Az Azure Automation State Configuration engedélyezése
Feljegyzés
Az Azure Automation State Configuration 2027. szeptember 30-án megszűnik, ezért ezen a napon lépjen át az Azure Machine Configuration szolgáltatásra. További információkért lásd a blogbejegyzés bejelentését. Az Azure Machine Configuration szolgáltatás egyesíti a DSC-bővítmény, az Azure Automation State Configuration és az ügyfelek visszajelzései alapján leggyakrabban kért funkciókat. Az Azure Machine Configuration emellett az Arc-kompatibilis kiszolgálókon keresztüli hibrid gépek támogatását is tartalmazza.
Fontos
Az Add, Compose configuration és Gallery navigációs hivatkozások 2025. március 31-én törlődnek a portálról.
Figyelemfelhívás
A Linuxhoz készült Azure Automation DSC 2023. szeptember 30-án megszűnt. További információkért lásd a közleményt.
Ez a cikk azt ismerteti, hogyan állíthatja be a gépeket felügyeletre az Azure Automation State Configuration használatával. A szolgáltatás részleteiért tekintse meg az Azure Automation State Configuration áttekintését.
Azure-beli virtuális gépek engedélyezése
Az Azure Automation State Configuration segítségével egyszerűen engedélyezheti az Azure-beli virtuális gépeket a konfigurációkezeléshez az Azure Portal, az Azure Resource Manager-sablonok vagy a PowerShell használatával. Az Azure-beli virtuális gép Desired State Configuration bővítménye automatikusan regisztrálja a virtuális gépet az Azure Automation State Configuration szolgáltatással. Mivel az Azure-bővítmény aszinkron módon fut, a folyamat nyomon követésének lépéseit a virtuális gép beállításának állapotának ellenőrzése ismerteti.
Feljegyzés
A DSC Linux-csomóponton való üzembe helyezése a /tmp mappát használja. Az olyan modulok, mint amilyenek nxautomation
ideiglenesen letöltődnek ellenőrzésre, mielőtt a megfelelő helyekre telepítik őket. A modulok megfelelő telepítésének biztosítása érdekében a Linux Log Analytics-ügynökének olvasási/írási engedélyekre van szüksége a /tmp mappában. A Linuxhoz készült Log Analytics-ügynök felhasználóként omsagent
fut.
Ha írási engedélyt szeretne adni >a omsagent
felhasználónak, futtassa a parancsot setfacl -m u:omsagent:rwx /tmp
.
Virtuális gép engedélyezése az Azure Portallal
Azure-beli virtuális gépek állapotkonfigurációjának engedélyezése az Azure Portalon keresztül:
- Lépjen arra az Azure Automation-fiókra, amelyben engedélyezni szeretné a virtuális gépeket.
- Az Állapotkonfiguráció lapon válassza a Csomópontok lapot, majd a Hozzáadás lehetőséget.
- Válasszon egy engedélyezni kívánt virtuális gépet.
- Ha a gépen nincs telepítve a PowerShell kívánt állapotkiterjesztése, és az energiaállapot fut, válassza a Csatlakozás lehetőséget.
- A Regisztráció csoportban adja meg a használati esethez szükséges PowerShell DSC Local Configuration Manager-értékeket. Igény szerint megadhat egy csomópontkonfigurációt a virtuális géphez való hozzárendeléshez.
Virtuális gép engedélyezése Azure Resource Manager-sablonokkal
Azure Resource Manager-sablonok használatával telepíthet és engedélyezheti az állapotkonfigurációhoz szükséges virtuális gépeket. Tekintse meg a Desired State Configuration szolgáltatás által felügyelt kiszolgálót egy példasablonhoz, amely lehetővé teszi egy meglévő virtuális gépet az állapotkonfigurációhoz. Ha virtuálisgép-méretezési csoportot kezel, tekintse meg az Azure Automation által felügyelt virtuálisgép-méretezési csoport konfigurációjának példasablonját.
Gépek engedélyezése a PowerShell használatával
A Register-AzAutomationDscNode parancsmaggal engedélyezheti a virtuális gépeket az állapotkonfigurációhoz.
