Az Azure Connected Machine-ügynök áttekintése

Az Azure Connected Machine-ügynök lehetővé teszi az Azure-on kívül üzemeltetett Windows- és Linux-gépek kezelését a vállalati hálózaton vagy más felhőszolgáltatókon.

Ügynökösszetevők

Az Azure Arc-kompatibilis kiszolgálók ügynökének architekturális áttekintése.

Az Azure Connected Machine-ügynökcsomag számos logikai összetevőt tartalmaz, amelyek össze vannak csomagolva:

  • A hibrid példány metaadatainak szolgáltatása (HIMDS) kezeli az Azure-hoz való kapcsolatot és a csatlakoztatott gép Azure-identitását.

  • A vendégkonfigurációs ügynök olyan funkciókat biztosít, mint például annak felmérése, hogy a gép megfelel-e a szükséges szabályzatoknak és kikényszeríteni a megfelelőséget.

    Figyelje meg a következő viselkedést Azure Policy leválasztott gép vendégkonfigurációjával kapcsolatban:

    • A leválasztott gépeket megcélzó Azure Policy hozzárendelés nincs hatással.
    • A vendéghozzárendelések tárolása helyileg történik 14 napig. A 14 napos időszakon belül, ha a Csatlakoztatottgép-ügynök újra csatlakozik a szolgáltatáshoz, a szabályzat-hozzárendelések újra lesznek alkalmazva.
    • A hozzárendelések 14 nap elteltével törlődnek, és a 14 napos időszak után nem lesznek újra hozzárendelve a géphez.
  • A bővítményügynök kezeli a virtuálisgép-bővítményeket, beleértve a telepítést, az eltávolítást és a frissítést. A bővítmények az Azure-ból töltődnek le, és a %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads windowsos és a linuxos mappába kerülnek /opt/GC_Ext/downloads . Windows rendszeren a bővítmény a következő elérési útra %SystemDrive%\Packages\Plugins\<extension>van telepítve, Linuxon pedig a következőre /var/lib/waagent/<extension>: .

Megjegyzés

Az Azure Monitor-ügynök (AMA) egy különálló ügynök, amely monitorozási adatokat gyűjt, és nem helyettesíti a csatlakoztatottgép-ügynököt; Az AMA csak a Log Analytics-ügynököt, a Diagnosztikai bővítményt és a Telegraf-ügynököt cseréli le Windows és Linux rendszerű gépeken.

Ügynökerőforrások

Az alábbi információk az Azure Connected Machine-ügynök által használt címtárakat és felhasználói fiókokat ismertetik.

A Windows-ügynök telepítésének részletei

A Windows-ügynök Windows Installer-csomagként (MSI) van terjesztve, és letölthető a Microsoft letöltőközpontból. A Windows csatlakoztatottgép-ügynökének telepítése után a rendszer az alábbi rendszerszintű konfigurációs módosításokat alkalmazza.

  • A telepítés során a következő telepítési mappák jönnek létre.

    Címtár Leírás
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI és instance metadata service executables.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Bővítményszolgáltatás végrehajtható fájljai.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC A vendégkonfiguráció (szabályzat) szolgáltatás végrehajtható fájljai.
    %ProgramData%\AzureConnectedMachineAgent Konfigurációs, napló- és identitás-jogkivonatfájlok az azcmagent parancssori felülethez és a példány metaadat-szolgáltatásához.
    %ProgramData%\GuestConfig A bővítménycsomagok letöltése, a vendégkonfiguráció (szabályzat) definíciójának letöltése, valamint a bővítmény- és vendégkonfigurációs szolgáltatások naplói.
    %SYSTEMDRIVE%\packages Bővítménycsomag végrehajtható fájljai
  • Az ügynök telepítése során a következő Windows-szolgáltatások jönnek létre a célgépen.

    Szolgáltatásnév Megjelenített név Folyamatnév Leírás
    himds Hibrid Azure-példány metaadatainak szolgáltatása himds Szinkronizálja a metaadatokat az Azure-ral, és helyi REST API-t üzemeltet a bővítményekhez és alkalmazásokhoz a metaadatok eléréséhez és az Azure Active Directory felügyelt identitás jogkivonatainak lekéréséhez
    GCArcService Vendégkonfiguráció – Arc-szolgáltatás gc_service Naplóz és kikényszeríti az Azure-vendégkonfigurációs szabályzatokat a gépen.
    ExtensionService Vendégkonfigurációs bővítményszolgáltatás gc_service Bővítmények telepítése, frissítése és kezelése a gépen.
  • Az ügynök telepítése során a következő virtuális szolgáltatásfiók jön létre.

    Virtuális fiók Leírás
    NT SERVICE\himds A hibrid példány metaadatainak szolgáltatás futtatásához használt, nem emelt jogosultságú fiók.

