Omówienie agenta Azure Connected Machine

  • Artykuł

Agent Azure Connected Machine umożliwia zarządzanie maszynami z systemami Windows i Linux hostowanymi poza platformą Azure w sieci firmowej lub u innych dostawców usług w chmurze.

Składniki agenta

Omówienie architektury agenta usługi Azure Połączenie ed Machine.

Pakiet agenta azure Połączenie ed Machine zawiera kilka składników logicznych połączonych ze sobą:

  • Usługa metadanych wystąpienia hybrydowego (HIMDS) zarządza połączeniem z platformą Azure i tożsamością platformy Azure połączonej maszyny.

  • Agent konfiguracji gościa udostępnia funkcje, takie jak ocena zgodności maszyny z wymaganymi zasadami i wymuszanie zgodności.

    Zwróć uwagę na następujące zachowanie w przypadku konfiguracji gościa usługi Azure Policy dla odłączonego komputera:

    • Nie ma to wpływu na przypisanie usługi Azure Policy przeznaczone dla odłączonych maszyn.
    • Przypisanie gościa jest przechowywane lokalnie przez 14 dni. W ciągu 14-dniowego okresu, jeśli Połączenie agent maszyny ponownie łączy się z usługą, przypisania zasad są ponownie stosować.
    • Przypisania są usuwane po upływie 14 dni i nie są ponownie przypisywane do maszyny po upływie 14 dni.

  • Agent rozszerzenia zarządza rozszerzeniami maszyn wirtualnych, w tym instalowanie, odinstalowywanie i uaktualnianie. Platforma Azure pobiera rozszerzenia i kopiuje je do %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads folderu w systemie Windows i w /opt/GC_Ext/downloads systemie Linux. W systemie Windows rozszerzenie jest instalowane w następującej ścieżce %SystemDrive%\Packages\Plugins\<extension>, a w systemie Linux rozszerzenie jest instalowane w programie /var/lib/waagent/<extension>.

Uwaga

Agent usługi Azure Monitor (AMA) to oddzielny agent, który zbiera dane monitorowania i nie zastępuje Połączenie agenta maszyny; usługa AMA zastępuje tylko agenta usługi Log Analytics, rozszerzenia diagnostyki i agenta telegrafu zarówno dla maszyn z systemem Windows, jak i Linux.

Zasoby agenta

Poniższe informacje opisują katalogi i konta użytkowników używane przez agenta usługi Azure Połączenie ed Machine.

Szczegóły instalacji agenta systemu Windows

Agent systemu Windows jest dystrybuowany jako pakiet Instalatora Windows (MSI). Pobierz agenta systemu Windows z Centrum pobierania firmy Microsoft. Zainstalowanie Połączenie agenta maszyny dla okna stosuje następujące zmiany konfiguracji dla całego systemu:

  • Proces instalacji tworzy następujące foldery podczas instalacji.

    Katalog opis
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI i pliki wykonywalne usługi metadanych wystąpienia.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Pliki wykonywalne usługi rozszerzenia.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Pliki wykonywalne usługi konfiguracji gościa (zasady).
    %ProgramData%\AzureConnectedMachineAgent Pliki tokenów konfiguracji, dziennika i tożsamości dla interfejsu wiersza polecenia azcmagent i usługi metadanych wystąpienia.
    %ProgramData%\GuestConfig Pobieranie pakietów rozszerzeń, pobieranie definicji konfiguracji gościa (zasad) oraz dzienniki dla usług konfiguracji rozszerzenia i gościa.
    %SYSTEMDRIVE%\packages Pliki wykonywalne pakietu rozszerzeń

  • Zainstalowanie agenta powoduje utworzenie następujących usług systemu Windows na maszynie docelowej.

