Az Azure Connected Machine ügynök áttekintése

Az Azure Csatlakozás ed Machine-ügynök lehetővé teszi az Azure-on kívül üzemeltetett Windows- és Linux-gépek kezelését a vállalati hálózaton vagy más felhőszolgáltatókon.

Ügynökösszetevők

Az Azure Csatlakozás ed Machine Agent-csomag több logikai összetevőt tartalmaz, amelyek összecsomagolva találhatók:

• A hibrid példány metaadat-szolgáltatása (HIMDS) kezeli az Azure-hoz való kapcsolatot és a csatlakoztatott gép Azure-identitását.

• A vendégkonfigurációs ügynök olyan funkciókat biztosít, mint például annak felmérése, hogy a gép megfelel-e a szükséges szabályzatoknak, és kikényszeríteni a megfelelőséget.

  Figyelje meg a következő viselkedést egy leválasztott gép Azure Policy-vendégkonfigurációjával:

  • A leválasztott gépeket célzó Azure Policy-hozzárendelések nem változnak.
  • A vendéghozzárendelések tárolása helyileg történik 14 napig. Ha a Csatlakozás gépügynök újra csatlakozik a szolgáltatáshoz, a 14 napos időszakon belül a rendszer újra alkalmazza a szabályzat-hozzárendeléseket.
  • A hozzárendelések 14 nap után törlődnek, és a 14 napos időszak után nem lesznek hozzárendelve a géphez.

• A bővítményügynök kezeli a virtuálisgép-bővítményeket, beleértve a telepítést, az eltávolítást és a frissítést. Az Azure letölti a bővítményeket, és átmásolja őket a %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Windows és a Linux mappájába /opt/GC_Ext/downloads . Windows rendszeren a bővítmény a következő elérési útra %SystemDrive%\Packages\Plugins\<extension>telepedik, Linuxon pedig a bővítmény a következőre /var/lib/waagent/<extension>telepíthető.

Feljegyzés

Az Azure Monitor-ügynök (AMA) egy külön ügynök, amely monitorozási adatokat gyűjt, és nem helyettesíti a Csatlakozás gépügynököt; az AMA csak a Log Analytics-ügynököt, a Diagnosztikai bővítményt és a Telegraf-ügynököt cseréli le Windows és Linux rendszerű gépeken.

Ügynökerőforrások

Az alábbi információk az Azure Csatlakozás ed Machine-ügynök által használt címtárakat és felhasználói fiókokat ismertetik.

A Windows-ügynök telepítésének részletei

A Windows-ügynök Windows Installer-csomagként (MSI) kerül terjesztésre. Töltse le a Windows-ügynököt a Microsoft letöltőközpontból. A windowsos Csatlakozás gépügynök telepítése a következő rendszerszintű konfigurációs módosításokat alkalmazza:

• A telepítési folyamat a következő mappákat hozza létre a telepítés során.

  Címtár	Leírás
  %ProgramFiles%\AzureConnectedMachineAgent	azcmagent CLI és a példány metaadat-szolgáltatás futtatható fájljai.
  %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC	Bővítményszolgáltatás futtatható fájlok.
  %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC	Vendégkonfigurációs (szabályzat) szolgáltatás futtatható fájljai.
  %ProgramData%\AzureConnectedMachineAgent	Konfigurációs, napló- és azonosító tokenfájlok az azcmagent CLI és a példány metaadat-szolgáltatás számára.
  %ProgramData%\GuestConfig	A bővítménycsomagok letöltése, a vendégkonfiguráció (szabályzat) definícióinak letöltése, valamint a bővítmény- és vendégkonfigurációs szolgáltatások naplói.
  %SYSTEMDRIVE%\packages	Bővítményszolgáltatás futtatható fájlok

• Az ügynök telepítése a következő Windows-szolgáltatásokat hozza létre a célszámítógépen.

  Szolgáltatás neve	Megjelenített név	Feldolgozás neve	Leírás
  himds	Azure Hybrid Instance Metadata Service	himds.exe	Szinkronizálja a metaadatokat az Azure-ral, és helyi REST API-t üzemeltet bővítményekhez és alkalmazásokhoz a metaadatok eléréséhez és a Microsoft Entra által felügyelt identitástokenek lekéréséhez
  GCArcService	Vendégkonfigurációs Arc-szolgáltatás	gc_arc_service.exe (gc_service.exe 1.36-os verzió előtt)	Naplóz és kikényszeríti az Azure-vendégkonfigurációs szabályzatokat a gépen.
  ExtensionService	Vendégkonfiguráció-bővítmény szolgáltatás	gc_extension_service.exe (gc_service.exe 1.36-os verzió előtt)	Telepíti, frissíti és kezeli a bővítményeket a gépen.

