Habilitar o MSP em uma VM ou conjunto de dimensionamento de máquinas virtuais existente

Este artigo explica as maneiras pelas quais você pode habilitar o MSP (Protocolo de Segurança de Metadados) em uma VM (máquina virtual) ou conjunto de dimensionamento de máquinas virtuais existente. Você pode habilitar o MSP em uma VM usando o portal do Azure, um modelo do ARM (modelo do Azure Resource Manager) ou a API REST.

Pré-requisitos

Verifique se sua imagem de escolha é compatível.
Familiarize-se com as opções básicas de configuração .

Habilitar o MSP em uma VM

Use o portal do Azure

Consulte Configurar o MSP por meio do portal.

Use um modelo ARM

Veja exemplos

Com API REST

Habilitar MSP com WireServer e Serviço de Metadados de Instância do Azure protegidos no modo Audit:

PATCH https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Compute/virtualMachines/{virtualMachine-Name}?api-version=2024-03-01

{
  "properties": {
    "securityProfile": {
      "proxyAgentSettings": {
        "enabled": true,
        "wireServer": {
          "mode": "Audit"
        },
        "imds": {
          "mode": "Audit"
        }
      }
    },
  }
}

Para VMs Windows, se ProxyAgentSettings.Enabled for true, a extensão Microsoft.CPlat.ProxyAgent.ProxyAgentWindows será instalada por padrão.

Para VMs do Linux, a configuração ProxyAgentSettings.Enabled para true não instala implicitamente a extensão do Proxy Agent. Para habilitar o Agente de Proxy por meio da extensão Agente de Proxy, deve haver uma chamada à API REST explícita PUT na extensão Microsoft.CPlat.ProxyAgent.ProxyAgentLinux. A finalidade da extensão do Agente proxy é habilitar, atualizar automaticamente e relatar o status do Agente proxy.

Validar regras vinculadas

Para validar se as regras vinculadas foram aplicadas à sua VM, verifique a exibição da instância da VM para confirmar o status da Microsoft.CPlat.ProxyAgent.ProxyAgentWindows extensão para Windows e a Microsoft.CPlat.ProxyAgent.ProxyAgentLinux extensão para Linux.

O ComponentStatus/ProxyAgentStatus/succeeded status deve ter um imdsRuleId valor e um wireServerRuleId valor. Esses valores devem ser mapeados para a ID de referência de InVMAccessControlProfile.

"extensions": [
    {
      "name": "AzureGuestProxyAgentExtension",
      "type": "Microsoft.CPlat.ProxyAgent.ProxyAgentWindows",
      "typeHandlerVersion": "1.0.21",
      "substatuses": [
        {
          "code": "ComponentStatus/ProxyAgentConnectionSummary/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "[{\"userName\":\"SYSTEM\",\"ip\":\"169.254.169.254\",\"port\":80,\"processCmdLine\":\"\\\"C:\\\\Packages\\\\Plugins\\\\Microsoft.Azure.Geneva.GenevaMonitoring\\\\2.45.0.4\\\\GenevaMonitoringExtension.exe\\\" collectLogs\",\"responseStatus\":\"200 OK\",\"count\":344,\"userGroups\":[],\"processFullPath\":\"C:\\\\Packages\\\\Plugins\\\\Microsoft.Azure.Geneva.GenevaMonitoring\\\\2.45.0.4\\\\GenevaMonitoringExtension.exe\"]"
        },
        {
          "code": "ComponentStatus/ProxyAgentStatus/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "{\"version\":\"1.0.21\",\"status\":\"SUCCESS\",\"monitorStatus\":{\"status\":\"RUNNING\",\"message\":\"proxy_agent_status thread started.\"},\"keyLatchStatus\":{\"status\":\"RUNNING\",\"message\":\"Found key details from local and ready to use. - 122\",\"states\":{\"imdsRuleId\":\"/SUBSCRIPTIONS/A53F7094-A16C-47AF-ABE4-B05C05D0D79A/RESOURCEGROUPS/HUIYARG-EASTUS2EUAP/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSIMDS/VERSIONS/1.3.0\",\"secureChannelState\":\"WireServer Audit -  IMDS Audit\",\"keyGuid\":\"7512289d-6e5c-449b-9cbf-06728c1c1e4a\",\"wireServerRuleId\":\"/SUBSCRIPTIONS/A53F7094-A16C-47AF-ABE4-B05C05D0D79A/RESOURCEGROUPS/HUIYARG-EASTUS2EUAP/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSWIRESERVER/VERSIONS/1.2.0\"}},\"ebpfProgramStatus\":{\"status\":\"RUNNING\",\"message\":\"Started Redirector with eBPF maps - 79\"},\"proxyListenerStatus\":{\"status\":\"RUNNING\",\"message\":\"Started proxy listener 127.0.0.1:3080, ready to accept request - 9\"},\"telemetryLoggerStatus\":{\"status\":\"RUNNING\",\"message\":\"Telemetry event logger thread started.\"},\"proxyConnectionsCount\":259356}"
        },
        {
          "code": "ComponentStatus/EbpfStatus/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "Ebpf Drivers successfully queried."
        }
      ],
      "statuses": [
        {
          "code": "ProvisioningState/succeeded",
          "level": "Info",
          "displayStatus": "Provisioning succeeded",
          "message": "Update Proxy Agent command output successfully",
          "time": "2024-09-24T16:42:59+00:00"
        }
      ]
    }

Habilitar MSP em um conjunto de dimensionamento de máquinas virtuais

As etapas anteriores para habilitar o MSP em uma VM também se aplicam a um conjunto de dimensionamento de máquinas virtuais.

Comentários

Esta página foi útil?

Last updated on 2025-09-18

Compartilhar via

Habilitar o MSP em uma VM ou conjunto de dimensionamento de máquinas virtuais existente

Pré-requisitos