Ringkasan agen Connected Machine

  • Artikel

Agen Azure Koneksi ed Machine memungkinkan Anda mengelola komputer Windows dan Linux yang dihosting di luar Azure di jaringan perusahaan Anda atau penyedia cloud lainnya.

Komponen agen

Gambaran umum arsitektur agen Azure Koneksi ed Machine.

Paket agen Azure Koneksi ed Machine berisi beberapa komponen logis yang dibundel bersama-sama:

  • Layanan Metadata Instans Hibrida (HIMDS) mengelola koneksi ke Azure dan identitas Azure komputer yang tersambung.

  • Agen konfigurasi tamu menyediakan fungsionalitas seperti menilai apakah komputer mematuhi kebijakan yang diperlukan dan menerapkan kepatuhan.

    Perhatikan perilaku berikut dengan konfigurasi tamu Azure Policy untuk komputer yang tidak terhubung:

    • Penetapan Azure Policy yang menargetkan komputer yang tidak terhubung tidak terpengaruh.
    • Tugas tamu disimpan secara lokal selama 14 hari. Dalam periode 14 hari, jika agen Connected Machine tersambung kembali ke layanan, penetapan kebijakan akan diterapkan kembali.
    • Tugas dihapus setelah 14 hari, dan tidak ditetapkan ulang ke komputer setelah periode 14 hari.

  • Agen Ekstensi mengelola ekstensi VM, termasuk pemasangan, pencopotan pemasangan, dan peningkatan versi. Azure mengunduh ekstensi dan menyalinnya ke %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads folder di Windows, dan ke /opt/GC_Ext/downloads di Linux. Di Windows, ekstensi diinstal ke jalur %SystemDrive%\Packages\Plugins\<extension>berikut , dan di Linux ekstensi diinstal ke /var/lib/waagent/<extension>.

Catatan

Agen Azure Monitor (AMA) adalah agen terpisah yang mengumpulkan data pemantauan, dan tidak menggantikan agen Mesin yang Koneksi; AMA hanya menggantikan agen Log Analytics, ekstensi Diagnostik, dan agen Telegraf untuk komputer Windows dan Linux.

Sumber daya agen

Informasi berikut menjelaskan direktori dan akun pengguna yang digunakan oleh agen Azure Koneksi ed Machine.

Detail penginstalan agen Windows

Agen Windows didistribusikan sebagai paket Pemasang Windows (MSI). Unduh agen Windows dari Pusat Unduhan Microsoft. Menginstal agen Mesin Koneksi untuk Jendela menerapkan perubahan konfigurasi di seluruh sistem berikut:

  • Proses penginstalan membuat folder berikut selama penyiapan.

    Direktori Deskripsi
    %ProgramFiles%\AzureConnectedMachineAgent File eksekusi layanan metadata instans dan CLI azcmagent.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC File eksekusi layanan ekstensi.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC File eksekusi layanan konfigurasi tamu (kebijakan).
    %ProgramData%\AzureConnectedMachineAgent Konfigurasi, log dan file token identitas untuk layanan metadata instans dan CLI azcmagent.
    %ProgramData%\GuestConfig Unduhan paket ekstensi, unduhan definisi konfigurasi tamu (kebijakan), dan log untuk layanan konfigurasi tamu dan ekstensi.
    %SYSTEMDRIVE%\packages Paket ekstensi yang dapat dieksekusi

  • Menginstal agen membuat layanan Windows berikut pada komputer target.

    Nama layanan Nama tampilan Nama proses Deskripsi
    himds Azure Hybrid Instance Metadata Service himds.exe Menyinkronkan metadata dengan Azure dan menghosting REST API lokal untuk ekstensi dan aplikasi guna mengakses metadata dan meminta token identitas terkelola Microsoft Entra
    GCArcService Layanan Arc konfigurasi tamu gc_arc_service.exe (gc_service.exe sebelum versi 1.36) Mengaudit dan memberlakukan kebijakan konfigurasi tamu Azure pada komputer.
    ExtensionService Layanan Ekstensi konfigurasi tamu gc_extension_service.exe (gc_service.exe sebelum versi 1.36) Menginstal, memperbarui, dan mengelola ekstensi pada komputer.

  • Penginstalan agen membuat akun layanan virtual berikut.

    Akun Virtual Deskripsi
    NT SERVICE\himds Akun tanpa hak istimewa yang digunakan untuk menjalankan Hybrid Instance Metadata Service.

    Tip

    Akun ini memerlukan hak "Masuk sebagai layanan". Hak ini secara otomatis diberikan selama penginstalan agen, tetapi jika organisasi Anda mengonfigurasi penetapan hak pengguna dengan Kebijakan Grup, Anda mungkin perlu menyesuaikan Objek Kebijakan Grup Anda untuk memberikan hak kepada "NT SERVICE\himds" atau "NT SERVICE\ALL SERVICES" untuk memungkinkan agen berfungsi.

