Sdílet prostřednictvím

Přehled agenta Azure Connected Machine

  • Článek

Agent Azure Connected Machine Agent vám umožňuje spravovat počítače s Windows a Linuxem hostované mimo Azure v podnikové síti nebo u jiného poskytovatele cloudu.

Upozorňující

Produktová skupina oficiálně podporuje jenom verze agenta Connected Machine za posledních 1 rok. Zákazníci by v tomto okně měli aktualizovat verzi agenta.

Součásti agenta

Přehled architektury agenta Azure Connected Machine

Balíček agenta Azure Connected Machine obsahuje několik logických komponent spojených dohromady:

  • Služba metadat hybridní instance (HIMDS) spravuje připojení k Azure a identitu Azure připojeného počítače.

  • Agent konfigurace hosta poskytuje funkce, jako je vyhodnocení, jestli počítač splňuje požadované zásady a vynucuje dodržování předpisů.

    Všimněte si následujícího chování s konfigurací hosta služby Azure Policy pro odpojený počítač:

    • Přiřazení služby Azure Policy, které cílí na odpojené počítače, nemá vliv.
    • Přiřazení hostů se ukládá místně po dobu 14 dnů. Během 14denního období se přiřazení zásad znovu připojí ke službě, pokud se agent Connected Machine znovu připojí ke službě.
    • Přiřazení se odstraní po 14 dnech a po uplynutí 14denního období se počítač znovu nepřiřazuje.

  • Agent rozšíření spravuje rozšíření virtuálních počítačů, včetně instalace, odinstalace a upgradu. Azure stáhne rozšíření a zkopíruje je do složky ve %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Windows a do /opt/GC_Ext/downloads Linuxu. Ve Windows se rozšíření nainstaluje na následující cestu %SystemDrive%\Packages\Plugins\<extension>a v Linuxu se rozšíření nainstaluje do /var/lib/waagent/<extension>.

Poznámka:

Agent Služby Azure Monitor (AMA) je samostatný agent, který shromažďuje data monitorování a nenahrazuje agenta Connected Machine. AMA nahrazuje pouze agenta Log Analytics, rozšíření diagnostiky a agenta Telegrafu pro počítače s Windows i Linuxem.

Prostředky agenta

Následující informace popisují adresáře a uživatelské účty používané agentem Azure Connected Machine.

Podrobnosti o instalaci agenta Windows

Agent systému Windows se distribuuje jako balíček Instalační služby systému Windows (MSI). Stáhněte agenta Windows z webu Microsoft Download Center. Instalace agenta Connected Machine for Window použije následující změny konfigurace pro celý systém:

  • Během instalace se vytvoří následující složky.

    Adresář Popis
    %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent a spustitelné soubory služby Instance Metadata Service.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Spustitelné soubory služby rozšíření.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Spustitelné soubory služby konfigurace hosta (zásady).
    %ProgramData%\AzureConnectedMachineAgent Konfigurace, soubory tokenů protokolů a identit pro azcmagent CLI a službu Instance Metadata Service.
    %ProgramData%\GuestConfig Stažení balíčku rozšíření, stažení definice konfigurace hosta (zásady) a protokoly pro rozšíření a služby konfigurace hosta.
    %SYSTEMDRIVE%\packages Spustitelné soubory balíčku rozšíření

  • Instalace agenta vytvoří na cílovém počítači následující služby systému Windows.

    Service name Zobrazované jméno Název procesu Popis
    himds Služba Azure Hybrid Instance Metadata Service himds.exe Synchronizuje metadata s Azure a hostuje místní rozhraní REST API pro rozšíření a aplikace pro přístup k metadatům a vyžádání tokenů spravované identity Microsoft Entra
    GCArcService Služba Arc pro konfiguraci hosta gc_arc_service.exe (gc_service.exe před verzí 1.36) Audituje a vynucuje zásady konfigurace hosta Azure na počítači.
    ExtensionService Služba rozšíření pro konfiguraci hosta gc_extension_service.exe (gc_service.exe před verzí 1.36) Instaluje, aktualizuje a spravuje rozšíření na počítači.

