Megosztás a következőn keresztül:

Az Azure Connected Machine ügynök áttekintése

Az Azure Connected Machine-ügynökkel kezelheti az Azure-on kívül üzemeltetett Windows- és Linux-gépeket a vállalati hálózaton vagy más felhőszolgáltatókon.

Warning

Csak az elmúlt egy évben kiadott Csatlakoztatott Gépi Ügynök-verziókat támogatja hivatalosan a termékcsoport. Ebben az ablakban minden ügyfélnek frissítenie kell egy ügynökverzióra, vagy engedélyeznie kell az automatikus ügynökfrissítéseket (előzetes verzió).

Az ügynök alkotóelemei

Az Azure Connected Machine-ügynök architekturális áttekintésének diagramja.

Az architektúradiagramok nagy felbontású letöltéséhez látogasson el a Jumpstart Gems webhelyre.

Az Azure Connected Machine-ügynökcsomag több logikai összetevőt tartalmaz, amelyek össze vannak csomagolva:

  • A hibrid példány metaadat-szolgáltatása (HIMDS) kezeli az Azure-hoz való kapcsolatot és a csatlakoztatott gép Azure-identitását.

  • A gépkonfigurációs ügynök olyan funkciókat biztosít, mint például annak felmérése, hogy a gép megfelel-e a szükséges szabályzatoknak, és érvényesíti a megfelelőséget.

    Figyelje meg a leválasztott gép Azure Policy gépi konfigurációjával kapcsolatos alábbi viselkedést:

    • A leválasztott gépeket célzó Azure Policy-hozzárendelések nem változnak.
    • A vendéghozzárendelések tárolása helyileg történik 14 napig. A 14 napos időszakon belül, ha a Csatlakoztatott gép ügynök újra csatlakozik a szolgáltatáshoz, a szabályzat-hozzárendelések újra lesznek alkalmazva.
    • A hozzárendelések 14 nap után törlődnek, és a 14 napos időszak után nem lesznek hozzárendelve a géphez.

  • A bővítményügynök kezeli a virtuálisgép-bővítményeket, beleértve a telepítést, az eltávolítást és a frissítést. Az Azure letölti a bővítményeket, és átmásolja őket a %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Windows és a Linux mappájába /opt/GC_Ext/downloads . Windows rendszeren a bővítmény a következő elérési útra %SystemDrive%\Packages\Plugins\<extension>telepedik, Linuxon pedig a bővítmény a következőre /var/lib/waagent/<extension>telepíthető.

Note

Az Azure Monitor-ügynök (AMA) egy külön ügynök, amely figyelési adatokat gyűjt. Nem helyettesíti a csatlakoztatott gép ügynökét. Az AMA csak a Log Analytics-ügynököt, a Diagnostics-bővítményt és a Telegraf-ügynököt helyettesíti Windows és Linux rendszerű gépeken.

Azure Arc-proxy

Az Azure Arc Proxy szolgáltatás felelős az Azure Connected Machine-ügynök szolgáltatásaiból és a bővítményekből érkező hálózati forgalom összesítéséért, és annak eldöntéséért, hogy hová irányíthatja az adatokat. Ha az Azure Arc-átjárót (korlátozott előzetes verzió) használja a hálózati végpontok egyszerűsítése érdekében, az Azure Arc Proxy szolgáltatás az a helyi összetevő, amely az alapértelmezett útvonal helyett az Azure Arc-átjárón keresztül továbbítja a hálózati kérelmeket. Az Azure Arc-proxy hálózati szolgáltatásként fut Windows rendszeren és egy standard felhasználói fiókként (arcproxy) Linuxon. Az Azure Connected Machine-ügynök 1.51-es verziója előtt ez a szolgáltatás alapértelmezés szerint le lett tiltva, és le kell tiltani, hacsak nem konfigurálja az ügynököt az Azure Arc-átjáró használatára (korlátozott előzetes verzió). Az 1.51-es és újabb verzióval az Arc Proxy szolgáltatás alapértelmezés szerint elindul, mivel mostantól meghatározhatja, hogy a gép arc-átjáró használatára van-e konfigurálva, vagy hogy közvetlenül kommunikáljon az Arc-végpontokkal, és megfelelően viselkedjen. Ha nem arc-átjárót használ, akkor is letilthatja az Arc Proxy szolgáltatást az alábbi paranccsal azcmagent config set connection.type direct.

