcloudapi.net |
| USGovVirginia | Gobierno de EE.UU. | agentserviceapi.guestconfiguration.azure.us usgovvirginia-gas.guestconfiguration.azure.us usgv-gas.guestconfiguration.azure.us |
oaasguestconfigusgvs1.blob.core.usgovcloudapi.net |
Comunicación a través de redes virtuales en Azure
Para comunicarse con el proveedor de recursos de la configuración de máquina en Azure, las máquinas necesitan acceso de salida a los centros de datos de Azure en el puerto 443*. Si una red en Azure no permite el tráfico saliente, las excepciones deben configurarse con las reglas del grupo de seguridad de red. Las etiquetas de servicioAzureArcInfrastructure y Storage se pueden usar para hacer referencia a los servicios de configuración de invitado y almacenamiento en lugar de mantener manualmente la lista de intervalos IP para los centros de datos de Azure. Las dos etiquetas son obligatorias porque Azure Storage hospeda los paquetes de contenido de configuración de máquina.
Comunicación a través de un vínculo privado en Azure
Las máquinas virtuales pueden usar un vínculo privado para la comunicación con el servicio de configuración de máquina.
Aplique la etiqueta con el nombre EnablePrivateNetworkGC y el valor TRUE para habilitar esta característica. La etiqueta se puede aplicar antes o después de que se apliquen las definiciones de directivas de configuración de máquina a la máquina.
Importante
Para comunicarse a través de un vínculo privado para paquetes personalizados, el vínculo a la ubicación del paquete debe agregarse a la lista de direcciones URL permitidas.
El tráfico se enruta mediante la dirección IP pública virtual de Azure para establecer un canal seguro y autenticado con recursos de la plataforma Azure.
Comunicación a través de puntos de conexión públicos fuera de Azure
Los servidores ubicados en el entorno local o en otras nubes se pueden administrar con la configuración de la máquina conectándolos a Azure Arc.
En el caso de los servidores habilitados para Azure Arc, permita el tráfico con los siguientes patrones:
- Puerto: solo se requiere el puerto TCP 443 para el acceso a Internet
- Dirección URL global:
*.guestconfiguration.azure.com
Consulte los requisitos de red de servidores habilitados para Azure Arc para obtener una lista completa de todos los puntos de conexión de red requeridos por el agente de Azure Connected Machine para escenarios principales de configuración de Azure Arc y máquinas.
Comunicación a través de un vínculo privado fuera de Azure
Al usar un vínculo privado con servidores habilitados para Arc, los paquetes de directivas integrados se descargan automáticamente a través del vínculo privado. No es necesario establecer ninguna etiqueta en el servidor habilitado para Arc para habilitar esta característica.
Asignación de directivas a máquinas fuera de Azure
Las definiciones de directivas de auditoría disponibles para la configuración de máquina incluyen el tipo de recurso Microsoft.HybridCompute/machines. Todas las máquinas incorporadas a servidores habilitados para Azure Arc que se encuentran en el ámbito de asignación de directivas se incluyen automáticamente.
Requisitos de identidad administrada
Las definiciones de directivas de la iniciativa Deploy prerequisites to enable guest configuration policies on virtual machines habilitan una identidad administrada asignada por el sistema, si no existe ninguna. Hay dos definiciones de directivas en la iniciativa que administran la creación de identidades. Las condiciones if en las definiciones de directiva garantizan el comportamiento correcto en función del estado actual del recurso de máquina en Azure.
Importante
Estas definiciones crean una identidad administrada asignada por el sistema en los recursos de destino, además de las identidades asignadas por el usuario existentes (si existen). En el caso de las aplicaciones existentes, y a menos que se especifique la identidad asignada por el usuario en la solicitud, la máquina usará de manera predeterminada la identidad asignada por el sistema. Más información
Si la máquina no tiene identidades administradas actualmente, la directiva efectiva es: Agregar identidad administrada asignada por el sistema para habilitar asignaciones de configuración de invitado en máquinas virtuales sin identidades.