    Service name Display name Nazwa procesu opis
    himds Usługa Hybrid Instance Metadata Service platformy Azure himds.exe Synchronizuje metadane z platformą Azure i hostuje lokalny interfejs API REST dla rozszerzeń i aplikacji w celu uzyskania dostępu do metadanych i żądania tokenów tożsamości zarządzanej Microsoft Entra
    GCArcService Konfiguracja gościa usługi Arc gc_arc_service.exe (gc_service.exe przed wersją 1.36) Przeprowadza inspekcję i wymusza zasady konfiguracji gościa platformy Azure na maszynie.
    ExtensionService Usługa rozszerzenia konfiguracji gościa gc_extension_service.exe (gc_service.exe przed wersją 1.36) Instaluje, aktualizuje rozszerzenia i zarządza nimi na maszynie.

  • Instalacja agenta tworzy następujące konto usługi wirtualnej.

    Konto wirtualne opis
    NT SERVICE\himds Nieuprzywilejowane konto używane do uruchamiania usługi metadanych wystąpienia hybrydowego.

    Napiwek

    To konto wymaga prawa „Zaloguj się jako usługa”. To prawo jest automatycznie przyznawane podczas instalacji agenta, ale jeśli organizacja konfiguruje przypisania praw użytkownika za pomocą zasad grupy, może być konieczne dostosowanie obiektu zasad grupy w celu udzielenia prawa do „NT SERVICE\himds” lub „NT SERVICE\ALL SERVICES”, aby umożliwić agentowi działanie.

  • Instalacja agenta tworzy następującą lokalną grupę zabezpieczeń.

    Nazwa grupy zabezpieczeń opis
    Aplikacje rozszerzenia agenta hybrydowego Członkowie tej grupy zabezpieczeń mogą żądać tokenów firmy Microsoft dla tożsamości zarządzanej przypisanej przez system

  • Instalacja agenta tworzy następujące zmienne środowiskowe

    Nazwisko Wartość domyślna opis
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Istnieje kilka plików dziennika dostępnych do rozwiązywania problemów opisanych w poniższej tabeli.

    Dziennik opis
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Rejestruje szczegóły składnika pulsu i agenta tożsamości.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Zawiera dane wyjściowe poleceń narzędzia azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Rejestruje szczegółowe informacje o składniku agenta konfiguracji gościa (zasad).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Rejestruje szczegółowe informacje o działaniu menedżera rozszerzeń (zdarzenia instalacji, odinstalowywania i uaktualniania rozszerzenia).
    %ProgramData%\GuestConfig\extension_logs Katalog zawierający dzienniki dla poszczególnych rozszerzeń.

  • Proces tworzy lokalne aplikacje rozszerzenia agenta hybrydowego grupy zabezpieczeń.

  • Po odinstalowaniu agenta pozostają następujące artefakty.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Szczegóły instalacji agenta systemu Linux

Preferowany format pakietu dla dystrybucji (.rpmlub .deb) hostowanej w repozytorium pakietów firmy Microsoft udostępnia Połączenie agenta maszyny dla systemu Linux. Pakiet skryptu powłoki Install_linux_azcmagent.sh instaluje i konfiguruje agenta.

Instalowanie, uaktualnianie i usuwanie Połączenie agenta maszyny nie jest wymagane po ponownym uruchomieniu serwera.

Zainstalowanie Połączenie agenta maszyny dla systemu Linux stosuje następujące zmiany konfiguracji w całym systemie.

  • Instalator tworzy następujące foldery instalacyjne.

    Katalog opis
    /opt/azcmagent/ azcmagent CLI i pliki wykonywalne usługi metadanych wystąpienia.
    /opt/GC_Ext/ Pliki wykonywalne usługi rozszerzenia.
    /opt/GC_Service/ Pliki wykonywalne usługi konfiguracji gościa (zasady).
    /var/opt/azcmagent/ Pliki tokenów konfiguracji, dziennika i tożsamości dla interfejsu wiersza polecenia azcmagent i usługi metadanych wystąpienia.
    /var/lib/GuestConfig/ Pobieranie pakietów rozszerzeń, pobieranie definicji konfiguracji gościa (zasad) oraz dzienniki dla usług konfiguracji rozszerzenia i gościa.

  • Zainstalowanie agenta powoduje utworzenie następujących demonów.

