Principy konfigurace počítače Azure

Upozornění

Tento článek odkazuje na CentOS, což je linuxová distribuce se stavem Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Funkce konfigurace počítače služby Azure Policy poskytuje nativní schopnost auditovat nebo konfigurovat nastavení operačního systému jako kód pro počítače spuštěné v Azure a hybridní počítače s podporou Arc. Tuto funkci můžete použít přímo pro jednotlivé počítače nebo ji orchestrovat ve velkém měřítku pomocí služby Azure Policy.

Prostředky konfigurace v Azure jsou navržené jako prostředek rozšíření. Každou konfiguraci si můžete představit jako další sadu vlastností počítače. Konfigurace můžou zahrnovat nastavení, jako jsou:

  • Nastavení operačního systému
  • Konfigurace nebo přítomnost aplikací
  • Nastavení prostředí

Konfigurace se liší od definic zásad. Konfigurace počítače používá Azure Policy k dynamickému přiřazování konfigurací počítačům. Ke počítačům můžete také přiřadit konfigurace ručně nebo pomocí jiných služeb Azure, jako je například Automanage.

Příklady jednotlivých scénářů najdete v následující tabulce.

Typ Popis Příklad scénáře
Správa konfigurace Chcete mít úplnou reprezentaci serveru jako kód ve správě zdrojového kódu. Nasazení by mělo zahrnovat vlastnosti serveru (velikost, síť, úložiště) a konfiguraci operačního systému a nastavení aplikace. "Tento počítač by měl být webový server nakonfigurovaný pro hostování mého webu."
Splnění předpisů Chcete auditovat nebo nasadit nastavení pro všechny počítače v oboru, a to buď reaktivně na existující počítače, nebo proaktivně na nové počítače při jejich nasazení. Všechny počítače by měly používat protokol TLS 1.2. Auditovat stávající počítače, abych mohl uvolnit změny v místě, kde je potřeba, řízeným způsobem ve velkém. U nových počítačů vynucujte nastavení, když jsou nasazené."

Výsledky nastavení můžete zobrazit z konfigurací na stránce Přiřazení hostů. Pokud je orchestrace konfigurace orchestrace přiřazená službou Azure Policy, můžete na stránce Podrobnosti o dodržování předpisů vybrat odkaz Poslední vyhodnocený prostředek.

Režimy vynucení pro vlastní zásady

Aby bylo možné zajistit větší flexibilitu vynucování a monitorování nastavení serveru, aplikací a úloh, nabízí Konfigurace počítače tři hlavní režimy vynucení pro každé přiřazení zásad, jak je popsáno v následující tabulce.

Režim Popis
Audit Pouze hlášení o stavu počítače
Použití a monitorování Konfigurace použitá na počítač a následná monitorování změn
Použití a automatické opravy Konfigurace použitá na počítač a vrácená zpět do souladu v případě posunu

K dispozici je video s návodem k tomuto dokumentu. (Připravujeme aktualizaci)

Povolení konfigurace počítače

Pokud chcete spravovat stav počítačů ve vašem prostředí, včetně počítačů na serverech s podporou Azure a Arc, projděte si následující podrobnosti.

Poskytovatel prostředků

Než budete moct použít funkci konfigurace počítače služby Azure Policy, musíte poskytovatele prostředků zaregistrovat Microsoft.GuestConfiguration . Pokud se přiřazení zásad konfigurace počítače provádí prostřednictvím portálu nebo pokud je předplatné zaregistrované v programu Microsoft Defender for Cloud, poskytovatel prostředků se zaregistruje automaticky. Ručně se můžete zaregistrovat prostřednictvím portálu, Azure PowerShellu nebo Azure CLI.

Požadavky na nasazení pro virtuální počítače Azure

Pokud chcete spravovat nastavení uvnitř počítače, musí být povolené rozšíření virtuálního počítače a počítač musí mít identitu spravovanou systémem. Rozšíření stáhne příslušná přiřazení konfigurace počítače a odpovídající závislosti. Identita se používá k ověření počítače při čtení a zápisu do konfigurační služby počítače. U serverů s podporou služby Arc se toto rozšíření nevyžaduje, protože je součástí agenta Arc Connected Machine Agent.

