Freigeben über

Azure Arc-Agent

  • Artikel

Wenn Sie die Gastverwaltung auf VMware-VMs aktivieren, wird der Azure Connected Machine-Agent auf den VMs installiert. Dies ist derselbe Agent, den auch Server mit Arc-Unterstützung verwenden. Mit dem Azure Connected Machine-Agent können Sie Ihre Windows- und Linux-Computer verwalten, die außerhalb von Azure in Ihrem Unternehmensnetzwerk oder von anderen Cloudanbietern gehostet werden. Dieser Artikel bietet einen Überblick über die Architektur von Azure Connected Machine Agent.

Agent-Komponenten

Diagram of Azure Connected Machine agent architectural overview.

Das Azure Connected Machine-Agent-Paket enthält mehrere logische Komponenten, die gebündelt werden:

  • Hybrid Instance Metadata Service (HIMDS) verwaltet die Verbindung mit Azure und die Azure-Identität des verbundenen Computers.

  • Der Gastkonfigurations-Agent stellt Funktionen wie die Überprüfung, ob der Computer den erforderlichen Richtlinien entspricht, sowie das Erzwingen der Compliance bereit.

    Beachten Sie das folgende Verhalten bei der Azure Policy-Gastkonfiguration für einen getrennten Computer:

    • Eine Azure Policy-Zuweisung, deren Ziel getrennte Computer sind, ist nicht betroffen.
    • Die Gastzuweisung wird 14 Tage lang lokal gespeichert. Wenn der Connected Machine-Agent innerhalb dieser 14 Tage erneut eine Verbindung mit dem Dienst herstellt, werden die Richtlinienzuweisungen neu angewendet.
    • Zuweisungen werden nach 14 Tagen gelöscht und nach Ablauf dieses Zeitraums für den betreffenden Computer nicht erneut durchgeführt.

  • Der Erweiterungs-Agent verwaltet VM-Erweiterungen, einschließlich Installation, Deinstallation und Upgrade. Azure lädt Erweiterungen herunter und kopiert sie unter Windows in den Ordner %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads und unter Linux in den Ordner /opt/GC_Ext/downloads. Unter Windows wird die Erweiterung unter dem Pfad %SystemDrive%\Packages\Plugins\<extension> installiert, unter Linux unter /var/lib/waagent/<extension>.

Hinweis

Der Azure Monitor-Agent (AMA) ist ein separater Agent, der Überwachungsdaten sammelt. Er ersetzt den Connected Machine-Agent nicht. Der AMA ersetzt nur den Log Analytics-Agent, die Diagnoseerweiterung und den Telegraf-Agent für Windows- und Linux-Computer.

Agent-Ressourcen

Die folgenden Informationen beschreiben die Verzeichnisse und Benutzerkonten, die vom Azure Connected Machine-Agent verwendet werden.

Installationsdetails zu Windows-Agents

Der Windows-Agent wird als Windows Installer-Paket bereitgestellt. Laden Sie den Windows-Agent aus dem Microsoft Download Center herunter. Nach der Installation des Connected Machine-Agents für Windows werden die folgenden systemweiten Konfigurationsänderungen angewendet:

  • Während der Installation werden die folgenden Ordner erstellt.

    Verzeichnis Beschreibung
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI und ausführbare Dateien des Instanzmetadatendiensts.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Ausführbare Dateien des Erweiterungsdiensts.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Ausführbare Dateien des Gastkonfigurationsdiensts (Richtlinien).
    %ProgramData%\AzureConnectedMachineAgent Konfigurations-, Protokoll- und Identitätstokendateien für die azcmagent CLI und den Instanzmetadatendienst.
    %ProgramData%\GuestConfig Erweiterungspaketdownloads, Downloads von Gastkonfigurationsdefinitionen (Richtlinien) und Protokolle für die Erweiterungs- und Gastkonfigurationsdienste.
    %SYSTEMDRIVE%\packages Ausführbare Dateien im Erweiterungspaket.

  • Durch die Installation des Agenten werden die folgenden Windows-Dienste auf dem Zielcomputer eingerichtet.

    Dienstname Anzeigename Prozessname Beschreibung
    himds Azure Hybrid Instance Metadata Service himds Synchronisiert Metadaten mit Azure und hostet eine lokale REST-API für Erweiterungen und Anwendungen, um auf die Metadaten zuzugreifen und Token für verwaltete Identitäten in Microsoft Entra anzufordern
    GCArcService Gastkonfiguration des Arc-Diensts gc_service Überwacht und erzwingt Azure-Gastkonfigurationsrichtlinien auf dem Computer.
    ExtensionService Gastkonfiguration des Erweiterungsdiensts gc_service Installiert, aktualisiert und verwaltet Erweiterungen auf dem Computer.