    Service name Display name Nazwa procesu opis
    himdsd.service Azure Połączenie ed Machine Agent Service himds Ta usługa implementuje usługę metadanych wystąpienia hybrydowego (IMDS), aby zarządzać połączeniem z platformą Azure i tożsamością platformy Azure połączonej maszyny.
    gcad.service Usługa GC Arc gc_linux_service Przeprowadza inspekcję i wymusza zasady konfiguracji gościa platformy Azure na maszynie.
    extd.service Usługa rozszerzenia gc_linux_service Instaluje, aktualizuje rozszerzenia i zarządza nimi na maszynie.

  • Istnieje kilka plików dziennika dostępnych do rozwiązywania problemów opisanych w poniższej tabeli.

    Dziennik opis
    /var/opt/azcmagent/log/himds.log Rejestruje szczegóły składnika pulsu i agenta tożsamości.
    /var/opt/azcmagent/log/azcmagent.log Zawiera dane wyjściowe poleceń narzędzia azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Rejestruje szczegółowe informacje o składniku agenta konfiguracji gościa (zasad).
    /var/lib/GuestConfig/ext_mgr_logs Rejestruje szczegółowe informacje o działaniu menedżera rozszerzeń (zdarzenia instalacji, odinstalowywania i uaktualniania rozszerzenia).
    /var/lib/GuestConfig/extension_logs Katalog zawierający dzienniki dla poszczególnych rozszerzeń.

  • Instalacja agenta tworzy następujące zmienne środowiskowe ustawione w pliku /lib/systemd/system.conf.d/azcmagent.conf.

    Nazwisko Wartość domyślna opis
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Po odinstalowaniu agenta pozostają następujące artefakty.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Nadzór nad zasobami agenta

Agent usługi Azure Połączenie ed Machine jest przeznaczony do zarządzania zużyciem zasobów agenta i systemu. Agent podchodzi do ładu zasobów w następujących warunkach:

  • Usługa Konfiguracja komputera (wcześniej Konfiguracja gościa) może użyć do 5% procesora CPU do oceny zasad.

  • Usługa rozszerzenia może używać do 5% procesora CPU na maszynach z systemem Windows i 30% procesora CPU na maszynach z systemem Linux do instalowania, uaktualniania, uruchamiania i usuwania rozszerzeń. Niektóre rozszerzenia mogą stosować bardziej restrykcyjne limity procesora CPU po zainstalowaniu. Stosuje się następujące wyjątki:

    Typ rozszerzenia System operacyjny Limit procesora CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Podczas normalnych operacji zdefiniowanych jako agent usługi Azure Połączenie ed Machine połączony z platformą Azure i nie aktywnie modyfikując rozszerzenia lub oceniając zasady, można oczekiwać, że agent będzie korzystać z następujących zasobów systemowych:

Windows Linux
Użycie procesora CPU (znormalizowane do 1 rdzenia) 0.07% 0,02%
Użycie pamięci 57 MB 42 MB

Powyższe dane dotyczące wydajności zostały zebrane w kwietniu 2023 r. na maszynach wirtualnych z systemami Windows Server 2022 i Ubuntu 20.04. Rzeczywista wydajność agenta i użycie zasobów będą się różnić w zależności od konfiguracji sprzętu i oprogramowania serwerów.

Limity zasobów niestandardowych

Domyślne limity ładu zasobów są najlepszym wyborem dla większości serwerów. Jednak małe maszyny wirtualne i serwery z ograniczonymi zasobami procesora CPU mogą napotkać przekroczenia limitu czasu podczas zarządzania rozszerzeniami lub oceny zasad, ponieważ nie ma wystarczającej ilości zasobów procesora CPU do wykonania zadań. Począwszy od agenta w wersji 1.39, można dostosować limity procesora ZASTOSOWANE do menedżera rozszerzeń i usług konfiguracji maszyny, aby ułatwić agentowi szybsze wykonywanie tych zadań.

Aby wyświetlić bieżące limity zasobów dla menedżera rozszerzeń i usług konfiguracji maszyny, uruchom następujące polecenie.

azcmagent config list

W danych wyjściowych zobaczysz dwa pola i guestconfiguration.agent.cpulimitextensions.agent.cpulimit z bieżącym limitem zasobów określonym jako wartość procentowa. W nowej instalacji agenta oba te elementy będą wyświetlane 5 , ponieważ domyślny limit wynosi 5% procesora CPU.