Důležité

Ke správě virtuálních počítačů Azure se vyžaduje rozšíření konfigurace počítače a spravovaná identita.

Pokud chcete nasadit rozšíření ve velkém měřítku napříč mnoha počítači, přiřaďte iniciativu zásad. Deploy prerequisites to enable Guest Configuration policies on virtual machines skupiny pro správu, předplatného nebo skupiny prostředků obsahující počítače, které chcete spravovat.

Pokud dáváte přednost nasazení rozšíření a spravované identity do jednoho počítače, přečtěte si téma Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači pomocí webu Azure Portal.

Pokud chcete použít konfigurační balíčky počítače, které používají konfigurace, je potřeba rozšíření konfigurace hosta virtuálního počítače Azure verze 1.26.24 nebo novější.

Důležité

Vytvoření spravované identity nebo přiřazení zásady s rolí Přispěvatel prostředků konfigurace hosta jsou akce, které vyžadují příslušná oprávnění Azure RBAC k provedení. Další informace o Azure Policy a Azure RBAC najdete v tématu Řízení přístupu na základě role ve službě Azure Policy.

Omezení nastavená na rozšíření

Pokud chcete omezit rozšíření z ovlivnění aplikací spuštěných v počítači, agent konfigurace počítače nesmí překročit více než 5 % procesoru. Toto omezení platí pro předdefinované i vlastní definice. Totéž platí pro službu konfigurace počítače v agentu Arc Connected Machine.

Nástroje pro ověřování

V počítači agent konfigurace počítače používá k provádění úloh místní nástroje.

V následující tabulce najdete seznam místních nástrojů, které se používají v jednotlivých podporovaných operačních systémech. U integrovaného obsahu zpracovává konfigurace počítače automatické načítání těchto nástrojů.

Operační systém Nástroj pro ověřování Notes
Windows PowerShell Desired State Configuration v2 Nainstaluje se bokem do složky, kterou používá pouze služba Azure Policy. Není v konfliktu s Windows PowerShell DSC. Do systémové cesty se nepřidá PowerShell.
Linux PowerShell Desired State Configuration v3 Nainstaluje se bokem do složky, kterou používá pouze služba Azure Policy. Do systémové cesty se nepřidá PowerShell.
Linux Chef InSpec Nainstaluje Chef InSpec verze 2.2.61 do výchozího umístění a přidá ho do systémové cesty. Nainstaluje také závislosti InSpec, včetně Ruby a Pythonu.

Frekvence ověřování

Agent konfigurace počítače každých 5 minut kontroluje nová nebo změněná přiřazení hostů. Po přijetí přiřazení hosta se nastavení této konfigurace znovu zkontroluje v 15minutovém intervalu. Pokud je přiřazeno více konfigurací, každý se vyhodnocuje postupně. Dlouhotrvající konfigurace ovlivňují interval pro všechny konfigurace, protože další nejde spustit, dokud předchozí konfigurace nedokončí.

Po dokončení auditu se výsledky odešlou do služby konfigurace počítače. Když dojde k triggeru vyhodnocení zásad, stav počítače se zapíše poskytovateli prostředků konfigurace počítače. Tato aktualizace způsobí, že Azure Policy vyhodnotí vlastnosti Azure Resource Manageru. Vyhodnocení služby Azure Policy na vyžádání načte nejnovější hodnotu od poskytovatele prostředků konfigurace počítače. Neaktivuje ale novou aktivitu v rámci počítače. Stav se pak zapíše do Azure Resource Graphu.

Podporované typy klientů

Definice zásad konfigurace počítače zahrnují nové verze. Starší verze operačních systémů, které jsou k dispozici na Azure Marketplace, jsou vyloučeny, pokud klient konfigurace hosta není kompatibilní. Kromě toho jsou verze serverů s Linuxem, které nejsou podporovány jejich příslušnými vydavateli, vyloučeny z matice podpory.

Následující tabulka uvádí seznam podporovaných operačních systémů v imagích Azure. Text .x je symbolický, aby představoval nové podverze linuxových distribucí.