Feljegyzés
A Register-AzAutomationDscNode
parancsmag jelenleg csak a Windows rendszert futtató gépekre van implementálva, mivel csak a Windows-bővítményt aktiválja.
Virtuális gépek regisztrálása Azure-előfizetésekben
A virtuális gépek más Azure-előfizetésekből való regisztrálásának legjobb módja a DSC-bővítmény használata egy Azure Resource Manager-alapú üzembehelyezési sablonban. Példákat a Desired State Configuration bővítményben találhat Azure Resource Manager-sablonokkal.
Hibrid gépek regisztrálása DSC-metakonfigurációval
A DSC metakonfigurációval biztonságosan engedélyezheti a gépeket egy Azure Automation-fiókhoz. A DSC-ben implementált protokollok a metakonfiguráció információi alapján hitelesítik magukat az Azure Automation State Configuration szolgáltatásban. A csomópont regisztrál a szolgáltatással a regisztrációs URL-címen, és egy regisztrációs kulccsal hitelesít. A regisztráció során a DSC-csomópont és a DSC szolgáltatás egyeztet egy egyedi tanúsítványt a csomóponthoz, amelyet a rendszer a regisztrációt követően a kiszolgáló felé történő hitelesítéshez használ. Ez a folyamat megakadályozza, hogy az engedélyezett csomópontok megszemélyesíthessék egymást, például ha egy csomópont megsérül, és rosszindulatúan viselkedik. A regisztrációt követően a rendszer nem használja újra a regisztrációs kulcsot a hitelesítéshez, és törlődik a csomópontról.
Az Állapotkonfiguráció regisztrációs protokolljához szükséges információkat az Azure Portal Fiókbeállítások területén található Kulcsok menüpontból szerezheti be.
- A regisztrációs URL-cím a Kulcsok lap URL-címe.
- A regisztrációs kulcs az Elsődleges hozzáférési kulcs mező vagy a Másodlagos hozzáférési kulcs mező értéke a Kulcsok lapon. Bármelyik kulcs használható.
A további biztonság érdekében bármikor újra létrehozhatja egy Automation-fiók elsődleges és másodlagos hozzáférési kulcsait a Kulcsok lapon. A kulcsok újragenerálása megakadályozza, hogy a jövőbeli csomópontregisztrációk a korábbi kulcsokat használják.
DSC-metakonfigurációk létrehozása
Az állapotkonfiguráció bármely gépének engedélyezéséhez létrehozhat egy DSC-metakonfigurációt. Ez a konfiguráció arra utasítja a DSC-ügynököt, hogy lekérje és/vagy jelentse az Azure Automation State Configuration-nak. Az Azure Automation State Configuration DSC-metakonfigurációját PowerShell DSC-konfigurációval vagy az Azure Automation PowerShell-parancsmagokkal hozhatja létre.
Feljegyzés
A DSC-metakonfigurációk tartalmazzák azokat a titkos kulcsokat, amelyek egy Automation-fiókban lévő gépek felügyelethez való engedélyezéséhez szükségesek. Ügyeljen arra, hogy megfelelően védje a létrehozott DSC-metakonfigurációkat, vagy törölje őket használat után.
A Local Configuration Manager (LCM) szabályozza a metakonfigurációk proxytámogatását. Az LCM az összes célcsomóponton fut, és a DSC metakonfigurációs szkriptjében található konfigurációs erőforrások meghívásáért felelős. A proxytámogatást a metakonfigurációkba úgy is belefoglalhatja, hogy szükség szerint definíciókat ProxyURL
és ProxyCredential
tulajdonságokat tartalmaz a ConfigurationRepositoryWeb
, ResourceRepositoryWeb
és ReportServerWeb
blokkokban. Az URL-beállításra példa: ProxyURL = "http://172.16.3.6:3128";
. A ProxyCredential
tulajdonság objektumra PSCredential
van állítva az Azure Automation hitelesítő adatainak kezelése című cikkben leírtak szerint.
