Bagikan melalui


Ringkasan agen Connected Machine

Agen Azure Connected Machine memungkinkan Anda mengelola komputer Windows dan Linux yang dihosting di luar Azure di jaringan perusahaan Anda atau penyedia cloud lainnya.

Peringatan

Hanya versi agen Connected Machine dalam 1 tahun terakhir yang secara resmi didukung oleh grup produk. Pelanggan harus memperbarui ke versi agen dalam jendela ini.

Komponen agen

Gambaran umum arsitektur agen Azure Connected Machine.

Paket agen Azure Connected Machine berisi beberapa komponen logis yang dibundel bersama-sama:

  • Layanan Metadata Instans Hibrida (HIMDS) mengelola koneksi ke Azure dan identitas Azure komputer yang tersambung.

  • Agen konfigurasi tamu menyediakan fungsionalitas seperti menilai apakah komputer mematuhi kebijakan yang diperlukan dan menerapkan kepatuhan.

    Perhatikan perilaku berikut dengan konfigurasi tamu Azure Policy untuk komputer yang tidak terhubung:

    • Penetapan Azure Policy yang menargetkan komputer yang tidak terhubung tidak terpengaruh.
    • Tugas tamu disimpan secara lokal selama 14 hari. Dalam periode 14 hari, jika agen Connected Machine tersambung kembali ke layanan, penetapan kebijakan akan diterapkan kembali.
    • Tugas dihapus setelah 14 hari, dan tidak ditetapkan ulang ke komputer setelah periode 14 hari.
  • Agen Ekstensi mengelola ekstensi VM, termasuk pemasangan, pencopotan pemasangan, dan peningkatan versi. Azure mengunduh ekstensi dan menyalinnya ke %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads folder di Windows, dan ke /opt/GC_Ext/downloads di Linux. Di Windows, ekstensi diinstal ke jalur %SystemDrive%\Packages\Plugins\<extension>berikut , dan di Linux ekstensi diinstal ke /var/lib/waagent/<extension>.

Catatan

Agen Azure Monitor (AMA) adalah agen terpisah yang mengumpulkan data pemantauan, dan tidak mengganti agen Connected Machine; AMA hanya menggantikan agen Log Analytics, ekstensi Diagnostik, dan agen Telegraf untuk komputer Windows dan Linux.

Proksi Azure Arc

Layanan Proksi Azure Arc bertanggung jawab untuk menggabungkan lalu lintas jaringan dari layanan agen Azure Connected Machine dan ekstensi apa pun yang telah Anda instal dan tentukan tempat merutekan data tersebut. Jika Anda menggunakan gateway Azure Arc (Pratinjau terbatas) untuk menyederhanakan titik akhir jaringan Anda, layanan Proksi Azure Arc adalah komponen lokal yang meneruskan permintaan jaringan melalui gateway Azure Arc alih-alih rute default. Proksi Azure Arc berjalan sebagai Layanan Jaringan di Windows dan akun pengguna standar (arcproxy) di Linux. Ini dinonaktifkan secara default hingga Anda mengonfigurasi agen untuk menggunakan gateway Azure Arc (Pratinjau terbatas).

Sumber daya agen

Informasi berikut menjelaskan direktori dan akun pengguna yang digunakan oleh agen Azure Connected Machine.

Detail penginstalan agen Windows

Agen Windows didistribusikan sebagai paket Pemasang Windows (MSI). Unduh agen Windows dari Pusat Unduhan Microsoft. Menginstal agen Connected Machine untuk Window menerapkan perubahan konfigurasi di seluruh sistem berikut:

  • Proses penginstalan membuat folder berikut selama penyiapan.

    Direktori Deskripsi
    %ProgramFiles%\AzureConnectedMachineAgent File eksekusi layanan metadata instans dan CLI azcmagent.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC File eksekusi layanan ekstensi.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC File eksekusi layanan konfigurasi tamu (kebijakan).
    %ProgramData%\AzureConnectedMachineAgent Konfigurasi, log dan file token identitas untuk layanan metadata instans dan CLI azcmagent.
    %ProgramData%\GuestConfig Unduhan paket ekstensi, unduhan definisi konfigurasi tamu (kebijakan), dan log untuk layanan konfigurasi tamu dan ekstensi.
    %SYSTEMDRIVE%\packages Paket ekstensi yang dapat dieksekusi
  • Menginstal agen membuat layanan Windows berikut pada komputer target.