  • Die Installation des Agents erstellt das folgende virtuelle Dienstkonto.

    Virtuelles Konto Beschreibung
    NT-DIENST\himds Nicht privilegiertes Konto, das zum Ausführen des Hybrid Instance Metadata Service verwendet wird.

    Tipp

    Für dieses Konto ist das Recht Anmelden als Dienst erforderlich. Dieses Recht wird während der Installation des Agents automatisch gewährt, aber wenn Ihre Organisation Zuweisungen von Benutzerrechten mit Gruppenrichtlinien konfiguriert, müssen Sie möglicherweise Ihr Gruppenrichtlinienobjekt anpassen, um NT-DIENST\himds oder NT-DIENST\ALLE DIENSTE das Recht zu gewähren, damit der Agent funktioniert.

  • Die Installation des Agents erstellt die folgende lokale Sicherheitsgruppe.

    Sicherheitsgruppenname Beschreibung
    Anwendungen der Hybrid Agent-Erweiterung Mitglieder dieser Sicherheitsgruppe können Microsoft Entra-Token für die systemseitig zugewiesene verwaltete Identität anfordern

  • Die Installation des Agents erstellt die folgenden Umgebungsvariablen

    Name Standardwert Beschreibung
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Für die Problembehandlung stehen mehrere Protokolldateien zur Verfügung, die in der folgenden Tabelle beschrieben sind.

    Log Beschreibung
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Zeichnet Details der Heartbeat- und Identitäts-Agent-Komponente auf.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Enthält die Ausgabe der Befehle des azcmagent-Tools.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Zeichnet Details zur Gastkonfigurations-Agent-Komponente (Richtlinien) auf.
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Zeichnet Details zu Erweiterungs-Manager-Aktivitäten (Ereignisse für Erweiterungsinstallation, -deinstallation und -upgrade) auf.
    %ProgramData%\GuestConfig\extension_logs Verzeichnis mit Protokollen für einzelne Erweiterungen.

  • Der Prozess erstellt die lokale Sicherheitsgruppe Hybrid-Agent-Erweiterungsanwendungen.

  • Nach der Deinstallation des Agents bleiben die folgenden Artefakte bestehen:

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Linux-Agent-Installationsdetails

Der Linux-Agent für verbundene Computer wird im bevorzugten Paketformat für die Distribution (.rpm oder .deb) bereitgestellt, die im Paketrepository von Microsoft gehostet wird. Das Shell-Skript-Bundle Install_linux_azcmagent.sh installiert und konfiguriert den Agenten.

Die Installation, Aktualisierung und Entfernung des Connected Machine-Agenten ist nach dem Neustart des Servers nicht erforderlich.

Nach der Installation des Connected Machine-Agents für Linux werden die folgenden systemweiten Konfigurationsänderungen angewendet.

  • Setup erstellt die folgenden Installationsordner.

    Verzeichnis Beschreibung
    /opt/azcmagent/ azcmagent CLI und ausführbare Dateien des Instanzmetadatendiensts.
    /opt/GC_Ext/ Ausführbare Dateien des Erweiterungsdiensts.
    /opt/GC_Service/ Ausführbare Dateien des Gastkonfigurationsdiensts (Richtlinien).
    /var/opt/azcmagent/ Konfigurations-, Protokoll- und Identitätstokendateien für die azcmagent CLI und den Instanzmetadatendienst.
    /var/lib/GuestConfig/ Erweiterungspaketdownloads, Downloads von Gastkonfigurationsdefinitionen (Richtlinien) und Protokolle für die Erweiterungs- und Gastkonfigurationsdienste.

  • Bei der Installation des Agenten werden die folgenden Daemons erstellt.

    Dienstname Anzeigename Prozessname Beschreibung
    himdsd.service Azure Connected Machine-Agent-Dienst himds Dieser Dienst implementiert den Hybrid Instance Metadata Service (HIMDS) für die Verwaltung der Verbindung mit Azure und der Azure-Identität des verbundenen Computers.
    gcad.service Gastkonfiguration des Arc-Diensts gc_linux_service Überwacht und erzwingt Azure-Gastkonfigurationsrichtlinien auf dem Computer.
    extd.service Erweiterungsdienst gc_linux_service Installiert, aktualisiert und verwaltet Erweiterungen auf dem Computer.

  • Für die Problembehandlung stehen mehrere Protokolldateien zur Verfügung, die in der folgenden Tabelle beschrieben sind.