Si la máquina tiene actualmente una identidad de sistema asignada por el usuario, la directiva efectiva es: Agregar identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario.
Disponibilidad
Los clientes que diseñan una solución de alta disponibilidad deben tener en cuenta los requisitos de planeamiento de redundancia para las máquinas virtuales, ya que las asignaciones de invitados son extensiones de recursos de máquina en Azure. Cuando los recursos de asignación de invitados se aprovisionan en una región de Azure emparejada, puede ver los informes de asignación de invitados si al menos una región en el par está disponible. Cuando la región de Azure no está emparejada y deja de estar disponible, no puede acceder a los informes de una asignación de invitados. Cuando se restaura la región, puede acceder de nuevo a los informes.
Se recomienda asignar las mismas definiciones de directiva con los mismos parámetros a todas las máquinas de la solución para aplicaciones de alta disponibilidad. Esto es especialmente cierto en escenarios en los que las máquinas virtuales se aprovisionan en conjuntos de disponibilidad detrás de una solución de equilibrador de carga. Una asignación de directiva única que abarca todas las máquinas ofrece la menor sobrecarga administrativa.
En el caso de las máquinas protegidas por Azure Site Recovery, asegúrese de que las máquinas de un sitio secundario están dentro del ámbito de las asignaciones de Azure Policy para las mismas definiciones. Use los mismos valores de parámetro para ambos sitios.
Residencia de datos
La configuración de máquina almacena y procesa los datos del cliente. De manera predeterminada, los datos del cliente se replican en la región emparejada. Para las regiones de Singapur, Sur de Brasil y Asia Pacífico, todos los datos de los clientes se almacenan y procesan en la región.
Solución de problemas de la configuración de máquina
Para obtener más información sobre la solución de problemas de la configuración de máquina, vea Solución de problemas de Azure Policy.
Asignaciones múltiples
En este momento, solo algunas definiciones de directiva de configuración de máquina integradas admiten varias asignaciones. Sin embargo, todas las directivas personalizadas admiten varias asignaciones de manera predeterminada si usó la versión más reciente del módulo GuestConfiguration de PowerShell para crear directivas y paquetes de configuración de máquina.
A continuación se muestra la lista de definiciones de directiva de configuración de máquina integradas que admiten varias asignaciones:
| identificación | DisplayName |
|---|---|
| /providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce | Los métodos de autenticación local deben deshabilitarse en servidores Windows Server |
| /providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a | Los métodos de autenticación local deben deshabilitarse en máquinas Linux |
| /providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 | [Versión preliminar]: Agregar una identidad administrada asignada por el usuario para habilitar las asignaciones de configuración de invitado en máquinas virtuales |
| /providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 | [Versión preliminar]: Las máquinas Linux deben cumplir los requisitos de cumplimiento de STIG del proceso de Azure |
| /providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c | [Versión preliminar]: Las máquinas Windows deben cumplir los requisitos de cumplimiento de STIG para el proceso de Azure |
| /providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f | [Versión preliminar]: Las máquinas Linux con OMI instalado deben tener la versión 1.6.8-1 o posterior |
| /providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b | Auditar las máquinas Windows que no contengan los certificados especificados en la raíz de confianza |
| /providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd | Auditar las máquinas Windows en las que la configuración de DSC no sea compatible |
| /providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 | Realizar una auditoría de las máquinas Windows que no tengan instalada la directiva de ejecución específica de Windows PowerShell |
| /providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 | Realizar una auditoría de las máquinas Windows que no tengan instalados los módulos específicos de Windows PowerShell |
| /providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb | Auditar las máquinas Windows donde no esté habilitado Serial Console de Windows |
| /providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df | Auditar las máquinas Windows en que los servicios especificados no estén instalados y en ejecución |
| /providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 | Auditar las máquinas Windows que no estén establecidas en la zona horaria especificada |
Nota:
Consulte esta página periódicamente para ver si hay actualizaciones en la lista de definiciones de directiva de configuración de máquina integradas que admiten varias asignaciones.
