次の方法で共有

Azure Connected Machine エージェントの概要

Azure Connected Machine エージェントを使用すると、企業ネットワークやその他のクラウド プロバイダーで、Azure の外部でホストされている Windows マシンと Linux マシンを管理できます。

警告

製品グループで正式にサポートされるのは、過去 1 年間の Connected Machine エージェント バージョン のみです。 お客様は、このウィンドウ内のエージェント バージョンに更新する必要があります。

エージェント コンポーネント

Azure Connected Machine エージェントのアーキテクチャの概要の図。

アーキテクチャ図を高解像度でダウンロードするには、 Jumpstart Gem にアクセスしてください。

Azure Connected Machine エージェント パッケージには、まとめてバンドルされている論理コンポーネントがいくつか含まれています。

  • Hybrid Instance Metadata Service (HIMDS) は、Azure への接続と接続されたマシンの Azure ID を管理します。

  • マシン構成エージェントでは、マシンが必要なポリシーに準拠しているかどうかの評価やコンプライアンスの適用といった機能が提供されます。

    切断されたマシンに対する Azure Policy のマシン構成での次の動作に注意してください。

    • 切断されたマシンを対象とする Azure Policy 割り当ては影響を受けません。
    • ゲスト割り当ては 14 日間ローカルに格納されます。 14 日の期間内に Connected Machine エージェントがサービスに再接続した場合は、ポリシー割り当てが再適用されます。
    • 割り当ては 14 日後に削除され、14 日の期間の後にマシンに再割り当てされることはありません。

  • 拡張エージェントは VM 拡張機能 (インストール、アンインストール、アップグレードなど) を管理します。 Azure によって拡張機能がダウンロードされ、Windows では %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads フォルダー、Linux では /opt/GC_Ext/downloads にコピーされます。 Windows では、拡張機能はパス %SystemDrive%\Packages\Plugins\<extension> にインストールされます。Linux では、拡張機能は /var/lib/waagent/<extension> にインストールされます。

Azure Monitor エージェント (AMA) は、監視データを収集する別のエージェントです。 Connected Machine エージェントの代わりにはなりません。 AMA は、Windows マシンと Linux マシンの両方の Log Analytics エージェント、診断拡張機能、Telegraf エージェントのみを置き換えます。

Azure Arc プロキシ

Azure Arc プロキシ サービスは、Azure Connected Machine エージェント サービスと拡張機能からのネットワーク トラフィックを集計し、そのデータのルーティング先を決定する役割を担います。 Azure Arc ゲートウェイ (限定プレビュー)を使用してネットワーク エンドポイントを簡略化している場合、Azure Arc プロキシ サービスがローカル コンポーネントとなり、規定のルートではなく、Azure Arc ゲートウェイ経由でネットワーク リクエストを転送します。 Azure Arc プロキシは、Windows ではネットワーク サービスとして、Linux では標準ユーザー アカウント (arcproxy) として実行されます。 Azure Connected Machine エージェント バージョン 1.51 より前のバージョンでは、このサービスは既定で無効になっており、Azure Arc ゲートウェイ (制限付きプレビュー) を使用するようにエージェントを構成しない限り無効のままにしておく必要があります。 バージョン 1.51 以降では、マシンが Arc Gateway を使用するように構成されているか、Arc エンドポイントと直接通信して適切に動作するかを判断できるようになったため、Arc プロキシ サービスは既定で開始されます。 Arc Gateway を使用していない場合でも、次のコマンド azcmagent config set connection.type directを使用して Arc プロキシ サービスを無効にすることもできます。

エージェントのリソース

このセクションでは、Azure Connected Machine エージェントで使用されるディレクトリとユーザー アカウントについて説明します。

Windows エージェントのインストールの詳細

Windows エージェントは Windows インストーラー パッケージ (MSI) として提供されます。 Microsoft ダウンロード センターから Windows エージェントをダウンロードします。 Windows 用 Connected Machine エージェントをインストールすると、次のシステム全体の構成変更が適用されます。

  • インストール プロセスでは、セットアップ中に次のフォルダーが作成されます。

    ディレクトリ 説明
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI およびインスタンスメタデータ サービスの実行可能ファイル。
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC 拡張機能サービスの実行可能ファイル。
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC マシン構成 (ポリシー) サービスの実行可能ファイル。
    %ProgramData%\AzureConnectedMachineAgent azcmagent CLI とインスタンス メタデータ サービスの構成、ログ、ID トークンのファイル。
    %ProgramData%\GuestConfig 拡張機能パッケージのダウンロード、マシン構成 (ポリシー) 定義のダウンロード、および拡張機能とマシン構成サービスのログ。
    %SYSTEMDRIVE%\packages 拡張機能パッケージの実行可能ファイル