    Tipp

    Ehhez a fiókhoz a "Bejelentkezés szolgáltatásként" jogosultság szükséges. Ez a jogosultság automatikusan meg lesz adva az ügynök telepítése során, de ha a szervezete felhasználói jogosultság-hozzárendeléseket konfigurál Csoportházirend, előfordulhat, hogy módosítania kell a Csoportházirend Objektumot, hogy az "NT SERVICE\himds" vagy az "NT SERVICE\ALL SERVICES" jogosultságot biztosítsa az ügynök működésének engedélyezéséhez.

  • Az ügynök telepítése során a következő helyi biztonsági csoport jön létre.

    Biztonsági csoport neve Leírás
    Hibrid ügynökbővítmény-alkalmazások A biztonsági csoport tagjai Azure Active Directory-jogkivonatokat kérhetnek a rendszer által hozzárendelt felügyelt identitáshoz
  • Az ügynök telepítése során a következő környezeti változók jönnek létre.

    Name Alapértelmezett érték Leírás
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Számos naplófájl érhető el a hibaelhárításhoz. Ezeket az alábbi táblázat ismerteti.

    Napló Leírás
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log A szívverés és az identitásügynök összetevő részleteit rögzíti.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Az azcmagent eszközparancsok kimenetét tartalmazza.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log A vendégkonfigurációs (szabályzat-) ügynök összetevő adatait rögzíti.
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log A bővítménykezelői tevékenység (bővítménytelepítési, eltávolítási és frissítési események) adatait rögzíti.
    %ProgramData%\GuestConfig\extension_logs Az egyes bővítmények naplóit tartalmazó könyvtár.
  • Létrejön a helyi biztonsági csoport hibrid ügynökbővítmény-alkalmazásai .

  • Az ügynök eltávolítása során a következő összetevők nem lesznek eltávolítva.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Linux-ügynök telepítésének részletei

A Linuxhoz készült Csatlakoztatottgép-ügynök a disztribúció előnyben részesített csomagformátumában van megadva (. RPM vagy . DEB) a Microsoft csomagtárában üzemeltetett. Az ügynök telepítve van és konfigurálva van a rendszerhéjszkript-csomaggal Install_linux_azcmagent.sh.

A Csatlakoztatottgép-ügynök telepítése, frissítése és eltávolítása nem igényli a kiszolgáló újraindítását.

A Linuxhoz készült Csatlakoztatottgép-ügynök telepítése után a rendszer az alábbi rendszerszintű konfigurációs módosításokat alkalmazza.

  • A telepítés során a következő telepítési mappák jönnek létre.

    Címtár Leírás
    /opt/azcmagent/ azcmagent CLI és instance metadata service executables.
    /opt/GC_Ext/ Bővítményszolgáltatás végrehajtható fájljai.
    /opt/GC_Service/ A vendégkonfiguráció (szabályzat) szolgáltatás végrehajtható fájljai.
    /var/opt/azcmagent/ Konfigurációs, napló- és identitás-jogkivonatfájlok az azcmagent parancssori felülethez és a példány metaadat-szolgáltatásához.
    /var/lib/GuestConfig/ A bővítménycsomagok letöltése, a vendégkonfiguráció (szabályzat) definíciójának letöltése, valamint a bővítmény- és vendégkonfigurációs szolgáltatások naplói.
  • Az ügynök telepítése során a következő démonok jönnek létre a célgépen.

    Szolgáltatásnév Megjelenített név Folyamatnév Leírás
    himdsd.service Azure Connected Machine Agent szolgáltatás himds Ez a szolgáltatás implementálja a hibridpéldány-metaadat-szolgáltatást (IMDS) az Azure-hoz és a csatlakoztatott gép Azure-identitásához való csatlakozás kezeléséhez.
    gcad.service GC Arc szolgáltatás gc_linux_service Naplóz és kikényszeríti az Azure-vendégkonfigurációs szabályzatokat a gépen.
    extd.service Bővítményszolgáltatás gc_linux_service Bővítmények telepítése, frissítése és kezelése a gépen.
  • Számos naplófájl érhető el a hibaelhárításhoz. Ezeket az alábbi táblázat ismerteti.

    Napló Leírás
    /var/opt/azcmagent/log/himds.log A szívverés és az identitásügynök összetevő részleteit rögzíti.
    /var/opt/azcmagent/log/azcmagent.log Az azcmagent eszközparancsok kimenetét tartalmazza.
    /var/lib/GuestConfig/arc_policy_logs A vendégkonfigurációs (szabályzat-) ügynök összetevő adatait rögzíti.
    /var/lib/GuestConfig/ext_mgr_logs A bővítménykezelői tevékenység (bővítménytelepítési, eltávolítási és frissítési események) adatait rögzíti.
    /var/lib/GuestConfig/extension_logs Az egyes bővítmények naplóit tartalmazó könyvtár.
  • Az ügynök telepítése során a következő környezeti változók jönnek létre. Ezek a változók a következőben /lib/systemd/system.conf.d/azcmagent.confvannak beállítva: .

