Panoramica dell'agente di Azure Connected Machine

  • Articolo

L'agente di Azure Connessione ed Machine consente di gestire i computer Windows e Linux ospitati all'esterno di Azure nella rete aziendale o in altri provider di servizi cloud.

Componenti dell'agente

Panoramica dell'architettura dell'agente machine Connessione ed di Azure.

Il pacchetto dell'agente di Azure Connessione ed Machine contiene diversi componenti logici raggruppati:

  • Il servizio Hybrid Instance Metadata (HIMDS) gestisce la connessione ad Azure e l'identità di Azure Connected Machine.

  • L'agente di configurazione guest fornisce funzioni come valutare se il computer è conforme ai criteri richiesti e applicare la conformità.

    Si noti il comportamento seguente con Criteri di Azure configurazione guest per un computer disconnesso:

    • Un'assegnazione Criteri di Azure destinata ai computer disconnessi non è interessata.
    • L'assegnazione guest viene archiviata localmente per 14 giorni. Entro il periodo di 14 giorni, se l'agente Connected Machine si riconnette al servizio, le assegnazioni dei criteri vengono riapplicate.
    • Le assegnazioni vengono eliminate dopo 14 giorni e non vengono riassegnate al computer dopo il periodo di 14 giorni.

  • L'agente di estensione gestisce le estensioni della macchina virtuale, tra cui l'installazione, la disinstallazione e l'aggiornamento. Azure scarica le estensioni e le copia nella %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads cartella in Windows e in /opt/GC_Ext/downloads in Linux. In Windows l'estensione viene installata nel percorso %SystemDrive%\Packages\Plugins\<extension>seguente e in Linux l'estensione viene installata in /var/lib/waagent/<extension>.

Nota

L'agente di Monitoraggio di Azure è un agente separato che raccoglie i dati di monitoraggio e non sostituisce l'agente del computer Connessione ed. L'agente AMA sostituisce solo l'agente di Log Analytics, l'estensione Diagnostica e l'agente Telegraf per computer Windows e Linux.

Risorse dell'agente

Le informazioni seguenti descrivono le directory e gli account utente usati dall'agente di Azure Connessione ed Machine.

Dettagli sull'installazione dell'agente per Windows

L'agente Windows viene distribuito come pacchetto Windows Installer (MSI). Scaricare l'agente Windows dall'Area download Microsoft. L'installazione dell'agente computer Connessione ed per Window applica le modifiche di configurazione a livello di sistema seguenti:

  • Il processo di installazione crea le cartelle seguenti durante l'installazione.

    Directory Descrizione
    %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent e file eseguibili del servizio metadati dell'istanza.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Eseguibili del servizio di estensione.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Eseguibili del servizio di configurazione guest (criteri).
    %ProgramData%\AzureConnectedMachineAgent File di configurazione, log e token di identità per l'interfaccia della riga di comando azcmagent e il servizio metadati dell'istanza.
    %ProgramData%\GuestConfig Download dei pacchetti di estensione, download delle definizioni di configurazione guest (criteri) e log per i servizi di configurazione guest e estensione.
    %SYSTEMDRIVE%\packages Eseguibili del pacchetto di estensione

  • L'installazione dell'agente crea i servizi Windows seguenti nel computer di destinazione.

    Service name Nome visualizzato Nome processo Descrizione
    himds Servizio metadati dell'istanza di Azure Hybrid himds.exe Sincronizza i metadati con Azure e ospita un'API REST locale che consente alle estensioni e alle applicazioni di accedere ai metadati e richiedere i token di identità gestita di Microsoft Entra
    GCArcService Servizio Arc di configurazione guest gc_arc_service.exe (gc_service.exe prima della versione 1.36) Controlla e applica i criteri di configurazione guest di Azure al computer.
    ExtensionService Servizio di estensione di configurazione guest gc_extension_service.exe (gc_service.exe prima della versione 1.36) Installa, aggiorna e gestisce le estensioni sul computer.

  • L'installazione dell'agente crea l'account del servizio virtuale seguente.

    Account virtuale Descrizione
    SERVIZIO NT\himds Account senza privilegi usato per eseguire l’Hybrid Instance Metadata Service.

    Suggerimento

    Questo account richiede il diritto "Accedi come servizio". Questo diritto viene concesso automaticamente durante l'installazione dell'agente, ma se l'organizzazione configura le assegnazioni dei diritti utente con criteri di gruppo, potrebbe essere necessario modificare l'oggetto Criteri di gruppo e concedere il diritto a "SERVIZIO NT\himds" o "SERVIZIO NT\TUTTI I SERVIZI" per consentire il funzionamento dell'agente.

