Panoramica dell'agente di Azure Connected Machine per gestire i computer Windows e Linux
Quando si abilita la gestione guest nelle macchine virtuali SCVMM, l'agente di Azure Arc viene installato nelle macchine virtuali. L'agente di Azure Connected Machine consente di gestire le macchine virtuali Windows e Linux ospitate all'esterno di Azure nella rete aziendale o in altri provider di servizi cloud. Questo articolo offre una panoramica dell'architettura dell'agente del computer connesso di Azure.
Componenti dell'agente
Il pacchetto dell'agente di Azure Connected Machine contiene diversi componenti logici in bundle:
Il servizio Hybrid Instance Metadata (HIMDS) gestisce la connessione ad Azure e l'identità di Azure Connected Machine.
L'agente di configurazione guest fornisce funzioni come valutare se il computer è conforme ai criteri richiesti e applicare la conformità.
Si noti il comportamento seguente con la configurazione guest di Criteri di Azure per un computer disconnesso:
- Un'assegnazione Criteri di Azure destinata ai computer disconnessi non è interessata.
- L'assegnazione guest viene archiviata localmente per 14 giorni. Entro il periodo di 14 giorni, se l'agente Connected Machine si riconnette al servizio, le assegnazioni dei criteri vengono riapplicate.
- Le assegnazioni vengono eliminate dopo 14 giorni e non vengono riassegnate al computer dopo il periodo di 14 giorni.
L'agente di estensione gestisce le estensioni della macchina virtuale, tra cui l'installazione, la disinstallazione e l'aggiornamento. Azure scarica le estensioni e le copia nella cartella
%SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloadsin Windows e nel/opt/GC_Ext/downloadsin Linux. In Windows, l'estensione viene installata nel percorso seguente%SystemDrive%\Packages\Plugins\<extension>e in Linux viene installata in/var/lib/waagent/<extension>.
Nota
L'agente di Monitoraggio di Azure è un agente separato che raccoglie i dati di monitoraggio e non sostituisce l'agente Connected Machine. L'agente AMA sostituisce solo l'agente di Log Analytics, l'estensione di Diagnostica e l'agente Telegraf per i computer Windows e Linux.
Risorse dell'agente
Le informazioni seguenti descrivono le directory e gli account utente usati dall'agente di Azure Connected Machine.
Dettagli sull'installazione dell'agente per Windows
L'agente Windows viene distribuito come pacchetto Windows Installer (MSI). Scaricare l'agente Windows dall'Area download Microsoft. L'installazione dell'agente Connected Machine per Windows applica le modifiche di configurazione seguenti a livello di sistema:
Il processo di installazione crea le cartelle seguenti durante la configurazione.
Directory Descrizione %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent e file eseguibili del servizio metadati dell'istanza. %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Eseguibili del servizio di estensione. %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Eseguibili del servizio di configurazione guest (criteri). %ProgramData%\AzureConnectedMachineAgent File di configurazione, log e token di identità per l'interfaccia della riga di comando azcmagent e il servizio metadati dell'istanza. %ProgramData%\GuestConfig Download dei pacchetti di estensione, download delle definizioni di configurazione guest (criteri) e log per i servizi di configurazione guest e estensione. %SYSTEMDRIVE%\packages Eseguibili del pacchetto di estensione L'installazione dell'agente crea i servizi Windows seguenti nel computer di destinazione.
Service name Nome visualizzato Nome processo Descrizione himds Servizio metadati dell'istanza di Azure Hybrid himds Sincronizza i metadati con Azure e ospita un'API REST locale che consente alle estensioni e alle applicazioni di accedere ai metadati e richiedere i token di identità gestita di Microsoft Entra GCArcService Servizio Arc di configurazione guest gc_service Controlla e applica i criteri di configurazione guest di Azure al computer. ExtensionService Servizio di estensione di configurazione guest gc_service Installa, aggiorna e gestisce le estensioni sul computer. L'installazione dell'agente crea l'account del servizio virtuale seguente.