Ügynökerőforrások

Ez a szakasz az Azure Connected Machine-ügynök által használt címtárakat és felhasználói fiókokat ismerteti.

A Windows-ügynök telepítésének részletei

A Windows-ügynök Windows Installer-csomagként (MSI) kerül terjesztésre. Töltse le a Windows-ügynököt a Microsoft Letöltőközpontból. A Windows csatlakoztatottgép-ügynökének telepítése a következő rendszerszintű konfigurációs módosításokat alkalmazza:

  • A telepítési folyamat a következő mappákat hozza létre a telepítés során.

    Directory Description
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI és a példány metaadat-szolgáltatás futtatható fájljai.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC Bővítményszolgáltatás futtatható fájlok.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC A gépkonfigurációs (szabályzat-) szolgáltatás végrehajtható.
    %ProgramData%\AzureConnectedMachineAgent Konfigurációs, napló- és identitásjogkivonat-fájlok azcmagent parancssori felülethez és a példány metaadat-szolgáltatásához.
    %ProgramData%\GuestConfig A bővítménycsomagok letöltése, a gépkonfiguráció (szabályzat) definíciójának letöltése, valamint a bővítmény- és gépkonfigurációs szolgáltatások naplói.
    %SYSTEMDRIVE%\packages Bővítményszolgáltatás futtatható fájlok

  • Az ügynök telepítése a következő Windows-szolgáltatásokat hozza létre a célszámítógépen.

    Szolgáltatásnév Megjelenítendő név Folyamat neve Description
    himds Azure hibrid példány-metaadat szolgáltatás himds.exe Szinkronizálja a metaadatokat az Azure-ral, és helyi REST API-t üzemeltet bővítményekhez és alkalmazásokhoz a metaadatok eléréséhez és a Microsoft Entra által felügyelt identitástokenek lekéréséhez
    GCArcService Gépkonfigurációs Arc Service gc_arc_service.exe (gc_service.exe az 1.36-os verziónál korábbi) Naplóz és kikényszeríti az Azure-beli gép konfigurációs szabályzatait a gépen.
    ExtensionService Gépkonfigurációs bővítményszolgáltatás gc_extension_service.exe (gc_service.exe az 1.36-os verziónál korábbi) Telepíti, frissíti és kezeli a bővítményeket a gépen.

  • Az ügynök telepítése a következő virtuális szolgáltatásfiókot hozza létre.

    Virtuális fiók Description
    NT SERVICE\himds A hibrid példány metaadat-szolgáltatásának futtatásához használt nem emelt szintű fiók.

    Tip

    Ehhez a fiókhoz a „Bejelentkezés szolgáltatásként” jogosultság szükséges. Ez a jog automatikusan meg van adva az ügynök telepítése során. Ha azonban a szervezet csoportházirenddel konfigurálja a felhasználói jogosultsági hozzárendeléseket, előfordulhat, hogy módosítania kell a csoportházirend-objektumot, hogy az "NT SERVICE\himds" vagy az "NT SERVICE\ALL SERVICES" jogosultságot biztosítson az ügynök működésének engedélyezéséhez.

  • Az ügynöktelepítés a következő helyi biztonsági csoportot hozza létre.

    Biztonsági csoport neve Description
    Hibrid ügynökbővítmény-alkalmazások A biztonsági csoport tagjai Microsoft Entra-tokeneket kérhetnek a rendszer által hozzárendelt felügyelt identitáshoz

  • Az ügynöktelepítés a következő környezeti változókat hozza létre

    Name Alapértelmezett érték
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • A hibaelhárításhoz számos naplófájl érhető el, amelyeket az alábbi táblázatban ismertetünk.

    Log Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Rögzíti a szívverés és az identitásügynök összetevők részleteit.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Az azcmagent eszközparancsok kimenetét tartalmazza.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log A gépkonfigurációs (szabályzat-) ügynök összetevő részleteit rögzíti.
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Rögzíti a bővítménykezelő tevékenységének részleteit (bővítménytelepítési, eltávolítási és frissítési események).
    %ProgramData%\GuestConfig\extension_logs Az egyes bővítmények naplóit tartalmazó könyvtár.

