Gambaran umum agen Azure Connected Machine

Agen Azure Connected Machine memungkinkan Anda mengelola komputer Windows dan Linux yang dihosting di luar Azure di jaringan perusahaan Anda atau penyedia cloud lainnya.

Komponen agen

Gambaran umum arsitektur agen server dengan dukungan Azure Arc.

Paket agen Azure Connected Machine berisi beberapa komponen logis, yang dibundel bersama:

  • Layanan Metadata Instans Hibrida (HIMDS) mengelola koneksi ke Azure dan identitas Azure komputer yang tersambung.

  • Agen konfigurasi tamu menyediakan fungsionalitas seperti menilai apakah komputer mematuhi kebijakan yang diperlukan dan menerapkan kepatuhan.

    Perhatikan perilaku berikut dengan konfigurasi tamu Azure Policy untuk komputer yang tidak terhubung:

    • Penetapan Azure Policy yang menargetkan komputer yang tidak terhubung tidak terpengaruh.
    • Tugas tamu disimpan secara lokal selama 14 hari. Dalam periode 14 hari, jika agen Connected Machine tersambung kembali ke layanan, penetapan kebijakan akan diterapkan kembali.
    • Tugas dihapus setelah 14 hari, dan tidak ditugaskan kembali ke komputer setelah periode 14 hari.
  • Agen Ekstensi mengelola ekstensi VM, termasuk pemasangan, pencopotan pemasangan, dan peningkatan versi. Ekstensi diunduh dari Azure dan disalin ke %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads folder di Windows, dan ke /opt/GC_Ext/downloads di Linux. Di Windows, ekstensi dipasang ke jalur berikut %SystemDrive%\Packages\Plugins\<extension>, dan di Linux ekstensi dipasang ke /var/lib/waagent/<extension>.

Catatan

Agen Azure Monitor (AMA) adalah agen terpisah yang mengumpulkan data pemantauan, dan tidak menggantikan agen Connected Machine; AMA hanya menggantikan agen Analitik Log, ekstensi Diagnostik, dan agen Telegraf untuk komputer Windows dan Linux.

Sumber daya agen

Informasi berikut menjelaskan direktori dan akun pengguna yang digunakan oleh agen Azure Connected Machine.

Detail penginstalan agen Windows

Agen Windows didistribusikan sebagai paket Pemasang Windows (MSI) dan dapat diunduh dari Pusat Unduhan Microsoft. Setelah memasang agen Connected Machine untuk Windows, perubahan konfigurasi seluruh sistem berikut diterapkan.

  • Folder penginstalan berikut dibuat selama penyiapan.

    Direktori Deskripsi
    %ProgramFiles%\AzureConnectedMachineAgent File eksekusi layanan metadata instans dan CLI azcmagent.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC File eksekusi layanan ekstensi.
    %ProgramFiles%\AzureConnectedMachineAgent\GuestConfig\GC File eksekusi layanan konfigurasi tamu (kebijakan).
    %ProgramData%\AzureConnectedMachineAgent Konfigurasi, log dan file token identitas untuk layanan metadata instans dan CLI azcmagent.
    %ProgramData%\GuestConfig Unduhan paket ekstensi, unduhan definisi konfigurasi tamu (kebijakan), dan log untuk layanan konfigurasi tamu dan ekstensi.
    %SYSTEMDRIVE%\packages Executable paket ekstensi
  • Layanan Windows berikut dibuat pada komputer target selama penginstalan agen.

    Nama layanan Nama tampilan Nama proses Deskripsi
    himds Azure Hybrid Instance Metadata Service himds Menyinkronkan metadata dengan Azure dan menghosting REST API lokal untuk ekstensi dan aplikasi untuk mengakses metadata dan meminta token identitas terkelola Azure Active Directory
    GCArcService Layanan Arc konfigurasi tamu gc_service Mengaudit dan memberlakukan kebijakan konfigurasi tamu Azure pada komputer.
    ExtensionService Layanan Ekstensi konfigurasi tamu gc_service Menginstal, memperbarui, dan mengelola ekstensi pada komputer.
  • Akun layanan virtual berikut dibuat selama penginstalan agen.

    Akun Virtual Deskripsi
    NT SERVICE\himds Akun tidak istimewa yang digunakan untuk menjalankan Layanan Metadata Instans Hibrid.