DSC-metakonfigurációk létrehozása DSC-konfigurációval
Nyisson meg egy szövegszerkesztőt, például a Visual Studio Code-ot (VS Code) rendszergazdaként a helyi környezetben lévő számítógépen. A gépen telepítve kell lennie a WMF 5 legújabb verziójának.
Másolja ki helyileg a következő szkriptet. Ez a szkript egy PowerShell DSC-konfigurációt tartalmaz a metakonfigurációk létrehozásához, valamint egy parancsot, amely elindítja a metakonfiguráció létrehozását.
Feljegyzés
Az állapotkonfigurációs csomópont konfigurációs nevei megkülönböztetik a kis- és nagybetűket az Azure Portalon. Ha az eset nem egyezik, a csomópont nem jelenik meg a Csomópontok lapon.
# The DSC configuration that will generate metaconfigurations [DscLocalConfigurationManager()] Configuration DscMetaConfigs { param ( [Parameter(Mandatory=$True)] [String]$RegistrationUrl, [Parameter(Mandatory=$True)] [String]$RegistrationKey, [Parameter(Mandatory=$True)] [String[]]$ComputerName, [Int]$RefreshFrequencyMins = 30, [Int]$ConfigurationModeFrequencyMins = 15, [String]$ConfigurationMode = 'ApplyAndMonitor', [String]$NodeConfigurationName, [Boolean]$RebootNodeIfNeeded= $False, [String]$ActionAfterReboot = 'ContinueConfiguration', [Boolean]$AllowModuleOverwrite = $False, [Boolean]$ReportOnly ) if(!$NodeConfigurationName -or $NodeConfigurationName -eq '') { $ConfigurationNames = $null } else { $ConfigurationNames = @($NodeConfigurationName) } if($ReportOnly) { $RefreshMode = 'PUSH' } else { $RefreshMode = 'PULL' } Node $ComputerName { Settings { RefreshFrequencyMins = $RefreshFrequencyMins RefreshMode = $RefreshMode ConfigurationMode = $ConfigurationMode AllowModuleOverwrite = $AllowModuleOverwrite RebootNodeIfNeeded = $RebootNodeIfNeeded ActionAfterReboot = $ActionAfterReboot ConfigurationModeFrequencyMins = $ConfigurationModeFrequencyMins } if(!$ReportOnly) { ConfigurationRepositoryWeb AzureAutomationStateConfiguration { ServerUrl = $RegistrationUrl RegistrationKey = $RegistrationKey ConfigurationNames = $ConfigurationNames } ResourceRepositoryWeb AzureAutomationStateConfiguration { ServerUrl = $RegistrationUrl RegistrationKey = $RegistrationKey } } ReportServerWeb AzureAutomationStateConfiguration { ServerUrl = $RegistrationUrl RegistrationKey = $RegistrationKey } } } # Create the metaconfigurations # NOTE: DSC Node Configuration names are case sensitive in the portal. # TODO: edit the below as needed for your use case $Params = @{ RegistrationUrl = '<fill me in>'; RegistrationKey = '<fill me in>'; ComputerName = @('<some VM to onboard>', '<some other VM to onboard>'); NodeConfigurationName = 'SimpleConfig.webserver'; RefreshFrequencyMins = 30; ConfigurationModeFrequencyMins = 15; RebootNodeIfNeeded = $False; AllowModuleOverwrite = $False; ConfigurationMode = 'ApplyAndMonitor'; ActionAfterReboot = 'ContinueConfiguration'; ReportOnly = $False; # Set to $True to have machines only report to AA DSC but not pull from it } # Use PowerShell splatting to pass parameters to the DSC configuration being invoked # For more info about splatting, run: Get-Help -Name about_Splatting DscMetaConfigs @Params
Adja meg az Automation-fiók regisztrációs kulcsát és URL-címét, valamint az engedélyezni kívánt gépek nevét. Az összes többi paraméter megadása nem kötelező. Az Automation-fiók regisztrációs kulcsának és regisztrációs URL-címének megkereséséhez tekintse meg a hibrid gépek regisztrálásához használt DSC-metakonfigurációt.