  • Az ügynök eltávolítása után a következő összetevők maradnak.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Note

A telepítés előtt ideiglenesen zárja ki a telepítőfájlok helyét a víruskereső/kártevőirtó vizsgálatból. Ez megakadályozza az esetleges interferencia- és fájlsérülést a telepítés során.

Linux-ügynök telepítésének részletei

A .rpm üzemeltetett disztribúció (.debvagy ) előnyben részesített csomagformátuma biztosítja a Linux csatlakoztatott gép ügynökét. A shell script csomag Install_linux_azcmagent.sh telepíti és konfigurálja az ügynököt.

A csatlakoztatottgép-ügynök telepítése, frissítése és eltávolítása nem szükséges a kiszolgáló újraindítása után.

A Linux csatlakoztatottgép-ügynök telepítése a következő rendszerszintű konfigurációs módosításokat alkalmazza.

  • A telepítő a következő telepítési mappákat hozza létre.

    Directory Description
    /opt/azcmagent/ azcmagent CLI és a példány metaadat-szolgáltatás futtatható fájljai.
    /opt/GC_Ext/ Bővítményszolgáltatás futtatható fájlok.
    /opt/GC_Service/ A gépkonfigurációs (szabályzat-) szolgáltatás végrehajtható.
    /var/opt/azcmagent/ Konfigurációs, napló- és identitásjogkivonat-fájlok azcmagent parancssori felülethez és a példány metaadat-szolgáltatásához.
    /var/lib/GuestConfig/ A bővítménycsomagok letöltése, a gépkonfiguráció (szabályzat) definíciójának letöltése, valamint a bővítmény- és gépkonfigurációs szolgáltatások naplói.

  • Az ügynök telepítése a következő démonokat hozza létre.

    Szolgáltatásnév Megjelenítendő név Folyamat neve Description
    himdsd.service Azure Kapcsolt Gépi Ügynök Szolgáltatás himds Ez a szolgáltatás implementálja a hibrid példány metaadat-szolgáltatását (IMDS) az Azure-hoz és a csatlakoztatott gép Azure-identitásához való kapcsolat kezeléséhez.
    gcad.service GC Arc szolgáltatás gc_linux_service Naplóz és kikényszeríti az Azure-beli gép konfigurációs szabályzatait a gépen.
    extd.service Bővítményszolgáltatás gc_linux_service Telepíti, frissíti és kezeli a bővítményeket a gépen.

  • A hibaelhárításhoz számos naplófájl érhető el, amelyeket az alábbi táblázatban ismertetünk.

    Log Description
    /var/opt/azcmagent/log/himds.log Rögzíti a szívverés és az identitásügynök összetevők részleteit.
    /var/opt/azcmagent/log/azcmagent.log Az azcmagent eszközparancsok kimenetét tartalmazza.
    /var/lib/GuestConfig/arc_policy_logs A gépkonfigurációs (szabályzat-) ügynök összetevő részleteit rögzíti.
    /var/lib/GuestConfig/ext_mgr_logs Rögzíti a bővítménykezelő tevékenységének részleteit (bővítménytelepítési, eltávolítási és frissítési események).
    /var/lib/GuestConfig/extension_logs Az egyes bővítmények naplóit tartalmazó könyvtár.

  • Az ügynöktelepítés a következő környezeti változókat hozza létre a következő beállításban /lib/systemd/system.conf.d/azcmagent.conf.

    Name Alapértelmezett érték
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Az ügynök eltávolítása után a következő összetevők maradnak.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Ügynökerőforrás-szabályozás

Az Azure Connected Machine-ügynök az ügynök és a rendszer erőforrás-felhasználásának kezelésére lett kialakítva. Az ügynök a következő feltételek mellett közelíti meg az erőforrás-szabályozást:

  • A Gépkonfiguráció (korábbi nevén Vendégkonfiguráció) szolgáltatás a processzor akár 5%-át is használhatja a szabályzatok kiértékeléséhez.

