Přehled agenta Azure Connected Machine

Agent Azure Connected Machine umožňuje spravovat počítače s Windows a Linuxem hostované mimo Azure ve vaší podnikové síti nebo jiných poskytovatelích cloudu.

Komponenty agenta

Přehled architektury agenta serverů s podporou Azure Arc

Balíček agenta Azure Connected Machine obsahuje několiklogických

  • Služba HIMDS (Hybrid Instance Metadata Service) spravuje připojení k Azure a identitu Azure připojeného počítače.

  • Agent konfigurace hosta poskytuje funkce, jako je vyhodnocení, jestli počítač vyhovuje požadovaným zásadám, a vynucování dodržování předpisů.

    Všimněte si následujícího chování Azure Policy konfigurace hosta pro odpojený počítač:

    • Přiřazení Azure Policy, které cílí na odpojené počítače, není ovlivněno.
    • Přiřazení hostů se místně ukládá po dobu 14 dnů. Pokud se agent Connected Machine znovu připojí ke službě, přiřazení zásad se během 14 dnů znovu použádí.
    • Přiřazení se odstraní po 14 dnech a po uplynutí 14 dnů se k počítači znovu nepřiřadí.
  • Agent rozšíření spravuje rozšíření virtuálních počítačů, včetně instalace, odinstalace a upgradu. Rozšíření se stahují z Azure a kopírují do složky ve %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Windows a do v /opt/GC_Ext/downloads Linuxu. Ve Windows se rozšíření nainstaluje do následující cesty %SystemDrive%\Packages\Plugins\<extension>a v Linuxu se rozšíření nainstaluje do /var/lib/waagent/<extension>.

Poznámka

Agent Azure Monitoru (AMA) je samostatný agent, který shromažďuje data monitorování, a nenahrazuje agenta Connected Machine. AMA nahrazuje pouze agenta Log Analytics, rozšíření Diagnostics a agenta Telegrafu pro počítače s Windows i Linuxem.

Prostředky agenta

Následující informace popisují adresáře a uživatelské účty používané agentem Azure Connected Machine.

Podrobnosti o instalaci agenta pro Windows

Agent pro Windows se distribuuje jako balíček Instalační služby systému Windows (MSI) a je možné ho stáhnout z webu Microsoft Download Center. Po instalaci agenta Connected Machine pro Windows se použijí následující systémové změny konfigurace.

  • Během instalace se vytvoří následující instalační složky.

    Adresář Description
    %ProgramFiles%\AzureConnectedMachineAgent spustitelné soubory rozhraní příkazového řádku azcmagent a služby instance metadat.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Spustitelné soubory služby rozšíření
    %ProgramFiles%\AzureConnectedMachineAgent\GuestConfig\GC Spustitelné soubory služby konfigurace hosta (zásady).
    %ProgramData%\AzureConnectedMachineAgent Soubory konfigurace, protokolů a tokenů identity pro azcmagent CLI a službu metadat instance.
    %ProgramData%\GuestConfig Stahování balíčků rozšíření, stahování definic konfigurace hosta (zásad) a protokoly pro služby konfigurace rozšíření a hosta.
    %SYSTEMDRIVE%\packages Spustitelné soubory balíčků rozšíření
  • Během instalace agenta se na cílovém počítači vytvoří následující služby windows.

    Název služby Zobrazované jméno Název procesu Description
    housy Azure Hybrid Instance Metadata Service housy Synchronizuje metadata s Azure a hostuje místní rozhraní REST API pro rozšíření a aplikace pro přístup k metadatům a vyžádání tokenů spravované identity Azure Active Directory.
    Služba GCArc Služba Arc konfigurace hosta gc_service Audituje a vynucuje zásady konfigurace hosta Azure na počítači.
    ExtensionService Služba rozšíření konfigurace hosta gc_service Nainstaluje, aktualizuje a spravuje rozšíření na počítači.
  • Během instalace agenta se vytvoří následující účet virtuální služby.

