Azure Connected Machine エージェントの概要

  • [アーティクル]

Azure Connected Machine エージェントを使用すると、Azure の外部 (企業ネットワークや他のクラウド プロバイダー) でホストされている Windows や Linux のマシンを管理することができます。

エージェント コンポーネント

Azure Connected Machine エージェント アーキテクチャの概要。

Azure Connected Machine エージェント パッケージには、まとめてバンドルされている論理コンポーネントがいくつか含まれています。

  • Hybrid Instance Metadata Service (HIMDS) は、Azure への接続と接続されたマシンの Azure ID を管理します。

  • ゲスト構成エージェントでは、マシンが必要なポリシーに準拠しているかどうかの評価やコンプライアンスの適用といった機能が提供されます。

    切断されたマシンに対する Azure Policy のゲスト構成での次の動作に注意してください。

    • 切断されたマシンを対象とする Azure Policy 割り当ては影響を受けません。
    • ゲスト割り当ては 14 日間ローカルに格納されます。 14 日の期間内に Connected Machine エージェントがサービスに再接続した場合は、ポリシー割り当てが再適用されます。
    • 割り当ては 14 日後に削除され、14 日の期間の後にマシンに再割り当てされることはありません。

  • 拡張エージェントは VM 拡張機能 (インストール、アンインストール、アップグレードなど) を管理します。 Azure によって拡張機能がダウンロードされ、Windows では %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads フォルダー、Linux では /opt/GC_Ext/downloads にコピーされます。 Windows では、拡張機能はパス %SystemDrive%\Packages\Plugins\<extension> にインストールされます。Linux では、拡張機能は /var/lib/waagent/<extension> にインストールされます。

Note

Azure Monitor エージェント (AMA) は、監視データを収集する独立したエージェントであり、Connected Machine エージェントに取って代わるものではありません。AMA は、Windows と Linux の両方のマシンで、Log Analytics エージェント、診断拡張機能、および Telegraf エージェントの機能のみを引き継ぎます。

エージェントのリソース

次の情報では、Azure Connected Machine エージェントで使用されるディレクトリとユーザー アカウントについて説明します。

Windows エージェントのインストールの詳細

Windows エージェントは Windows インストーラー パッケージ (MSI) として提供されます。 Microsoft ダウンロード センターから Windows エージェントをダウンロードします。 Windows 用 Connected Machine エージェントをインストールすると、次のシステム全体の構成変更が適用されます。

  • インストール プロセスでは、セットアップ中に次のフォルダーが作成されます。

    ディレクトリ 説明
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI およびインスタンスメタデータ サービスの実行可能ファイル。
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC 拡張機能サービスの実行可能ファイル。
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC ゲスト構成 (ポリシー) サービスの実行可能ファイル。
    %ProgramData%\AzureConnectedMachineAgent azcmagent CLI およびインスタンス メタデータ サービスの構成、ログ、および ID トークンのファイル。
    %ProgramData%\GuestConfig 拡張機能パッケージのダウンロード、ゲスト構成 (ポリシー) 定義のダウンロード、および拡張機能とゲスト構成サービスのログ。
    %SYSTEMDRIVE%\packages 拡張機能パッケージの実行可能ファイル

  • エージェントをインストールすると、ターゲット マシンに次の Windows サービスが作成されます。

    [サービス名] [表示名] プロセス名 説明
    himds Azure Hybrid Instance Metadata Service himds.exe メタデータを Azure と同期させ、拡張機能とアプリケーション用のローカル REST API をホストしてメタデータにアクセスし、Microsoft Entra マネージド ID トークンを要求します
    GCArcService ゲスト構成 Arc サービス gc_arc_service.exe (1.36 より前のバージョンの gc_service.exe) マシン上で Azure ゲスト構成ポリシーを監査し、適用します。
    ExtensionService ゲスト構成拡張機能サービス gc_extension_service.exe (1.36 より前のバージョンの gc_service.exe) マシン上で、拡張の機能のインストール、更新、管理を行います。

  • エージェントのインストールにより、次の仮想サービス アカウントが作成されます。

    仮想アカウント 説明
    NT SERVICE\himds Hybrid Instance Metadata Service を実行するために使用される特権のないアカウント。

    ヒント

    このアカウントには、"サービスとしてログオン" 権限が必要です。 この権限は、エージェントのインストール中に自動的に付与されますが、組織がグループ ポリシーでユーザー権利の割り当てを構成している場合は、エージェントが機能するように、グループ ポリシー オブジェクトを調整して、"NT SERVICE\himds" または "NT SERVICE\ALL SERVICES" に権限を与える必要があるかもしれません。