Ha azt szeretné, hogy a gépek dSC-állapotinformációkat jelentsenek az Azure Automation Állapotkonfigurációnak, de a lekéréses konfigurációt vagy a PowerShell-modulokat nem, állítsa a
ReportOnly
paramétert igaz értékre.Ha
ReportOnly
nincs beállítva, a gépek DSC-állapotinformációkat jelentenek az Azure Automation Állapotkonfigurációnak, valamint lekéréses konfigurációnak vagy PowerShell-moduloknak. Ennek megfelelően állítsa be a paramétereket a ,ResourceRepositoryWeb
ésReportServerWeb
blokkokbanConfigurationRepositoryWeb
.Futtassa a szkriptet. Most már rendelkeznie kell egy DscMetaConfigs nevű munkakönyvtár-mappával, amely tartalmazza az engedélyezendő gépek PowerShell DSC-metakonfigurációit (rendszergazdaként).
Set-DscLocalConfigurationManager -Path ./DscMetaConfigs
DSC-metakonfigurációk létrehozása Azure Automation-parancsmagokkal
A DSC-metakonfigurációkat az Azure Automation parancsmagjaival hozhatja létre az alábbi feltételek mellett:
- Az LCM alapértelmezett értéke megegyezik a használati esetével
- Engedélyezni szeretné, hogy a gépek lekérhessék a lekérést és a jelentéskészítést az Azure Automation Állapotkonfigurációban
A metakonfigurációk létrehozásához kövesse az alábbi lépéseket:
Nyissa meg a PowerShell-konzolt vagy a VS Code-ot rendszergazdaként egy helyi környezetben lévő gépen.
Csatlakozzon az Azure Resource Managerhez a Connect-AzAccount használatával.
Töltse le az engedélyezni kívánt gépek PowerShell DSC-metakonfigurációit abból az Automation-fiókból, amelyben csomópontokat állít be.
# Define the parameters for Get-AzAutomationDscOnboardingMetaconfig using PowerShell Splatting $Params = @{ ResourceGroupName = 'ContosoResources' # The Resource Group that contains your Azure Automation account AutomationAccountName = 'ContosoAutomation'; # The Azure Automation account where you want to onboard the node ComputerName = @('web01', 'web02', 'sql01'); # The computers to generate the metaconfigurations for OutputFolder = "$env:UserProfile\Desktop\"; } # Use PowerShell splatting to pass parameters to the Azure Automation cmdlet being invoked # For more info about splatting, run: Get-Help -Name about_Splatting Get-AzAutomationDscOnboardingMetaconfig @Params
Most már rendelkeznie kell egy DscMetaConfigs mappával, amely tartalmazza a gépek PowerShell DSC-metakonfigurációit( rendszergazdaként).
Set-DscLocalConfigurationManager -Path $env:UserProfile\Desktop\DscMetaConfigs
Fizikai/virtuális Windows-gépek engedélyezése
Engedélyezheti a helyszíni vagy más felhőkörnyezetekben (beleértve az AWS EC2-példányokat) futó Windows-kiszolgálókat az Azure Automation State Configuration szolgáltatásban. A kiszolgálóknak kimenő hozzáféréssel kell rendelkezniük az Azure-hoz.
Győződjön meg arról, hogy a WMF 5 legújabb verziója telepítve van a gépeken az állapotkonfiguráció engedélyezéséhez. Emellett a WMF 5-öt telepíteni kell arra a számítógépre, amelyet a gépek engedélyezéséhez használ.
A szükséges DSC-metakonfigurációkat tartalmazó mappa létrehozásához kövesse a DSC-metakonfigurációk létrehozása című témakörben található utasításokat.
Az alábbi parancsmaggal távolról alkalmazhatja a PowerShell DSC metakonfigurációit az engedélyezendő gépekre.
Set-DscLocalConfigurationManager -Path C:\Users\joe\Desktop\DscMetaConfigs -ComputerName MyServer1, MyServer2
Ha nem tudja távolról alkalmazni a PowerShell DSC metakonfigurációit, másolja a metakonfigurációk mappát az engedélyező gépekre. Ezután adjon hozzá kódot a Set-DscLocalConfigurationManager helyi meghívásához a gépeken.