    Nama layanan Nama tampilan Nama proses Deskripsi
    himds Azure Hybrid Instance Metadata Service himds.exe Menyinkronkan metadata dengan Azure dan menghosting REST API lokal untuk ekstensi dan aplikasi guna mengakses metadata dan meminta token identitas terkelola Microsoft Entra
    GCArcService Layanan Arc konfigurasi tamu gc_arc_service.exe (gc_service.exe sebelum versi 1.36) Mengaudit dan memberlakukan kebijakan konfigurasi tamu Azure pada komputer.
    ExtensionService Layanan Ekstensi konfigurasi tamu gc_extension_service.exe (gc_service.exe sebelum versi 1.36) Menginstal, memperbarui, dan mengelola ekstensi pada komputer.
  • Penginstalan agen membuat akun layanan virtual berikut.

    Akun Virtual Deskripsi
    NT SERVICE\himds Akun tanpa hak istimewa yang digunakan untuk menjalankan Hybrid Instance Metadata Service.

    Tip

    Akun ini memerlukan hak "Masuk sebagai layanan". Hak ini secara otomatis diberikan selama penginstalan agen, tetapi jika organisasi Anda mengonfigurasi penetapan hak pengguna dengan Kebijakan Grup, Anda mungkin perlu menyesuaikan Objek Kebijakan Grup Anda untuk memberikan hak kepada "NT SERVICE\himds" atau "NT SERVICE\ALL SERVICES" untuk memungkinkan agen berfungsi.

  • Penginstalan agen membuat grup keamanan lokal berikut.

    Nama grup keamanan Deskripsi
    Aplikasi ekstensi agen hibrid Anggota grup keamanan ini dapat meminta token Microsoft Entra untuk identitas terkelola yang ditetapkan sistem
  • Penginstalan agen membuat variabel lingkungan berikut

    Nama Nilai default Deskripsi
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Ada beberapa file log yang tersedia untuk pemecahan masalah, dijelaskan dalam tabel berikut.

    Log Deskripsi
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Mencatat detail komponen utama dan komponen agen identitas.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Berisi output dari perintah alat azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Mencatat detail tentang komponen agen konfigurasi tamu (kebijakan).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Mencatat detail aktivitas pengelola ekstensi (peristiwa instal, hapus instalan, dan peningkatan ekstensi).
    %ProgramData%\GuestConfig\extension_logs Direktori yang berisi log untuk ekstensi individual.
  • Proses ini membuat aplikasi ekstensi agen Hibrid grup keamanan lokal.

  • Setelah menghapus instalan agen, artefak berikut tetap ada.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Detail penginstalan agen Linux

Format paket pilihan untuk distribusi (.rpm atau .deb) yang dihosting di repositori paket Microsoft menyediakan agen Connected Machine untuk Linux. Bundel skrip shell Install_linux_azcmagent.sh menginstal dan mengonfigurasi agen.

Menginstal, meningkatkan, dan menghapus agen Connected Machine tidak diperlukan setelah server dimulai ulang.

Menginstal agen Connected Machine untuk Linux menerapkan perubahan konfigurasi di seluruh sistem berikut.

  • Penyetelan membuat folder penginstalan berikut.

    Direktori Deskripsi
    /opt/azcmagent/ File eksekusi layanan metadata instans dan CLI azcmagent.
    /opt/GC_Ext/ File eksekusi layanan ekstensi.
    /opt/GC_Service/ File eksekusi layanan konfigurasi tamu (kebijakan).
    /var/opt/azcmagent/ Konfigurasi, log dan file token identitas untuk layanan metadata instans dan CLI azcmagent.
    /var/lib/GuestConfig/ Unduhan paket ekstensi, unduhan definisi konfigurasi tamu (kebijakan), dan log untuk layanan konfigurasi tamu dan ekstensi.
  • Menginstal agen membuat daemon berikut.

    Nama layanan Nama tampilan Nama proses Deskripsi
    himdsd.service Layanan Azure Connected Machine Agent himds Layanan ini mengimplementasikan Hybrid Instance Metadata Service (IMDS) untuk mengelola koneksi ke Azure dan identitas Azure komputer terhubung.
    gcad.service Layanan Arc GC gc_linux_service Mengaudit dan memberlakukan kebijakan konfigurasi tamu Azure pada komputer.
    extd.service Layanan Ekstensi gc_linux_service Menginstal, memperbarui, dan mengelola ekstensi pada komputer.
  • Ada beberapa file log yang tersedia untuk pemecahan masalah, dijelaskan dalam tabel berikut.

