Ringkasan agen Azure Mesin Terkoneksi

Agen Azure Connected Machine memungkinkan Anda mengelola komputer Windows dan Linux yang dihosting di luar Azure, di jaringan perusahaan Anda atau penyedia cloud lainnya.

Warning

Hanya versi agen Connected Machine dalam satu tahun terakhir yang secara resmi didukung oleh grup produk. Semua pelanggan harus memperbarui ke versi agen dalam jendela ini atau mengaktifkan peningkatan agen otomatis (pratinjau).

Komponen agen

Untuk mengunduh diagram arsitektur dalam resolusi tinggi, kunjungi Jumpstart Gems.

Paket agen Azure Connected Machine berisi beberapa komponen logis yang dibundel bersama-sama:

• Layanan Metadata Instans Hibrida (HIMDS) mengelola koneksi ke Azure dan identitas Azure komputer yang tersambung.

• Agen konfigurasi mesin menyediakan fungsionalitas seperti menilai apakah mesin mematuhi kebijakan yang diperlukan dan menegakkan kepatuhan.

  Perhatikan perilaku berikut dengan konfigurasi komputer Azure Policy untuk komputer yang terputus:

  • Penetapan Azure Policy yang menargetkan komputer yang tidak terhubung tidak terpengaruh.
  • Tugas tamu disimpan secara lokal selama 14 hari. Dalam periode 14 hari, jika agen Connected Machine terhubung kembali ke layanan, penetapan kebijakan akan diterapkan kembali.
  • Tugas dihapus setelah 14 hari, dan tidak ditetapkan ulang ke komputer setelah periode 14 hari.

• Agen Ekstensi mengelola ekstensi VM, termasuk pemasangan, pencopotan pemasangan, dan peningkatan versi. Azure mengunduh ekstensi dan menyalinnya ke %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads folder di Windows, dan ke /opt/GC_Ext/downloads di Linux. Di Windows, ekstensi diinstal ke jalur %SystemDrive%\Packages\Plugins\<extension>berikut , dan di Linux ekstensi diinstal ke /var/lib/waagent/<extension>.

Note

Agen Azure Monitor (AMA) adalah agen terpisah yang mengumpulkan data pemantauan. Ini tidak menggantikan agen Mesin Terkoneksi. AMA hanya menggantikan agen Log Analytics, ekstensi Diagnostik, dan agen Telegraf untuk komputer Windows dan Linux.

Proksi Azure Arc

Layanan Proksi Azure Arc bertanggung jawab untuk menggabungkan lalu lintas jaringan dari layanan agen Azure Connected Machine dan ekstensi apa pun dan memutuskan ke mana harus merutekan data tersebut. Jika Anda menggunakan gateway Azure Arc (Pratinjau terbatas) untuk menyederhanakan titik akhir jaringan Anda, layanan Proksi Azure Arc adalah komponen lokal yang meneruskan permintaan jaringan melalui gateway Azure Arc alih-alih rute default. Proksi Azure Arc berjalan sebagai Layanan Jaringan di Windows dan akun pengguna standar (arcproxy) di Linux. Sebelum agen Azure Connected Machine versi 1.51, layanan ini dinonaktifkan secara default, dan harus tetap dinonaktifkan kecuali Anda mengonfigurasi agen untuk menggunakan gateway Azure Arc (Pratinjau terbatas). Dengan versi 1.51 dan yang lebih baru, layanan Arc Proxy dijalankan secara default karena sekarang dapat menentukan apakah komputer dikonfigurasi untuk menggunakan Arc Gateway, atau untuk berkomunikasi langsung dengan endpoint Arc dan berfungsi dengan semestinya. Jika Anda tidak menggunakan Gateway Arc, Anda masih dapat memilih untuk menonaktifkan layanan Proksi Arc dengan perintah azcmagent config set connection.type directberikut .

Sumber daya agen

Bagian ini menjelaskan direktori dan akun pengguna yang digunakan oleh agen Azure Connected Machine.

Detail penginstalan agen Windows

Agen Windows didistribusikan sebagai paket Pemasang Windows (MSI). Unduh agen Windows dari Pusat Unduhan Microsoft. Menginstal agen Connected Machine untuk Window menerapkan perubahan konfigurasi di seluruh sistem berikut:

• Proses penginstalan membuat folder berikut selama penyiapan.