Az Azure Portal vagy parancsmagok használatával ellenőrizze, hogy a gépek állapotkonfigurációs csomópontként jelennek-e meg az Azure Automation-fiókban regisztrálva.
Fizikai/virtuális Linux-gépek engedélyezése
Az állapotkonfigurációhoz engedélyezheti a helyszínen vagy más felhőkörnyezetekben futó Linux-kiszolgálókat. A kiszolgálóknak kimenő hozzáféréssel kell rendelkezniük az Azure-hoz.
Győződjön meg arról, hogy a Linux PowerShell Desired State Configuration legújabb verziója telepítve van a gépeken az állapotkonfiguráció engedélyezéséhez.
Ha a PowerShell DSC Local Configuration Manager alapértelmezés szerint egyezik a használati esetével, és engedélyezni szeretné a gépeket, hogy mindkettő lekérje és jelentse az állapotkonfigurációnak:
Minden engedélyezendő Linux-gépen engedélyezze
Register.py
a gépet a PowerShell DSC Local Configuration Manager alapértelmezett beállításával./opt/microsoft/dsc/Scripts/Register.py <Automation account registration key> <Automation account registration URL>
Az Automation-fiók regisztrációs kulcsának és regisztrációs URL-címének megkereséséhez tekintse meg a hibrid gépek regisztrálásához használt DSC-metakonfigurációt.
Ha a PowerShell DSC Local Configuration Manager (LCM) alapértelmezései nem felelnek meg a használati esetnek, vagy engedélyezni szeretné azokat a gépeket, amelyek csak az Azure Automation Állapotkonfigurációnak jelentenek, kövesse a 4–7. lépést. Ellenkező esetben folytassa közvetlenül a 7. lépésben.
A DSC-metakonfigurációk létrehozása szakaszban található utasításokat követve hozzon létre egy mappát, amely tartalmazza a szükséges DSC-metakonfigurációkat.
Győződjön meg arról, hogy a WMF 5 legújabb verziója telepítve van arra a számítógépre, amellyel a gépek engedélyezve vannak az állapotkonfigurációhoz.
Az alábbiak szerint adjon hozzá kódot a PowerShell DSC metakonfigurációinak távoli alkalmazásához az engedélyezendő gépekre.
$SecurePass = ConvertTo-SecureString -String '<root password>' -AsPlainText -Force $Cred = New-Object System.Management.Automation.PSCredential 'root', $SecurePass $Opt = New-CimSessionOption -UseSsl -SkipCACheck -SkipCNCheck -SkipRevocationCheck # need a CimSession for each Linux machine to onboard $Session = New-CimSession -Credential $Cred -ComputerName <your Linux machine> -Port 5986 -Authentication basic -SessionOption $Opt Set-DscLocalConfigurationManager -CimSession $Session -Path C:\Users\joe\Desktop\DscMetaConfigs
Ha nem tudja távolról alkalmazni a PowerShell DSC metakonfigurációit, másolja a távoli gépeknek megfelelő metakonfigurációkat a 4. lépésben leírt mappából a Linux rendszerű gépekre.
Az állapotkonfiguráció engedélyezéséhez adjon hozzá helyileg hívható
Set-DscLocalConfigurationManager.py
kódot minden Linux-gépen./opt/microsoft/dsc/Scripts/SetDscLocalConfigurationManager.py -configurationmof <path to metaconfiguration file>
Győződjön meg arról, hogy a gépek az Azure Automation-fiókban regisztrált DSC-csomópontokként jelennek meg. Használhatja az Azure Portalt vagy a parancsmagokat.
Csomópont ismételt regisztrálása
Miután regisztrált egy gépet DSC-csomópontként az Azure Automation State Configuration szolgáltatásban, több oka is lehet annak, hogy a jövőben újra kell regisztrálnia a csomópontot.