Aby zmienić limit zasobów menedżera rozszerzeń na 80%, uruchom następujące polecenie:

azcmagent config set extensions.agent.cpulimit 80

Metadane wystąpienia

Informacje o metadanych połączonej maszyny są zbierane po zarejestrowaniu Połączenie agenta maszyny na serwerach z obsługą usługi Azure Arc. Szczególnie:

  • Nazwa systemu operacyjnego, wersja, typ i wersja
  • Nazwa komputera
  • Producent i model komputera
  • W pełni kwalifikowana nazwa domeny komputera (FQDN)
  • Nazwa domeny (jeśli została przyłączona do domeny usługi Active Directory)
  • W pełni kwalifikowana nazwa domeny usługi Active Directory i DNS (FQDN)
  • UUID (identyfikator BIOS)
  • Połączenie puls agenta maszyny
  • Połączenie wersja agenta maszyny
  • Klucz publiczny tożsamości zarządzanej
  • Stan zgodności zasad i szczegóły (w przypadku korzystania z zasad konfiguracji gościa)
  • Zainstalowany program SQL Server (wartość logiczna)
  • Identyfikator zasobu klastra (dla węzłów rozwiązania Azure Stack HCI)
  • Producent sprzętu
  • Model sprzętu
  • Rodzina procesora CPU, gniazdo, liczba rdzeni fizycznych i logicznych
  • Całkowity rozmiar pamięci fizycznej
  • Numer seryjny
  • Tag zasobu SMBIOS
  • Informacje o interfejsie sieciowym
    • Adres IP
    • Podsieć
  • Informacje o licencjonowaniu systemu Windows
    • Stan licencji systemu operacyjnego
    • Kanał licencji systemu operacyjnego
    • Rozszerzone uprawnienia Aktualizacje zabezpieczeń
    • Stan licencji rozszerzonego Aktualizacje zabezpieczeń
    • Rozszerzony kanał licencji Aktualizacje zabezpieczeń
  • Dostawca usług w chmurze
  • Metadane usług Amazon Web Services (AWS) podczas uruchamiania na platformie AWS:
    • Identyfikator konta
    • Instance ID
    • Region (Region)
  • Metadane platformy Google Cloud Platform (GCP) podczas uruchamiania w GCP:
    • Instance ID
    • Obraz
    • Typ maszyny
    • Identyfikator projektu
    • Numer projektu
    • Konta usług
    • Strefa
  • Metadane infrastruktury chmury Oracle podczas uruchamiania w usłudze OCI:
    • Display name

Agent żąda następujących informacji o metadanych z platformy Azure:

  • Lokalizacja zasobu (region)
  • Identyfikator maszyny wirtualnej
  • Tagi
  • Certyfikat tożsamości zarządzanej firmy Microsoft Entra
  • Przypisania zasad konfiguracji gościa
  • Żądania rozszerzeń — instalowanie, aktualizowanie i usuwanie.

Uwaga

Serwery z obsługą usługi Azure Arc nie przechowują/przetwarzają danych klientów poza regionem, w którym klient wdraża wystąpienie usługi.

Opcje wdrożenia i wymagania

Wdrożenie agenta i połączenie maszyny wymagają pewnych wymagań wstępnych. Należy również pamiętać o wymaganiach dotyczących sieci.

Udostępniamy kilka opcji wdrażania agenta. Aby uzyskać więcej informacji, zobacz Planowanie opcji wdrażania i wdrażania.

Następne kroki

  • Aby rozpocząć ocenianie serwerów z obsługą usługi Azure Arc, zobacz Szybki start: Połączenie maszyn hybrydowych z serwerami z obsługą usługi Azure Arc.
  • Przed wdrożeniem agenta usługi Azure Połączenie ed Machine i zintegrowania z innymi usługami zarządzania i monitorowania platformy Azure zapoznaj się z przewodnikiem planowania i wdrażania.
  • Przejrzyj informacje dotyczące rozwiązywania problemów w przewodniku rozwiązywania problemów z połączeniem agenta.