  Directory	Description
  %ProgramFiles%\AzureConnectedMachineAgent	Eksekusi CLI azcmagent dan layanan metadata instans.
  %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC	Eksekusi berkas layanan ekstensi.
  %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC	Executable layanan konfigurasi mesin (kebijakan).
  %ProgramData%\AzureConnectedMachineAgent	File konfigurasi, log, dan token identitas untuk azcmagent CLI dan layanan metadata instans.
  %ProgramData%\GuestConfig	Unduhan paket ekstensi, unduhan definisi konfigurasi komputer (kebijakan), dan log untuk ekstensi dan layanan konfigurasi komputer.
  %SYSTEMDRIVE%\packages	Paket ekstensi yang dapat dieksekusi

• Menginstal agen membuat layanan Windows berikut pada komputer target.

  Nama layanan	Nama tampilan	Nama proses	Description
  himds	Azure Hybrid Instance Metadata Service	himds.exe	Menyinkronkan metadata dengan Azure dan menghosting REST API lokal untuk ekstensi dan aplikasi guna mengakses metadata dan meminta token identitas terkelola Microsoft Entra
  GCArcService	Layanan Konfigurasi Mesin Arc	gc_arc_service.exe (gc_service.exe lebih lama dari versi 1.36)	Mengaudit dan memberlakukan kebijakan konfigurasi komputer Azure pada komputer.
  ExtensionService	Layanan Ekstensi konfigurasi mesin	gc_extension_service.exe (gc_service.exe lebih lama dari versi 1.36)	Menginstal, memperbarui, dan mengelola ekstensi pada komputer.

• Penginstalan agen membuat akun layanan virtual berikut ini.

  Akun Virtual	Description
  NT SERVICE\himds	Akun tanpa hak istimewa yang digunakan untuk menjalankan Hybrid Instance Metadata Service.

  Tip

  Akun ini memerlukan hak "Masuk sebagai layanan". Hak ini secara otomatis diberikan selama penginstalan aplikasi agen. Namun, jika organisasi Anda mengonfigurasi penetapan hak pengguna dengan Kebijakan Grup, Anda mungkin perlu menyesuaikan Objek Kebijakan Grup Anda untuk memberikan hak kepada "NT SERVICE\himds" atau "NT SERVICE\ALL SERVICES" untuk memungkinkan agen berfungsi.

• Penginstalan agen akan membuat grup keamanan lokal yang berikut dalam sistem.

  Nama grup keamanan	Description
  Aplikasi ekstensi agen hibrid	Anggota grup keamanan ini dapat meminta token Microsoft Entra untuk identitas terkelola yang ditetapkan sistem

• Penginstalan agen membuat variabel lingkungan berikut

  Name	Nilai default
  IDENTITY_ENDPOINT	http://localhost:40342/metadata/identity/oauth2/token
  IMDS_ENDPOINT	http://localhost:40342

• Ada beberapa file log yang tersedia untuk pemecahan masalah, dijelaskan dalam tabel berikut.

  Log	Description
  %ProgramData%\AzureConnectedMachineAgent\Log\himds.log	Mencatat rincian dari sinyal heartbeat dan komponen agen identitas.
  %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log	Memuat keluaran dari perintah alat azcmagent.
  %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log	Merekam detail tentang komponen agen konfigurasi komputer (kebijakan).
  %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log	Mencatat detail aktivitas pengelola ekstensi (peristiwa instal, hapus instalan, dan peningkatan ekstensi).
  %ProgramData%\GuestConfig\extension_logs	Direktori yang berisi log untuk ekstensi individual.

• Setelah menghapus instalan agen, artefak berikut tetap ada.

  • %ProgramData%\AzureConnectedMachineAgent\Log
  • %ProgramData%\AzureConnectedMachineAgent
  • %ProgramData%\GuestConfig
  • %SystemDrive%\packages

Note

Sebelum penginstalan, kecualikan sementara lokasi file penginstalan dari pemindaian antivirus/antimalware Anda. Ini mencegah potensi gangguan dan kerusakan file selama penginstalan.

Detail penginstalan agen Linux

Format paket pilihan untuk distribusi (.rpm atau .deb) yang dihosting di repositori paket Microsoft menyediakan agen Connected Machine untuk Linux. Bundel skrip shell Install_linux_azcmagent.sh menginstal dan mengonfigurasi agen.

