Información general del agente de Azure Connected Machine

El agente de Azure Connected Machine permite administrar las máquinas Windows y Linux hospedadas fuera de Azure en la red corporativa u otros proveedores de nube.

Componentes del agente

Introducción de arquitectura al agente de servidores habilitado para Azure Arc.

El paquete del agente de Azure Connected Machine contiene varios componentes lógicos que se agrupan juntos:

  • Hybrid Instance Metadata Service (HIMDS) administra la conexión a Azure y la identidad de Azure de la máquina conectada.

  • El agente de configuración de invitado proporciona la funcionalidad de evaluación de si la máquina cumple con las directivas requeridas y las normas de cumplimiento aplicables.

    Tenga en cuenta el siguiente comportamiento con Configuración de invitado de Azure Policy para una máquina desconectada:

    • Una asignación de Azure Policy que se dirige a las máquinas desconectadas no se ve afectada.
    • La asignación de invitado se almacena de forma local durante 14 días. En el período de 14 días, si el agente Connected Machine se vuelve a conectar al servicio, se vuelven a aplicar las asignaciones de directiva.
    • Las asignaciones se eliminan después de 14 días y no se reasignan a la máquina después de dicho período.
  • El agente de extensión administra las extensiones de VM, incluida la instalación, desinstalación y actualización. Las extensiones se descargan de Azure y se copian en la carpeta %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads en Windows, y /opt/GC_Ext/downloads en Linux. En Windows, la extensión se instala en la siguiente ruta de acceso %SystemDrive%\Packages\Plugins\<extension> y, en Linux, la extensión se instala en /var/lib/waagent/<extension>.

Nota:

El agente de Azure Monitor (AMA) es un agente independiente que recopila datos de supervisión, y no reemplaza al agente de Connected Machine. AMA solo reemplaza al agente de Log Analytics, la extensión Diagnostics y el agente de Telegraf para máquinas Windows y Linux.

Recursos del agente

En la información siguiente se describen los directorios y las cuentas de usuario que usa el agente de Azure Connected Machine.

Detalles de instalación del agente de Windows

El agente de Windows se distribuye como un paquete de Windows Installer (MSI) y se puede descargar desde el Centro de descarga de Microsoft. Después de instalar el agente de Connected Machine para Windows, se aplican los siguientes cambios de configuración a todo el sistema.

  • Durante la instalación se crean las carpetas de instalación siguientes.

    Directorio Descripción
    %ProgramFiles%\AzureConnectedMachineAgent Archivos ejecutables del servicio de metadatos de instancia y la CLI de azcmagent.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Archivos ejecutables del servicio de extensión.
    %ProgramFiles%\AzureConnectedMachineAgent\GuestConfig\GC Archivos ejecutables del servicio de configuración de invitado (directiva).
    %ProgramData%\AzureConnectedMachineAgent Archivos de token de configuración, registro e identidad para la CLI de azcmagent y el servicio de metadatos de instancia.
    %ProgramData%\GuestConfig Descargas de paquetes de extensión, descargas de definiciones de configuración de invitado (directiva) y registros para los servicios de configuración de extensión y de invitado.
    %SYSTEMDRIVE%\packages Ejecutables del paquete de extensión.
  • Los servicios de Windows siguientes se crean en el equipo de destino durante la instalación del agente.

    Nombre del servicio Nombre para mostrar Nombre del proceso Descripción
    himds Instance Metadata Service de Azure híbrido himds Sincroniza los metadatos con Azure y hospeda una API REST local para que las extensiones y aplicaciones accedan a los metadatos y soliciten tokens de identidad administrada de Azure Active Directory.
    GCArcService Servicio de Arc de configuración de invitado gc_service Audita y aplica directivas de configuración de invitado de Azure en la máquina.
    ExtensionService Servicio de extensión de la configuración de invitado gc_service Instala, actualiza y administra extensiones en la máquina.
  • La siguiente cuenta de servicio virtual se crea durante la instalación del agente.

    Cuenta virtual Descripción
    NT SERVICE\himds Cuenta sin privilegios que se usa para ejecutar Hybrid Instance Metadata Service.

