Azure Connected Machine エージェントの概要

Azure Connected Machine エージェントを使用すると、Azure の外部 (企業ネットワークや他のクラウド プロバイダー) でホストされている Windows や Linux のマシンを管理することができます。

エージェント コンポーネント

Azure Arc 対応サーバー エージェント アーキテクチャの概要。

Azure Connected Machine エージェント パッケージには、いくつかの論理コンポーネントがバンドルされています。

  • Hybrid Instance Metadata Service (HIMDS) は、Azure への接続と接続されたマシンの Azure ID を管理します。

  • ゲスト構成エージェントでは、マシンが必要なポリシーに準拠しているかどうかの評価やコンプライアンスの適用といった機能が提供されます。

    切断されたマシンに対する Azure Policy のゲスト構成での次の動作に注意してください。

    • 切断されたマシンを対象とする Azure Policy 割り当ては影響を受けません。
    • ゲスト割り当ては 14 日間ローカルに格納されます。 14 日の期間内に Connected Machine エージェントがサービスに再接続した場合は、ポリシー割り当てが再適用されます。
    • 割り当ては 14 日後に削除され、14 日後にマシンに再割り当てされることはありません。
  • 拡張エージェントは VM 拡張機能 (インストール、アンインストール、アップグレードなど) を管理します。 Azure は拡張機能をダウンロードし、Windows 上の %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads フォルダーと Linux 上の フォルダーに /opt/GC_Ext/downloads コピーします。 Windows では、拡張機能は次のパス %SystemDrive%\Packages\Plugins\<extension>にインストールされ、Linux では 拡張機能が に /var/lib/waagent/<extension>インストールされます。

Note

Azure Monitor エージェント (AMA) は、監視データを収集する独立したエージェントであり、Connected Machine エージェントに取って代わるものではありません。AMA は、Windows と Linux の両方のマシンで、Log Analytics エージェント、診断拡張機能、および Telegraf エージェントの機能のみを引き継ぎます。

エージェントのリソース

次の情報では、Azure Connected Machine エージェントで使用されるディレクトリとユーザー アカウントについて説明します。

Windows エージェントのインストールの詳細

Windows エージェントは、Windows インストーラー パッケージ (MSI) として配布されます。 Microsoft ダウンロード センターから Windows エージェントをダウンロードします。 Window 用の Connected Machine エージェントをインストールすると、次のシステム全体の構成変更が適用されます。

  • インストール プロセスでは、セットアップ中に次のフォルダーが作成されます。

    ディレクトリ 説明
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI およびインスタンスメタデータ サービスの実行可能ファイル。
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC 拡張機能サービスの実行可能ファイル。
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC ゲスト構成 (ポリシー) サービスの実行可能ファイル。
    %ProgramData%\AzureConnectedMachineAgent azcmagent CLI およびインスタンス メタデータ サービスの構成、ログ、および ID トークンのファイル。
    %ProgramData%\GuestConfig 拡張機能パッケージのダウンロード、ゲスト構成 (ポリシー) 定義のダウンロード、および拡張機能とゲスト構成サービスのログ。
    %SYSTEMDRIVE%\packages 拡張機能パッケージの実行可能ファイル
  • エージェントをインストールすると、ターゲット コンピューターに次の Windows サービスが作成されます。

    [サービス名] Display name [処理名] 説明
    himds Azure Hybrid Instance Metadata Service himds メタデータを Azure と同期させ、拡張機能とアプリケーション用のローカル REST API をホストしてメタデータにアクセスし、Azure Active Directory マネージド ID トークンを要求します
    GCArcService ゲスト構成 Arc サービス gc_service マシン上で Azure ゲスト構成ポリシーを監査し、適用します。
    ExtensionService ゲスト構成拡張機能サービス gc_service マシン上で、拡張の機能のインストール、更新、管理を行います。
  • エージェントのインストールにより、次の仮想サービス アカウントが作成されます。

    仮想アカウント 説明
    NT SERVICE\himds Hybrid Instance Metadata Service を実行するために使用される特権のないアカウント。

    ヒント

    このアカウントには、"サービスとしてログオン" 権限が必要です。 この権限は、エージェントのインストール中に自動的に付与されますが、組織がグループ ポリシーでユーザー権利の割り当てを構成している場合は、グループ ポリシー オブジェクトを調整して、"NT SERVICE\himds" または "NT SERVICE\ALL SERVICES" に権限を与え、エージェントが機能するようにする必要があります。