  • Instalace agenta vytvoří následující virtuální účet služby.

    Virtuální účet Popis
    NT SERVICE\himds Neprivilegovaný účet používaný ke spuštění služby Hybrid Instance Metadata Service.

    Tip

    Tento účet vyžaduje oprávnění „Přihlásit se jako služba". Toto oprávnění se automaticky uděluje během instalace agenta, ale pokud vaše organizace konfiguruje přiřazení uživatelských práv pomocí zásad skupiny, možná budete muset upravit objekt zásad skupiny tak, aby udělil oprávnění na NT SERVICE\himds nebo NT SERVICE\ALL SERVICES, aby agent mohl fungovat.

  • Instalace agenta vytvoří následující místní skupinu zabezpečení.

    Název skupiny zabezpečení Popis
    Aplikace rozšíření hybridního agenta Členové této skupiny zabezpečení mohou požádat o tokeny Microsoft Entra pro spravovanou identitu přiřazenou systémem

  • Instalace agenta vytvoří následující proměnné prostředí.

    Název Výchozí hodnota Popis
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Pro řešení potíží je k dispozici několik souborů protokolu, které jsou popsané v následující tabulce.

    Protokol Popis
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Zaznamenává údaje o komponentě prezenčních signálů a agenta identity.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Obsahuje výstup příkazů nástroje azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Zaznamenává údaje o komponentě agenta konfigurace hosta (zásady).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Zaznamenává údaje o aktivitě správce rozšíření (události instalace, odinstalace a upgradu rozšíření).
    %ProgramData%\GuestConfig\extension_logs Adresář obsahující protokoly pro jednotlivá rozšíření.

  • Proces vytvoří místní aplikace rozšíření agenta hybrid agenta skupiny zabezpečení.

  • Po odinstalaci agenta zůstanou následující artefakty.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Podrobnosti o instalaci agenta pro Linux

Upřednostňovaný formát balíčku pro distribuci (.rpmnebo.deb) hostovaný v úložišti balíčků Microsoftu poskytuje agenta Connected Machine pro Linux. Sada skriptů prostředí Install_linux_azcmagent.sh nainstaluje a nakonfiguruje agenta.

Instalace, upgrade a odebrání agenta Connected Machine se po restartování serveru nevyžaduje.

Instalace agenta Connected Machine pro Linux použije následující změny konfigurace pro celý systém.

  • Instalační program vytvoří následující instalační složky.

    Adresář Popis
    /opt/azcmagent/ CLI azcmagent a spustitelné soubory služby Instance Metadata Service.
    /opt/GC_Ext/ Spustitelné soubory služby rozšíření.
    /opt/GC_Service/ Spustitelné soubory služby konfigurace hosta (zásady).
    /var/opt/azcmagent/ Konfigurace, soubory tokenů protokolů a identit pro azcmagent CLI a službu Instance Metadata Service.
    /var/lib/GuestConfig/ Stažení balíčku rozšíření, stažení definice konfigurace hosta (zásady) a protokoly pro rozšíření a služby konfigurace hosta.

  • Instalace agenta vytvoří následující démony.

    Service name Zobrazované jméno Název procesu Popis
    himdsd.service Služba agenta připojeného počítače Azure himds Tato služba implementuje službu IMDS (Hybrid Instance Metadata Service) ke správě připojení k Azure a identitě Azure připojeného počítače.
    gcad.service Služba GC Arc gc_linux_service Audituje a vynucuje zásady konfigurace hosta Azure na počítači.
    extd.service Služba rozšíření gc_linux_service Instaluje, aktualizuje a spravuje rozšíření na počítači.