    Virtuální účet Description
    NT SERVICE\himds Neprivilegovaný účet použitý ke spuštění služby Hybrid Instance Metadata Service.

    Tip

    Tento účet vyžaduje právo Přihlásit se jako službu. Toto právo se uděluje automaticky během instalace agenta, ale pokud vaše organizace nakonfiguruje přiřazení uživatelských práv s Zásady skupiny, budete možná muset upravit objekt Zásady skupiny tak, aby udělil oprávnění "NT SERVICE\himds" nebo "NT SERVICE\ALL SERVICES", aby mohl agent fungovat.

  • Během instalace agenta se vytvoří následující místní skupina zabezpečení.

    Název skupiny zabezpečení Description
    Aplikace rozšíření hybridního agenta Členové této skupiny zabezpečení můžou požádat o tokeny Azure Active Directory pro spravovanou identitu přiřazenou systémem.
  • Během instalace agenta se vytvoří následující proměnné prostředí.

    Name Výchozí hodnota Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Pro řešení potíží je k dispozici několik souborů protokolu. Jsou popsány v následující tabulce.

    Protokol Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Zaznamenává údaje o komponentě prezenčního signálu a agenta identity.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Obsahuje výstup příkazů nástroje azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Zaznamenává údaje o komponentě agenta konfigurace hosta (zásad).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Zaznamenává údaje o aktivitě správce rozšíření (události instalace, odinstalace a upgradu rozšíření).
    %ProgramData%\GuestConfig\extension_logs Adresář obsahující protokoly pro jednotlivá rozšíření.
  • Vytvoří se místní skupina zabezpečení Aplikace rozšíření hybridního agenta .

  • Během odinstalace agenta se neodeberou následující artefakty.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Podrobnosti o instalaci agenta pro Linux

Agent Connected Machine pro Linux je k dispozici v upřednostňovaném formátu balíčku pro distribuci (. RPM nebo . DEB), který je hostovaný v úložišti Microsoft balíčků. Agent se nainstaluje a nakonfiguruje pomocí sady skriptů prostředí Install_linux_azcmagent.sh.

Instalace, upgrade a odebrání agenta Connected Machine nebude vyžadovat restartování serveru.

Po instalaci agenta Connected Machine pro Linux se použijí následující systémové změny konfigurace.

  • Během instalace se vytvoří následující instalační složky.

    Adresář Description
    /opt/azcmagent/ spustitelné soubory služby azcmagent CLI a metadata instance.
    /opt/GC_Ext/ Spustitelné soubory služby rozšíření.
    /opt/GC_Service/ Spustitelné soubory služby konfigurace hosta (zásady).
    /var/opt/azcmagent/ Konfigurační soubory, soubory protokolů a tokenů identit pro azcmagent CLI a službu metadat instance.
    /var/lib/GuestConfig/ Stažení balíčku rozšíření, stažení definic konfigurace hosta (zásady) a protokoly pro konfigurační služby rozšíření a hosta.
  • Během instalace agenta se na cílovém počítači vytvoří následující démony.

    Název služby Zobrazované jméno Název procesu Description
    himdsd.service Služba agenta připojeného počítače Azure housy Tato služba implementuje službu IMDS (Hybrid Instance Metadata Service) ke správě připojení k Azure a identitě Azure připojeného počítače.
    gcad.service Služba GC Arc gc_linux_service Audituje a vynucuje zásady konfigurace hosta Azure na počítači.
    extd.service Služba rozšíření gc_linux_service Nainstaluje, aktualizuje a spravuje rozšíření na počítači.
  • Pro řešení potíží je k dispozici několik souborů protokolu. Jsou popsány v následující tabulce.

    Protokol Description
    /var/opt/azcmagent/log/himds.log Zaznamenává podrobnosti o prezenčních signálech a komponentě agenta identity.
    /var/opt/azcmagent/log/azcmagent.log Obsahuje výstup příkazů nástroje azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Zaznamenává podrobnosti o komponentě agenta konfigurace hosta (zásady).
    /var/lib/GuestConfig/ext_mgr_logs Zaznamenává podrobnosti o aktivitě správce rozšíření (události instalace, odinstalace a upgradu rozšíření).
    /var/lib/GuestConfig/extension_logs Adresář obsahující protokoly pro jednotlivá rozšíření.
  • Během instalace agenta se vytvoří následující proměnné prostředí. Tyto proměnné jsou nastaveny v /lib/systemd/system.conf.d/azcmagent.conf.