    Sugerencia

    Esta cuenta requiere el permiso "Iniciar sesión como servicio". Este permiso se concede automáticamente durante la instalación del agente, pero si su organización configura asignaciones de permisos de usuario con directiva de grupo, es posible que tenga que ajustar el objeto de la directiva de grupo para conceder el permiso a "NT SERVICE\himds" o "NT SERVICE\ALL SERVICES" para permitir que el agente funcione.

  • El siguiente grupo de seguridad local se crea durante la instalación del agente.

    Nombre de grupo de seguridad Descripción
    Aplicaciones de extensión de agente híbrido Los miembros de este grupo de seguridad pueden solicitar tokens de Azure Active Directory para la identidad administrada asignada por el sistema
  • Las variables de entorno siguientes se crean durante la instalación del agente.

    Nombre Valor predeterminado Descripción
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Hay varios archivos de registro disponibles para la solución de problemas. Se describen en la tabla siguiente.

    Log Descripción
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Registra los detalles del componente de agente de identidad y latido.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contiene la salida de los comandos de la herramienta azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Registra los detalles del componente del agente de configuración de invitado (directiva).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Registra detalles sobre la actividad del administrador de extensiones (eventos de instalación, desinstalación y actualización de extensiones).
    %ProgramData%\GuestConfig\extension_logs Directorio que contiene registros para extensiones individuales.
  • Se crea el grupo de seguridad local Aplicaciones de extensión de agente híbrido.

  • Durante la desinstalación del agente, no se quitan los artefactos siguientes.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Detalles de instalación del agente de Linux

El agente de Connected Machine de Linux se proporciona en el formato de paquete preferido para la distribución (.RPM o .DEB) que se hospeda en el repositorio de paquetes de Microsoft. El agente se instala y configura con el paquete de scripts de shell Install_linux_azcmagent.sh.

La instalación, actualización y eliminación del agente de Connected Machine no requerirán el reinicio del servidor.

Después de instalar el agente de Connected Machine para Linux, se aplican los siguientes cambios de configuración a todo el sistema.

  • Durante la instalación se crean las carpetas de instalación siguientes.

    Directorio Descripción
    /opt/azcmagent/ Archivos ejecutables del servicio de metadatos de instancia y la CLI de azcmagent.
    /opt/GC_Ext/ Archivos ejecutables del servicio de extensión.
    /opt/GC_Service/ Archivos ejecutables del servicio de configuración de invitado (directiva).
    /var/opt/azcmagent/ Archivos de token de configuración, registro e identidad para la CLI de azcmagent y el servicio de metadatos de instancia.
    /var/lib/GuestConfig/ Descargas de paquetes de extensión, descargas de definiciones de configuración de invitado (directiva) y registros para los servicios de configuración de extensión y de invitado.
  • Los demonios siguientes se crean en el equipo de destino durante la instalación del agente.

    Nombre del servicio Nombre para mostrar Nombre del proceso Descripción
    himdsd.service Servicio del Agente de Azure Connected Machine himds Este servicio implementa el servicio de metadatos de instancia híbrida (IMDS) para administrar la conexión a Azure y la identidad de Azure de la máquina conectada.
    gcad.service Servicio de Arc de GC gc_linux_service Audita y aplica directivas de configuración de invitado de Azure en la máquina.
    extd.service Servicio de extensión gc_linux_service Instala, actualiza y administra extensiones en la máquina.
  • Hay varios archivos de registro disponibles para la solución de problemas. Se describen en la tabla siguiente.

    Log Descripción
    /var/opt/azcmagent/log/himds.log Registra los detalles del componente de agente de identidad y latido.
    /var/opt/azcmagent/log/azcmagent.log Contiene la salida de los comandos de la herramienta azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Registra los detalles del componente del agente de configuración de invitado (directiva).
    /var/lib/GuestConfig/ext_mgr_logs Registra detalles sobre la actividad del administrador de extensiones (eventos de instalación, desinstalación y actualización de extensiones).
    /var/lib/GuestConfig/extension_logs Directorio que contiene registros para extensiones individuales.
  • Durante la instalación del agente se crean las variables de entorno siguientes. Estas variables se establecen en /lib/systemd/system.conf.d/azcmagent.conf.