Publisher Název Verze
Matka živitelka AlmaLinux 9
Amazon Linux 2
Canonical Ubuntu Server 16.04 - 22.x
Credativ Debian 10.x - 12.x
Microsoft CBL-Mariner 1 - 2
Microsoft Klient Windows Windows 10, 11
Microsoft Windows Server 2012–2022
Oracle Oracle-Linux 7.x - 8.x
OpenLogic CentOS 7.3 – 8.x
Red Hat Red Hat Enterprise Linux* 7,4 – 9,x
Skalnatý Rocky Linux 8
SUSE SLES 12 SP5, 15.x

* Red Hat CoreOS se nepodporuje.

Definice zásad konfigurace počítače podporují vlastní image virtuálních počítačů, pokud jsou jedním z operačních systémů v předchozí tabulce. Konfigurace počítače nepodporuje jednotné VMSS, ale podporuje VMSS Flex.

Síťové požadavky

Virtuální počítače Azure můžou ke komunikaci se službou konfigurace počítače použít buď místní virtuální síťový adaptér (vNIC), nebo Azure Private Link.

Počítače s podporou Azure Arc se připojují pomocí místní síťové infrastruktury, aby se dostaly ke službám Azure a hlásily stav dodržování předpisů.

Následuje seznam koncových bodů služby Azure Storage vyžadovaných pro virtuální počítače s podporou Azure a Azure Arc ke komunikaci s poskytovatelem prostředků konfigurace počítače v Azure:

  • oaasguestconfigac2s1.blob.core.windows.net
  • oaasguestconfigacs1.blob.core.windows.net
  • oaasguestconfigaes1.blob.core.windows.net
  • oaasguestconfigases1.blob.core.windows.net
  • oaasguestconfigbrses1.blob.core.windows.net
  • oaasguestconfigbrss1.blob.core.windows.net
  • oaasguestconfigccs1.blob.core.windows.net
  • oaasguestconfigces1.blob.core.windows.net
  • oaasguestconfigcids1.blob.core.windows.net
  • oaasguestconfigcuss1.blob.core.windows.net
  • oaasguestconfigeaps1.blob.core.windows.net
  • oaasguestconfigeas1.blob.core.windows.net
  • oaasguestconfigeus2s1.blob.core.windows.net
  • oaasguestconfigeuss1.blob.core.windows.net
  • oaasguestconfigfcs1.blob.core.windows.net
  • oaasguestconfigfss1.blob.core.windows.net
  • oaasguestconfiggewcs1.blob.core.windows.net
  • oaasguestconfiggns1.blob.core.windows.net
  • oaasguestconfiggwcs1.blob.core.windows.net
  • oaasguestconfigjiws1.blob.core.windows.net
  • oaasguestconfigjpes1.blob.core.windows.net
  • oaasguestconfigjpws1.blob.core.windows.net
  • oaasguestconfigkcs1.blob.core.windows.net
  • oaasguestconfigkss1.blob.core.windows.net
  • oaasguestconfigncuss1.blob.core.windows.net
  • oaasguestconfignes1.blob.core.windows.net
  • oaasguestconfignres1.blob.core.windows.net
  • oaasguestconfignrws1.blob.core.windows.net
  • oaasguestconfigqacs1.blob.core.windows.net
  • oaasguestconfigsans1.blob.core.windows.net
  • oaasguestconfigscuss1.blob.core.windows.net
  • oaasguestconfigseas1.blob.core.windows.net
  • oaasguestconfigsecs1.blob.core.windows.net
  • oaasguestconfigsfns1.blob.core.windows.net
  • oaasguestconfigsfws1.blob.core.windows.net
  • oaasguestconfigsids1.blob.core.windows.net
  • oaasguestconfigstzns1.blob.core.windows.net
  • oaasguestconfigswcs1.blob.core.windows.net
  • oaasguestconfigswns1.blob.core.windows.net
  • oaasguestconfigswss1.blob.core.windows.net
  • oaasguestconfigswws1.blob.core.windows.net
  • oaasguestconfiguaecs1.blob.core.windows.net
  • oaasguestconfiguaens1.blob.core.windows.net
  • oaasguestconfigukss1.blob.core.windows.net
  • oaasguestconfigukws1.blob.core.windows.net
  • oaasguestconfigwcuss1.blob.core.windows.net
  • oaasguestconfigwes1.blob.core.windows.net
  • oaasguestconfigwids1.blob.core.windows.net
  • oaasguestconfigwus2s1.blob.core.windows.net
  • oaasguestconfigwus3s1.blob.core.windows.net
  • oaasguestconfigwuss1.blob.core.windows.net