  • エージェントのインストールにより、次のローカル セキュリティ グループが作成されます。

    セキュリティ グループ名 説明
    ハイブリッド エージェント拡張機能アプリケーション このセキュリティ グループのメンバーは、システム割り当てマネージド ID の Azure Active Directory トークンを要求できます
  • エージェントのインストールにより、次の環境変数が作成されます

    名前 既定値 説明
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • 次の表で説明する、トラブルシューティングに使用できるログ ファイルがいくつかあります。

    ログ 説明
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log ハートビートと ID エージェント コンポーネントの詳細を記録します。
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log azcmagent ツール コマンドの出力を格納します。
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log ゲスト構成 (ポリシー) エージェント コンポーネントに関する詳細を記録します。
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log 拡張機能マネージャーのアクティビティ (拡張機能のインストール、アンインストール、アップグレードの各イベント) に関する詳細を記録します。
    %ProgramData%\GuestConfig\extension_logs 個々の拡張機能のログを含むディレクトリ。
  • このプロセスでは、ローカル セキュリティ グループ のハイブリッド エージェント拡張機能アプリケーションが作成されます

  • エージェントをアンインストールした後、次の成果物が残ります。

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Linux エージェントのインストールの詳細

Microsoft パッケージ リポジトリでホストされているディストリビューション (.rpm または .deb) の推奨 されるパッケージ 形式は、Linux 用の Connected Machine エージェントを提供します。 シェル スクリプト バンドル Install_linux_azcmagent.sh は、エージェントをインストールして構成します。

サーバーの再起動後、Connected Machine エージェントのインストール、アップグレード、および削除は必要ありません。

Linux 用 Connected Machine エージェントをインストールすると、次のシステム全体の構成変更が適用されます。

  • セットアップでは、次のインストール フォルダーが作成されます。

    ディレクトリ 説明
    /opt/azcmagent/ azcmagent CLI およびインスタンスメタデータ サービスの実行可能ファイル。
    /opt/GC_Ext/ 拡張機能サービスの実行可能ファイル。
    /opt/GC_Service/ ゲスト構成 (ポリシー) サービスの実行可能ファイル。
    /var/opt/azcmagent/ azcmagent CLI およびインスタンス メタデータ サービスの構成、ログ、および ID トークンのファイル。
    /var/lib/GuestConfig/ 拡張機能パッケージのダウンロード、ゲスト構成 (ポリシー) 定義のダウンロード、および拡張機能とゲスト構成サービスのログ。
  • エージェントをインストールすると、次のデーモンが作成されます。

    [サービス名] Display name [処理名] 説明
    himdsd.service Azure Connected Machine Agent サービス。 himds このサービスは、Azure への接続、接続マシンの Azure ID を管理するために、Hybrid Instance Metadata Service (IMDS) を実装します。
    gcad.service GC Arc サービス gc_linux_service マシン上で Azure ゲスト構成ポリシーを監査し、適用します。
    extd.service 拡張機能サービス gc_linux_service マシン上で、拡張の機能のインストール、更新、管理を行います。
  • トラブルシューティングに使用できるログ ファイルをいくつか次の表に示します。

    ログ 説明
    /var/opt/azcmagent/log/himds.log ハートビートと ID エージェント コンポーネントの詳細を記録します。
    /var/opt/azcmagent/log/azcmagent.log azcmagent ツール コマンドの出力を格納します。
    /var/lib/GuestConfig/arc_policy_logs ゲスト構成 (ポリシー) エージェント コンポーネントに関する詳細を記録します。
    /var/lib/GuestConfig/ext_mgr_logs 拡張機能マネージャーのアクティビティ (拡張機能のインストール、アンインストール、アップグレードの各イベント) に関する詳細を記録します。
    /var/lib/GuestConfig/extension_logs 個々の拡張機能のログを含むディレクトリ。
  • エージェントのインストールでは、 に設定された次の環境変数が /lib/systemd/system.conf.d/azcmagent.conf作成されます。

    名前 既定値 説明
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • エージェントをアンインストールした後、次の成果物が残ります。

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

エージェント リソース ガバナンス

Azure Connected Machine エージェントは、エージェントとシステム リソースの使用を管理するように設計されています。 エージェントは、次の条件下でリソース ガバナンスにアプローチします。