  • L'installazione dell'agente crea il gruppo di sicurezza locale seguente.

    Nome gruppo di sicurezza Descrizione
    Applicazioni di estensione dell'agente ibrido I membri di questo gruppo di sicurezza possono richiedere token Microsoft Entra per l'identità gestita assegnata dal sistema

  • L'installazione dell'agente crea le variabili di ambiente seguenti

    Nome Valore predefinito Descrizione
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Per la risoluzione dei problemi sono disponibili diversi file di log, descritti nella tabella seguente.

    Log Descrizione
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Registra i dettagli dei componenti heartbeat e agente di identità.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contiene l'output dei comandi dello strumento azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Registra informazioni dettagliate sul componente agente di configurazione guest (criteri).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Registra informazioni dettagliate sull'attività di gestione delle estensioni (installazione e disinstallazione delle estensioni ed eventi di aggiornamento).
    %ProgramData%\GuestConfig\extension_logs Directory contenente i log delle singole estensioni.

  • Il processo crea le applicazioni di estensione dell'agente ibrido del gruppo di sicurezza locale.

  • Dopo la disinstallazione dell'agente, rimangono gli artefatti seguenti.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Dettagli sull'installazione dell'agente per Linux

Il formato del pacchetto preferito per la distribuzione (.rpm o .deb) ospitato nel repository di pacchetti Microsoft fornisce l'agente del computer Connessione ed per Linux. Il bundle di script della shell Install_linux_azcmagent.sh installa e configura l'agente.

L'installazione, l'aggiornamento e la rimozione dell'agente del computer Connessione non è necessario dopo il riavvio del server.

L'installazione dell'agente computer Connessione ed per Linux applica le modifiche di configurazione a livello di sistema seguenti.

  • Il programma di installazione crea le cartelle di installazione seguenti.

    Directory Descrizione
    /opt/azcmagent/ CLI azcmagent e file eseguibili del servizio metadati dell'istanza.
    /opt/GC_Ext/ Eseguibili del servizio di estensione.
    /opt/GC_Service/ Eseguibili del servizio di configurazione guest (criteri).
    /var/opt/azcmagent/ File di configurazione, log e token di identità per l'interfaccia della riga di comando azcmagent e il servizio metadati dell'istanza.
    /var/lib/GuestConfig/ Download dei pacchetti di estensione, download delle definizioni di configurazione guest (criteri) e log per i servizi di configurazione guest e estensione.

  • L'installazione dell'agente crea i daemon seguenti.

    Service name Nome visualizzato Nome processo Descrizione
    himdsd.service Servizio agente del computer Connessione ed di Azure himds Questo servizio implementa il servizio metadati dell'istanza ibrida (IMDS) per gestire la connessione ad Azure e l'identità di Azure del computer connesso.
    gcad.service Servizio Arc di GC gc_linux_service Controlla e applica i criteri di configurazione guest di Azure al computer.
    extd.service Servizio di estensione gc_linux_service Installa, aggiorna e gestisce le estensioni sul computer.

  • Per la risoluzione dei problemi sono disponibili diversi file di log, descritti nella tabella seguente.

    Log Descrizione
    /var/opt/azcmagent/log/himds.log Registra i dettagli dei componenti heartbeat e agente di identità.
    /var/opt/azcmagent/log/azcmagent.log Contiene l'output dei comandi dello strumento azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Registra informazioni dettagliate sul componente agente di configurazione guest (criteri).
    /var/lib/GuestConfig/ext_mgr_logs Registra informazioni dettagliate sull'attività di gestione delle estensioni (installazione e disinstallazione delle estensioni ed eventi di aggiornamento).
    /var/lib/GuestConfig/extension_logs Directory contenente i log delle singole estensioni.

  • L'installazione dell'agente crea le variabili di ambiente seguenti, impostate in /lib/systemd/system.conf.d/azcmagent.conf.

    Nome Valore predefinito Descrizione
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Dopo la disinstallazione dell'agente, rimangono gli artefatti seguenti.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Governance delle risorse dell'agente

L'agente di Azure Connessione ed Machine è progettato per gestire l'utilizzo di risorse di sistema e agente. L'agente si avvicina alla governance delle risorse nelle condizioni seguenti:

  • Il servizio Configurazione computer (in precedenza Configurazione guest) può usare fino al 5% della CPU per valutare i criteri.