  • A Bővítmény szolgáltatás a Windows rendszerű gépeken a processzor akár 5%-át, Linux rendszerű gépeken pedig a processzor 30%-át használhatja bővítmények telepítéséhez, frissítéséhez, futtatásához és törléséhez. Egyes bővítmények szigorúbb cpu-korlátozásokat alkalmazhatnak a telepítés után. A következő kivételek érvényesek:

    Bővítmény típusa Operációs rendszer CPU-korlát
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Az Azure-hoz csatlakoztatott Azure Connected Machine-ügynökként definiált normál műveletek során, amelyek nem módosítják aktívan a bővítményeket vagy kiértékelik a szabályzatokat, számíthat arra, hogy az ügynök a következő rendszererőforrásokat használja fel:

Windows Linux
CPU-használat (1 magra normalizálva) 0.07% 0.02%
Memóriahasználat 57 MB 42 MB

A fenti teljesítményadatokat 2023 áprilisában gyűjtöttük össze Windows Server 2022 és Ubuntu 20.04 rendszerű virtuális gépeken. Az ügynökök tényleges teljesítménye és erőforrás-felhasználása a kiszolgálók hardver- és szoftverkonfigurációja alapján változhat.

Egyéni erőforráskorlátok

A legtöbb kiszolgáló számára az alapértelmezett erőforrás-szabályozási korlátok a legjobb választás. A korlátozott processzorerőforrásokkal rendelkező kis virtuális gépek és kiszolgálók azonban időtúllépést tapasztalhatnak a bővítmények kezelésekor vagy a szabályzatok kiértékelésekor, mivel nincs elegendő CPU-erőforrás a feladatok elvégzéséhez. Az ügynök 1.39-es verziójától kezdve testre szabhatja a bővítménykezelőre és a gépkonfigurációs szolgáltatásokra alkalmazott CPU-korlátokat, hogy az ügynök gyorsabban elvégezhesse ezeket a feladatokat.

A bővítménykezelő és a gépkonfigurációs szolgáltatások aktuális erőforráskorlátainak megtekintéséhez futtassa az alábbi parancsot.

azcmagent config list

A kimenetben két mező jelenik meg, guestconfiguration.agent.cpulimit és extensions.agent.cpulimit az aktuális erőforráskorlát százalékos értékként van megadva. Az ügynök friss telepítésekor mindkettő megjelenik 5 , mert az alapértelmezett korlát a processzor 5%-a.

Ha a bővítménykezelő erőforráskorlátját 80%-ra szeretné módosítani, futtassa a következő parancsot:

azcmagent config set extensions.agent.cpulimit 80

Példány metaadatai

A csatlakoztatott gép metaadatait azután gyűjti a rendszer, hogy a csatlakoztatott gép ügynök regisztrál az Azure Arc-kompatibilis kiszolgálókon. Specifically:

  • Operációs rendszer neve, kiadása, típusa és verziója
  • Számítógép neve
  • Számítógép gyártója és modellje
  • Számítógép teljes tartományneve (FQDN)
  • Tartománynév (ha egy Active Directory-tartományhoz csatlakozik)
  • Active Directory és DNS teljes tartománynév (FQDN)
  • UUID (BIOS-AZONOSÍTÓ)
  • Csatlakoztatott gép ügynökének szívverése
  • Csatlakoztatott gép ügynökének verziója
  • Nyilvános kulcs felügyelt identitáshoz
  • Szabályzatmegfeleltségi állapot és részletek (gépkonfigurációs szabályzatok használata esetén)
  • Telepített SQL Server (logikai érték)
  • PostgreSQL telepítve (logikai érték)
  • Telepített MySQL (logikai érték)
  • Fürt erőforrás-azonosítója (azure-beli helyi gépekhez)
  • Hardvergyártó
  • Hardvermodell
  • CPU-család, szoftvercsatornák, fizikai magok és logikai magok száma
  • Teljes fizikai memória (Linux rendszerek esetén ez a /proc/meminfo memTotal értékét tartalmazza, amely a teljes használható RAM a teljes fizikai memória helyett)
  • Sorozatszám
  • SMBIOS-eszközcímke
  • Hálózati adapter adatai
    • IP-cím
    • Subnet
  • A Windows licencelési adatai
    • Operációsrendszer-licenc állapota
    • Operációsrendszer-licenccsatorna
    • Kiterjesztett biztonsági frissítések jogosultsága
    • Kiterjesztett biztonsági frissítések licencállapota
    • Kiterjesztett biztonsági frissítések licenccsatornája
  • Felhőszolgáltató
  • Az Amazon Web Services (AWS) metaadatai az AWS-ben való futtatáskor:
    • Fiókazonosító
    • Példányazonosító
    • Region
  • A Google Cloud Platform (GCP) metaadatai a GCP-ben való futtatáskor:
    • Példányazonosító
    • Image
    • Gép típusa
    • Projektazonosító
    • Projektszám
    • Szolgáltatásfiókok
    • Zone
  • Oracle Cloud Infrastructure metaadatai az OCI-ben való futtatáskor:
    • Megjelenítendő név