Komunikace přes virtuální sítě v Azure

Pokud chcete komunikovat s poskytovatelem prostředků konfigurace počítače v Azure, počítače vyžadují odchozí přístup k datacentrům Azure na portu 443*. Pokud síť v Azure nepovoluje odchozí provoz, nakonfigurujte výjimky s pravidly skupiny zabezpečení sítě. Značky AzureArcInfrastructure služeb a Storage lze je použít k odkazování na konfiguraci hosta a služby Storage místo ruční údržby seznamu rozsahů IP adres pro datacentra Azure. Obě značky se vyžadují, protože Azure Storage hostuje balíčky obsahu konfigurace počítače.

Virtuální počítače můžou pro komunikaci se službou konfigurace počítače používat privátní propojení . Tuto funkci povolíte použitím značky s názvem EnablePrivateNetworkGC a hodnotou TRUE . Značku lze použít před nebo po definicích zásad konfigurace počítače na počítač.

Důležité

Aby bylo možné komunikovat přes privátní propojení pro vlastní balíčky, musí být odkaz na umístění balíčku přidán do seznamu povolených adres URL.

Provoz se směruje pomocí virtuální veřejné IP adresy Azure k vytvoření zabezpečeného ověřeného kanálu s prostředky platformy Azure.

Komunikace přes veřejné koncové body mimo Azure

Servery umístěné místně nebo v jiných cloudech je možné spravovat pomocí konfigurace počítače tím, že je připojíte ke službě Azure Arc.

U serverů s podporou Služby Azure Arc povolte provoz pomocí následujících vzorů:

  • Port: Vyžaduje se pouze port TCP 443 pro odchozí internetový přístup.
  • Globální adresa URL: *.guestconfiguration.azure.com

Úplný seznam všech koncových bodů sítě vyžadovaných agentem Azure Connected Machine Agent pro základní scénáře konfigurace azure Arc a počítačů najdete v požadavcích na síť serverů s podporou Azure Arc.

Pokud používáte privátní propojení se servery s podporou Arc, předdefinované balíčky zásad se automaticky stáhnou přes privátní propojení. Pro povolení této funkce nemusíte na serveru s podporou Arc nastavovat žádné značky.

Přiřazení zásad počítačům mimo Azure

Definice zásad auditu, které jsou k dispozici pro konfiguraci počítače, zahrnují typ prostředku Microsoft.HybridCompute/machines . Všechny počítače nasazené na servery s podporou Azure Arc, které jsou v oboru přiřazení zásad, se automaticky zahrnou.

Požadavky na spravovanou identitu

Definice zásad v iniciativě Deploy prerequisites to enable guest configuration policies on virtual machines umožňují spravovanou identitu přiřazenou systémem, pokud neexistuje. V iniciativě existují dvě definice zásad, které spravují vytváření identit. Podmínky if v definicích zásad zajišťují správné chování na základě aktuálního stavu prostředku počítače v Azure.

Důležité

Tyto definice vytvoří spravovanou identitu přiřazenou systémem na cílových prostředcích a kromě existujících identit přiřazených uživatelem (pokud existuje). Pro existující aplikace, pokud nezadají identitu přiřazenou uživatelem v požadavku, počítač místo toho použije identitu přiřazenou systémem. Další informace

Pokud počítač aktuálně nemá žádné spravované identity, efektivní zásada je: Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit

Pokud má počítač aktuálně identitu systému přiřazenou uživatelem, efektivní zásada je: Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem

Dostupnost

Zákazníci, kteří navrhují vysoce dostupné řešení, by měli zvážit požadavky na plánování redundance pro virtuální počítače , protože přiřazení hostů jsou rozšířením prostředků počítačů v Azure. Když se prostředky přiřazení hostů zřídí do spárované oblasti Azure, můžete zobrazit sestavy přiřazení hostů, pokud je k dispozici aspoň jedna oblast v páru. Pokud oblast Azure není spárovaná a stane se nedostupnou, nemůžete získat přístup k sestavám pro přiřazení hosta. Po obnovení oblasti se k sestavám dostanete znovu.