  • エージェントをインストールすると、ターゲット マシンに次の Windows サービスが作成されます。

    [サービス名] [表示名] プロセス名 説明
    himds Azure ハイブリッド インスタンス メタデータ サービス himds.exe メタデータを Azure と同期させ、拡張機能とアプリケーション用のローカル REST API をホストしてメタデータにアクセスし、Microsoft Entra マネージド ID トークンを要求します
    GCArcService マシン構成 Arc サービス gc_arc_service.exe (gc_service.exe バージョン 1.36 より前) マシン上で Azure マシン構成ポリシーを監査し、適用します。
    エクステンションサービス マシン構成拡張機能サービス gc_extension_service.exe (gc_service.exe バージョン 1.36 より前) マシン上で、拡張の機能のインストール、更新、管理を行います。

  • エージェントのインストールにより、次の仮想サービス アカウントが作成されます。

    仮想アカウント 説明
    NT SERVICE\himds Hybrid Instance Metadata Service を実行するために使用される特権のないアカウント。

    ヒント

    このアカウントには、"サービスとしてログオン" 権限が必要です。 この権限は、エージェントのインストール中に自動的に付与されます。 ただし、組織でグループ ポリシーを使用してユーザー権限の割り当てを構成する場合は、エージェントの機能を許可する権限を "NT SERVICE\himds" または "NT SERVICE\ALL SERVICES" に付与するようにグループ ポリシー オブジェクトを調整することが必要になる場合があります。

  • エージェントのインストールにより、次のローカル セキュリティ グループが作成されます。

    セキュリティ グループ名 説明
    ハイブリッド エージェント拡張機能アプリケーション このセキュリティ グループのメンバーは、システム割り当てマネージド ID の Microsoft Entra トークンを要求できます

  • エージェントのインストールにより、次の環境変数が作成されます

    名前 既定値
    アイデンティティ_エンドポイント http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • 次の表に示すように、トラブルシューティングに使用できるログ ファイルがいくつかあります。

    ログ 説明
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log ハートビートと ID エージェント コンポーネントの詳細を記録します。
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log azcmagent ツール コマンドの出力を格納します。
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log マシン構成 (ポリシー) エージェント コンポーネントに関する詳細を記録します。
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log 拡張機能マネージャーのアクティビティ (拡張機能のインストール、アンインストール、アップグレードの各イベント) に関する詳細を記録します。
    %ProgramData%\GuestConfig\extension_logs 個々の拡張機能のログを含むディレクトリ。

  • エージェントをアンインストールした後も、次の成果物が残ります。

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig の設定を行う
    • %SystemDrive%\packages

インストール前に、ウイルス対策/マルウェア対策スキャンからインストール ファイルの場所を一時的に除外します。 これにより、インストール中の潜在的な干渉やファイルの破損を防ぐことができます。

Linux エージェントのインストールの詳細

Microsoft パッケージ リポジトリでホストされているディストリビューション (.rpmまたは.deb) に推奨されるパッケージ形式は、Linux 用の Connected Machine エージェントを提供します。 シェル スクリプト バンドル Install_linux_azcmagent.sh を使用して、エージェントをインストールおよび構成します。

サーバー再起動後、Connected Machine エージェントのインストール、アップグレード、および削除は必要ありません。

Linux 用 Connected Machine エージェントをインストールすると、次のシステム全体の構成変更が適用されます。

  • セットアップで、次のインストール フォルダーが作成されます。

    ディレクトリ 説明
    /opt/azcmagent/ azcmagent CLI およびインスタンスメタデータ サービスの実行可能ファイル。
    /opt/GC_Ext/ 拡張機能サービスの実行可能ファイル。
    /opt/GC_Service/ マシン構成 (ポリシー) サービスの実行可能ファイル。
    /var/opt/azcmagent/ azcmagent CLI とインスタンス メタデータ サービスの構成、ログ、ID トークンのファイル。
    /var/lib/GuestConfig/ 拡張機能パッケージのダウンロード、マシン構成 (ポリシー) 定義のダウンロード、および拡張機能とマシン構成サービスのログ。