• Az ügynök telepítése a következő virtuális szolgáltatásfiókot hozza létre.

  Virtuális fiók	Leírás
  NT SERVICE\himds	A hibrid példány metaadat-szolgáltatásának futtatásához használt nem emelt szintű fiók.

  Tipp.

  Ehhez a fiókhoz a „Bejelentkezés szolgáltatásként” jogosultság szükséges. Ez a jog automatikusan megadásra kerül az ügynök telepítése során, de ha a szervezet csoportszabályzattal konfigurálja a felhasználói jogok hozzárendelését, előfordulhat, hogy módosítania kell a csoportszabályzat-objektumot, hogy az „NT SERVICE\himds” vagy az „NT SERVICE\ALL SERVICES” jogosultságot biztosítsa az ügynök működésének engedélyezéséhez.

• Az ügynöktelepítés a következő helyi biztonsági csoportot hozza létre.

  Biztonsági csoport neve	Leírás
  Hibrid ügynökbővítmény-alkalmazások	A biztonsági csoport tagjai Microsoft Entra-tokeneket kérhetnek a rendszer által hozzárendelt felügyelt identitáshoz

• Az ügynöktelepítés a következő környezeti változókat hozza létre

  Név	Alapértelmezett érték	Leírás
  IDENTITY_ENDPOINT	http://localhost:40342/metadata/identity/oauth2/token
  IMDS_ENDPOINT	http://localhost:40342

• A hibaelhárításhoz számos naplófájl érhető el, amelyeket az alábbi táblázatban ismertetünk.

  Napló	Leírás
  %ProgramData%\AzureConnectedMachineAgent\Log\himds.log	Rögzíti a szívverés és az identitásügynök összetevők részleteit.
  %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log	Az azcmagent eszközparancsok kimenetét tartalmazza.
  %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log	A vendégkonfiguráció (szabályzat) ügynök összetevőjének adatait rögzíti.
  %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log	Rögzíti a bővítménykezelő tevékenységének részleteit (bővítménytelepítési, eltávolítási és frissítési események).
  %ProgramData%\GuestConfig\extension_logs	Az egyes bővítmények naplóit tartalmazó könyvtár.

• A folyamat létrehozza a helyi biztonsági csoport hibrid ügynökbővítmény-alkalmazásokat.

• Az ügynök eltávolítása után a következő összetevők maradnak.

  • %ProgramData%\AzureConnectedMachineAgent\Log
  • %ProgramData%\AzureConnectedMachineAgent
  • %ProgramData%\GuestConfig
  • %SystemDrive%\packages

Linux-ügynök telepítésének részletei

A Microsoft-csomagtárházban üzemeltetett disztribúció (.rpmvagy .deb) előnyben részesített csomagformátuma biztosítja a linuxos Csatlakozás gépügynököt. A rendszerhéj-szkriptcsomag Install_linux_azcmagent.sh telepíti és konfigurálja az ügynököt.

A Csatlakozás gépügynök telepítése, frissítése és eltávolítása nem szükséges a kiszolgáló újraindítása után.

A Csatlakozás ed Machine Agent linuxos telepítése a következő rendszerszintű konfigurációs módosításokat alkalmazza.

• A telepítő a következő telepítési mappákat hozza létre.

  Címtár	Leírás
  /opt/azcmagent/	azcmagent CLI és a példány metaadat-szolgáltatás futtatható fájljai.
  /opt/GC_Ext/	Bővítményszolgáltatás futtatható fájlok.
  /opt/GC_Service/	Vendégkonfigurációs (szabályzat) szolgáltatás futtatható fájljai.
  /var/opt/azcmagent/	Konfigurációs, napló- és azonosító tokenfájlok az azcmagent CLI és a példány metaadat-szolgáltatás számára.
  /var/lib/GuestConfig/	A bővítménycsomagok letöltése, a vendégkonfiguráció (szabályzat) definícióinak letöltése, valamint a bővítmény- és vendégkonfigurációs szolgáltatások naplói.

• Az ügynök telepítése a következő démonokat hozza létre.