  • Pro řešení potíží je k dispozici několik souborů protokolu, které jsou popsané v následující tabulce.

    Protokol Popis
    /var/opt/azcmagent/log/himds.log Zaznamenává údaje o komponentě prezenčních signálů a agenta identity.
    /var/opt/azcmagent/log/azcmagent.log Obsahuje výstup příkazů nástroje azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Zaznamenává údaje o komponentě agenta konfigurace hosta (zásady).
    /var/lib/GuestConfig/ext_mgr_logs Zaznamenává údaje o aktivitě správce rozšíření (události instalace, odinstalace a upgradu rozšíření).
    /var/lib/GuestConfig/extension_logs Adresář obsahující protokoly pro jednotlivá rozšíření.

  • Instalace agenta vytvoří následující proměnné prostředí nastavené v /lib/systemd/system.conf.d/azcmagent.conf.

    Název Výchozí hodnota Popis
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Po odinstalaci agenta zůstanou následující artefakty.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Zásady správného řízení prostředků agenta

Agent Azure Connected Machine je navržený ke správě využití agentů a systémových prostředků. Agent přistupuje k zásadám správného řízení prostředků za následujících podmínek:

  • Služba Konfigurace počítače (dříve Konfigurace hosta) může k vyhodnocení zásad použít až 5 % procesoru.

  • Služba rozšíření může používat až 5 % procesoru na počítačích s Windows a 30 % procesoru na počítačích s Linuxem k instalaci, upgradu, spuštění a odstranění rozšíření. Některá rozšíření můžou po instalaci použít přísnější limity procesoru. Platí následující výjimky:

    Typ rozšíření Operační systém Limit procesoru
    AzureMonitorLinuxAgent Linux 60 %
    AzureMonitorWindowsAgent Windows 100 %
    LinuxOsUpdateExtension Linux 60 %
    MDE.Linux Linux 60 %
    MicrosoftDnsAgent Windows 100 %
    MicrosoftMonitoringAgent Windows 60 %
    OmsAgentForLinux Linux 60 %

Během normálních operací definovaných jako agent Azure Connected Machine, který je připojený k Azure, a ne aktivní úpravou rozšíření nebo vyhodnocením zásad, můžete očekávat, že agent bude využívat následující systémové prostředky:

Windows Linux
Využití procesoru (normalizované na 1 jádro) 0.07% 0,02 %
Využití paměti 57 MB 42 MB

Výše uvedená data o výkonu se shromáždila v dubnu 2023 na virtuálních počítačích s Windows Serverem 2022 a Ubuntu 20.04. Skutečný výkon agenta a spotřeba prostředků se budou lišit v závislosti na konfiguraci hardwaru a softwaru vašich serverů.

Vlastní limity prostředků

Výchozí limity zásad správného řízení prostředků jsou nejlepší volbou pro většinu serverů. Malé virtuální počítače a servery s omezenými prostředky procesoru ale můžou při správě rozšíření nebo vyhodnocování zásad narazit na časové limity, protože k dokončení úloh není dostatek prostředků procesoru. Počínaje verzí agenta 1.39 můžete přizpůsobit omezení procesoru použitá pro správce rozšíření a služby Konfigurace počítače, aby agent mohl tyto úlohy dokončit rychleji.

Pokud chcete zobrazit aktuální limity prostředků pro správce rozšíření a služby Konfigurace počítače, spusťte následující příkaz.

azcmagent config list

Ve výstupu uvidíte dvě pole guestconfiguration.agent.cpulimit a extensions.agent.cpulimit aktuální limit prostředků zadaný jako procento. Při nové instalaci agenta se oba zobrazí 5 , protože výchozí limit je 5 % procesoru.