  • エージェントをインストールすると、次のデーモンが作成されます。

    [サービス名] [表示名] プロセス名 説明
    himdsd.service Azure Connected Machine Agent サービス。 himds このサービスは、Azure への接続、接続マシンの Azure ID を管理するために、Hybrid Instance Metadata Service (IMDS) を実装します。
    gcad.service GC Arc サービス gc_linux_service マシン上で Azure マシン構成ポリシーを監査し、適用します。
    extd.service 拡張機能サービス gc_linux_service マシン上で、拡張の機能のインストール、更新、管理を行います。

  • 次の表に示すように、トラブルシューティングに使用できるログ ファイルがいくつかあります。

    ログ 説明
    /var/opt/azcmagent/log/himds.log ハートビートと ID エージェント コンポーネントの詳細を記録します。
    /var/opt/azcmagent/log/azcmagent.log azcmagent ツール コマンドの出力を格納します。
    /var/lib/GuestConfig/arc_policy_logs マシン構成 (ポリシー) エージェント コンポーネントに関する詳細を記録します。
    /var/lib/GuestConfig/ext_mgr_logs 拡張機能マネージャーのアクティビティ (拡張機能のインストール、アンインストール、アップグレードの各イベント) に関する詳細を記録します。
    /var/lib/GuestConfig/extension_logs 個々の拡張機能のログを含むディレクトリ。

  • エージェントのインストールにより、次の環境変数が作成され、/lib/systemd/system.conf.d/azcmagent.conf に設定されます。

    名前 既定値
    アイデンティティ_エンドポイント http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • エージェントのアンインストール後、次の成果物が残ります。

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

エージェント リソース ガバナンス

Azure Connected Machine エージェントは、エージェントとシステム リソースの使用を管理するように設計されています。 エージェントは、次の条件下でリソース ガバナンスにアプローチします。

  • マシン構成 (旧称ゲスト構成) サービスは、ポリシーを評価するために CPU の最大 5% を使用できます。

  • 拡張機能サービスでは、拡張機能のインストール、アップグレード、実行、削除に、Windows マシン CPU の最大 5% と Linux マシン CPU の 30% を使用できます。 拡張機能によっては、インストール後により厳しい CPU 制限が適用される場合があります。 適用される例外を次に示します。

    拡張機能の種類 オペレーティング システム CPU 制限
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsエージェント ウィンドウズ 100%
    LinuxOsUpdateExtension Linux 60%
    MDE。Linux Linux 60%
    MicrosoftDnsAgent ウィンドウズ 100%
    MicrosoftMonitoringAgent ウィンドウズ 60%
    OmsAgentForLinux Linux 60%

通常の操作で、Azure に接続されている Azure Connected Machine エージェントとして定義され、拡張機能の変更やポリシーの評価をアクティブに行わない場合、エージェントが次のシステム リソースを使用することが予想されます。

ウィンドウズ Linux
CPU 使用率 (1 コアに正規化) 0.07% 0.02%
メモリ使用量 57 MB 42 MB

上記のパフォーマンス データは、Windows Server 2022 と Ubuntu 20.04 を実行している仮想マシンで 2023 年 4 月に収集されました。 エージェントの実際のパフォーマンスとリソースの消費量は、サーバーのハードウェアとソフトウェアの構成によって異なります。

カスタム リソースの制限

既定のリソース ガバナンス制限は、ほとんどのサーバーに最適な選択肢です。 ただし、CPU リソースが限られている小規模な仮想マシンやサーバーでは、拡張機能の管理やポリシーの評価時にタイムアウトが発生する可能性があります。これは、タスクを完了するのに十分な CPU リソースがないためです。 エージェント バージョン 1.39 以降、エージェントがこれらのタスクをより迅速に完了できるように、拡張機能マネージャーとマシン構成サービスに適用される CPU 制限をカスタマイズすることができます。

拡張機能マネージャーとマシン構成サービスの現在のリソース制限を確認するには、次のコマンドを実行します。

azcmagent config list

出力には guestconfiguration.agent.cpulimitextensions.agent.cpulimit という 2 つのフィールドが表示され、現在のリソース制限がパーセンテージで指定されています。 エージェントの新規インストールの場合、既定の制限は CPU の 5% であるため、両方とも 5 が表示されます。

拡張機能マネージャーのリソース制限を 80% に変更するには、次のコマンドを実行します。

azcmagent config set extensions.agent.cpulimit 80

インスタンス メタデータ

接続されたマシンに関するメタデータ情報は、Connected Machine エージェントが Azure Arc 対応サーバーに登録された後に収集されます。 具体的には、次のように使用します。