    Log Deskripsi
    /var/opt/azcmagent/log/himds.log Mencatat detail komponen utama dan komponen agen identitas.
    /var/opt/azcmagent/log/azcmagent.log Berisi output dari perintah alat azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Mencatat detail tentang komponen agen konfigurasi tamu (kebijakan).
    /var/lib/GuestConfig/ext_mgr_logs Mencatat detail aktivitas pengelola ekstensi (peristiwa instal, hapus instalan, dan peningkatan ekstensi).
    /var/lib/GuestConfig/extension_logs Direktori yang berisi log untuk ekstensi individual.
  • Penginstalan agen membuat variabel lingkungan berikut, diatur dalam /lib/systemd/system.conf.d/azcmagent.conf.

    Nama Nilai default Deskripsi
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Setelah menghapus instalan agen, artefak berikut tetap ada.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Tata kelola sumber daya agen

Agen Azure Connected Machine dirancang untuk mengelola konsumsi sumber daya agen dan sistem. Agen mendekati tata kelola sumber daya dalam kondisi berikut:

  • Layanan Konfigurasi Mesin (sebelumnya Konfigurasi Tamu) dapat menggunakan hingga 5% dari CPU untuk mengevaluasi kebijakan.

  • Layanan Ekstensi dapat menggunakan hingga 5% CPU pada komputer Windows dan 30% CPU pada komputer Linux untuk menginstal, meningkatkan, menjalankan, dan menghapus ekstensi. Beberapa ekstensi mungkin menerapkan batas CPU yang lebih ketat setelah diinstal. Pengecualian berikut berlaku:

    Jenis ekstensi Sistem operasi Batas CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE. Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Selama operasi normal, didefinisikan sebagai agen Azure Connected Machine yang terhubung ke Azure dan tidak secara aktif memodifikasi ekstensi atau mengevaluasi kebijakan, Anda dapat mengharapkan agen untuk menggunakan sumber daya sistem berikut:

Windows Linux
Penggunaan CPU (dinormalisasi menjadi 1 inti) 0,07% 0,02%
Penggunaan memori 57 MB 42 MB

Data performa di atas dikumpulkan pada April 2023 pada komputer virtual yang menjalankan Windows Server 2022 dan Ubuntu 20.04. Performa agen aktual dan konsumsi sumber daya akan bervariasi berdasarkan konfigurasi perangkat keras dan perangkat lunak server Anda.

Batas sumber daya kustom

Batas tata kelola sumber daya default adalah pilihan terbaik untuk sebagian besar server. Namun, komputer virtual kecil dan server dengan sumber daya CPU terbatas mungkin mengalami batas waktu saat mengelola ekstensi atau mengevaluasi kebijakan karena tidak ada cukup sumber daya CPU untuk menyelesaikan tugas. Dimulai dengan agen versi 1.39, Anda dapat menyesuaikan batas CPU yang diterapkan ke manajer ekstensi dan layanan Konfigurasi Mesin untuk membantu agen menyelesaikan tugas ini lebih cepat.

Untuk melihat batas sumber daya saat ini untuk pengelola ekstensi dan layanan Konfigurasi Mesin, jalankan perintah berikut.

azcmagent config list

Dalam output, Anda akan melihat dua bidang, guestconfiguration.agent.cpulimit dan extensions.agent.cpulimit dengan batas sumber daya saat ini yang ditentukan sebagai persentase. Pada penginstalan baru agen, keduanya akan ditampilkan 5 karena batas default adalah 5% dari CPU.

Untuk mengubah batas sumber daya untuk manajer ekstensi menjadi 80%, jalankan perintah berikut:

azcmagent config set extensions.agent.cpulimit 80

Metadata instans

Informasi metadata tentang komputer yang terhubung dikumpulkan setelah agen Connected Machine mendaftar dengan server dengan dukungan Azure Arc. Khususnya:

