Partager via

Agent Azure Arc

  • Article

Lorsque vous activez la gestion des invités sur des machines virtuelles VMware, l’agent Azure Connected Machine est installé sur les machines virtuelles. Il s’agit de l’agent que les serveurs avec Arc utilisent. L’agent Azure Connected Machine vous permet de gérer vos machines Windows et Linux hébergées en dehors d’Azure sur votre réseau d’entreprise ou un autre fournisseur de cloud. Cet article offre une vue d’ensemble de l’agent Azure Connected Machine du point de vue de l’architecture.

Composants de l’agent

Diagramme de la vue d’ensemble de l’architecture de l’agent Azure Connected Machine.

Le package de l’agent Azure Connected Machine regroupe plusieurs composants logiques :

  • Le service HIMDS (Hybrid Instance Metadata service) gère la connexion à Azure et l’identité Azure de l’ordinateur connecté.

  • L’agent de configuration d’invité fournit des fonctionnalités, comme l’évaluation de la conformité de l’ordinateur avec les stratégies requises et l’implémentation de la conformité.

    Notez le comportement suivant avec la configuration d’invité Azure Policy pour un ordinateur déconnecté :

    • Une attribution Azure Policy qui cible les ordinateurs déconnectés n’est pas affectée.
    • L’attribution d’invité est stockée localement pendant 14 jours. Pendant la période de 14 jours, si l’agent Connected Machine se reconnecte au service, les attributions de stratégie sont réappliquées.
    • Les affectations sont supprimées après 14 jours et ne sont pas réaffectées à la machine après cette période de 14 jours.

  • L’agent Extension gère les extensions de machine virtuelle, notamment l’installation, la désinstallation et la mise à niveau. Azure télécharge les extensions et les copie dans le dossier %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads sur Windows, et dans /opt/GC_Ext/downloads sur Linux. Sur Windows, l’extension s’installe sur le chemin d’accès %SystemDrive%\Packages\Plugins\<extension> ; sur Linux, elle s’installe dans /var/lib/waagent/<extension>.

Remarque

L’agent Azure Monitor (AMA) est un agent distinct qui collecte les données de monitoring ; il ne remplace pas l’agent Connected Machine. AMA remplace uniquement l’agent Log Analytics, l’extension Diagnostics et l’agent Telegraf pour les machines Windows et Linux.

Ressources de l’agent

Les informations suivantes décrivent les répertoires et les comptes d’utilisateur utilisés par l’agent Azure Connected Machine.

Détails de l’installation de l’agent Windows

L’agent Windows est distribué en tant que package Windows Installer (MSI). Téléchargez l’agent Windows à partir du Centre de téléchargement Microsoft. L’installation de l’agent Connected Machine pour Windows applique à l’échelle du système les modifications de configuration suivantes :

  • Le processus d’installation crée les dossiers suivants pendant l’installation.

    Répertoire Description
    %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent et exécutables du service de métadonnées d’instance.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Exécutables du service d’extension.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Exécutables du service de configuration Invité (stratégie).
    %ProgramData%\AzureConnectedMachineAgent Fichiers de configuration, de journal et de jeton d’identité pour azcmagent CLI et service de métadonnées d’instance.
    %ProgramData%\GuestConfig Téléchargements de packages d’extension, téléchargements de configuration Invité (stratégie) et journaux pour les services d’extension et de configuration Invité.
    %SYSTEMDRIVE%\packages Exécutables du package d’extension.

  • L’installation de l’agent crée les services Windows suivants sur l’ordinateur cible.

    Nom du service Nom d’affichage Nom du processus Description
    himds Azure Hybrid Instance Metadata Service himds Synchronise les métadonnées avec Azure et héberge une API REST locale pour permettre aux extensions et aux applications d’accéder aux métadonnées et de demander des jetons d’identité managée Microsoft Entra.
    GCArcService Service Arc de configuration d’invité gc_service Audite et applique des stratégies de configuration d’invité Azure sur la machine.
    ExtensionService Service d’extension de la configuration d’invité gc_service Installe, met à jour et gère les extensions sur l’ordinateur.

  • L’installation de l’agent crée le compte de service virtuel suivant.

