Udostępnij za pośrednictwem

Agent usługi Azure Arc

Po włączeniu zarządzania gośćmi na maszynach wirtualnych VMware agent Azure Connected Machine jest na nich instalowany. Jest to ten sam agent używany przez serwery z obsługą usługi Arc. Agent Azure Connected Machine umożliwia zarządzanie maszynami z systemami Windows i Linux hostowanymi poza platformą Azure w sieci firmowej lub u innych dostawców usług w chmurze. Ten artykuł zawiera omówienie architektury agenta połączonej maszyny platformy Azure.

Składniki agenta

Diagram przedstawiający omówienie architektury agenta połączonej maszyny platformy Azure.

Aby pobrać diagramy architektury w wysokiej rozdzielczości, odwiedź stronę Jumpstart Gems.

Pakiet agenta połączonej maszyny platformy Azure zawiera kilka składników logicznych połączonych ze sobą:

  • Usługa metadanych wystąpienia hybrydowego (HIMDS) zarządza połączeniem z platformą Azure i tożsamością maszyny połączonej z platformą Azure.

  • Agent konfiguracji gościa udostępnia funkcje, takie jak ocena zgodności maszyny z wymaganymi zasadami i wymuszanie zgodności.

    Zwróć uwagę na następujące zachowanie konfiguracji gościa usługi Azure Policy dla odłączonej maszyny:

    • Nie ma to wpływu na przypisanie usługi Azure Policy przeznaczone dla odłączonych maszyn.
    • Przypisanie gościa przechowywane jest lokalnie przez 14 dni. W ciągu 14-dniowego okresu, jeśli agent Maszyny Połączonej ponownie łączy się z usługą, przypisania zasad są ponownie stosowane.
    • Przypisania są usuwane po upływie 14 dni i nie są ponownie przypisywane do maszyny po upływie 14 dni.

  • Agent rozszerzenia zarządza rozszerzeniami maszyn wirtualnych, w tym instalowanie, odinstalowywanie i uaktualnianie. Platforma Azure pobiera rozszerzenia i kopiuje je do %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads folderu w systemie Windows i w /opt/GC_Ext/downloads systemie Linux. W systemie Windows rozszerzenie jest instalowane w ścieżce %SystemDrive%\Packages\Plugins\<extension>, a w systemie Linux rozszerzenie jest instalowane w systemie /var/lib/waagent/<extension>.

Uwaga

Agent usługi Azure Monitor (AMA) to oddzielny agent, który zbiera dane monitorowania i nie zastępuje agenta połączonej maszyny; Usługa AMA zastępuje tylko agenta usługi Log Analytics, rozszerzenia diagnostyki i agenta Telegraf dla maszyn z systemami Windows i Linux.

Zasoby agenta

Poniższe informacje opisują katalogi i konta użytkowników używane przez agenta połączonej maszyny platformy Azure.

Szczegóły instalacji agenta systemu Windows

Agent systemu Windows jest dystrybuowany jako pakiet Instalatora Windows (MSI). Pobierz agenta systemu Windows z Centrum pobierania Microsoft. Zainstalowanie agenta Connected Machine dla Windows wprowadza następujące systemowe zmiany konfiguracji:

  • Proces instalacji tworzy następujące foldery podczas instalacji.

    Katalog opis
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI i wykonywalne pliki usługi metadanych instancji.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Pliki wykonywalne usług rozszerzeń.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Pliki wykonywalne usługi konfiguracji gościa (polityka).
    %ProgramData%\AzureConnectedMachineAgent Pliki konfiguracji, logów i tokenów tożsamości dla interfejsu wiersza polecenia azcmagent i usługi metadanych wystąpienia.
    %ProgramData%\GuestConfig Pobieranie pakietów rozszerzeń, pobieranie definicji konfiguracji gościa (zasad) oraz dzienniki dla usług rozszerzeń i konfiguracji gościa.
    %SYSTEMDRIVE%\packages Pliki wykonywalne pakietu rozszerzeń.

  • Zainstalowanie agenta powoduje utworzenie następujących usług systemu Windows na maszynie docelowej.

    Nazwa usługi Nazwa wyświetlana Nazwa procesu opis
    himds Usługa Hybrid Instance Metadata Service platformy Azure himds Synchronizuje metadane z platformą Azure i hostuje lokalny interfejs API REST dla rozszerzeń i aplikacji w celu uzyskania dostępu do metadanych i żądania tokenów tożsamości zarządzanej Microsoft Entra
    GCArcService Konfiguracja Gościa dla usługi Arc gc_service Przeprowadza audyty i wymusza zasady konfiguracji gości w platformie Azure na maszynie.
    UsługaRozszerzenia Usługa rozszerzenia konfiguracji gościa gc_service Instaluje, aktualizuje rozszerzenia i zarządza nimi na maszynie.

