Présentation de l’agent Azure Connected Machine

L’agent Azure Connected Machine vous permet de gérer vos machines Windows et Linux hébergées en dehors d’Azure sur votre réseau d’entreprise ou un autre fournisseur de cloud.

Composants de l’agent

Vue d’ensemble architecturale de l’agent des serveurs Azure Arc.

Le package de l’agent Azure Connected Machine contient plusieurs composants logiques qui sont regroupés ensemble :

  • Le service HIMDS (Hybrid Instance Metadata service) gère la connexion à Azure et l’identité Azure de l’ordinateur connecté.

  • L’agent de configuration d’invité fournit des fonctionnalités, comme l’évaluation de la conformité de l’ordinateur avec les stratégies requises et l’implémentation de la conformité.

    Notez le comportement suivant avec la configuration d’invité Azure Policy pour un ordinateur déconnecté :

    • Une attribution Azure Policy qui cible les ordinateurs déconnectés n’est pas affectée.
    • L’attribution d’invité est stockée localement pendant 14 jours. Pendant la période de 14 jours, si l’agent Connected Machine se reconnecte au service, les attributions de stratégie sont réappliquées.
    • Les attributions sont supprimées au bout de 14 jours et ne sont pas réattribuées à l’ordinateur après la période de 14 jours.
  • L’agent Extension gère les extensions de machine virtuelle, notamment l’installation, la désinstallation et la mise à niveau. Les extensions sont téléchargées à partir d’Azure et copiées dans le dossier %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads sur Windows et /opt/GC_Ext/downloads sur Linux. Sur Windows, l’extension est installée dans le chemin suivant %SystemDrive%\Packages\Plugins\<extension> et sur Linux, l’extension est installée dans /var/lib/waagent/<extension>.

Notes

L’agent Azure Monitor (AMA) est un agent distinct qui collecte les données de monitoring ; il ne remplace pas l’agent Connected Machine. AMA remplace uniquement l’agent Log Analytics, l’extension Diagnostics et l’agent Telegraf pour les machines Windows et Linux.

Ressources de l’agent

Les informations suivantes décrivent les répertoires et les comptes d’utilisateur utilisés par l’agent Azure Connected Machine.

Détails de l’installation de l’agent Windows

L’agent Windows est distribué en tant que package Windows Installer (MSI) et peut être téléchargé à partir du Centre de téléchargement Microsoft. Une fois l’agent Connected Machine pour Windows installé, les modifications de configuration système suivantes sont appliquées.

  • Les dossiers d’installation suivants sont créés lors de la configuration.

    Répertoire Description
    %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent et exécutables du service de métadonnées d’instance.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Exécutables du service d’extension.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Exécutables du service de configuration Invité (stratégie).
    %ProgramData%\AzureConnectedMachineAgent Fichiers de configuration, de journal et de jeton d’identité pour azcmagent CLI et service de métadonnées d’instance.
    %ProgramData%\GuestConfig Téléchargements de packages d’extension, téléchargements de configuration Invité (stratégie) et journaux pour les services d’extension et de configuration Invité.
    %SYSTEMDRIVE%\packages Exécutables du package d’extension
  • Les services Windows suivants sont créés sur la machine cible lors de l’installation de l’agent.

    Nom du service Nom complet Nom du processus Description
    himds Azure Hybrid Instance Metadata Service himds Synchronise les métadonnées avec Azure et héberge une API REST locale pour les extensions et les applications pour accéder aux métadonnées et demander des jetons d’identité managée Azure Active Directory
    GCArcService Service Arc de configuration d’invité gc_service Audite et applique des stratégies de configuration d’invité Azure sur la machine.
    ExtensionService Service d’extension de la configuration d’invité gc_service Installe, met à jour et gère les extensions sur l’ordinateur.
  • Le compte de service virtuel suivant est créé lors de l’installation de l’agent.

    Compte virtuel Description
    NT SERVICE\himds Compte non privilégié utilisé pour exécuter Hybrid Instance Metadata Service.