    Compte virtuel Description
    NT SERVICE\himds Compte non privilégié utilisé pour exécuter Hybrid Instance Metadata Service.

    Conseil

    Ce compte nécessite le droit Se connecter en tant que service. Ce droit est automatiquement accordé pendant l’installation de l’agent, mais si votre organisation configure des attributions de droits utilisateur avec la stratégie de groupe, vous devrez peut-être ajuster votre objet de stratégie de groupe pour accorder le droit à NT SERVICE\himds ou NT SERVICE\ALL SERVICES pour permettre à l’agent de fonctionner.

  • L’installation de l’agent crée le groupe de sécurité local suivant.

    Nom de groupe de sécurité Description
    Applications d’extension d’agent hybride Les membres de ce groupe de sécurité peuvent demander des jetons Microsoft Entra pour l’identité managée affectée par le système.

  • L’installation de l’agent crée les variables environnementales suivantes.

    Nom Valeur par défaut Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Plusieurs fichiers journaux, décrits dans le tableau suivant, permettent de résoudre les problèmes.

    Journal Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Enregistre les détails de la pulsation et du composant de l’agent d’identité.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contient la sortie des commandes de l’outil azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Enregistre des détails concernant le composant d’agent de configuration Invité (stratégie).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Enregistre des détails sur l’activité du gestionnaire d’extensions (installation d’extension, désinstallation et événements de mise à niveau).
    %ProgramData%\GuestConfig\extension_logs Répertoire contenant des journaux d’activité pour des extensions individuelles.

  • Le processus crée le groupe de sécurité local Applications d’extension d’agent hybride.

  • Une fois l’agent désinstallé, il reste les artefacts suivants :

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Détails de l’installation de l’agent Linux

Le format de package préféré pour la distribution (.rpm ou .deb) hébergée dans le référentiel de packages Microsoft fournit l’agent Connected Machine pour Linux. Le bundle de scripts shell Install_linux_azcmagent.sh installe et configure l’agent.

L’installation, la mise à niveau et la suppression de l’agent Connected Machine n’est pas nécessaire après le redémarrage du serveur.

L’installation de l’agent Connected Machine pour Linux applique à l’échelle du système les modifications de configuration suivantes.

  • Le programme d’installation crée les dossiers d’installation suivants.

    Répertoire Description
    /opt/azcmagent/ CLI azcmagent et exécutables du service de métadonnées d’instance.
    /opt/GC_Ext/ Exécutables du service d’extension.
    /opt/GC_Service/ Exécutables du service de configuration Invité (stratégie).
    /var/opt/azcmagent/ Fichiers de configuration, de journal et de jeton d’identité pour azcmagent CLI et service de métadonnées d’instance.
    /var/lib/GuestConfig/ Téléchargements de packages d’extension, téléchargements de configuration Invité (stratégie) et journaux pour les services d’extension et de configuration Invité.

  • L’installation de l’agent crée les démons suivants.

    Nom du service Nom d’affichage Nom du processus Description
    himdsd.service Service Azure Connected Machine Agent himds Ce service implémente le service Hybrid Instance Metadata Service pour gérer la connexion à Azure et l’identité Azure de l’ordinateur connecté.
    gcad.service Service Arc GC gc_linux_service Audite et applique des stratégies de configuration d’invité Azure sur la machine.
    extd.service Service d’extension gc_linux_service Installe, met à jour et gère les extensions sur l’ordinateur.

  • Plusieurs fichiers journaux, décrits dans le tableau suivant, permettent de résoudre les problèmes.

    Journal Description
    /var/opt/azcmagent/log/himds.log Enregistre les détails de la pulsation et du composant de l’agent d’identité.
    /var/opt/azcmagent/log/azcmagent.log Contient la sortie des commandes de l’outil azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Enregistre des détails concernant le composant d’agent de configuration Invité (stratégie).
    /var/lib/GuestConfig/ext_mgr_logs Enregistre des détails sur l’activité du gestionnaire d’extensions (installation d’extension, désinstallation et événements de mise à niveau).
    /var/lib/GuestConfig/extension_logs Répertoire contenant des journaux d’activité pour des extensions individuelles.