Menginstal, meningkatkan, dan menghapus agen Connected Machine tidak diperlukan setelah server dimulai ulang.

Menginstal agen Connected Machine untuk Linux menerapkan perubahan konfigurasi di seluruh sistem berikut.

• Pengaturan menghasilkan folder instalasi berikut.

  Directory	Description
  /opt/azcmagent/	Eksekusi CLI azcmagent dan layanan metadata instans.
  /opt/GC_Ext/	Eksekusi berkas layanan ekstensi.
  /opt/GC_Service/	Executable layanan konfigurasi mesin (kebijakan).
  /var/opt/azcmagent/	File konfigurasi, log, dan token identitas untuk azcmagent CLI dan layanan metadata instans.
  /var/lib/GuestConfig/	Unduhan paket ekstensi, unduhan definisi konfigurasi komputer (kebijakan), dan log untuk ekstensi dan layanan konfigurasi komputer.

• Menginstal agen membuat daemon berikut.

  Nama layanan	Nama tampilan	Nama proses	Description
  himdsd.service	Layanan Azure Connected Machine Agent	himds	Layanan ini mengimplementasikan Hybrid Instance Metadata Service (IMDS) untuk mengelola koneksi ke Azure dan identitas Azure komputer terhubung.
  gcad.service	Layanan Arc GC	gc_linux_service	Mengaudit dan memberlakukan kebijakan konfigurasi komputer Azure pada komputer.
  extd.service	Layanan Ekstensi	gc_linux_service	Menginstal, memperbarui, dan mengelola ekstensi pada komputer.

• Ada beberapa file log yang tersedia untuk pemecahan masalah, dijelaskan dalam tabel berikut.

  Log	Description
  /var/opt/azcmagent/log/himds.log	Mencatat rincian dari sinyal heartbeat dan komponen agen identitas.
  /var/opt/azcmagent/log/azcmagent.log	Memuat keluaran dari perintah alat azcmagent.
  /var/lib/GuestConfig/arc_policy_logs	Merekam detail tentang komponen agen konfigurasi komputer (kebijakan).
  /var/lib/GuestConfig/ext_mgr_logs	Mencatat detail aktivitas pengelola ekstensi (peristiwa instal, hapus instalan, dan peningkatan ekstensi).
  /var/lib/GuestConfig/extension_logs	Direktori yang berisi log untuk ekstensi individual.

• Instalasi agen membuat variabel lingkungan berikut yang diatur dalam /lib/systemd/system.conf.d/azcmagent.conf.

  Name	Nilai default
  IDENTITY_ENDPOINT	http://localhost:40342/metadata/identity/oauth2/token
  IMDS_ENDPOINT	http://localhost:40342

• Setelah agen dihapus instalasinya, artefak berikut akan tetap ada.

  • /var/opt/azcmagent
  • /var/lib/GuestConfig

Tata kelola sumber daya agen

Agen Azure Connected Machine dirancang untuk mengelola konsumsi sumber daya agen dan sistem. Agen mendekati tata kelola sumber daya dalam kondisi berikut:

• Layanan Konfigurasi Mesin (sebelumnya Konfigurasi Tamu) dapat menggunakan hingga 5% dari CPU untuk mengevaluasi kebijakan.

• Layanan Ekstensi dapat menggunakan hingga 5% CPU pada komputer Windows dan 30% CPU pada komputer Linux untuk menginstal, meningkatkan, menjalankan, dan menghapus ekstensi. Beberapa ekstensi mungkin menerapkan batas CPU yang lebih ketat setelah diinstal. Pengecualian berikut berlaku:

  Jenis ekstensi	Sistem operasi	Batas CPU
  AzureMonitorLinuxAgent	Linux	60%
  AzureMonitorWindowsAgent	Windows	100%
  LinuxOsUpdateExtension	Linux	60%
  MDE.Linux	Linux	60%
  MicrosoftDnsAgent	Windows	100%
  MicrosoftMonitoringAgent	Windows	60%
  OmsAgentForLinux	Linux	60%

Selama operasi normal, didefinisikan sebagai agen Azure Connected Machine yang terhubung ke Azure dan tidak secara aktif memodifikasi ekstensi atau mengevaluasi kebijakan, Anda dapat mengharapkan agen untuk menggunakan sumber daya sistem berikut:

	Windows	Linux
Penggunaan CPU (dinormalisasi menjadi 1 inti)	0.07%	0.02%
Penggunaan memori	57 MB	42 MB

Data performa di atas dikumpulkan pada April 2023 pada komputer virtual yang menjalankan Windows Server 2022 dan Ubuntu 20.04. Performa agen aktual dan konsumsi sumber daya bervariasi berdasarkan konfigurasi perangkat keras dan perangkat lunak server Anda.