  • Penginstalan agen membuat grup keamanan lokal berikut.

    Nama grup keamanan Deskripsi
    Aplikasi ekstensi agen hibrid Anggota grup keamanan ini dapat meminta token Microsoft Entra untuk identitas terkelola yang ditetapkan sistem

  • Penginstalan agen membuat variabel lingkungan berikut

    Nama Nilai default Deskripsi
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Ada beberapa file log yang tersedia untuk pemecahan masalah, dijelaskan dalam tabel berikut.

    Log Deskripsi
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Mencatat detail komponen utama dan komponen agen identitas.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Berisi output dari perintah alat azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Mencatat detail tentang komponen agen konfigurasi tamu (kebijakan).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Mencatat detail aktivitas pengelola ekstensi (peristiwa instal, hapus instalan, dan peningkatan ekstensi).
    %ProgramData%\GuestConfig\extension_logs Direktori yang berisi log untuk ekstensi individual.

  • Proses ini membuat aplikasi ekstensi agen Hibrid grup keamanan lokal.

  • Setelah menghapus instalan agen, artefak berikut tetap ada.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Detail penginstalan agen Linux

Format paket pilihan untuk distribusi (.rpm atau .deb) yang dihosting di repositori paket Microsoft menyediakan agen Komputer yang Koneksi untuk Linux. Bundel skrip shell Install_linux_azcmagent.sh menginstal dan mengonfigurasi agen.

Menginstal, memutakhirkan, dan menghapus agen Koneksi ed Machine tidak diperlukan setelah server dimulai ulang.

Menginstal agen Mesin Koneksi untuk Linux menerapkan perubahan konfigurasi di seluruh sistem berikut.

  • Penyetelan membuat folder penginstalan berikut.

    Direktori Deskripsi
    /opt/azcmagent/ File eksekusi layanan metadata instans dan CLI azcmagent.
    /opt/GC_Ext/ File eksekusi layanan ekstensi.
    /opt/GC_Service/ File eksekusi layanan konfigurasi tamu (kebijakan).
    /var/opt/azcmagent/ Konfigurasi, log dan file token identitas untuk layanan metadata instans dan CLI azcmagent.
    /var/lib/GuestConfig/ Unduhan paket ekstensi, unduhan definisi konfigurasi tamu (kebijakan), dan log untuk layanan konfigurasi tamu dan ekstensi.

  • Menginstal agen membuat daemon berikut.

    Nama layanan Nama tampilan Nama proses Deskripsi
    himdsd.service Layanan Azure Connected Machine Agent himds Layanan ini mengimplementasikan Hybrid Instance Metadata Service (IMDS) untuk mengelola koneksi ke Azure dan identitas Azure komputer terhubung.
    gcad.service Layanan Arc GC gc_linux_service Mengaudit dan memberlakukan kebijakan konfigurasi tamu Azure pada komputer.
    extd.service Layanan Ekstensi gc_linux_service Menginstal, memperbarui, dan mengelola ekstensi pada komputer.

  • Ada beberapa file log yang tersedia untuk pemecahan masalah, dijelaskan dalam tabel berikut.

    Log Deskripsi
    /var/opt/azcmagent/log/himds.log Mencatat detail komponen utama dan komponen agen identitas.
    /var/opt/azcmagent/log/azcmagent.log Berisi output dari perintah alat azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Mencatat detail tentang komponen agen konfigurasi tamu (kebijakan).
    /var/lib/GuestConfig/ext_mgr_logs Mencatat detail aktivitas pengelola ekstensi (peristiwa instal, hapus instalan, dan peningkatan ekstensi).
    /var/lib/GuestConfig/extension_logs Direktori yang berisi log untuk ekstensi individual.

  • Penginstalan agen membuat variabel lingkungan berikut, diatur dalam /lib/systemd/system.conf.d/azcmagent.conf.

    Nama Nilai default Deskripsi
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Setelah menghapus instalan agen, artefak berikut tetap ada.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Tata kelola sumber daya agen

Agen Azure Koneksi ed Machine dirancang untuk mengelola konsumsi sumber daya agen dan sistem. Agen mendekati tata kelola sumber daya dalam kondisi berikut:

  • Layanan Konfigurasi Mesin (sebelumnya Konfigurasi Tamu) dapat menggunakan hingga 5% dari CPU untuk mengevaluasi kebijakan.

  • Layanan Ekstensi dapat menggunakan hingga 5% CPU pada komputer Windows dan 30% CPU pada komputer Linux untuk menginstal, meningkatkan, menjalankan, dan menghapus ekstensi. Beberapa ekstensi mungkin menerapkan batas CPU yang lebih ketat setelah diinstal. Pengecualian berikut berlaku:

    Jenis ekstensi Sistem operasi Batas CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE. Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Selama operasi normal, didefinisikan sebagai agen Azure Koneksi ed Machine yang terhubung ke Azure dan tidak secara aktif memodifikasi ekstensi atau mengevaluasi kebijakan, Anda dapat mengharapkan agen untuk menggunakan sumber daya sistem berikut:

Windows Linux
Penggunaan CPU (dinormalisasi menjadi 1 inti) 0,07% 0,02%
Penggunaan memori 57 MB 42 MB

Data performa di atas dikumpulkan pada April 2023 pada komputer virtual yang menjalankan Windows Server 2022 dan Ubuntu 20.04. Performa agen aktual dan konsumsi sumber daya akan bervariasi berdasarkan konfigurasi perangkat keras dan perangkat lunak server Anda.