  • オペレーティング システムの名前、エディション、種類、バージョン
  • コンピューター名
  • コンピューターの製造元および型番
  • コンピューターの完全修飾ドメイン名 (FQDN)
  • ドメイン名 (Active Directory ドメインに参加している場合)
  • Active Directory と DNS の完全修飾ドメイン名 (FQDN)
  • UUID (BIOS ID)
  • Connected Machine エージェントのハートビート
  • Connected Machine エージェントのバージョン
  • マネージド ID の公開キー
  • ポリシーのコンプライアンスの状態と詳細 (マシン構成ポリシーを使用している場合)
  • SQL Server のインストール状況 (ブール値)
  • PostgreSQL がインストールされている (論理値)
  • MySQL がインストールされている (ブール値)
  • クラスター リソース ID (Azure Local マシン用)
  • ハードウェアの製造元
  • ハードウェア モデル
  • CPU ファミリ、ソケット、物理コア、論理コアの数
  • 物理メモリの合計
  • シリアル番号
  • SMBIOS 資産タグ
  • ネットワーク インターフェイスの情報
    • IP アドレス
    • サブネット
  • Windows のライセンス情報
    • OS のライセンスの状態
    • OS のライセンス チャネル
    • 拡張セキュリティ更新プログラムの資格
    • 拡張セキュリティ更新プログラムのライセンスの状態
    • 拡張セキュリティ更新プログラムのライセンス チャネル
  • クラウド プロバイダー
  • AWS で実行されている場合の Amazon Web Services (AWS) メタデータ:
    • 取引先企業 ID
    • インスタンスID
    • リージョン
  • GCP で実行されている場合の Google Cloud Platform (GCP) メタデータ:
    • インスタンスID
    • 画像
    • マシンの種類
    • プロジェクト ID
    • プロジェクト番号
    • サービス アカウント
    • ゾーン
  • OCI で実行する場合の Oracle クラウド インフラストラクチャ メタデータ:
    • [表示名]

エージェントから、Azure に次のメタデータ情報が要求されます。

  • リソースの場所 (リージョン)
  • 仮想マシン ID
  • タグ
  • Microsoft Entra マネージド ID 証明書
  • マシン構成ポリシーの割り当て
  • 拡張要求 - インストール、更新、削除。

Azure Arc 対応サーバーは、個人を特定できる情報 (PII) やエンド ユーザーを特定できる情報を収集したり、顧客データを格納したりすることはありません。

顧客メタデータは、顧客がサービス インスタンスをデプロイするリージョンの外部に格納または処理されません。

デプロイのオプションと要件

エージェントのデプロイとマシン接続には、特定の前提条件が必要です。 また、ネットワーク要件にも注意する必要があります。

エージェントのデプロイについては、いくつかのオプションが提供されています。 詳しくは、「デプロイの計画」と「デプロイ オプション」ご覧ください。

複製のガイドライン

azcmagent パッケージをゴールデン イメージに安全にインストールすることはできますが、azcmagent connect コマンドを使ってマシンを接続すると、そのマシンは特定のリソース情報を受け取ります。 ゴールデン イメージから複製してマシンを構築する場合は、azcmagent connect コマンドを使って Azure に接続する前にまず、マシンごとに特殊化する必要があります。 各マシンを作成して特殊化しないまま、元のゴールデン イメージ マシンを Azure に接続しないでください。

接続されているサーバーが 429 エラー メッセージを受け取る場合は、サーバーを Azure に接続した後で、そのサーバーを複製のゴールデン イメージとして使用した可能性があります。 リソース情報がイメージに記録されているため、そのイメージから作成された複製のマシンは、同じリソースにハートビート メッセージを送信しようとします。

既存のマシンに対する 429 エラー メッセージを解決するには、複製された各マシンで azcmagent disconnect --force-local-only を実行してから、適切な資格情報を使って azcmagent connect を実行し直し、一意のリソース名を使ってマシンをクラウドに接続します。

ディザスター リカバリー

Arc 対応サーバーには、お客様が有効にするディザスター リカバリーのオプションはありません。 Azure リージョンで障害が発生した場合、システムは同じ Azure 地域 内の別のリージョン (存在する場合) にフェールオーバーします。 このフェールオーバー手順は自動ですが、しばらく時間がかかります。 この期間中、Connected Machine エージェントは切断され、フェールオーバーが完了するまで [切断] の状態が表示されます。 障害が解決されると、システムは元のリージョンにフェールバックします。

Azure Arc の停止は、お客様のワークロード自体には影響しません。Arc を介した該当するサーバーの管理のみが損なわれます。

次のステップ