  • Instalacja agenta tworzy następujące konto usługi wirtualnej.

    Konto wirtualne opis
    NT SERVICE\himds Nieuprzywilejowane konto używane do uruchamiania usługi metadanych wystąpienia hybrydowego.

    Napiwek

    To konto wymaga prawa Logowania jako usługi . To prawo jest automatycznie przyznawane podczas instalacji agenta, ale jeśli organizacja konfiguruje przypisania praw użytkownika za pomocą zasad grupy, może być konieczne dostosowanie obiektu zasad grupy w celu udzielenia prawa NT SERVICE\himds lub NT SERVICE\ALL SERVICES , aby umożliwić agentowi działanie.

  • Instalacja agenta tworzy następującą lokalną grupę zabezpieczeń.

    Nazwa grupy zabezpieczeń opis
    Aplikacje rozszerzenia agenta hybrydowego Członkowie tej grupy zabezpieczeń mogą żądać tokenów Microsoft Entra dla tożsamości zarządzanej przypisanej przez system

  • Instalacja agenta tworzy następujące zmienne środowiskowe

    Nazwisko Wartość domyślna opis
    Tożsamość_Punkt_Końcowy http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Istnieje kilka plików dziennika dostępnych do rozwiązywania problemów opisanych w poniższej tabeli.

    Dziennik opis
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Rejestruje szczegóły składnika pulsu i agenta tożsamości.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Zawiera dane wyjściowe poleceń narzędzia azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Rejestruje szczegółowe informacje o składniku agenta konfiguracji gościa (polityki).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Rejestruje szczegółowe informacje o działaniu menedżera rozszerzeń (zdarzenia instalacji, odinstalowywania i uaktualniania rozszerzenia).
    %ProgramData%\GuestConfig\extension_logs Katalog zawierający dzienniki dla poszczególnych rozszerzeń.

  • Proces tworzy lokalną grupę zabezpieczeń aplikacje rozszerzenia agenta hybrydowego.

  • Po odinstalowaniu agenta pozostają następujące artefakty:

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Szczegóły instalacji agenta systemu Linux

Preferowany format pakietu dystrybucji (.rpm lub .deb) hostowany w repozytorium pakietów firmy Microsoft udostępnia agenta połączonej maszyny dla systemu Linux. Pakiet skryptu powłoki Install_linux_azcmagent.sh instaluje i konfiguruje agenta.

Instalowanie, uaktualnianie i usuwanie agenta połączonej maszyny nie jest wymagane po ponownym uruchomieniu serwera.

Instalacja agenta maszyny połączonej w systemie Linux stosuje następujące zmiany konfiguracji w całym systemie.

  • Instalator tworzy następujące foldery instalacyjne.

    Katalog opis
    /opt/azcmagent/ azcmagent CLI i wykonywalne pliki usługi metadanych instancji.
    /opt/GC_Ext/ Pliki wykonywalne usług rozszerzeń.
    /opt/GC_Service/ Pliki wykonywalne usługi konfiguracji gościa (polityka).
    /var/opt/azcmagent/ Pliki konfiguracji, dziennika i pliki tokenów tożsamości dla interfejsu wiersza polecenia azcmagent oraz usługi metadanych instancji.
    /var/lib/GuestConfig/ Pobieranie pakietów rozszerzeń, pobieranie definicji konfiguracji gościa (zasad) oraz dzienniki dla usług rozszerzeń i konfiguracji gościa.

  • Zainstalowanie agenta powoduje utworzenie następujących demonów systemowych.

    Nazwa usługi Nazwa wyświetlana Nazwa procesu opis
    himdsd.service Usługa agenta połączonej maszyny platformy Azure himds Ta usługa implementuje Hybrydową usługę metadanych wystąpienia (IMDS) do zarządzania połączeniem z platformą Azure i tożsamością Azure połączonej maszyny.
    gcad.service Usługa GC Arc usługa_gc_linux Przeprowadza audyty i wymusza zasady konfiguracji gości w platformie Azure na maszynie.
    extd.service Usługa rozszerzenia gc_linux_service Instaluje, aktualizuje rozszerzenia i zarządza nimi na maszynie.

  • Istnieje kilka plików dziennika dostępnych do rozwiązywania problemów opisanych w poniższej tabeli.