    Log Beschreibung
    /var/opt/azcmagent/log/himds.log Zeichnet Details der Heartbeat- und Identitäts-Agent-Komponente auf.
    /var/opt/azcmagent/log/azcmagent.log Enthält die Ausgabe der Befehle des azcmagent-Tools.
    /var/lib/GuestConfig/arc_policy_logs Zeichnet Details zur Gastkonfigurations-Agent-Komponente (Richtlinien) auf.
    /var/lib/GuestConfig/ext_mgr_logs Zeichnet Details zu Erweiterungs-Manager-Aktivitäten (Ereignisse für Erweiterungsinstallation, -deinstallation und -upgrade) auf.
    /var/lib/GuestConfig/extension_logs Verzeichnis mit Protokollen für einzelne Erweiterungen.

  • Die Installation des Agenten erzeugt die folgenden Umgebungsvariablen, die in /lib/systemd/system.conf.d/azcmagent.conf gesetzt werden.

    Name Standardwert Beschreibung
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Nach der Deinstallation des Agents bleiben die folgenden Artefakte bestehen:

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Governance von Agent-Ressourcen

Der Azure Connected Machine-Agent ist darauf ausgelegt, den Ressourcenverbrauchs durch Agent und System zu verwalten. Der Agent übernimmt die Ressourcengovernance unter den folgenden Bedingungen:

  • Der Gastkonfigurations-Agent kann bis zu 5 % des CPU zur Richtlinienauswertung verwenden.

  • Der Erweiterungsdienst-Agent ist auf die Verwendung kann bis zu 5 % der CPU Installieren, Upgraden, Ausführen und Löschen von Erweiterungen verwenden. Einige Erweiterungen können nach der Installation restriktivere CPU-Limits anwenden. Beachten Sie folgende Ausnahmen:

    Erweiterungstyp Betriebssystem CPU-Grenzwert
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100 %
    AzureSecurityLinuxAgent Linux 30 %
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100 %
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Windows 60%

Während des normalen Betriebs, d. h. wenn der Azure Connected Machine-Agent mit Azure verbunden ist und nicht aktiv eine Erweiterung ändert oder eine Richtlinie evaluiert, können Sie davon ausgehen, dass der Agent die folgenden Systemressourcen verbraucht:

Windows Linux
CPU-Auslastung (normalisiert auf 1 Kern) 0,07 % 0,02 %
Speicherauslastung 57 MB 42 MB

Die obigen Leistungsdaten wurden im April 2023 auf virtuellen Maschinen mit Windows Server 2022 und Ubuntu 20.04 erfasst. Die tatsächliche Leistung des Agenten und der Ressourcenverbrauch hängen von der Hardware- und Softwarekonfiguration Ihrer Server ab.

Instanzmetadaten

Metadateninformationen über einen verbundenen Computer werden gesammelt, nachdem der Connected Machine-Agent bei Servern mit Azure Arc-Unterstützung registriert wurde, und nämlich die folgenden:

  • Betriebssystemname, -typ und -version
  • Computername
  • Computerhersteller und -modell
  • Vollqualifizierter Domänenname (FQDN) des Computers
  • Domänenname (bei Beitritt zu einer Active Directory-Domäne)
  • Vollqualifizierter Domänenname (FQDN) für Active Directory und DNS
  • UUID (BIOS-ID)
  • Connected Machine-Agent-Takt
  • Version des Connected Machine-Agents
  • Öffentlicher Schlüssel für verwaltete Identität
  • Richtlinienkonformitätsstatus und Details (bei Verwendung von Richtlinien für Gastkonfigurationen)
  • SQL Server installiert (boolescher Wert)
  • Clusterressourcen-ID (für Azure Stack HCI-Knoten)
  • Hardwarehersteller
  • Hardwaremodell
  • CPU-Familie, Sockel, Anzahl der physischen und logischen Kerne
  • Gesamter physischer Speicher
  • Seriennummer
  • SMBIOS-Bestandskennzeichen
  • Cloudanbieter
  • Amazon Web Services (AWS)-Metadaten bei Ausführung in AWS:
    • Kontokennung
    • Instanz-ID
    • Region
  • Google Cloud Platform (GCP)-Metadaten bei Ausführung in GCP:
    • Instanz-ID
    • Abbildung
    • Computertyp
    • Projektkennung
    • Projektnummer
    • Dienstkonten
    • Zone

Der Agent fordert die folgenden Metadateninformationen von Azure an:

  • Ressourcenstandort (Region)
  • Virtual machine ID (ID des virtuellen Computers)
  • Tags
  • Von Microsoft Entra verwaltetes Identitätszertifikat
  • Richtlinienzuweisungen für Gastkonfigurationen
  • Erweiterungsanforderungen: installieren, aktualisieren und löschen

Hinweis

Bei Servern mit Azure Arc-Unterstützung werden keine Kundendaten außerhalb der Region gespeichert oder verarbeitet, in der der Kunde die Dienstinstanz bereitstellt.

Nächste Schritte