  • エージェントのインストールにより、次のローカル セキュリティ グループが作成されます。

    セキュリティ グループ名 説明
    ハイブリッド エージェント拡張機能アプリケーション このセキュリティ グループのメンバーは、システム割り当てマネージド ID の Microsoft Entra トークンを要求できます

  • エージェントのインストールにより、次の環境変数が作成されます

    名前 既定値 説明
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • 次の表に示すように、トラブルシューティングに使用できるログ ファイルがいくつかあります。

    ログ 説明
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log ハートビートと ID エージェント コンポーネントの詳細を記録します。
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log azcmagent ツール コマンドの出力を格納します。
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log ゲスト構成 (ポリシー) エージェント コンポーネントに関する詳細を記録します。
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log 拡張機能マネージャーのアクティビティ (拡張機能のインストール、アンインストール、アップグレードの各イベント) に関する詳細を記録します。
    %ProgramData%\GuestConfig\extension_logs 個々の拡張機能のログを含むディレクトリ。

  • プロセスで、ローカル セキュリティ グループのハイブリッド エージェント拡張アプリケーションが作成されます。

  • エージェントをアンインストールした後も、次の成果物が残ります。

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Linux エージェントのインストールの詳細

Microsoft パッケージ リポジトリでホストされるディストリビューションの推奨パッケージ形式 (.rpmまたは .deb) により、Linux 用の Connected Machine エージェントが提供されます。 シェル スクリプト バンドル Install_linux_azcmagent.sh を使用して、エージェントをインストールおよび構成します。

サーバー再起動後、Connected Machine エージェントのインストール、アップグレード、および削除は必要ありません。

Linux 用 Connected Machine エージェントをインストールすると、次のシステム全体の構成変更が適用されます。

  • セットアップで、次のインストール フォルダーが作成されます。

    ディレクトリ 説明
    /opt/azcmagent/ azcmagent CLI およびインスタンスメタデータ サービスの実行可能ファイル。
    /opt/GC_Ext/ 拡張機能サービスの実行可能ファイル。
    /opt/GC_Service/ ゲスト構成 (ポリシー) サービスの実行可能ファイル。
    /var/opt/azcmagent/ azcmagent CLI およびインスタンス メタデータ サービスの構成、ログ、および ID トークンのファイル。
    /var/lib/GuestConfig/ 拡張機能パッケージのダウンロード、ゲスト構成 (ポリシー) 定義のダウンロード、および拡張機能とゲスト構成サービスのログ。

  • エージェントをインストールすると、次のデーモンが作成されます。

    [サービス名] [表示名] プロセス名 説明
    himdsd.service Azure Connected Machine Agent サービス。 himds このサービスは、Azure への接続、接続マシンの Azure ID を管理するために、Hybrid Instance Metadata Service (IMDS) を実装します。
    gcad.service GC Arc サービス gc_linux_service マシン上で Azure ゲスト構成ポリシーを監査し、適用します。
    extd.service 拡張機能サービス gc_linux_service マシン上で、拡張の機能のインストール、更新、管理を行います。

  • 次の表に示すように、トラブルシューティングに使用できるログ ファイルがいくつかあります。

    ログ 説明
    /var/opt/azcmagent/log/himds.log ハートビートと ID エージェント コンポーネントの詳細を記録します。
    /var/opt/azcmagent/log/azcmagent.log azcmagent ツール コマンドの出力を格納します。
    /var/lib/GuestConfig/arc_policy_logs ゲスト構成 (ポリシー) エージェント コンポーネントに関する詳細を記録します。
    /var/lib/GuestConfig/ext_mgr_logs 拡張機能マネージャーのアクティビティ (拡張機能のインストール、アンインストール、アップグレードの各イベント) に関する詳細を記録します。
    /var/lib/GuestConfig/extension_logs 個々の拡張機能のログを含むディレクトリ。

  • エージェントのインストールにより、次の環境変数が作成され、/lib/systemd/system.conf.d/azcmagent.conf に設定されます。

    名前 既定値 説明
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • エージェントをアンインストールした後も、次の成果物が残ります。

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

エージェント リソース ガバナンス

Azure Connected Machine エージェントは、エージェントとシステム リソースの使用を管理するように設計されています。 エージェントは、次の条件下でリソース ガバナンスにアプローチします。