Batas sumber daya kustom

Batas tata kelola sumber daya default adalah pilihan terbaik untuk sebagian besar server. Namun, komputer virtual kecil dan server dengan sumber daya CPU terbatas mungkin mengalami waktu habis saat mengelola ekstensi atau mengevaluasi kebijakan karena tidak ada cukup sumber daya CPU untuk menyelesaikan tugas. Dimulai dengan agen versi 1.39, Anda dapat menyesuaikan batas CPU yang diterapkan ke manajer ekstensi dan layanan Konfigurasi Mesin untuk membantu agen menyelesaikan tugas ini lebih cepat.

Untuk melihat batas sumber daya saat ini untuk pengelola ekstensi dan layanan Konfigurasi Mesin, jalankan perintah berikut.

azcmagent config list

Dalam output, Anda akan melihat dua bidang, guestconfiguration.agent.cpulimit dan extensions.agent.cpulimit dengan batas sumber daya saat ini yang ditentukan sebagai persentase. Pada penginstalan baru agen, keduanya akan menunjukkan 5 karena batas default adalah 5% dari CPU.

Untuk mengubah batas sumber daya untuk manajer ekstensi menjadi 80%, jalankan perintah berikut:

azcmagent config set extensions.agent.cpulimit 80

Metadata instans

Informasi metadata tentang komputer yang terhubung dikumpulkan setelah agen Connected Machine mendaftar dengan server dengan dukungan Azure Arc. Specifically:

• Nama, edisi, jenis, dan versi sistem operasi
• Nama komputer
• Produsen dan model komputer
• Nama domain yang sepenuhnya memenuhi syarat komputer (FQDN)
• Nama domain (jika bergabung ke domain Direktori Aktif)
• Direktori Aktif dan DNS nama domain yang sepenuhnya memenuhi syarat (FQDN)
• UUID (ID BIOS)
• Sinyal aktivitas agent mesin terhubung
• Versi agen Mesin Terkoneksi
• Kunci umum untuk identitas terkelola
• Status dan detail kepatuhan kebijakan (jika menggunakan kebijakan konfigurasi komputer)
• SQL Server diinstal (nilai Boolean)
• PostgreSQL terinstal (nilai Boolean)
• MySQL terinstal (nilai Boolean)
• ID sumber daya kluster (untuk komputer Lokal Azure)
• Produsen perangkat keras
• Model perangkat keras
• Jenis keluarga CPU, soket, jumlah inti fisik, dan jumlah inti logis
• Total memori fisik (pada sistem Linux, ini mencatat nilai MemTotal dari /proc/meminfo, yang merupakan total RAM yang dapat digunakan, bukan total keseluruhan memori fisik)
• Nomor seri
• Tag aset SMBIOS
• Informasi antarmuka jaringan
  • alamat IP
  • Subnet
• Informasi lisensi Windows
  • Status lisensi OS
  • Saluran lisensi sistem operasi
  • Kelayakan Pembaruan Keamanan yang Diperpanjang
  • Status lisensi Pembaruan Keamanan diperpanjang
  • Saluran lisensi Pembaruan Keamanan diperpanjang
• Penyedia cloud
• Metadata Amazon Web Services (AWS), saat dijalankan di AWS:
  • ID Pengguna Akun
  • Instans ID
  • Region
• Metadata Google Cloud Platform (GCP) saat digunakan di GCP:
  • Instans ID
  • Image
  • Jenis mesin
  • ID Proyek
  • Nomor proyek
  • Akun layanan
  • Zone
• Metadata Oracle Cloud Infrastructure, saat berjalan di OCI:
  • Nama tampilan

Agen meminta informasi metadata berikut dari Azure:

• Lokasi sumber daya (wilayah)
• ID mesin virtual
• Tags
• Sertifikat identitas terkelola Microsoft Entra
• Penetapan kebijakan konfigurasi mesin
• Permintaan ekstensi - pasang, perbarui, dan hapus.