Account virtuale Descrizione SERVIZIO NT\himds Account senza privilegi usato per eseguire l’Hybrid Instance Metadata Service. Suggerimento
Questo account richiede il diritto "Accedi come servizio". Questo diritto viene concesso automaticamente durante l'installazione dell'agente, ma se l'organizzazione configura le assegnazioni dei diritti utente con criteri di gruppo, potrebbe essere necessario modificare l'oggetto Criteri di gruppo e concedere il diritto a "SERVIZIO NT\himds" o "SERVIZIO NT\TUTTI I SERVIZI" per consentire il funzionamento dell'agente.
L'installazione dell'agente crea il gruppo di sicurezza locale seguente.
Nome gruppo di sicurezza Descrizione Applicazioni di estensione dell'agente ibrido I membri di questo gruppo di sicurezza possono richiedere token Microsoft Entra per l'identità gestita assegnata dal sistema L'installazione dell'agente crea le variabili di ambiente seguenti
Nome Valore predefinito Descrizione IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/tokenIMDS_ENDPOINT http://localhost:40342Per la risoluzione dei problemi sono disponibili diversi file di log, descritti nella tabella seguente.
Log Descrizione %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Registra i dettagli dei componenti heartbeat e agente di identità. %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contiene l'output dei comandi dello strumento azcmagent. %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Registra informazioni dettagliate sul componente agente di configurazione guest (criteri). %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Registra informazioni dettagliate sull'attività di gestione delle estensioni (installazione e disinstallazione delle estensioni ed eventi di aggiornamento). %ProgramData%\GuestConfig\extension_logs Directory contenente i log delle singole estensioni. Il processo crea il gruppo di sicurezza locale applicazioni di estensione dell'agente ibrido.
Dopo la disinstallazione dell'agente, rimangono gli artefatti seguenti.
- %ProgramData%\AzureConnectedMachineAgent\Log
- %ProgramData%\AzureConnectedMachineAgent
- %ProgramData%\GuestConfig
- %SystemDrive%\packages
Dettagli sull'installazione dell'agente per Linux
Il formato di pacchetto preferito per la distribuzione (.rpm or .deb) ospitata nel repository dei pacchetti di Microsoft fornisce l’agente di Connected Machine per Linux. Il bundle di script della shell Install_linux_azcmagent.sh installa e configura l'agente.
L'installazione, l'aggiornamento e la rimozione dell'agente Connected Machine non sono necessari dopo il riavvio del server.
L'installazione dell'agente Connected Machine per Linux applica le modifiche di configurazione seguenti a livello di sistema.
L’istallazione crea le cartelle di installazione seguenti.
Directory Descrizione /opt/azcmagent/ CLI azcmagent e file eseguibili del servizio metadati dell'istanza. /opt/GC_Ext/ Eseguibili del servizio di estensione. /opt/GC_Service/ Eseguibili del servizio di configurazione guest (criteri). /var/opt/azcmagent/ File di configurazione, log e token di identità per l'interfaccia della riga di comando azcmagent e il servizio metadati dell'istanza. /var/lib/GuestConfig/ Download dei pacchetti di estensione, download delle definizioni di configurazione guest (criteri) e log per i servizi di configurazione guest e estensione. L'installazione dell'agente crea i daemon seguenti.
Service name Nome visualizzato Nome processo Descrizione himdsd.service Servizio agente di Azure Connected Machine himds Questo servizio implementa il Servizio metadati dell'istanza ibrida (IMDS) per gestire la connessione ad Azure e l'identità di Azure del computer connesso. gcad.service Servizio Arc di GC gc_linux_service Controlla e applica i criteri di configurazione guest di Azure al computer. extd.service Servizio di estensione gc_linux_service Installa, aggiorna e gestisce le estensioni sul computer. Per la risoluzione dei problemi sono disponibili diversi file di log, descritti nella tabella seguente.