Pokud chcete změnit limit prostředků pro správce rozšíření na 80 %, spusťte následující příkaz:

azcmagent config set extensions.agent.cpulimit 80

Metadata instance

Informace o metadatech o připojeném počítači se shromažďují po registraci agenta Connected Machine na serverech s podporou Azure Arc. Konkrétně:

  • Název operačního systému, edice, typ a verze
  • Název počítače
  • Výrobce počítače a model
  • Plně kvalifikovaný název domény počítače (FQDN)
  • Název domény (pokud je připojený k doméně služby Active Directory)
  • Plně kvalifikovaný název domény služby Active Directory a DNS
  • UUID (BIOS ID)
  • Prezenčních signálů připojeného agenta počítače
  • Verze agenta connected machine
  • Veřejný klíč pro spravovanou identitu
  • Stav a podrobnosti o dodržování zásad (pokud používáte zásady konfigurace hosta)
  • Nainstalovaný SQL Server (logická hodnota)
  • ID prostředku clusteru (pro uzly Azure Stack HCI)
  • Výrobce hardwaru
  • Hardwarový model
  • Počet procesorů, soketů, fyzických jader a logických jader
  • Celková fyzická paměť
  • Sériové číslo
  • Značka assetu SMBIOS
  • Informace o síťovém rozhraní
    • IP adresa
    • Podsíť
  • Informace o licencování Windows
    • Stav licence operačního systému
    • Licenční kanál operačního systému
    • Nárok na rozšířené aktualizace zabezpečení
    • Stav licence Extended Security Updates
    • Licenční kanál rozšířených aktualizací zabezpečení
  • Poskytovatel cloudu
  • Metadata Amazon Web Services (AWS) při spuštění v AWS:
    • ID účtu
    • ID instance
    • Oblast
  • Metadata Google Cloud Platform (GCP) při spuštění v GCP:
    • ID instance
    • Image
    • Typ počítače
    • ID projektu
    • Číslo projektu
    • Service Accounts
    • Zóna
  • Metadata infrastruktury Oracle Cloud Infrastructure při spuštění v OCI:
    • Zobrazované jméno

Agent požaduje z Azure následující informace o metadatech:

  • Umístění prostředku (oblast)
  • ID virtuálního počítače
  • Značky
  • Certifikát spravované identity Microsoft Entra
  • Přiřazení zásad konfigurace hosta
  • Žádosti o rozšíření – instalace, aktualizace a odstranění

Poznámka:

Servery s podporou Azure Arc neukládají nebo zpracovávají zákaznická data mimo oblast, do které zákazník nasadí instanci služby.

Možnosti nasazení a požadavky

Nasazení agenta a připojení počítače vyžadují určité požadavky. Existují také požadavky na síť, o které je potřeba vědět.

Nabízíme několik možností nasazení agenta. Další informace najdete v tématu Plánování nasazení a možností nasazení.

Zotavení po havárii

Pro servery s podporou Arc nejsou k dispozici žádné možnosti zotavení po havárii s podporou zákazníka. V případě výpadku v oblasti Azure systém provede převzetí služeb při selhání do jiné oblasti ve stejné zeměpisné oblasti Azure (pokud existuje). I když je tento postup převzetí služeb při selhání automatický, nějakou dobu trvá. Agent Connected Machine se během tohoto období odpojí a zobrazí stav Odpojeno , dokud se převzetí služeb při selhání dokončí. Jakmile dojde k obnovení výpadku, systém obnoví služby po obnovení do původní oblasti.

Výpadek služby Azure Arc nebude mít vliv na samotnou úlohu zákazníka; bude narušena pouze správa příslušných serverů přes Arc.

Další kroky

  • Pokud chcete začít vyhodnocovat servery s podporou Azure Arc, přečtěte si rychlý start: Připojení hybridních počítačů pomocí serverů s podporou Azure Arc.
  • Než nasadíte agenta Azure Connected Machine a integrujete se s dalšími službami pro správu a monitorování Azure, projděte si průvodce plánováním a nasazením.
  • Projděte si informace o řešení potíží v průvodci odstraňováním potíží s připojením agenta.