    Conseil

    Ce compte exige le droit « Se connecter en tant que service ». Ce droit est accordé automatiquement pendant l’installation de l’agent. Toutefois, si votre organisation configure les attributions des droits utilisateur avec Stratégie de groupe, vous devrez peut-être ajuster votre objet Stratégie de groupe pour accorder le droit à « NT SERVICE\himds » ou « NT SERVICE\ALL SERVICES » afin de permettre à l’agent de fonctionner.

  • Le groupe de sécurité local suivant est créé lors de l’installation de l’agent.

    Nom de groupe de sécurité Description
    Applications d’extension d’agent hybride Les membres de ce groupe de sécurité peuvent demander des jetons Azure Active Directory pour l’identité managée affectée par le système.
  • Les variables d’environnement suivantes sont créées lors de l’installation de l’agent.

    Nom Valeur par défaut Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Plusieurs fichiers journaux sont disponibles pour la résolution des problèmes. Ils sont décrits dans le tableau suivant.

    Journal Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Enregistre les détails de la pulsation et du composant de l’agent d’identité.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contient la sortie des commandes de l’outil azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Enregistre des détails concernant le composant d’agent de configuration Invité (stratégie).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Enregistre des détails sur l’activité du gestionnaire d’extensions (installation d’extension, désinstallation et événements de mise à niveau).
    %ProgramData%\GuestConfig\extension_logs Répertoire contenant des journaux d’activité pour des extensions individuelles.
  • Le groupe de sécurité local Applications d’extension de l’agent hybride est créé.

  • Lors de la désinstallation de l’agent, les artefacts suivants ne sont pas supprimés.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Détails de l’installation de l’agent Linux

L’agent Connected Machine pour Linux est fourni dans le format de package par défaut pour la distribution (. RPM ou. DEB) qui est hébergée dans le dépôt de packages de Microsoft. L’agent est installé et configuré avec le groupe de scripts d’interpréteur de commandes Install_linux_azcmagent.sh.

L’installation, la mise à niveau et la suppression de l’agent Connected Machine ne vous demandent pas de redémarrer votre serveur.

Une fois l’agent Connected Machine pour Linux installé, les modifications de configuration système suivantes sont appliquées.

  • Les dossiers d’installation suivants sont créés lors de la configuration.

    Répertoire Description
    /opt/azcmagent/ CLI azcmagent et exécutables du service de métadonnées d’instance.
    /opt/GC_Ext/ Exécutables du service d’extension.
    /opt/GC_Service/ Exécutables du service de configuration Invité (stratégie).
    /var/opt/azcmagent/ Fichiers de configuration, de journal et de jeton d’identité pour azcmagent CLI et service de métadonnées d’instance.
    /var/lib/GuestConfig/ Téléchargements de packages d’extension, téléchargements de configuration Invité (stratégie) et journaux pour les services d’extension et de configuration Invité.
  • Les démons suivants sont créés sur la machine cible lors de l’installation de l’agent.

    Nom du service Nom complet Nom du processus Description
    himdsd.service Service Azure Connected Machine Agent himds Ce service implémente le service Hybrid Instance Metadata Service pour gérer la connexion à Azure et l’identité Azure de l’ordinateur connecté.
    gcad.service Service Arc GC gc_linux_service Audite et applique des stratégies de configuration d’invité Azure sur la machine.
    extd.service Service d’extension gc_linux_service Installe, met à jour et gère les extensions sur l’ordinateur.
  • Plusieurs fichiers journaux sont disponibles pour la résolution des problèmes. Ils sont décrits dans le tableau suivant.

    Journal Description
    /var/opt/azcmagent/log/himds.log Enregistre les détails de la pulsation et du composant de l’agent d’identité.
    /var/opt/azcmagent/log/azcmagent.log Contient la sortie des commandes de l’outil azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Enregistre des détails concernant le composant d’agent de configuration Invité (stratégie).
    /var/lib/GuestConfig/ext_mgr_logs Enregistre des détails sur l’activité du gestionnaire d’extensions (installation d’extension, désinstallation et événements de mise à niveau).
    /var/lib/GuestConfig/extension_logs Répertoire contenant des journaux d’activité pour des extensions individuelles.
  • Les variables d’environnement suivantes sont créées lors de l’installation de l’agent. Les variables suivantes sont définies dans /lib/systemd/system.conf.d/azcmagent.conf.

