Compartir a través de

Agente de Azure Arc

  • Artículo

Al habilitar la administración de invitados en máquinas virtuales de VMware, el agente de Azure Connected Machine se instala en las máquinas virtuales. Se trata del mismo uso de servidores habilitados para Arc del agente. El agente de Azure Connected Machine permite administrar las máquinas Windows y Linux hospedadas fuera de Azure en la red corporativa u otros proveedores de nube. En este artículo se proporciona información general sobre la arquitectura del agente de Azure Connected Machine.

Componentes del agente

Diagrama de introducción a la arquitectura del agente de Azure Connected Machine.

El paquete del agente de Azure Connected Machine contiene varios componentes lógicos agrupados:

  • Hybrid Instance Metadata Service (HIMDS) administra la conexión a Azure y la identidad de Azure de la máquina conectada.

  • El agente de configuración de invitado proporciona la funcionalidad de evaluación de si la máquina cumple con las directivas requeridas y las normas de cumplimiento aplicables.

    Tenga en cuenta el siguiente comportamiento con Configuración de invitado de Azure Policy para una máquina desconectada:

    • Una asignación de Azure Policy que se dirige a las máquinas desconectadas no se ve afectada.
    • La asignación de invitado se almacena de forma local durante 14 días. En el período de 14 días, si el agente Connected Machine se vuelve a conectar al servicio, se vuelven a aplicar las asignaciones de directiva.
    • Las asignaciones se eliminan después de 14 días y no se reasignan a la máquina después de dicho período.

  • El agente de extensión administra las extensiones de VM, incluida la instalación, desinstalación y actualización. Azure descarga las extensiones y las copia en la carpeta %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads en Windows y /opt/GC_Ext/downloads en Linux. En Windows, la extensión se instala en la ruta de acceso %SystemDrive%\Packages\Plugins\<extension>y en Linux, la extensión se instala en /var/lib/waagent/<extension>.

Nota:

El agente de Azure Monitor (AMA) es un agente independiente que recopila datos de supervisión, y no reemplaza al agente de Connected Machine. AMA solo reemplaza al agente de Log Analytics, la extensión Diagnostics y el agente de Telegraf para máquinas Windows y Linux.

Recursos del agente

En la información siguiente se describen los directorios y las cuentas de usuario que usa el agente de Azure Connected Machine.

Detalles de instalación del agente de Windows

El agente de Windows se distribuye como un paquete de Windows Installer (MSI). Descargue el agente de Windows del Centro de descargas de Microsoft. La instalación del agente de Azure Connected Machine para Window aplica los siguientes cambios de configuración en todo el sistema:

  • El proceso de instalación crea las siguientes carpetas durante la instalación.

    Directorio Descripción
    %ProgramFiles%\AzureConnectedMachineAgent Archivos ejecutables del servicio de metadatos de instancia y la CLI de azcmagent.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Archivos ejecutables del servicio de extensión.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Archivos ejecutables del servicio de configuración de invitado (directiva).
    %ProgramData%\AzureConnectedMachineAgent Archivos de token de configuración, registro e identidad para la CLI de azcmagent y el servicio de metadatos de instancia.
    %ProgramData%\GuestConfig Descargas de paquetes de extensión, descargas de definiciones de configuración de invitado (directiva) y registros para los servicios de configuración de extensión y de invitado.
    %SYSTEMDRIVE%\packages Ejecutables del paquete de extensión.

  • Al instalar el agente, se crean los siguientes servicios de Windows en la máquina de destino.

    Nombre del servicio Nombre para mostrar Nombre del proceso Descripción
    himds Instance Metadata Service de Azure híbrido himds Sincroniza los metadatos con Azure y hospeda una API de REST local para que las extensiones y aplicaciones accedan a los metadatos y soliciten los tokens de identidad administrada de Microsoft Entra
    GCArcService Servicio de Arc de configuración de invitado gc_service Audita y aplica directivas de configuración de invitado de Azure en la máquina.
    ExtensionService Servicio de extensión de la configuración de invitado gc_service Instala, actualiza y administra extensiones en la máquina.

