你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍在现有虚拟机(VM)或虚拟机规模集上启用元数据安全协议(MSP)的方法。 可以使用 Azure 门户、Azure 资源管理器模板(ARM 模板)或 REST API 在 VM 上启用 MSP。
先决条件
在 VM 上启用 MSP
使用 Azure 门户
请参阅 通过门户配置 MSP。
使用 ARM 模板
请参阅 示例
使用 REST API
在 Audit 模式中启用受 WireServer 和 Azure 实例元数据服务保护的 MSP:
PATCH https://management.azure.com/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Compute/virtualMachines/{virtualMachine-Name}?api-version=2024-03-01
{
"properties": {
"securityProfile": {
"proxyAgentSettings": {
"enabled": true,
"wireServer": {
"mode": "Audit"
},
"imds": {
"mode": "Audit"
}
}
},
}
}
对于 Windows 虚拟机,如果是ProxyAgentSettings.Enabledtrue,则默认安装Microsoft.CPlat.ProxyAgent.ProxyAgentWindows扩展。
对于 Linux VM,设置ProxyAgentSettings.Enabledtrue不会自动安装代理扩展。 若要通过代理代理扩展启用代理代理,必须对PUT扩展进行显式 Microsoft.CPlat.ProxyAgent.ProxyAgentLinux REST API 调用。 代理代理扩展的目的是启用、自动更新和报告代理代理的状态。
验证链接规则
若要验证是否已将链接规则应用到 VM,请检查 VM 实例视图,确认适用于 Windows 的 Microsoft.CPlat.ProxyAgent.ProxyAgentWindows 扩展的状态以及适用于 Linux 的 Microsoft.CPlat.ProxyAgent.ProxyAgentLinux 扩展。
状态 ComponentStatus/ProxyAgentStatus/succeeded 应具有值 imdsRuleId 和 wireServerRuleId 值。 这些值应映射到InVMAccessControlProfile的引用 ID。
"extensions": [
{
"name": "AzureGuestProxyAgentExtension",
"type": "Microsoft.CPlat.ProxyAgent.ProxyAgentWindows",
"typeHandlerVersion": "1.0.21",
"substatuses": [
{
"code": "ComponentStatus/ProxyAgentConnectionSummary/succeeded",
"level": "Info",
"displayStatus": "Provisioning succeeded",
"message": "[{\"userName\":\"SYSTEM\",\"ip\":\"169.254.169.254\",\"port\":80,\"processCmdLine\":\"\\\"C:\\\\Packages\\\\Plugins\\\\Microsoft.Azure.Geneva.GenevaMonitoring\\\\2.45.0.4\\\\GenevaMonitoringExtension.exe\\\" collectLogs\",\"responseStatus\":\"200 OK\",\"count\":344,\"userGroups\":[],\"processFullPath\":\"C:\\\\Packages\\\\Plugins\\\\Microsoft.Azure.Geneva.GenevaMonitoring\\\\2.45.0.4\\\\GenevaMonitoringExtension.exe\"]"
},
{
"code": "ComponentStatus/ProxyAgentStatus/succeeded",
"level": "Info",
"displayStatus": "Provisioning succeeded",
"message": "{\"version\":\"1.0.21\",\"status\":\"SUCCESS\",\"monitorStatus\":{\"status\":\"RUNNING\",\"message\":\"proxy_agent_status thread started.\"},\"keyLatchStatus\":{\"status\":\"RUNNING\",\"message\":\"Found key details from local and ready to use. - 122\",\"states\":{\"imdsRuleId\":\"/SUBSCRIPTIONS/A53F7094-A16C-47AF-ABE4-B05C05D0D79A/RESOURCEGROUPS/HUIYARG-EASTUS2EUAP/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSIMDS/VERSIONS/1.3.0\",\"secureChannelState\":\"WireServer Audit - IMDS Audit\",\"keyGuid\":\"7512289d-6e5c-449b-9cbf-06728c1c1e4a\",\"wireServerRuleId\":\"/SUBSCRIPTIONS/A53F7094-A16C-47AF-ABE4-B05C05D0D79A/RESOURCEGROUPS/HUIYARG-EASTUS2EUAP/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSWIRESERVER/VERSIONS/1.2.0\"}},\"ebpfProgramStatus\":{\"status\":\"RUNNING\",\"message\":\"Started Redirector with eBPF maps - 79\"},\"proxyListenerStatus\":{\"status\":\"RUNNING\",\"message\":\"Started proxy listener 127.0.0.1:3080, ready to accept request - 9\"},\"telemetryLoggerStatus\":{\"status\":\"RUNNING\",\"message\":\"Telemetry event logger thread started.\"},\"proxyConnectionsCount\":259356}"
},
{
"code": "ComponentStatus/EbpfStatus/succeeded",
"level": "Info",
"displayStatus": "Provisioning succeeded",
"message": "Ebpf Drivers successfully queried."
}
],
"statuses": [
{
"code": "ProvisioningState/succeeded",
"level": "Info",
"displayStatus": "Provisioning succeeded",
"message": "Update Proxy Agent command output successfully",
"time": "2024-09-24T16:42:59+00:00"
}
]
}
在虚拟机规模集上启用 MSP
在 VM 上启用 MSP 的上述步骤也适用于虚拟机规模集。