  • L’installation de l’agent crée les variables d’environnement suivantes, définies dans /lib/systemd/system.conf.d/azcmagent.conf.

    Nom Valeur par défaut Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Une fois l’agent désinstallé, il reste les artefacts suivants :

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Gouvernance des ressources de l’agent

L’agent Azure Connected Machine est conçu pour gérer la consommation des ressources de l’agent et du système. L’agent approche la gouvernance des ressources dans les conditions suivantes :

  • L’agent de configuration invité peut utiliser jusqu’à 5 % des ressources du processeur pour évaluer les stratégies.

  • L’agent du service d’extension peut utiliser jusqu’à 5 % des ressources du processeur pour installer, mettre à niveau, exécuter et supprimer des extensions. Une fois installées, certaines extensions peuvent imposer des limites de processeur plus restrictives. Il existe toutefois certaines exceptions :

    Type d’extension Système d’exploitation Limite UC
    AzureMonitorLinuxAgent Linux 60 %
    AzureMonitorWindowsAgent Windows 100 %
    AzureSecurityLinuxAgent Linux 30 %
    LinuxOsUpdateExtension Linux 60 %
    MDE.Linux Linux 60 %
    MicrosoftDnsAgent Windows 100 %
    MicrosoftMonitoringAgent Windows 60 %
    OmsAgentForLinux Windows 60 %

Pendant le fonctionnement normal, c’est-à-dire lorsque l’agent Azure Connected Machine est connecté à Azure et qu’il ne modifie pas activement une extension ou qu’il n’évalue pas une stratégie, vous pouvez vous attendre à ce que l’agent consomme les ressources système suivantes :

Windows Linux
Utilisation du processeur (normalisée à 1 cœur) 0,07 % 0,02 %
Utilisation de la mémoire 57 Mo 42 Mo

Les données de performances ci-dessus ont été recueillies en avril 2023 sur des machines virtuelles exécutant Windows Server 2022 et Ubuntu 20.04. Les performances de l’agent et la consommation de ressources réelles varient en fonction de la configuration matérielle et logicielle de vos serveurs.

Métadonnées d’instance

Les informations de métadonnées relatives à une machine connectée sont collectées une fois que l’agent Connected Machine s’est inscrit auprès de serveurs avec Azure Arc, à savoir :

  • Nom, type et version du système d’exploitation
  • Nom de l'ordinateur
  • Fabricant et modèle de l’ordinateur
  • Nom de domaine complet (FQDN) de l’ordinateur
  • Nom de domaine (s’il est joint à un domaine Active Directory)
  • Nom de domaine complet (FQDN) Active Directory et DNS
  • UUID (ID BIOS)
  • Pulsation de l'agent Connected Machine
  • Version de l’agent Machine connectée
  • Clé publique pour l’identité managée
  • État de conformité de la stratégie et détails (si vous utilisez des stratégies de configuration invitées)
  • SQL Server installé (valeur booléenne)
  • ID de ressource de cluster (pour les nœuds Azure Stack HCI)
  • Fabricant du matériel
  • Modèle du matériel
  • Famille de processeur, nombre de sockets, de cœurs physiques et de cœurs logiques
  • Mémoire physique totale
  • Numéro de série
  • Identifiant de ressource SMBIOS
  • Fournisseur de cloud
  • Métadonnées Amazon Web Services (AWS), lors de l’exécution dans AWS :
    • ID compte
    • ID d’instance
    • Région
  • Métadonnées Google Cloud Platform (GCP), lors de l’exécution dans GCP :
    • ID d’instance
    • Image
    • Type de machine
    • ID Projet
    • Numéro de projet
    • Comptes de service
    • Zone

L’agent demande les informations de métadonnées suivantes à Azure :

  • Emplacement de la ressource (ressource)
  • ID de machine virtuelle
  • Balises
  • Certificat d’identité managée Microsoft Entra
  • Affectations de la stratégie de configuration invitée
  • Demandes d’extension : installation, mise à jour et suppression.

Remarque

Les serveurs avec Azure Arc ne stockent/traitent pas les données client en dehors de la région dans laquelle le client déploie l’instance de service.

Étapes suivantes