  • La instalación del agente crea la siguiente cuenta de servicio virtual.

    Cuenta virtual Descripción
    NT SERVICE\himds Cuenta sin privilegios que se usa para ejecutar Hybrid Instance Metadata Service.

    Sugerencia

    Esta cuenta requiere el permiso Iniciar sesión como servicio. Este permiso se concede automáticamente durante la instalación del agente, pero si su organización configura asignaciones de permisos de usuario con una directiva de grupo, es posible que tenga que ajustar el objeto de la directiva de grupo para conceder el permiso a NT SERVICE\himds o NT SERVICE\ALL SERVICES para permitir que el agente funcione.

  • La instalación del agente crea el siguiente grupo de seguridad local.

    Nombre de grupo de seguridad Descripción
    Aplicaciones de extensión de agente híbrido Los miembros de este grupo de seguridad pueden solicitar tokens de Microsoft Entra para la identidad administrada asignada por el sistema

  • La instalación del agente crea las siguientes variables de entorno

    Nombre Valor predeterminado Descripción
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Hay varios archivos de registro disponibles para solucionar problemas, que se describen en la tabla siguiente.

    Log Descripción
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Registra los detalles del componente de agente de identidad y latido.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contiene la salida de los comandos de la herramienta azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Registra los detalles del componente del agente de configuración de invitado (directiva).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Registra detalles sobre la actividad del administrador de extensiones (eventos de instalación, desinstalación y actualización de extensiones).
    %ProgramData%\GuestConfig\extension_logs Directorio que contiene registros para extensiones individuales.

  • El proceso crea el grupo de seguridad local Aplicaciones de extensión del agente híbrido.

  • Después de desinstalar el agente, permanecen los siguientes artefactos:

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Detalles de instalación del agente de Linux

El formato de paquete preferido para la distribución (.rpm o .deb) hospedada en el repositorio de paquetes de Microsoft proporciona el agente de Azure Connected Machine para Linux. El conjunto de scripts de shell Install_linux_azcmagent.sh instala y configura el agente.

La instalación, actualización y eliminación del agente de Azure Connected Machine no es necesaria tras el reinicio del servidor.

La instalación del agente de Azure Connected Machine para Linux aplica los siguientes cambios de configuración en todo el sistema.

  • El programa de instalación crea las siguientes carpetas de instalación.

    Directorio Descripción
    /opt/azcmagent/ Archivos ejecutables del servicio de metadatos de instancia y la CLI de azcmagent.
    /opt/GC_Ext/ Archivos ejecutables del servicio de extensión.
    /opt/GC_Service/ Archivos ejecutables del servicio de configuración de invitado (directiva).
    /var/opt/azcmagent/ Archivos de token de configuración, registro e identidad para la CLI de azcmagent y el servicio de metadatos de instancia.
    /var/lib/GuestConfig/ Descargas de paquetes de extensión, descargas de definiciones de configuración de invitado (directiva) y registros para los servicios de configuración de extensión y de invitado.

  • Al instalar el agente, se crean los siguientes demonios.

    Nombre del servicio Nombre para mostrar Nombre del proceso Descripción
    himdsd.service Servicio del Agente de Azure Connected Machine himds Este servicio implementa el servicio de metadatos de instancia híbrida (IMDS) para administrar la conexión a Azure y la identidad de Azure de la máquina conectada.
    gcad.service Servicio de Arc de GC gc_linux_service Audita y aplica directivas de configuración de invitado de Azure en la máquina.
    extd.service Servicio de extensión gc_linux_service Instala, actualiza y administra extensiones en la máquina.

  • Hay varios archivos de registro disponibles para solucionar problemas, que se describen en la tabla siguiente.

    Log Descripción
    /var/opt/azcmagent/log/himds.log Registra los detalles del componente de agente de identidad y latido.
    /var/opt/azcmagent/log/azcmagent.log Contiene la salida de los comandos de la herramienta azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Registra los detalles del componente del agente de configuración de invitado (directiva).
    /var/lib/GuestConfig/ext_mgr_logs Registra detalles sobre la actividad del administrador de extensiones (eventos de instalación, desinstalación y actualización de extensiones).
    /var/lib/GuestConfig/extension_logs Directorio que contiene registros para extensiones individuales.