Asignaciones a grupos de administración de Azure
Las definiciones de Azure Policy de la categoría Guest Configuration se pueden asignar a grupos de administración cuando el efecto es AuditIfNotExists o DeployIfNotExists.
Importante
Cuando se crean exenciones de directiva en una directiva de configuración de máquina, la asignación de invitado asociada tendrá que eliminarse para que el agente deje de escanear.
Archivos de registro de cliente
La extensión de la configuración de máquina escribe archivos de registro en las ubicaciones siguientes:
Windows
- VM de Azure:
C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log - Servidor habilitado para Arc:
C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log
Linux
- VM de Azure:
/var/lib/GuestConfig/gc_agent_logs/gc_agent.log - Servidor habilitado para Arc:
/var/lib/GuestConfig/arc_policy_logs/gc_agent.log
Recopilar registros de forma remota
El primer paso para solucionar problemas de configuraciones o módulos de máquina debe ser usar los cmdlets siguiendo los pasos descritos en Procedimiento para probar artefactos de paquete de configuración de máquina. Si no se realiza correctamente, la recopilación de registros de cliente puede ayudar a diagnosticar problemas.
Windows
Capture información de archivos de registro con el comando de ejecución de VM de Azure. El siguiente script de PowerShell de ejemplo puede ser útil.
$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch = 10
$params = @{
Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
Pattern = @(
'DSCEngine'
'DSCManagedEngine'
)
CaseSensitive = $true
Context = @(
$linesToIncludeBeforeMatch
$linesToIncludeAfterMatch
)
}
Select-String @params | Select-Object -Last 10
Linux
Capture información de archivos de registro con el comando de ejecución de VM de Azure. El siguiente script de Bash de ejemplo puede ser útil.
LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail
Archivos de agente
El agente de configuración de máquina descarga paquetes de contenido en una máquina y extrae el contenido. Para comprobar qué contenido se ha descargado y almacenado, consulte las ubicaciones de carpeta en la siguiente lista.
- Windows:
C:\ProgramData\guestconfig\configuration - Linux:
/var/lib/GuestConfig/Configuration
Funcionalidad del módulo nxtools de código abierto
Se ha publicado un nuevo módulo nxtools de código abierto para facilitar a los usuarios de PowerShell la administración de sistemas Linux.
El módulo ayuda a administrar tareas comunes como:
- Administración de usuarios y grupos
- Realizar operaciones del sistema de archivos
- Administración de servicios
- Realizar operaciones de archivo
- Administración de paquetes
El módulo incluye recursos de DSC basados en clases para Linux y paquetes integrados de configuración de máquina.
Para proporcionar comentarios sobre esta funcionalidad, abra una incidencia en la documentación. Actualmente no aceptamos solicitudes de incorporación de cambios para este proyecto y el soporte técnico es la mejor opción.
Ejemplos de configuración de máquina
Hay ejemplos de directivas integradas de configuración de máquina disponibles en las ubicaciones siguientes:
- Definiciones de directivas integradas: configuración de invitado
- Iniciativas integradas: configuración de invitado
- Repositorio de GitHub de ejemplos de Azure Policy
- Módulos de recursos de DSC de muestra
Pasos siguientes
- Configure un entorno de desarrollo personalizado de paquetes de configuración de máquina.
- Cree un artefacto de paquete para la configuración de máquina.
- Pruebe el artefacto de paquete desde el entorno de desarrollo.
- Use el módulo GuestConfiguration con el fin de crear una definición de Azure Policy para la administración a gran escala de su entorno.
- Asigne su definición de directiva personalizada mediante Azure Portal.
- Obtenga información sobre cómo ver los detalles de cumplimiento de asignaciones de directivas de configuración de máquina.