Log Descrizione /var/opt/azcmagent/log/himds.log Registra i dettagli dei componenti heartbeat e agente di identità. /var/opt/azcmagent/log/azcmagent.log Contiene l'output dei comandi dello strumento azcmagent. /var/lib/GuestConfig/arc_policy_logs Registra informazioni dettagliate sul componente agente di configurazione guest (criteri). /var/lib/GuestConfig/ext_mgr_logs Registra informazioni dettagliate sull'attività di gestione delle estensioni (installazione e disinstallazione delle estensioni ed eventi di aggiornamento). /var/lib/GuestConfig/extension_logs Directory contenente i log delle singole estensioni. L'installazione dell'agente crea le seguenti variabili di ambiente, impostate in
/lib/systemd/system.conf.d/azcmagent.conf.Nome Valore predefinito Descrizione IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/tokenIMDS_ENDPOINT http://localhost:40342Dopo la disinstallazione dell'agente, rimangono gli artefatti seguenti.
- /var/opt/azcmagent
- /var/lib/GuestConfig
Governance delle risorse dell'agente
L'agente di Azure Connected Machine è progettato per gestire il consumo di risorse da parte di agente e sistema. L'agente si approccia alla governance delle risorse alle condizioni seguenti:
L'agente Configurazione guest può usare fino al 5% della CPU per valutare i criteri.
L'agente Servizio di estensione può usare fino al 5% della CPU per installare, aggiornare, eseguire ed eliminare estensioni. Alcune estensioni potrebbero applicare limiti di CPU più restrittivi dopo l'installazione. Vengono applicate le seguenti eccezioni:
Tipo di estensione Sistema operativo Limite CPU AzureMonitorLinuxAgent Linux 60% AzureMonitorWindowsAgent Finestre 100% AzureSecurityLinuxAgent Linux 30% LinuxOsUpdateExtension Linux 60% MDE.Linux Linux 60% MicrosoftDnsAgent Finestre 100% MicrosoftMonitoringAgent Finestre 60% OmsAgentForLinux Finestre 60%
Durante le normali operazioni, definite come se l'agente Azure Connected Machine fosse connesso ad Azure e non stesse modificando attivamente un'estensione o valutando un criterio, si può prevedere che l'agente utilizzi le risorse di sistema seguenti:
| Windows | Linux | |
|---|---|---|
| Utilizzo della CPU (normalizzato a 1 core) | 0.07% | 0.02% |
| Utilizzo della memoria | 57 MB | 42 MB |
I dati sulle prestazioni sopra riportati sono stati raccolti nell'aprile 2023 nelle macchine virtuali che eseguono Windows Server 2022 e Ubuntu 20.04. Le prestazioni effettive dell'agente e il consumo di risorse varieranno in base alla configurazione hardware e software dei server.
Metadati dell'istanza
Le informazioni sui metadati relative a un computer connesso vengono raccolte dopo la registrazione dell'agente Connected Machine ai server abilitati per Azure Arc. In particolare:
- Nome, tipo e versione del sistema operativo
- Nome del computer
- Produttore e modello del computer
- Nome di dominio completo (FQDN) del computer
- Nome di dominio (se aggiunto a un dominio Active Directory)
- Nome di dominio completo (FQDN) di Active Directory e DNS
- UUID (ID BIOS)
- Heartbeat dell'agente di Connected Machine
- Versione dell'agente Connected Machine
- Chiave pubblica per l'identità gestita
- Stato e dettagli di conformità dei criteri (se si usano criteri di configurazione guest)
- SQL Server installato (valore booleano)
- ID della risorsa cluster (per i nodi di Azure Stack HCI)
- Produttore hardware
- Modello hardware
- Famiglia CPU, socket, numero di core fisici e logici
- Memoria fisica totale
- Numero di serie
- Tag risorsa SMBIOS
- Provider di servizi cloud
L'agente richiede le informazioni sui metadati seguenti ad Azure:
- Località della risorsa (area)
- ID macchina virtuale
- Tag
- Certificato di identità gestita di Microsoft Entra
- Assegnazioni dei criteri di configurazione guest
- Richieste di estensione: installazione, aggiornamento ed eliminazione.
Nota
I server abilitati per Azure Arc non archiviano/elaborano i dati dei clienti all'esterno dell'area in cui il cliente distribuisce l'istanza del servizio.