  • Il servizio estensione può usare fino al 5% della CPU nei computer Windows e il 30% della CPU nei computer Linux per installare, aggiornare, eseguire ed eliminare estensioni. Alcune estensioni potrebbero applicare limiti di CPU più restrittivi dopo l'installazione. Vengono applicate le seguenti eccezioni:

    Tipo di estensione Sistema operativo Limite CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE. Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Durante le normali operazioni, definito come agente di Azure Connessione ed Machine connesso ad Azure e non modificando attivamente un'estensione o valutando un criterio, è possibile prevedere che l'agente utilizzi le risorse di sistema seguenti:

Windows Linux
Utilizzo della CPU (normalizzato a 1 core) 0.07% 0.02%
Utilizzo della memoria 57 MB 42 MB

I dati sulle prestazioni precedenti sono stati raccolti nell'aprile 2023 nelle macchine virtuali che eseguono Windows Server 2022 e Ubuntu 20.04. Le prestazioni effettive dell'agente e il consumo delle risorse variano in base alla configurazione hardware e software dei server.

Limiti delle risorse personalizzate

I limiti di governance delle risorse predefiniti sono la scelta migliore per la maggior parte dei server. Tuttavia, le macchine virtuali e i server di piccole dimensioni con risorse CPU limitate potrebbero riscontrare timeout durante la gestione delle estensioni o la valutazione dei criteri perché non sono presenti risorse CPU sufficienti per completare le attività. A partire dalla versione 1.39 dell'agente, è possibile personalizzare i limiti di CPU applicati al gestore estensioni e ai servizi Configurazione computer per consentire all'agente di completare queste attività più velocemente.

Per visualizzare i limiti correnti delle risorse per gestione estensioni e i servizi Configurazione computer, eseguire il comando seguente.

azcmagent config list

Nell'output verranno visualizzati due campi guestconfiguration.agent.cpulimit e extensions.agent.cpulimit con il limite di risorse corrente specificato come percentuale. In una nuova installazione dell'agente, entrambi verranno visualizzati 5 perché il limite predefinito è il 5% della CPU.

Per modificare il limite di risorse per gestione estensioni su 80%, eseguire il comando seguente:

azcmagent config set extensions.agent.cpulimit 80

Metadati dell'istanza

Le informazioni sui metadati relative a un computer connesso vengono raccolte dopo la registrazione dell'agente del computer Connessione con i server abilitati per Azure Arc. In particolare:

  • Nome, tipo e versione del sistema operativo
  • Nome del computer
  • Produttore e modello del computer
  • Nome di dominio completo (FQDN) del computer
  • Nome di dominio (se aggiunto a un dominio di Active Directory)
  • Nome di dominio completo (FQDN) di Active Directory e DNS
  • UUID (ID BIOS)
  • heartbeat dell'agente del computer Connessione ed
  • Versione dell'agente Connected Machine
  • Chiave pubblica per l'identità gestita
  • Stato e dettagli di conformità dei criteri (se si usano i criteri di configurazione guest)
  • SQL Server installato (valore booleano)
  • ID risorsa cluster (per i nodi di Azure Stack HCI)
  • Produttore hardware
  • Modello hardware
  • Famiglia di CPU, socket, core fisici e conteggi dei core logici
  • Memoria fisica totale
  • Numero di serie
  • Tag asset SMBIOS
  • Provider di servizi cloud
  • Metadati di Amazon Web Services (AWS), quando vengono eseguiti in AWS:
    • ID conto
    • Instance ID
    • Area
  • Metadati di Google Cloud Platform (GCP) quando vengono eseguiti in GCP:
    • Instance ID
    • Immagine
    • Tipo di computer
    • ID progetto
    • Numero progetto
    • Account di servizio
    • Zona
  • Metadati di Oracle Cloud Infrastructure, quando vengono eseguiti in OCI:
    • Nome visualizzato

L'agente richiede le informazioni sui metadati seguenti da Azure:

  • Località della risorsa (area)
  • ID macchina virtuale
  • Tag
  • Certificato di identità gestita di Microsoft Entra
  • Assegnazioni dei criteri di configurazione guest
  • Richieste di estensione: installazione, aggiornamento ed eliminazione.

Nota

I server abilitati per Azure Arc non archivia/elaborano i dati dei clienti all'esterno dell'area in cui il cliente distribuisce l'istanza del servizio.

Opzioni di distribuzione e requisiti

La distribuzione dell'agente e la connessione del computer richiedono determinati prerequisiti. Esistono anche requisiti di rete da tenere presenti.

Sono disponibili diverse opzioni per la distribuzione dell'agente. Per altre informazioni, vedere Pianificare le opzioni di distribuzione e distribuzione.

Passaggi successivi