  • ゲスト構成エージェントは、最大 5% の CPU を使用してポリシーを評価できます。

  • 拡張機能サービス エージェントは、最大 5% の CPU を使用して拡張機能のインストール、アップグレード、実行、削除を行うことができます。 適用される例外を次に示します。

    • 拡張機能が Azure Arc (Microsoft Monitoring Agent など) に依存しないバックグラウンド サービスをインストールする場合、これらのサービスは上記のリソース ガバナンスの制約の対象になりません。
    • Log Analytics エージェントと Azure Monitor エージェントは、Red Hat Linux、CentOS、およびその他のエンタープライズ Linux バリアントでのインストール/アップグレード/アンインストール操作中に最大 60% の CPU を使用できます。 これらのシステムでの SELinux のパフォーマンスへの影響に対応するために、この制限はこの拡張機能とオペレーティング システムの組み合わせに対しては高くなっています。
    • Azure Monitor エージェントの場合、通常の操作中の CPU の使用率は最大 30% となります。
    • Linux OS Update 拡張機能 (Azure Update Management Center で使用) では、CPU の最大 30% を使用してサーバーにパッチを適用できます。
    • Microsoft Defender for Endpoint拡張機能では、インストール、アップグレード、および削除操作中に最大 30% の CPU を使用できます。
    • Microsoft Sentinel DNS 拡張機能では、最大 30% の CPU を使用して DNS サーバーからログを収集できます

通常の操作では、Azure に接続されている Azure Connected Machine エージェントとして定義され、拡張機能の変更やポリシーの評価を積極的に行わない場合、エージェントは次のシステム リソースを使用することを期待できます。

Windows Linux
CPU 使用率 (1 コアに正規化) 0.07% 0.02%
メモリ使用量 57 MB 42 MB

上記のパフォーマンス データは、Windows Server 2022 と Ubuntu 20.04 を実行している仮想マシンで 2023 年 4 月に収集されました。 実際のエージェントのパフォーマンスとリソースの消費量は、サーバーのハードウェアとソフトウェアの構成によって異なります。

インスタンス メタデータ

接続されたマシンに関するメタデータ情報は、Connected Machine エージェントが Azure Arc 対応サーバーに登録された後に収集されます。 具体的な内容は次のとおりです。

  • オペレーティング システムの名前、種類、バージョン
  • コンピューター名
  • コンピューターの製造元および型番
  • コンピューターの完全修飾ドメイン名 (FQDN)
  • ドメイン名 (Active Directory ドメインに参加している場合)
  • Active Directory と DNS の完全修飾ドメイン名 (FQDN)
  • UUID (BIOS ID)
  • Connected Machine エージェントのハートビート
  • Connected Machine エージェントのバージョン
  • マネージド ID の公開キー
  • ポリシーのコンプライアンスの状態と詳細 (ゲスト構成ポリシーを使用している場合)
  • SQL Server のインストール状況 (ブール値)
  • クラスター リソース ID (Azure Stack HCI ノード用)
  • ハードウェアの製造元
  • ハードウェア モデル
  • CPU 論理コア数
  • クラウド プロバイダー
  • AWS で実行されている場合の Amazon Web Services (AWS) メタデータ:
    • Account ID
    • インスタンス ID
    • リージョン
  • GCP で実行されている場合の Google Cloud Platform (GCP) メタデータ:
    • インスタンス ID
    • Image
    • マシンの種類
    • プロジェクト ID
    • プロジェクト番号
    • サービス アカウント
    • ゾーン

エージェントは、Azure に次のメタデータ情報を要求します。

  • リソースの場所 (リージョン)
  • 仮想マシン ID
  • Tags
  • Azure Active Directory マネージド ID 証明書
  • ゲスト構成ポリシーの割り当て
  • 拡張要求 - インストール、更新、削除。

Note

顧客がサービス インスタンスをデプロイしたリージョンの外部で、Azure Arc 対応サーバーによって、顧客データの格納または処理が行われることはありません。

デプロイのオプションと要件

エージェントのデプロイとマシン接続には、特定 の前提条件が必要です。 また、ネットワーク要件にも注意する必要があります。

エージェントのデプロイについては、いくつかのオプションが提供されています。 詳しくは、「デプロイの計画」と「デプロイ オプション」ご覧ください。

次のステップ