Osvědčeným postupem je přiřadit stejné definice zásad se stejnými parametry všem počítačům v řešení pro aplikace s vysokou dostupností. To platí zejména pro scénáře, kdy se virtuální počítače zřizují ve skupinách dostupnosti za řešením nástroje pro vyrovnávání zatížení. Jedno přiřazení zásad, které zahrnuje všechny počítače, má nejmenší režii na správu.

U počítačů chráněných službou Azure Site Recovery se ujistěte, že jsou počítače v primární a sekundární lokalitě v rozsahu přiřazení služby Azure Policy pro stejné definice. Pro obě lokality použijte stejné hodnoty parametrů.

Umístění dat

Konfigurace počítače ukládá a zpracovává zákaznická data. Ve výchozím nastavení se zákaznická data replikují do spárované oblasti. V oblastech Singapur, Brazílie – jih a Východní Asie se všechna zákaznická data ukládají a zpracovávají v dané oblasti.

Řešení potíží s konfigurací počítače

Další informace o řešení potíží s konfigurací počítače najdete v tématu Řešení potíží se službou Azure Policy.

Více přiřazení

V tuto chvíli podporují více přiřazení jenom některé předdefinované definice zásad konfigurace počítače. Všechny vlastní zásady ale ve výchozím nastavení podporují více přiřazení, pokud jste k vytvoření balíčků a zásad konfigurace počítače použili nejnovější verzi modulu PowerShellu Konfigurace hosta.

Následuje seznam předdefinovaných definic zásad konfigurace počítače, které podporují více přiřazení:

ID DisplayName
/providers/Microsoft.Authorization/policyDefinitions/5fe81c49-16b6-4870-9cee-45d13bf902ce Místní metody ověřování by měly být na Windows Serverech zakázané.
/providers/Microsoft.Authorization/policyDefinitions/fad40cac-a972-4db0-b204-f1b15cced89a Místní metody ověřování by měly být na počítačích s Linuxem zakázané.
/providers/Microsoft.Authorization/policyDefinitions/f40c7c00-b4e3-4068-a315-5fe81347a904 [Preview]: Přidání spravované identity přiřazené uživatelem pro povolení přiřazení konfigurace hosta na virtuálních počítačích
/providers/Microsoft.Authorization/policyDefinitions/63594bb8-43bb-4bf0-bbf8-c67e5c28cb65 [Preview]: Počítače s Linuxem by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure.
/providers/Microsoft.Authorization/policyDefinitions/50c52fc9-cb21-4d99-9031-d6a0c613361c [Preview]: Počítače s Windows by měly splňovat požadavky na dodržování předpisů STIG pro výpočetní prostředky Azure.
/providers/Microsoft.Authorization/policyDefinitions/e79ffbda-ff85-465d-ab8e-7e58a557660f [Preview]: Počítače s Linuxem s nainstalovaným OMI by měly mít verzi 1.6.8-1 nebo novější.
/providers/Microsoft.Authorization/policyDefinitions/934345e1-4dfb-4c70-90d7-41990dc9608b Auditovat počítače s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři
/providers/Microsoft.Authorization/policyDefinitions/08a2f2d2-94b2-4a7b-aa3b-bb3f523ee6fd Auditování počítačů s Windows, na kterých konfigurace DSC nedodržuje předpisy
/providers/Microsoft.Authorization/policyDefinitions/c648fbbb-591c-4acd-b465-ce9b176ca173 Auditovat počítače s Windows, které nemají zadané zásady spouštění Windows PowerShellu
/providers/Microsoft.Authorization/policyDefinitions/3e4e2bd5-15a2-4628-b3e1-58977e9793f3 Auditování počítačů s Windows, které nemají nainstalované zadané moduly Windows PowerShellu
/providers/Microsoft.Authorization/policyDefinitions/58c460e9-7573-4bb2-9676-339c2f2486bb Auditovat počítače s Windows, na kterých není povolená sériová konzola systému Windows
/providers/Microsoft.Authorization/policyDefinitions/e6ebf138-3d71-4935-a13b-9c7fdddd94df Auditujte počítače s Windows, na kterých nejsou zadané služby nainstalovány, a "Spuštěno".
/providers/Microsoft.Authorization/policyDefinitions/c633f6a2-7f8b-4d9e-9456-02f0f04f5505 Auditovat počítače s Windows, které nejsou nastavené na zadané časové pásmo

Poznámka:

Na této stránce pravidelně vyhledejte aktualizace seznamu předdefinovaných definic zásad konfigurace počítače, které podporují více přiřazení.