    Name Výchozí hodnota Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Během odinstalace agenta se neodeberou následující artefakty.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Zásady správného řízení prostředků agentů

Agent Azure Connected Machine je navržený tak, aby spravil spotřebu agentů a systémových prostředků. Agent přistupuje k zásadám správného řízení prostředků za následujících podmínek:

  • Agent konfigurace hosta může k vyhodnocení zásad použít až 5 % procesoru.

  • Agent extension service je omezený na využití až 5 % procesoru k instalaci, upgradu, spouštění a odstraňování rozšíření. Platí následující výjimky:

    • Pokud rozšíření nainstaluje služby na pozadí, které běží nezávisle na službě Azure Arc, jako je například agent Microsoft Monitoring Agent, nebudou se na tyto služby vztahovat výše uvedená omezení zásad správného řízení prostředků.
    • Agent Log Analytics a agent Azure Monitoru můžou během operací instalace,upgradu/odinstalace v Red Hat Linuxu, CentOS a dalších variantách Enterprise Linuxu využívat až 60 % procesoru. Limit je vyšší pro tuto kombinaci rozšíření a operačních systémů, aby se přizpůsobil dopad SELinuxu na výkon těchto systémů.
    • Agent Azure Monitoru může během normálních operací využívat až 30 % procesoru.
    • Rozšíření aktualizace operačního systému Linux (používané centrem Azure Update Management) může k opravě serveru využít až 30 % procesoru.

Metadata instance

Informace o metadatech o připojeném počítači se shromažďují po registraci agenta připojeného počítače na serverech s podporou Azure Arc. Konkrétně se jedná o tyto:

  • Název, typ a verze operačního systému
  • Název počítače
  • Výrobce a model počítače
  • Plně kvalifikovaný název domény počítače (FQDN)
  • Název domény (pokud je připojený k doméně Služby Active Directory)
  • Plně kvalifikovaný název domény (FQDN) služby Active Directory a DNS
  • UUID (BIOS ID)
  • Prezentovací signál agenta připojeného počítače
  • Verze agenta připojeného počítače
  • Veřejný klíč pro spravovanou identitu
  • Stav dodržování předpisů a podrobnosti o zásadách (pokud se používají zásady konfigurace hosta)
  • SQL Server nainstalován (logická hodnota)
  • ID prostředku clusteru (pro uzly Azure Stack HCI)
  • Výrobce hardwaru
  • Hardwarový model
  • Počet logických jader procesoru
  • Poskytovatel cloudu
  • Metadata Amazon Web Services (AWS) při spuštění v AWS:
    • Account ID
    • Instance ID
    • Oblast
  • Metadata GCP (Google Cloud Platform) při spuštění v GCP:
    • Instance ID
    • Image
    • Typ počítače
    • ID projektu
    • Číslo projektu
    • Service Accounts
    • Zóna

Agent požaduje z Azure následující informace o metadatech:

  • Umístění prostředku (oblast)
  • ID virtuálního počítače
  • Značky
  • Certifikát spravované identity Azure Active Directory
  • Přiřazení zásad konfigurace hosta
  • Žádosti o rozšíření – instalace, aktualizace a odstranění

Poznámka

Servery s podporou Azure Arc neukládají ani nezpracují zákaznická data mimo oblast, ve které zákazník nasazuje instanci služby.

Možnosti nasazení a požadavky

Pokud chcete nasadit agenta a připojit počítač, musí být splněné určité požadavky . Je také potřeba mít na paměti požadavky na sítě .

Nabízíme několik možností pro nasazení agenta. Další informace najdete v tématech Plánování nasazení a Možnosti nasazení.

Další kroky