    Nombre Valor predeterminado Descripción
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Durante la desinstalación del agente, no se quitan los artefactos siguientes.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Gobernanza de recursos de agente

El agente de Azure Connected Machine está diseñado para administrar el consumo de recursos del sistema y del agente. El agente se acerca a la gobernanza de recursos bajo las siguientes condiciones:

  • El agente de configuración de invitado está limitado a usar hasta un 5 % de la CPU para evaluar las directivas.

  • El agente del servicio de extensión está limitado a usar hasta un 5 % de la CPU para instalar, actualizar, ejecutar y eliminar extensiones. Se aplican las excepciones siguientes:

    • Si la extensión instala servicios en segundo plano que se ejecutan independientemente de Azure Arc, como Microsoft Monitoring Agent, esos servicios no estarán sujetos a las restricciones de gobernanza de recursos que se enumeraron anteriormente.
    • Se permite que el agente de Log Analytics y el agente de Azure Monitor usen hasta el 60 % de la CPU durante sus operaciones de instalación, actualización o desinstalación en Red Hat Linux, CentOS y otras variantes de Linux empresariales. El límite es mayor con esta combinación de extensiones y sistemas operativos para poder hacer frente al impacto en el rendimiento de SELinux en estos sistemas.
    • El agente de Azure Monitor puede usar hasta el 30 % de la CPU durante operaciones normales.
    • La extensión de actualización del sistema operativo Linux (que usa Azure Update Management Center) puede usar hasta el 30 % de la CPU para aplicar revisiones al servidor.

Metadatos de instancia

La información de los metadatos sobre una máquina conectada se recopila después de que el agente de Connected Machine se registre en los servidores habilitados para Azure Arc. Concretamente:

  • Nombre, tipo y versión del sistema operativo
  • Nombre del equipo
  • Modelo y el fabricante del equipo
  • Nombre de dominio completo (FQDN) del equipo
  • Nombre de dominio (si está unido a un dominio de Active Directory)
  • Active Directory y nombre de dominio completo (FQDN) de DNS
  • UUID (IDENTIFICADOR DE BIOS)
  • Latido del agente de Connected Machine
  • Versión del agente Connected Machine
  • Clave pública para la identidad administrada
  • Estado y detalles de cumplimiento de las directivas (si usa directivas de configuración de invitado)
  • SQL Server está instalado (valor booleano)
  • Identificador de recurso de clúster (para nodos de Azure Stack HCI)
  • Fabricante de hardware
  • Modelo de hardware
  • Recuento de núcleos lógicos de CPU
  • Proveedor de nube
  • Metadatos de Amazon Web Services (AWS), cuando se ejecuta en AWS:
    • Identificador de cuenta
    • Instance ID
    • Region
  • Metadatos de Google Cloud Platform (GCP), cuando se ejecuta en GCP:
    • Instance ID
    • Imagen
    • Tipo de máquina
    • Identificador de proyecto
    • Número de proyecto
    • Cuentas de servicio
    • Zona

El agente de Azure solicita la siguiente información de metadatos:

  • Ubicación del recurso (región)
  • Virtual machine ID (Identificador de máquina virtual)
  • Etiquetas
  • Certificado de identidad administrada de Azure Active Directory
  • Asignaciones de la directiva de configuración de invitado
  • Solicitudes de extensión: instalación, actualización y eliminación.

Nota

Los servidores habilitados para Azure Arc no almacenan ni procesan los datos del cliente fuera de la región en la que el cliente implementa la instancia de servicio.

Opciones y requisitos de implementación

Para implementar el agente y conectar una máquina, se deben cumplir ciertos requisitos previos. También hay que tener en cuenta los requisitos de red.

Se ofrecen varias opciones para implementar el agente. Para obtener más información, consulte Planificación de la implementación y Opciones de implementación.

Pasos siguientes