Tanúsítványmegújítás. A Windows Server 2019 előtti Windows Server-verziók esetében minden csomópont automatikusan egyeztet egy egyedi tanúsítványt a hitelesítéshez, amely egy év elteltével lejár. Ha egy tanúsítvány megújítás nélkül lejár, a csomópont nem tud kommunikálni az Azure Automationnel, és meg van jelölve
Unresponsive
. A PowerShell DSC regisztrációs protokoll jelenleg nem tudja automatikusan megújítani a tanúsítványokat a lejáratuk közeledtével, és egy év elteltével újra kell regisztrálnia a csomópontokat. Az újraregisztrálás előtt győződjön meg arról, hogy az egyes csomópontok WMF 5 RTM-et futtatnak.A rendszer új tanúsítványt hoz létre és használ, ha a tanúsítvány lejárati időpontjától vagy a tanúsítvány lejárati ideje után bármikor újra regisztrál 90 napot vagy annál kevesebbet. Ezt a problémát a Windows Server 2019-ben és újabb verzióiban javítottuk.
DSC LCM-értékek módosítása. Előfordulhat, hogy módosítania kell a Csomópont kezdeti regisztrációja során beállított PowerShell DSC LCM-értékeket ,
ConfigurationMode
például. Jelenleg ezeket a DSC-ügynökértékeket csak újraregisztrációval módosíthatja. Az egyik kivétel a csomópontkonfiguráció értéke. Ezt az értéket közvetlenül az Azure Automation DSC-ben módosíthatja.
A jelen dokumentumban ismertetett módszerek bármelyikével újra regisztrálhat egy csomópontot, ahogyan a csomópontot eredetileg regisztrálta. Nem kell megszüntetnie a csomópont regisztrációját az Azure Automation State Configurationból, mielőtt újra regisztrálná.
A virtuális gép beállításának állapotának ellenőrzése
Az állapotkonfigurációval egyszerűen engedélyezheti az Azure Windows rendszerű virtuális gépeket a konfigurációkezeléshez. A motorháztető alatt az Azure-beli virtuális gép Desired State Configuration bővítményével regisztrálhatja a virtuális gépet az Azure Automation State Configuration szolgáltatásban. Mivel az Azure-beli virtuális gép Desired State Configuration bővítménye aszinkron módon fut, fontos lehet nyomon követni a folyamat előrehaladását és hibaelhárítását.
Feljegyzés
Az Azure-beli virtuális gépek kívánt állapotkonfigurációs bővítményét használó Azure Windows rendszerű virtuális gépek állapotkonfigurációhoz való engedélyezésének bármely módja akár egy órát is igénybe vehet, amíg az Azure Automation megjeleníti a virtuális gépeket regisztráltként. Ez a késés annak köszönhető, hogy a WMF 5 telepítése a virtuális gépen az Azure-beli virtuális gép kívánt állapotkonfigurációs bővítményével történik, amely a virtuális gépek állapotkonfigurációhoz való engedélyezéséhez szükséges.
Az Azure VM Desired State Configuration bővítmény állapotának megtekintése:
- Az Azure Portalon keresse meg az engedélyezve lévő virtuális gépet.
- Válassza a Bővítmények lehetőséget a Beállítások területen.
- Most válassza a DSC vagy a DSCForLinux lehetőséget az operációs rendszertől függően.
- További részletekért válassza a Részletes állapot megtekintése lehetőséget.
Következő lépések
- Első lépésként tekintse meg az Azure Automation State Configuration használatának első lépéseit.
- A DSC-konfigurációk összeállításáról, hogy hozzárendelhesse őket a célcsomópontokhoz, olvassa el a DSC-konfigurációk fordítása az Azure Automation State Configuration szolgáltatásban című témakört.
- PowerShell-parancsmagra vonatkozó referencia: Az.Automation.
- A díjszabással kapcsolatos információkért tekintse meg az Azure Automation State Configuration díjszabását.
- Az Azure Automation State Configuration folyamatos üzembe helyezési folyamatban való használatára vonatkozó példa: Folyamatos üzembe helyezés beállítása a Chocolateyval.
- Hibaelhárítási információkért tekintse meg az Azure Automation állapotkonfigurációjának hibaelhárítását.