    Dziennik opis
    /var/opt/azcmagent/log/himds.log Rejestruje szczegóły składnika pulsu i agenta tożsamości.
    /var/opt/azcmagent/log/azcmagent.log Zawiera dane wyjściowe poleceń narzędzia azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Rejestruje szczegółowe informacje o składniku agenta konfiguracji gościa (polityki).
    /var/lib/GuestConfig/ext_mgr_logs Rejestruje szczegółowe informacje o działaniu menedżera rozszerzeń (zdarzenia instalacji, odinstalowywania i uaktualniania rozszerzenia).
    /var/lib/GuestConfig/extension_logs Katalog zawierający dzienniki dla poszczególnych rozszerzeń.

  • Instalacja agenta tworzy następujące zmienne środowiskowe ustawione w pliku /lib/systemd/system.conf.d/azcmagent.conf.

    Nazwisko Wartość domyślna opis
    Punkt końcowy tożsamości (IDENTITY_ENDPOINT) http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Po odinstalowaniu agenta pozostają następujące artefakty:

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Nadzór nad zasobami agenta

Agent połączonej maszyny platformy Azure jest przeznaczony do zarządzania użyciem agentów i zasobów systemowych. Agent podchodzi do zarządzania zasobami w następujących warunkach:

  • Agent konfiguracji gościa może użyć do 5% procesora, aby ocenić polityki.

  • Agent usługi rozszerzenia może używać do 5% procesora CPU do instalowania, uaktualniania, uruchamiania i usuwania rozszerzeń. Niektóre rozszerzenia mogą stosować bardziej restrykcyjne limity CPU po instalacji. Stosuje się następujące wyjątki:

    Typ rozszerzenia System operacyjny Limit procesora CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    AzureSecurityLinuxAgent Linux 30%
    LinuxOsUpdateExtension Linux 60%
    MDE. Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Windows 60%

Podczas normalnych operacji, zdefiniowanych jako agent maszyny połączonej z platformą Azure i w trakcie gdy nie są modyfikowane rozszerzenia ani oceniane zasady, można oczekiwać, że agent będzie korzystać z następujących zasobów systemowych:

Windows Linux
Użycie procesora (znormalizowane do 1 rdzenia) 0.07% 0,02%
Użycie pamięci 57 MB 42 MB

Powyższe dane dotyczące wydajności zostały zebrane w kwietniu 2023 r. na maszynach wirtualnych z systemami Windows Server 2022 i Ubuntu 20.04. Rzeczywista wydajność agenta i zużycie zasobów różnią się w zależności od konfiguracji sprzętu i oprogramowania serwerów.

Metadane wystąpienia

Metadane dotyczące połączonej maszyny są zbierane po zarejestrowaniu agenta połączonej maszyny z serwerami z obsługą usługi Azure Arc, w szczególności:

  • Nazwa, typ i wersja systemu operacyjnego
  • Nazwa komputera
  • Producent i model komputera
  • Komputerowa w pełni kwalifikowana nazwa domeny (FQDN)
  • Nazwa domeny (jeśli została przyłączona do domeny usługi Active Directory)
  • W pełni kwalifikowana nazwa domeny usługi Active Directory i DNS (FQDN)
  • UUID (identyfikator BIOS)
  • Puls agenta połączonej maszyny
  • Wersja agenta maszyny połączonej z siecią
  • Klucz publiczny tożsamości zarządzanej
  • Stan zgodności zasad i szczegóły (w przypadku korzystania z zasad konfiguracji gościa)
  • Zainstalowany program SQL Server (wartość logiczna)
  • Identyfikator zasobu klastra (dla węzłów lokalnych platformy Azure)
  • Producent sprzętu
  • Model sprzętu
  • Rodzina procesorów, gniazdo, liczba rdzeni fizycznych i liczba rdzeni logicznych
  • Całkowity rozmiar pamięci fizycznej
  • Numer seryjny
  • Znacznik zasobu SMBIOS
  • Dostawca usług w chmurze
  • Metadane usług Amazon Web Services (AWS) podczas uruchamiania na platformie AWS:
    • Identyfikator konta
    • Identyfikator instancji
    • Rejon
  • Metadane platformy Google Cloud Platform (GCP) podczas uruchamiania w GCP:
    • Identyfikator instancji
    • Obraz
    • Typ maszyny
    • Identyfikator projektu
    • Numer projektu
    • Konta usług
    • Strefa

Agent żąda następujących informacji o metadanych z platformy Azure:

  • Lokalizacja zasobu (region)
  • Identyfikator maszyny wirtualnej
  • Tagi
  • Certyfikat zarządzanej tożsamości Microsoft Entra
  • Przypisania zasad konfiguracji gościa
  • Żądania rozszerzeń — instalowanie, aktualizowanie i usuwanie.

Uwaga

Serwery z obsługą usługi Azure Arc nie przechowują/przetwarzają danych klientów poza regionem, w którym klient wdraża wystąpienie usługi.

Następne kroki