    Nom Valeur par défaut Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Lors de la désinstallation de l’agent, les artefacts suivants ne sont pas supprimés.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Gouvernance des ressources de l’agent

L’agent Azure Connected Machine est conçu pour gérer la consommation des ressources de l’agent et du système. L’agent approche la gouvernance des ressources dans les conditions suivantes :

  • L’agent de configuration Invité limite l’utilisation du processeur à 5 % au maximum lors de l’évaluation des stratégies.

  • L'agent du service d'extension peut utiliser jusqu'à 5 % de l'unité centrale pour installer, mettre à niveau, exécuter et supprimer des extensions. Il existe toutefois certaines exceptions :

    • Si l’extension installe des services en arrière-plan qui s’exécutent indépendamment d’Azure Arc, comme Microsoft Monitoring Agent, ces services ne seront pas soumis aux contraintes de gouvernance des ressources répertoriées ci-dessus.
    • L’agent Log Analytics et l’agent Azure Monitor sont autorisés à utiliser jusqu’à 60 % du processeur pendant leurs opérations d’installation/de mise à niveau/de désinstallation sur Red Hat Linux, CentOS et d’autres variantes d’Enterprise Linux. La limite est plus élevée pour cette combinaison d’extensions et de systèmes d’exploitation afin de tenir compte de l’impact sur les performances de SELinux sur ces systèmes.
    • L’agent Azure Monitor peut utiliser jusqu’à 30 % du processeur pendant les opérations normales.
    • L’extension de mise à jour du système d’exploitation Linux (utilisée par Azure Update Management Center) peut utiliser jusqu’à 30 % du processeur pour corriger le serveur.
    • L’extension Microsoft Defender pour point de terminaison peut utiliser jusqu’à 30 % du processeur pendant l’installation, les mises à niveau et les opérations de suppression.

Métadonnées d’instance

Les informations de métadonnées sur une machine connectée sont collectées une fois que l’agent Connected Machine s’est inscrit auprès des serveurs avec Azure Arc. Plus précisément :

  • Nom, type et version du système d’exploitation
  • Nom de l'ordinateur
  • Fabricant et modèle de l’ordinateur
  • Nom de domaine complet (FQDN) de l’ordinateur
  • Nom de domaine (s’il est joint à un domaine Active Directory)
  • Nom de domaine complet (FQDN) Active Directory et DNS
  • UUID (ID BIOS)
  • Pulsation de l'agent Connected Machine
  • Version de l’agent Machine connectée
  • Clé publique pour l’identité managée
  • État de conformité de la stratégie et détails (si vous utilisez des stratégies de configuration invitées)
  • SQL Server installé (valeur booléenne)
  • ID de ressource de cluster (pour les nœuds Azure Stack HCI)
  • Fabricant du matériel
  • Modèle de matériel
  • Nombre de cœurs logiques du processeur
  • Fournisseur de cloud
  • Métadonnées Amazon Web Services (AWS), lors de l’exécution dans AWS :
    • ID de compte
    • Instance ID
    • Région
  • Métadonnées Google Cloud Platform (GCP), lors de l’exécution dans GCP :
    • Instance ID
    • Image
    • Type de machine
    • ID de projet
    • Numéro de projet
    • Comptes de service
    • Zone

Les informations de métadonnées suivantes sont demandées par l’agent à partir d’Azure :

  • Emplacement de la ressource (ressource)
  • ID de machine virtuelle
  • Balises
  • Certificat Managed Identity Azure Active Directory
  • Affectations de la stratégie de configuration invitée
  • Demandes d’extension : installation, mise à jour et suppression.

Notes

Les serveurs avec Azure Arc ne stockent/traitent pas les données client en dehors de la région dans laquelle le client déploie l'instance de service.

Options de déploiement et exigences

Pour déployer l’agent et connecter une machine, certains prérequis doivent être satisfaits. Vous devez également connaître la configuration réseau requise.

Nous proposons plusieurs options pour le déploiement de l’agent. Pour plus d’informations, consultez Planifier le déploiement et Options de déploiement.

Étapes suivantes