Přiřazení ke skupinám pro správu Azure

Definice služby Azure Policy v kategorii Guest Configuration je možné přiřadit skupinám pro správu, pokud je AuditIfNotExists účinek nebo DeployIfNotExists.

Soubory protokolu klienta

Rozšíření konfigurace počítače zapisuje soubory protokolu do následujících umístění:

Windows

  • Virtuální počítač Azure: C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log
  • Server s podporou arc: C:\ProgramData\GuestConfig\arc_policy_logs\gc_agent.log

Linux

  • Virtuální počítač Azure: /var/lib/GuestConfig/gc_agent_logs/gc_agent.log
  • Server s podporou arc: /var/lib/GuestConfig/arc_policy_logs/gc_agent.log

Vzdálené shromažďování protokolů

Prvním krokem při řešení potíží s konfiguracemi počítačů nebo moduly by měly být použití rutin podle kroků v tématu Testování artefaktů balíčku konfigurace počítače. Pokud to není úspěšné, může vám s diagnostikou problémů pomoct shromažďování protokolů klienta.

Windows

Zachytávání informací ze souborů protokolu pomocí příkazu Spuštění virtuálního počítače Azure může být užitečné v následujícím příkladu skriptu PowerShellu.

$linesToIncludeBeforeMatch = 0
$linesToIncludeAfterMatch  = 10
$params = @{
    Path = 'C:\ProgramData\GuestConfig\gc_agent_logs\gc_agent.log'
    Pattern = @(
        'DSCEngine'
        'DSCManagedEngine'
    )
    CaseSensitive = $true
    Context = @(
        $linesToIncludeBeforeMatch
        $linesToIncludeAfterMatch
    )
}
Select-String @params | Select-Object -Last 10

Linux

Zachytávání informací ze souborů protokolu pomocí příkazu Spuštění virtuálního počítače Azure může být užitečné v následujícím příkladu skriptu Bash.

LINES_TO_INCLUDE_BEFORE_MATCH=0
LINES_TO_INCLUDE_AFTER_MATCH=10
LOGPATH=/var/lib/GuestConfig/gc_agent_logs/gc_agent.log
egrep -B $LINES_TO_INCLUDE_BEFORE_MATCH -A $LINES_TO_INCLUDE_AFTER_MATCH 'DSCEngine|DSCManagedEngine' $LOGPATH | tail

Soubory agenta

Agent konfigurace počítače stáhne balíčky obsahu do počítače a extrahuje obsah. Pokud chcete ověřit, jaký obsah se stáhl a uložil, zobrazte umístění složek v následujícím seznamu.

  • Windows: C:\ProgramData\guestconfig\configuration
  • Linux: /var/lib/GuestConfig/Configuration

Funkce opensourcového modulu nxtools

Vydali jsme nový opensourcový modul nxtools, který uživatelům PowerShellu usnadní správu linuxových systémů.

Tento modul pomáhá při správě běžných úloh, jako jsou:

  • Správa uživatelů a skupin
  • Provádění operací systému souborů
  • Správa služeb
  • Provádění operací archivace
  • Správa balíčků

Tento modul obsahuje prostředky DSC založené na třídách pro linuxové a integrované konfigurační balíčky počítačů.

Pokud chcete poskytnout zpětnou vazbu k této funkci, otevřete problém v dokumentaci. V současné době nepřijímáme žádosti o přijetí změn pro tento projekt a podpora je nejlepší.

Ukázky konfigurace počítače

Ukázky předdefinovaných zásad konfigurace počítače jsou k dispozici v následujících umístěních:

Další kroky