  • La instalación del agente crea las siguientes variables de entorno, establecidas en /lib/systemd/system.conf.d/azcmagent.conf.

    Nombre Valor predeterminado Descripción
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Después de desinstalar el agente, permanecen los siguientes artefactos:

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Gobernanza de recursos de agente

El agente de Azure Connected Machine está diseñado para administrar el consumo de recursos del sistema y del agente. El agente se acerca a la gobernanza de recursos bajo las siguientes condiciones:

  • El agente de configuración de invitado puede usar hasta el 5 % de la CPU para evaluar las directivas.

  • El agente del servicio de extensión puede usar hasta el 5 % de la CPU para instalar, actualizar, ejecutar y eliminar extensiones. Algunas extensiones pueden aplicar límites de CPU más restrictivos una vez instalados. Se aplican las excepciones siguientes:

    Tipo de extensión Sistema operativo Límite de CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100 %
    AzureSecurityLinuxAgent Linux 30%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100 %
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Windows 60%

Durante las operaciones normales, definidas como el agente de Azure Connected Machine conectado a Azure y sin modificar activamente ninguna extensión o evaluar ninguna política, puede esperar que el agente consuma los siguientes recursos del sistema:

Windows Linux
Uso de CPU (normalizado a 1 núcleo) 0,07 % 0,02 %
Uso de memoria 57 MB 42 MB

Los datos de rendimiento anteriores se recopilaron en abril de 2023 en máquinas virtuales que ejecutan Windows Server 2022 y Ubuntu 20.04. El rendimiento real del agente y el consumo de recursos varían en función de la configuración de hardware y software de los servidores.

Metadatos de instancia

La información de los metadatos sobre una máquina conectada se recopila después de que el agente de Connected Machine se registre en los servidores habilitados para Azure Arc, específicamente:

  • Nombre, tipo y versión del sistema operativo
  • Nombre del equipo
  • Modelo y el fabricante del equipo
  • Nombre de dominio completo (FQDN) del equipo
  • Nombre de dominio (si está unido a un dominio de Active Directory)
  • Active Directory y nombre de dominio completo (FQDN) de DNS
  • UUID (IDENTIFICADOR DE BIOS)
  • Latido del agente de Connected Machine
  • Versión del agente Connected Machine
  • Clave pública para la identidad administrada
  • Estado y detalles de cumplimiento de las directivas (si usa directivas de configuración de invitado)
  • SQL Server está instalado (valor booleano)
  • Identificador de recurso de clúster (para nodos de Azure Stack HCI)
  • Fabricante de hardware
  • Hardware model (Modelo de hardware)
  • Familia de CPU, socket, núcleo físico y recuentos de núcleos lógicos
  • Memoria física total
  • Número de serie
  • Etiqueta de activos SMBIOS
  • Proveedor de servicios en la nube
  • Metadatos de Amazon Web Services (AWS), cuando se ejecuta en AWS:
    • Id. de cuenta
    • Id. de instancia
    • Region
  • Metadatos de Google Cloud Platform (GCP), cuando se ejecuta en GCP:
    • Id. de instancia
    • Imagen
    • Tipo de máquina
    • Id. de proyecto
    • Número de proyecto
    • Cuentas de servicio
    • Zona

El agente solicita la siguiente información de metadatos de Azure:

  • Ubicación del recurso (región)
  • Virtual machine ID (Identificador de máquina virtual)
  • Etiquetas
  • Certificado de identidad administrada de Microsoft Entra
  • Asignaciones de la directiva de configuración de invitado
  • Solicitudes de extensión: instalación, actualización y eliminación.

Nota:

Los servidores habilitados para Azure Arc no almacenan ni procesan los datos del cliente fuera de la región en la que el cliente implementa la instancia de servicio.

Pasos siguientes