    Tip

    Akun ini memerlukan hak "Masuk sebagai layanan". Hak ini secara otomatis diberikan selama penginstalan agen, tetapi jika organisasi Anda mengonfigurasi penetapan hak pengguna dengan Kebijakan Grup, Anda mungkin perlu menyesuaikan Objek Kebijakan Grup Anda untuk memberikan hak kepada "NT SERVICE\himds" atau "NT SERVICE\ALL SERVICES" untuk memungkinkan agen berfungsi.

  • Grup keamanan lokal berikut dibuat selama penginstalan agen.

    Nama grup keamanan Deskripsi
    Aplikasi ekstensi agen hibrid Anggota grup keamanan ini dapat meminta token Azure Active Directory untuk identitas terkelola yang ditetapkan sistem
  • Variabel lingkungan berikut dibuat selama penginstalan agen.

    Nama Nilai default Deskripsi
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Ada beberapa file log yang tersedia untuk pemecahan masalah. File tersebut dijelaskan dalam tabel berikut.

    Log Deskripsi
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Mencatat detail komponen utama dan komponen agen identitas.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Berisi output dari perintah alat azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Mencatat detail tentang komponen agen konfigurasi tamu (kebijakan).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Merekam detail tentang aktivitas manajer ekstensi (penginstalan ekstensi, penghapusan instalasi, dan peristiwa peningkatan).
    %ProgramData%\GuestConfig\extension_logs Direktori yang berisi log untuk ekstensi individual.
  • Aplikasi ekstensi agen hibrida grup keamanan lokal telah dibuat.

  • Selama pencopotan pemasangan agen, artefak berikut tidak dihapus.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Detail penginstalan agen Linux

Agen Connected Machine untuk Linux disediakan dalam format paket pilihan untuk distribusi (.RPM atau .DEB) yang dihosting di repositori paket Microsoft. Agen dipasang dan dikonfigurasi dengan bundel skrip shell Install_linux_azcmagent.sh.

Menginstal, memutakhirkan, dan menghapus agen Connected Machine tidak akan mengharuskan Anda untuk memulai ulang server Anda.

Setelah memasang agen Connected Machine untuk Linux, perubahan konfigurasi seluruh sistem berikut diterapkan.

  • Folder penginstalan berikut dibuat selama penyiapan.

    Direktori Deskripsi
    /opt/azcmagent/ File eksekusi layanan metadata instans dan CLI azcmagent.
    /opt/GC_Ext/ File eksekusi layanan ekstensi.
    /opt/GC_Service/ File eksekusi layanan konfigurasi tamu (kebijakan).
    /var/opt/azcmagent/ Konfigurasi, log dan file token identitas untuk layanan metadata instans dan CLI azcmagent.
    /var/lib/GuestConfig/ Unduhan paket ekstensi, unduhan definisi konfigurasi tamu (kebijakan), dan log untuk layanan konfigurasi tamu dan ekstensi.
  • Daemon berikut dibuat pada komputer target selama penginstalan agen.

    Nama layanan Nama tampilan Nama proses Deskripsi
    himdsd.service Layanan Azure Connected Machine Agent himds Layanan ini mengimplementasikan Hybrid Instance Metadata Service (IMDS) untuk mengelola koneksi ke Azure dan identitas Azure komputer terhubung.
    gcad.service Layanan Arc GC gc_linux_service Mengaudit dan memberlakukan kebijakan konfigurasi tamu Azure pada komputer.
    extd.service Layanan Ekstensi gc_linux_service Menginstal, memperbarui, dan mengelola ekstensi pada komputer.
  • Ada beberapa file log yang tersedia untuk pemecahan masalah. File tersebut dijelaskan dalam tabel berikut.

    Log Deskripsi
    /var/opt/azcmagent/log/himds.log Mencatat detail komponen utama dan komponen agen identitas.
    /var/opt/azcmagent/log/azcmagent.log Berisi output dari perintah alat azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Mencatat detail tentang komponen agen konfigurasi tamu (kebijakan).
    /var/lib/GuestConfig/ext_mgr_logs Merekam detail tentang aktivitas manajer ekstensi (penginstalan ekstensi, penghapusan instalasi, dan peristiwa peningkatan).
    /var/lib/GuestConfig/extension_logs Direktori yang berisi log untuk ekstensi individual.
  • Variabel lingkungan berikut dibuat selama penginstalan agen. Variabel ini disetel di /lib/systemd/system.conf.d/azcmagent.conf.