  • Nama, edisi, jenis, dan versi sistem operasi
  • Nama komputer
  • Produsen dan model komputer
  • Nama domain yang sepenuhnya memenuhi syarat komputer (FQDN)
  • Nama domain (jika bergabung ke domain Direktori Aktif)
  • Direktori Aktif dan DNS nama domain yang sepenuhnya memenuhi syarat (FQDN)
  • UUID (ID BIOS)
  • Detak jantung Azure Connected Machine Agent
  • Versi Azure Connected Machine Agent
  • Kunci umum untuk identitas terkelola
  • Status dan detail kepatuhan Policy (jika menggunakan kebijakan konfigurasi tamu)
  • SQL Server diinstal (nilai Boolean)
  • ID sumber daya kluster (untuk node Azure Stack HCI)
  • Produsen perangkat keras
  • Model perangkat keras
  • Jumlah keluarga CPU, soket, inti fisik, dan inti logis
  • Total memori fisik
  • Nomor seri
  • Tag aset SMBIOS
  • Informasi antarmuka jaringan
    • Alamat IP
    • Subnet
  • Informasi lisensi Windows
    • Status lisensi OS
    • Saluran lisensi OS
    • Kelayakan Pembaruan Keamanan yang Diperpanjang
    • Status lisensi Pembaruan Keamanan diperpanjang
    • Saluran lisensi Pembaruan Keamanan diperpanjang
  • Penyedia cloud
  • Metadata Amazon Web Services (AWS), saat berjalan di AWS:
    • ID Akun
    • ID Instans
    • Wilayah
  • Metadata Google Cloud Platform (GCP), saat berjalan di GCP:
    • ID Instans
    • Gambar
    • Jenis komputer
    • ID Proyek
    • Nomor proyek
    • Akun layanan
    • Zone
  • Metadata Oracle Cloud Infrastructure, saat berjalan di OCI:
    • Nama tampilan

Agen meminta informasi metadata berikut dari Azure:

  • Lokasi sumber daya (wilayah)
  • ID komputer virtual
  • Tag
  • Sertifikat identitas terkelola Microsoft Entra
  • Penetapan kebijakan konfigurasi tamu
  • Permintaan ekstensi - pasang, perbarui, dan hapus.

Catatan

Server dengan dukungan Azure Arc tidak menyimpan/memproses data pelanggan di luar wilayah tempat pelanggan menyebarkan instans layanan.

Opsi dan persyaratan penyebaran

Penyebaran agen dan koneksi mesin memerlukan prasyarat tertentu. Ada juga persyaratan jaringan yang harus diperhatikan.

Kami menyediakan beberapa opsi untuk menyebarkan agen. Untuk informasi selengkapnya, lihat Merencanakan opsi penyebaran dan Penyebaran.

Panduan kloning

Anda dapat menginstal paket azcmagent dengan aman ke dalam gambar emas, tetapi setelah Anda menyambungkan mesin menggunakan azcmagent connect perintah , komputer tersebut menerima informasi sumber daya tertentu. Jika Anda membangun mesin dengan mengkloningnya dari gambar emas, Anda harus terlebih dahulu mengkhususkan setiap mesin sebelum menyambungkannya ke Azure dengan azcmagent connect perintah . Jangan sambungkan mesin gambar emas asli ke Azure hingga Anda membuat dan mengkhususkan setiap komputer.

Jika server yang terhubung menerima 429 pesan kesalahan, kemungkinan Anda menghubungkan server ke Azure dan kemudian menggunakan server tersebut sebagai gambar emas untuk kloning. Karena informasi sumber daya direkam ke dalam gambar, komputer kloning yang dibuat dari gambar tersebut mencoba mengirim pesan heartbeat ke sumber daya yang sama.

Untuk mengatasi 429 pesan kesalahan untuk komputer yang ada, jalankan azcmagent disconnect --force-local-only pada setiap komputer kloning, lalu jalankan azcmagent connect ulang menggunakan kredensial yang sesuai untuk menghubungkan komputer ke cloud menggunakan nama sumber daya yang unik.

Pemulihan Bencana

Tidak ada opsi pemulihan bencana yang diaktifkan pelanggan untuk server yang diaktifkan Arc. Jika terjadi pemadaman di wilayah Azure, sistem akan melakukan failover ke wilayah lain dalam geografi Azure yang sama (jika ada). Meskipun prosedur failover ini otomatis, itu memang membutuhkan waktu. Agen Connected Machine akan terputus selama periode ini dan akan menampilkan status Terputus hingga failover selesai. Sistem akan failback ke wilayah asalnya setelah pemadaman dipulihkan.

Pemadaman Azure Arc tidak akan memengaruhi beban kerja pelanggan itu sendiri; hanya manajemen server yang berlaku melalui Arc yang akan terganggu.

Langkah berikutnya

  • Untuk mulai mengevaluasi server dengan dukungan Azure Arc, lihat Mulai Cepat: Menyambungkan komputer hibrid dengan server dengan dukungan Azure Arc.
  • Sebelum Anda menyebarkan agen Azure Connected Machine dan berintegrasi dengan layanan manajemen dan pemantauan Azure lainnya, tinjau panduan Perencanaan dan penyebaran.
  • Tinjau informasi pemecahan masalah dalam panduan pemecahan masalah koneksi agen.