Note

Server dengan dukungan Azure Arc tidak mengumpulkan informasi pengidentifikasi pribadi (PII) atau informasi pengidentifikasi pengguna akhir atau menyimpan data pelanggan apa pun.

Metadata pelanggan tidak disimpan atau diproses di luar wilayah tempat pelanggan menyebarkan instans layanan.

Opsi dan persyaratan penyebaran

Penyebaran agen dan koneksi mesin memerlukan prasyarat tertentu. Ada juga persyaratan jaringan yang harus diperhatikan.

Kami menyediakan beberapa opsi untuk mengimplementasikan agen. Untuk informasi selengkapnya, lihat Merencanakan opsi penyebaran dan Penyebaran.

Panduan kloning

Anda dapat menginstal paket azcmagent dengan aman ke dalam gambar emas, tetapi setelah Anda menyambungkan mesin menggunakan azcmagent connect perintah , komputer tersebut menerima informasi sumber daya tertentu. Jika Anda membangun mesin dengan mengkloningnya dari gambar emas, Anda harus terlebih dahulu mengkhususkan setiap mesin sebelum menyambungkannya ke Azure dengan azcmagent connect perintah . Jangan sambungkan mesin gambar emas asli ke Azure hingga Anda membuat dan mengkhususkan setiap komputer.

Jika server yang terhubung menerima 429 pesan kesalahan, kemungkinan Anda menghubungkan server ke Azure dan kemudian menggunakan server tersebut sebagai gambar emas untuk kloning. Karena informasi sumber daya direkam ke dalam gambar, komputer kloning yang dibuat dari gambar tersebut mencoba mengirim pesan heartbeat ke sumber daya yang sama.

Untuk mengatasi 429 pesan kesalahan untuk komputer yang ada, jalankan azcmagent disconnect --force-local-only pada setiap komputer kloning, lalu jalankan azcmagent connect ulang menggunakan kredensial yang sesuai untuk menghubungkan komputer ke cloud menggunakan nama sumber daya yang unik.

Pemulihan bencana

Tidak ada opsi pemulihan bencana yang dapat diaktifkan oleh pelanggan untuk server yang diaktifkan Arc. Jika terjadi pemadaman di wilayah Azure, sistem akan beralih ke wilayah lain dalam geografi Azure yang sama (jika ada). Meskipun prosedur failover ini otomatis, itu memang membutuhkan waktu. Agen Connected Machine terputus selama periode ini dan menunjukkan status Terputus hingga failover selesai. Sistem akan kembali ke wilayah asalnya setelah pemadaman diselesaikan.

Pemadaman Azure Arc tidak akan memengaruhi beban kerja pelanggan itu sendiri; hanya manajemen server yang berlaku melalui Arc yang akan terganggu.

Pemutusan sambungan server

Agen Connected Machine mengirimkan pesan heartbeat secara teratur ke Azure setiap lima menit sekali. Jika server yang diaktifkan Arc berhenti mengirimkan sinyal heartbeat ke Azure selama lebih dari 15 menit, ini dapat berarti bahwa server sedang offline, koneksi jaringan diblokir, atau agen tidak beroperasi.

Kembangkan rencana untuk menanggapi dan menyelidiki insiden ini, termasuk menyiapkan pemberitahuan Kesehatan sumber daya untuk mendapatkan pemberitahuan ketika insiden tersebut terjadi. Untuk informasi selengkapnya, lihat Buat pemberitahuan Resource Health di portal Azure dan Pemecahan masalah server Azure Arc-enabled dalam skenario terputus.

Langkah selanjutnya

• Untuk mulai mengevaluasi server dengan dukungan Azure Arc, lihat Mulai Cepat: Menyambungkan komputer hibrid dengan server dengan dukungan Azure Arc.
• Sebelum Anda menyebarkan agen Azure Connected Machine dan berintegrasi dengan layanan manajemen dan pemantauan Azure lainnya, tinjau panduan Perencanaan dan penyebaran.
• Tinjau informasi pemecahan masalah dalam panduan pemecahan masalah koneksi agen.