    Nama Nilai default Deskripsi
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Selama pencopotan pemasangan agen, artefak berikut tidak dihapus.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Tata kelola sumber daya agen

Agen Azure Connected Machine dirancang untuk mengelola konsumsi sumber daya agen dan sistem. Agen mendekati tata kelola sumber daya dalam kondisi berikut:

  • Agen Konfigurasi Tamu hanya dapat menggunakan hingga 5% dari CPU untuk mengevaluasi kebijakan.

  • Agen Layanan Ekstensi dibatasi untuk menggunakan hingga 5% dari CPU untuk menginstal, meningkatkan, menjalankan, dan menghapus ekstensi. Pengecualian berikut berlaku:

    • Jika ekstensi menginstal layanan latar belakang yang berjalan independen dari Azure Arc, seperti Microsoft Monitoring Agent, layanan tersebut tidak akan tunduk pada batasan tata kelola sumber daya yang tercantum di atas.
    • Agen Log Analytics dan Agen Azure Monitor diizinkan untuk menggunakan hingga 60% dari CPU selama operasi instal/peningkatan/hapus instalan mereka pada Red Hat Linux, CentOS, dan varian Linux enterprise lainnya. Batasnya lebih tinggi untuk kombinasi ekstensi dan sistem operasi ini untuk mengakomodasi dampak kinerja SELinux pada sistem ini.
    • Agen Azure Monitor dapat menggunakan hingga 30% CPU selama operasi normal.
    • Ekstensi Pembaruan OS Linux (digunakan oleh Pusat Manajemen Pembaruan Azure) dapat menggunakan hingga 30% CPU untuk menambal server.

Metadata instans

Informasi metadata tentang komputer yang terhubung dikumpulkan setelah agen Connected Machine mendaftar ke server dengan dukungan Azure Arc. Khususnya:

  • Nama, jenis, dan versi sistem operasi
  • Nama komputer
  • Produsen dan model komputer
  • Nama domain yang sepenuhnya memenuhi syarat komputer (FQDN)
  • Nama domain (jika bergabung ke domain Direktori Aktif)
  • Direktori Aktif dan DNS nama domain yang sepenuhnya memenuhi syarat (FQDN)
  • UUID (ID BIOS)
  • Detak jantung agen Connected Machine
  • Versi agen Connected Machine
  • Kunci umum untuk identitas terkelola
  • Status dan detail kepatuhan Azure Policy (jika menggunakan kebijakan konfigurasi tamu)
  • SQL Server diinstal (nilai Boolean)
  • ID sumber daya kluster (untuk node Azure Stack HCI)
  • Produsen perangkat keras
  • Model perangkat keras
  • Jumlah inti logis CPU
  • Penyedia cloud
  • Metadata Amazon Web Services (AWS), saat berjalan di AWS:
    • ID Akun
    • ID Instans
    • Wilayah
  • Metadata Google Cloud Platform (GCP), saat berjalan di GCP:
    • ID Instans
    • Gambar
    • Jenis komputer
    • ID Proyek
    • Nomor proyek
    • Akun layanan
    • Zona

Informasi metadata berikut ini diminta oleh agen dari Azure:

  • Lokasi sumber daya (wilayah)
  • ID komputer virtual
  • Tag
  • Sertifikat identitas terkelola Azure Active Directory
  • Penetapan kebijakan konfigurasi tamu
  • Permintaan ekstensi - pasang, perbarui, dan hapus.

Catatan

Server dengan dukungan Azure Arc tidak menyimpan/memproses data pelanggan di luar wilayah tempat pelanggan menyebarkan instans layanan.

Opsi dan persyaratan penyebaran

Untuk menyebarkan agen dan menyambungkan komputer, prasyarat tertentu harus dipenuhi. Ada juga persyaratan jaringan yang harus diperhatikan.

Kami menyediakan beberapa opsi untuk menyebarkan agen. Untuk informasi selengkapnya, lihat Merencanakan opsi penyebaran dan Penyebaran.

Langkah berikutnya