Batas sumber daya kustom

Batas tata kelola sumber daya default adalah pilihan terbaik untuk sebagian besar server. Namun, komputer virtual kecil dan server dengan sumber daya CPU terbatas mungkin mengalami batas waktu saat mengelola ekstensi atau mengevaluasi kebijakan karena tidak ada cukup sumber daya CPU untuk menyelesaikan tugas. Dimulai dengan agen versi 1.39, Anda dapat menyesuaikan batas CPU yang diterapkan ke manajer ekstensi dan layanan Konfigurasi Mesin untuk membantu agen menyelesaikan tugas ini lebih cepat.

Untuk melihat batas sumber daya saat ini untuk pengelola ekstensi dan layanan Konfigurasi Mesin, jalankan perintah berikut.

azcmagent config list

Dalam output, Anda akan melihat dua bidang, guestconfiguration.agent.cpulimit dan extensions.agent.cpulimit dengan batas sumber daya saat ini yang ditentukan sebagai persentase. Pada penginstalan baru agen, keduanya akan ditampilkan 5 karena batas default adalah 5% dari CPU.

Untuk mengubah batas sumber daya untuk manajer ekstensi menjadi 80%, jalankan perintah berikut:

azcmagent config set extensions.agent.cpulimit 80

Metadata instans

Informasi metadata tentang komputer yang terhubung dikumpulkan setelah agen Koneksi ed Machine mendaftar dengan server dengan dukungan Azure Arc. Khususnya:

  • Nama, jenis, dan versi sistem operasi
  • Nama komputer
  • Produsen dan model komputer
  • Nama domain yang sepenuhnya memenuhi syarat komputer (FQDN)
  • Nama domain (jika bergabung ke domain Direktori Aktif)
  • Direktori Aktif dan DNS nama domain yang sepenuhnya memenuhi syarat (FQDN)
  • UUID (ID BIOS)
  • Detak jantung Azure Connected Machine Agent
  • Versi Azure Connected Machine Agent
  • Kunci umum untuk identitas terkelola
  • Status dan detail kepatuhan Policy (jika menggunakan kebijakan konfigurasi tamu)
  • SQL Server diinstal (nilai Boolean)
  • ID sumber daya kluster (untuk node Azure Stack HCI)
  • Produsen perangkat keras
  • Model perangkat keras
  • Jumlah keluarga CPU, soket, inti fisik, dan inti logis
  • Total memori fisik
  • Nomor seri
  • Tag aset SMBIOS
  • Penyedia cloud
  • Metadata Amazon Web Services (AWS), saat berjalan di AWS:
    • ID Akun
    • ID Instans
    • Wilayah
  • Metadata Google Cloud Platform (GCP), saat berjalan di GCP:
    • ID Instans
    • Gambar
    • Jenis komputer
    • ID Proyek
    • Nomor proyek
    • Akun layanan
    • Zone
  • Metadata Oracle Cloud Infrastructure, saat berjalan di OCI:
    • Nama tampilan

Agen meminta informasi metadata berikut dari Azure:

  • Lokasi sumber daya (wilayah)
  • ID komputer virtual
  • Tag
  • Sertifikat identitas terkelola Microsoft Entra
  • Penetapan kebijakan konfigurasi tamu
  • Permintaan ekstensi - pasang, perbarui, dan hapus.

Catatan

Server dengan dukungan Azure Arc tidak menyimpan/memproses data pelanggan di luar wilayah tempat pelanggan menyebarkan instans layanan.

Opsi dan persyaratan penyebaran

Penyebaran agen dan koneksi mesin memerlukan prasyarat tertentu. Ada juga persyaratan jaringan yang harus diperhatikan.

Kami menyediakan beberapa opsi untuk menyebarkan agen. Untuk informasi selengkapnya, lihat Merencanakan opsi penyebaran dan Penyebaran.

Langkah berikutnya

  • Untuk mulai mengevaluasi server dengan dukungan Azure Arc, lihat Mulai Cepat: Koneksi mesin hibrid dengan server dengan dukungan Azure Arc.
  • Sebelum Anda menyebarkan agen Azure Koneksi ed Machine dan berintegrasi dengan layanan manajemen dan pemantauan Azure lainnya, tinjau panduan Perencanaan dan penyebaran.
  • Tinjau informasi pemecahan masalah dalam panduan pemecahan masalah koneksi agen.