  • マシン構成 (旧称ゲスト構成) サービスは、ポリシーを評価するために CPU の最大 5% を使用できます。

  • 拡張機能サービスでは、拡張機能のインストール、アップグレード、実行、削除に、Windows マシン CPU の最大 5% と Linux マシン CPU の 30% を使用できます。 拡張機能によっては、インストール後により厳しい CPU 制限が適用される場合があります。 適用される例外を次に示します。

    拡張機能の種類 オペレーティング システム CPU 制限
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

通常の操作で、Azure に接続されている Azure Connected Machine エージェントとして定義され、拡張機能の変更やポリシーの評価をアクティブに行わない場合、エージェントが次のシステム リソースを使用することが予想されます。

Windows Linux
CPU 使用率 (1 コアに正規化) 0.07% 0.02%
メモリ使用量 57 MB 42 MB

上記のパフォーマンス データは、Windows Server 2022 と Ubuntu 20.04 を実行している仮想マシンで 2023 年 4 月に収集されました。 実際のエージェントのパフォーマンスとリソースの消費量は、サーバーのハードウェアとソフトウェアの構成によって異なります。

カスタム リソースの制限

既定のリソース ガバナンス制限は、ほとんどのサーバーに最適な選択肢です。 ただし、仮想マシンとサーバーが小規模で、CPU リソースが限られている場合、タスクを完了するのに十分な CPU リソースがないため、拡張機能の管理やポリシーの評価時にタイムアウトが発生する可能性があります。 エージェント バージョン 1.39 以降、エージェントがこれらのタスクをより迅速に完了できるように、拡張機能マネージャーとマシン構成サービスに適用される CPU 制限をカスタマイズすることができます。

拡張機能マネージャーとマシン構成サービスの現在のリソース制限を確認するには、次のコマンドを実行します。

azcmagent config list

出力には guestconfiguration.agent.cpulimitextensions.agent.cpulimit という 2 つのフィールドが表示され、現在のリソース制限がパーセンテージで指定されています。 エージェントの新規インストールの場合、既定の制限は CPU の 5% であるため、両方とも 5 が表示されます。

拡張機能マネージャーのリソース制限を 80% に変更するには、次のコマンドを実行します。

azcmagent config set extensions.agent.cpulimit 80

インスタンス メタデータ

接続されたマシンに関するメタデータ情報は、Connected Machine エージェントが Azure Arc 対応サーバーに登録された後に収集されます。 具体的には、次のように使用します。

  • オペレーティング システムの名前、種類、バージョン
  • コンピューター名
  • コンピューターの製造元および型番
  • コンピューターの完全修飾ドメイン名 (FQDN)
  • ドメイン名 (Active Directory ドメインに参加している場合)
  • Active Directory と DNS の完全修飾ドメイン名 (FQDN)
  • UUID (BIOS ID)
  • Connected Machine エージェントのハートビート
  • Connected Machine エージェントのバージョン
  • マネージド ID の公開キー
  • ポリシーのコンプライアンスの状態と詳細 (ゲスト構成ポリシーを使用している場合)
  • SQL Server のインストール状況 (ブール値)
  • クラスター リソース ID (Azure Stack HCI ノード用)
  • ハードウェアの製造元
  • ハードウェア モデル
  • CPU ファミリ、ソケット、物理コア、論理コアの数
  • 物理メモリの合計
  • シリアル番号
  • SMBIOS 資産タグ
  • クラウド プロバイダー
  • AWS で実行されている場合の Amazon Web Services (AWS) メタデータ:
    • 取引先企業 ID
    • Instance ID
    • リージョン
  • GCP で実行されている場合の Google Cloud Platform (GCP) メタデータ:
    • Instance ID
    • Image
    • マシンの種類
    • Project ID
    • プロジェクト番号
    • サービス アカウント
    • ゾーン
  • OCI で実行する場合の Oracle クラウド インフラストラクチャ メタデータ:
    • [表示名]

エージェントから、Azure に次のメタデータ情報が要求されます。

  • リソースの場所 (リージョン)
  • 仮想マシン ID
  • タグ
  • Microsoft Entra マネージド ID 証明書
  • ゲスト構成ポリシーの割り当て
  • 拡張要求 - インストール、更新、削除。

Note

顧客がサービス インスタンスをデプロイしたリージョンの外部で、Azure Arc 対応サーバーによって、顧客データの格納または処理が行われることはありません。

デプロイのオプションと要件

エージェントのデプロイとマシン接続には、特定の前提条件が必要です。 また、ネットワーク要件にも注意する必要があります。

エージェントのデプロイについては、いくつかのオプションが提供されています。 詳しくは、「デプロイの計画」と「デプロイ オプション」ご覧ください。

次のステップ