  Szolgáltatás neve	Megjelenített név	Feldolgozás neve	Leírás
  himdsd.service	Azure Csatlakozás ed Machine Agent Service	himds	Ez a szolgáltatás implementálja a hibrid példány metaadat-szolgáltatását (IMDS) az Azure-hoz és a csatlakoztatott gép Azure-identitásához való kapcsolat kezeléséhez.
  gcad.service	GC Arc szolgáltatás	gc_linux_service	Naplóz és kikényszeríti az Azure-vendégkonfigurációs szabályzatokat a gépen.
  extd.service	Bővítményszolgáltatás	gc_linux_service	Telepíti, frissíti és kezeli a bővítményeket a gépen.

• A hibaelhárításhoz számos naplófájl érhető el, amelyeket az alábbi táblázatban ismertetünk.

  Napló	Leírás
  /var/opt/azcmagent/log/himds.log	Rögzíti a szívverés és az identitásügynök összetevők részleteit.
  /var/opt/azcmagent/log/azcmagent.log	Az azcmagent eszközparancsok kimenetét tartalmazza.
  /var/lib/GuestConfig/arc_policy_logs	A vendégkonfiguráció (szabályzat) ügynök összetevőjének adatait rögzíti.
  /var/lib/GuestConfig/ext_mgr_logs	Rögzíti a bővítménykezelő tevékenységének részleteit (bővítménytelepítési, eltávolítási és frissítési események).
  /var/lib/GuestConfig/extension_logs	Az egyes bővítmények naplóit tartalmazó könyvtár.

• Az ügynöktelepítés a következő környezeti változókat hozza létre a következő beállításban /lib/systemd/system.conf.d/azcmagent.conf.

  Név	Alapértelmezett érték	Leírás
  IDENTITY_ENDPOINT	http://localhost:40342/metadata/identity/oauth2/token
  IMDS_ENDPOINT	http://localhost:40342

• Az ügynök eltávolítása után a következő összetevők maradnak.

  • /var/opt/azcmagent
  • /var/lib/GuestConfig

Ügynökerőforrás-szabályozás

Az Azure Csatlakozás ed Machine-ügynök az ügynök- és rendszererőforrás-felhasználás kezelésére lett kialakítva. Az ügynök a következő feltételek mellett közelíti meg az erőforrás-szabályozást:

• A Gépkonfiguráció (korábbi nevén Vendégkonfiguráció) szolgáltatás a processzor akár 5%-át is használhatja a szabályzatok kiértékeléséhez.

• A Bővítmény szolgáltatás a Windows rendszerű gépeken a processzor akár 5%-át, Linux rendszerű gépeken pedig a processzor 30%-át használhatja bővítmények telepítéséhez, frissítéséhez, futtatásához és törléséhez. Egyes bővítmények szigorúbb cpu-korlátozásokat alkalmazhatnak a telepítés után. A következő kivételek érvényesek:

  Bővítmény típusa	Operációs rendszer	CPU-korlát
  AzureMonitorLinuxAgent	Linux	60%
  AzureMonitorWindowsAgent	Windows	100%
  LinuxOsUpdateExtension	Linux	60%
  MDE. Linux	Linux	60%
  MicrosoftDnsAgent	Windows	100%
  MicrosoftMonitoringAgent	Windows	60%
  OmsAgentForLinux	Linux	60%

Az Azure Csatlakozás ed Machine Agentnek az Azure-hoz való csatlakozása és a bővítmények aktívan történő módosítása vagy a szabályzatok kiértékelése során az ügynök várhatóan a következő rendszererőforrásokat használja fel:

	Windows	Linux
CPU-használat (1 magra normalizálva)	0.07%	0.02%
Memóriahasználat	57 MB	42 MB

A fenti teljesítményadatokat 2023 áprilisában gyűjtöttük össze Windows Server 2022 és Ubuntu 20.04 rendszerű virtuális gépeken. Az ügynök tényleges teljesítménye és erőforrás-felhasználása a kiszolgálók hardver- és szoftverkonfigurációja alapján változik.

Egyéni erőforráskorlátok

A legtöbb kiszolgáló számára az alapértelmezett erőforrás-szabályozási korlátok a legjobb választás. A korlátozott processzorerőforrásokkal rendelkező kis virtuális gépek és kiszolgálók azonban időtúllépéseket tapasztalhatnak a bővítmények kezelésekor vagy a szabályzatok kiértékelésekor, mert nincs elegendő CPU-erőforrás a feladatok elvégzéséhez. Az ügynök 1.39-es verziójától kezdve testre szabhatja a bővítménykezelőre és a gépkonfigurációs szolgáltatásokra alkalmazott CPU-korlátokat, hogy az ügynök gyorsabban elvégezhesse ezeket a feladatokat.