    Name Alapértelmezett érték Leírás
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Az ügynök eltávolítása során a következő összetevők nem lesznek eltávolítva.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Ügynökerőforrás-szabályozás

Az Azure Connected Machine-ügynök úgy lett kialakítva, hogy kezelje az ügynököt és a rendszererőforrás-felhasználást. Az ügynök a következő feltételek mellett közelíti meg az erőforrás-szabályozást:

  • A vendégkonfigurációs ügynök legfeljebb a processzor 5%-át használhatja a szabályzatok kiértékeléséhez.

  • Az Extension Service-ügynök legfeljebb a processzor 5%-át használhatja bővítmények telepítéséhez, frissítéséhez, futtatásához és törléséhez. A következő kivételek érvényesek:

    • Ha a bővítmény olyan háttérszolgáltatásokat telepít, amelyek az Azure Arctól függetlenek, például a Microsoft Monitoring Agentet, ezekre a szolgáltatásokra nem vonatkoznak a fent felsorolt erőforrás-szabályozási korlátozások.
    • A Log Analytics-ügynök és az Azure Monitor-ügynök a processzor akár 60%-át is használhatja a Red Hat Linux, CentOS és más vállalati Linux-változatokon végzett telepítési/frissítési/eltávolítási műveletek során. A seLinux ezen rendszerekre gyakorolt teljesítményhatása érdekében a bővítmények és az operációs rendszerek ezen kombinációjának korlátja magasabb.
    • Az Azure Monitor-ügynök a processzor akár 30%-át is használhatja a normál műveletek során.
    • A Linux operációsrendszer-frissítési bővítmény (amelyet az Azure Update Management Center használ) a processzor akár 30%-át is használhatja a kiszolgáló javításához.
    • A Végponthoz készült Microsoft Defender bővítmény a processzor akár 30%-át is használhatja a telepítési, frissítési és eltávolítási műveletek során.

Példány metaadatai

A csatlakoztatott gép metaadatait a rendszer azután gyűjti össze, hogy a csatlakoztatottgép-ügynök regisztrál az Azure Arc-kompatibilis kiszolgálókon. Ezek konkrétan a következők:

  • Operációs rendszer neve, típusa és verziója
  • Számítógép neve
  • Számítógép gyártója és modellje
  • Számítógép teljes tartományneve (FQDN)
  • Tartománynév (ha Active Directory-tartományhoz csatlakozik)
  • Active Directory és DNS teljes tartománynév (FQDN)
  • UUID (BIOS-AZONOSÍTÓ)
  • Csatlakoztatottgép-ügynök szívverése
  • Csatlakoztatottgép-ügynök verziója
  • Nyilvános kulcs felügyelt identitáshoz
  • Szabályzatmegfelelőségi állapot és részletek (vendégkonfigurációs szabályzatok használata esetén)
  • SQL Server telepítve (logikai érték)
  • Fürt erőforrás-azonosítója (Azure Stack HCI-csomópontokhoz)
  • Hardvergyártó
  • Hardvermodell
  • Cpu logikai magok száma
  • Felhőszolgáltató
  • Amazon Web Services- (AWS-) metaadatok az AWS-ben való futtatáskor:
    • Fiókazonosító
    • Instance ID
    • Régió
  • A Google Cloud Platform (GCP) metaadatai a GCP-ben való futtatáskor:
    • Instance ID
    • Kép
    • Gép típusa
    • Projektazonosító
    • Projekt száma
    • Szolgáltatásfiókok
    • Zóna

Az ügynök a következő metaadatokat kéri le az Azure-ból:

  • Erőforrás helye (régió)
  • Virtuális gép azonosítója
  • Címkék
  • Azure Active Directory felügyelt identitás tanúsítványa
  • Vendégkonfigurációs szabályzat-hozzárendelések
  • Bővítménykérelmek – telepítés, frissítés és törlés.

Megjegyzés

Az Azure Arc-kompatibilis kiszolgálók nem tárolják/dolgozzák fel az ügyféladatokat azon a régión kívül, amelyben az ügyfél üzembe helyezi a szolgáltatáspéldányt.

Üzembehelyezési lehetőségek és követelmények

Az ügynök üzembe helyezéséhez és egy gép csatlakoztatásához bizonyos előfeltételeknek teljesülniük kell. Vannak hálózatkezelési követelmények is, amelyeket figyelembe kell venni.

Számos lehetőséget biztosítunk az ügynök üzembe helyezésére. További információ: Üzembe helyezési és üzembehelyezési lehetőségek tervezése.

Következő lépések