Az ügynök a következő metaadatadatokat kéri le az Azure-tól:

  • Erőforrás helye (régió)
  • Virtuális gép azonosítója
  • Tags
  • Microsoft Entra felügyelt identitástanúsítvány
  • Gépkonfigurációs szabályzat hozzárendelései
  • Bővítménykérelmek – telepítés, frissítés és törlés.

Note

Az Azure Arc-kompatibilis kiszolgálók nem gyűjtenek személyes azonosításra alkalmas adatokat (PII) vagy végfelhasználói azonosításra alkalmas információkat, és nem tárolnak ügyféladatokat.

Az ügyfél metaadatai nem azon a régión kívül kerülnek tárolásra vagy feldolgozásra, amelyben az ügyfél üzembe helyezi a szolgáltatáspéldányt.

Üzembe helyezési lehetőségek és követelmények

Az ügynök üzembe helyezése és a gép kapcsolata bizonyos előfeltételeket igényel. Vannak hálózatkezelési követelmények is, amelyeket figyelembe kell venni.

Számos lehetőséget biztosítunk az ügynök üzembe helyezéséhez. További információ: Üzembe helyezési és üzembe helyezési lehetőségek tervezése.

Klónozási irányelvek

Az azcmagent csomagot biztonságosan telepítheti egy aranylemezképbe, de ha a parancs használatával csatlakoztat egy gépet, az azcmagent connect adott gép adott erőforrás-információkat kap. Ha aranylemezképből klónozza a gépeket, először minden gépet specializálnia kell, mielőtt a parancsot azcmagent connect az Azure-hoz csatlakoztatja. Ne csatlakoztassa az eredeti aranylemezkép-gépet az Azure-hoz, amíg nem hozta létre és specializálta az egyes számítógépeket.

Ha a csatlakoztatott kiszolgáló 429 hibaüzenetet kap, valószínű, hogy csatlakoztatta a kiszolgálót az Azure-hoz, majd ezt a kiszolgálót használta a klónozás aranylemezképeként. Mivel az erőforrás-adatokat rögzítették a rendszerképbe, a rendszerképből létrehozott klónozott gépek megpróbálnak szívverési üzeneteket küldeni ugyanarra az erőforrásra.

A meglévő gépek 429 hibaüzenetének feloldásához futtassa azcmagent disconnect --force-local-only az egyes klónozott gépeken, majd futtassa azcmagent connect újra a megfelelő hitelesítő adatok használatával a gépeket a felhőhöz egy egyedi erőforrásnév használatával.

Katasztrófa utáni helyreállítás

Az Arc-kompatibilis kiszolgálókhoz nincsenek ügyfélbarát vészhelyreállítási lehetőségek. Egy Azure-régióban történő kimaradás esetén a rendszer feladatátvételt hajt végre egy másik régióba ugyanabban az Azure-régióban (ha van ilyen). Bár ez a feladatátvételi eljárás automatikus, időbe telik. A kapcsolt gép ügynöke ebben az időszakban szét van kapcsolva, és kapcsolat nélküli állapotot mutat a feladatátvétel befejezéséig. A rendszer a kimaradás feloldása után visszaáll az eredeti régióba.

Az Azure Arc kimaradása nem érinti magát az ügyfél számítási feladatait; csak az alkalmazandó kiszolgálók Arcon keresztüli kezelése sérül.

Következő lépések

  • Last updated on