A bővítménykezelő és a gépkonfigurációs szolgáltatások aktuális erőforráskorlátainak megtekintéséhez futtassa az alábbi parancsot.

azcmagent config list

A kimenetben két mező jelenik meg, guestconfiguration.agent.cpulimit és extensions.agent.cpulimit az aktuális erőforráskorlát százalékos értékként van megadva. Az ügynök friss telepítésekor mindkettő megjelenik 5 , mert az alapértelmezett korlát a processzor 5%-a.

Ha a bővítménykezelő erőforráskorlátját 80%-ra szeretné módosítani, futtassa a következő parancsot:

azcmagent config set extensions.agent.cpulimit 80

Példány metaadatai

A csatlakoztatott gép metaadatait a rendszer azután gyűjti össze, hogy a Csatlakozás gépügynök regisztrál az Azure Arc-kompatibilis kiszolgálókon. Ezek konkrétan a következők:

• Operációs rendszer neve, típusa és verziója
• Számítógép neve
• Számítógép gyártója és modellje
• Számítógép teljes tartományneve (FQDN)
• Tartománynév (ha egy Active Directory-tartományhoz csatlakozik)
• Active Directory és DNS teljes tartománynév (FQDN)
• UUID (BIOS-AZONOSÍTÓ)
• Csatlakozás gépügynök szívverése
• Csatlakozás gépügynök verziója
• Nyilvános kulcs felügyelt identitáshoz
• Szabályzatmegfelelőségi állapot és részletek (vendégkonfigurációs szabályzatok használata esetén)
• Telepített SQL Server (logikai érték)
• Fürt erőforrás-azonosítója (Azure Stack HCI-csomópontokhoz)
• Hardvergyártó
• Hardvermodell
• CPU-család, szoftvercsatornák, fizikai magok és logikai magok száma
• Fizikai memória összesen
• Sorszám
• SMBIOS-eszközcímke
• Felhőszolgáltató
• Az Amazon Web Services (AWS) metaadatai az AWS-ben való futtatáskor:
  • Számlaazonosító
  • Instance ID (Példányazonosító)
  • Régió
• A Google Cloud Platform (GCP) metaadatai a GCP-ben való futtatáskor:
  • Instance ID (Példányazonosító)
  • Kép
  • Gép típusa
  • Projektazonosító
  • Projektszám
  • Szolgáltatásfiókok
  • Zóna
• Oracle Cloud Infrastructure metaadatai az OCI-ben való futtatáskor:
  • Megjelenített név

Az ügynök a következő metaadatadatokat kéri le az Azure-tól:

• Erőforrás helye (régió)
• Virtuális gép azonosítója
• Címkék
• Microsoft Entra felügyelt identitástanúsítvány
• Vendégkonfigurációs házirend-hozzárendelések
• Bővítménykérelmek – telepítés, frissítés és törlés.

Feljegyzés

Az Azure Arc-kompatibilis kiszolgálók nem tárolják/dolgozzák fel az ügyféladatokat azon a régión kívül, amelyben az ügyfél üzembe helyezi a szolgáltatáspéldányt.

Üzembe helyezési lehetőségek és követelmények

Az ügynök üzembe helyezése és a gép kapcsolata bizonyos előfeltételeket igényel. Vannak hálózatkezelési követelmények is, amelyeket figyelembe kell venni.

Számos lehetőséget biztosítunk az ügynök üzembe helyezéséhez. További információ: Üzembe helyezési és üzembe helyezési lehetőségek tervezése.

Következő lépések

• Az Azure Arc-kompatibilis kiszolgálók értékelésének megkezdéséhez tekintse meg a rövid útmutatót: Csatlakozás hibrid gépeket Azure Arc-kompatibilis kiszolgálókkal.
• Mielőtt üzembe helyezené az Azure Csatlakozás ed Machine-ügynököt, és integrálható más Azure felügyeleti és monitorozási szolgáltatásokkal, tekintse át a tervezési és üzembe helyezési útmutatót.
• Tekintse át az ügynök kapcsolati problémáinak hibaelhárítási útmutatójában található hibaelhárítási információkat.