Udostępnij za pośrednictwem


Agent usługi Azure Arc

Po włączeniu zarządzania gościem na maszynach wirtualnych VMware instalowany jest agent Azure Connected Machine. Jest to ten sam agent używany przez serwery z obsługą usługi Arc. Agent Azure Connected Machine umożliwia zarządzanie maszynami z systemami Windows i Linux hostowanymi poza platformą Azure w sieci firmowej lub u innych dostawców usług w chmurze. Ten artykuł zawiera omówienie architektury agenta połączonej maszyny platformy Azure.

Składniki agenta

Diagram przedstawiający omówienie architektury agenta połączonej maszyny platformy Azure.

Pakiet agenta połączonej maszyny platformy Azure zawiera kilka składników logicznych połączonych ze sobą:

  • Usługa metadanych wystąpienia hybrydowego (HIMDS) zarządza połączeniem z platformą Azure i tożsamością platformy Azure połączonej maszyny.

  • Agent konfiguracji gościa udostępnia funkcje, takie jak ocena zgodności maszyny z wymaganymi zasadami i wymuszanie zgodności.

    Zwróć uwagę na następujące zachowanie w przypadku konfiguracji gościa usługi Azure Policy dla odłączonego komputera:

    • Nie ma to wpływu na przypisanie usługi Azure Policy przeznaczone dla odłączonych maszyn.
    • Przypisanie gościa jest przechowywane lokalnie przez 14 dni. W ciągu 14-dniowego okresu, jeśli agent połączonej maszyny ponownie łączy się z usługą, przypisania zasad są ponownie stosować.
    • Przypisania są usuwane po upływie 14 dni i nie są ponownie przypisywane do maszyny po upływie 14 dni.
  • Agent rozszerzenia zarządza rozszerzeniami maszyn wirtualnych, w tym instalowanie, odinstalowywanie i uaktualnianie. Platforma Azure pobiera rozszerzenia i kopiuje je do %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads folderu w systemie Windows i w /opt/GC_Ext/downloads systemie Linux. W systemie Windows rozszerzenie jest instalowane w ścieżce %SystemDrive%\Packages\Plugins\<extension>, a w systemie Linux rozszerzenie jest instalowane w systemie /var/lib/waagent/<extension>.

Uwaga

Agent usługi Azure Monitor (AMA) to oddzielny agent, który zbiera dane monitorowania i nie zastępuje agenta połączonej maszyny. Usługa AMA zastępuje tylko agenta usługi Log Analytics, rozszerzenia diagnostyki i agenta telegrafu zarówno dla maszyn z systemem Windows, jak i Linux.

Zasoby agenta

Poniższe informacje opisują katalogi i konta użytkowników używane przez agenta połączonej maszyny platformy Azure.

Szczegóły instalacji agenta systemu Windows

Agent systemu Windows jest dystrybuowany jako pakiet Instalatora Windows (MSI). Pobierz agenta systemu Windows z Centrum pobierania firmy Microsoft. Zainstalowanie agenta połączonej maszyny dla okna stosuje następujące zmiany konfiguracji dla całego systemu:

  • Proces instalacji tworzy następujące foldery podczas instalacji.

    Katalog opis
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI i pliki wykonywalne usługi metadanych wystąpienia.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Pliki wykonywalne usługi rozszerzenia.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Pliki wykonywalne usługi konfiguracji gościa (zasady).
    %ProgramData%\AzureConnectedMachineAgent Pliki tokenów konfiguracji, dziennika i tożsamości dla interfejsu wiersza polecenia azcmagent i usługi metadanych wystąpienia.
    %ProgramData%\GuestConfig Pobieranie pakietów rozszerzeń, pobieranie definicji konfiguracji gościa (zasad) oraz dzienniki dla usług konfiguracji rozszerzenia i gościa.
    %SYSTEMDRIVE%\packages Pliki wykonywalne pakietu rozszerzeń.
  • Zainstalowanie agenta powoduje utworzenie następujących usług systemu Windows na maszynie docelowej.

    Service name Display name Nazwa procesu opis
    himds Usługa Hybrid Instance Metadata Service platformy Azure himds Synchronizuje metadane z platformą Azure i hostuje lokalny interfejs API REST dla rozszerzeń i aplikacji w celu uzyskania dostępu do metadanych i żądania tokenów tożsamości zarządzanej Microsoft Entra
    GCArcService Konfiguracja gościa usługi Arc gc_service Przeprowadza inspekcję i wymusza zasady konfiguracji gościa platformy Azure na maszynie.
    ExtensionService Usługa rozszerzenia konfiguracji gościa gc_service Instaluje, aktualizuje rozszerzenia i zarządza nimi na maszynie.
  • Instalacja agenta tworzy następujące konto usługi wirtualnej.

    Konto wirtualne opis
    NT SERVICE\himds Nieuprzywilejowane konto używane do uruchamiania usługi metadanych wystąpienia hybrydowego.

    Napiwek

    To konto wymaga prawa Logowania jako usługi . To prawo jest automatycznie przyznawane podczas instalacji agenta, ale jeśli organizacja konfiguruje przypisania praw użytkownika za pomocą zasad grupy, może być konieczne dostosowanie obiektu zasad grupy w celu udzielenia prawa NT SERVICE\himds lub NT SERVICE\ALL SERVICES , aby umożliwić agentowi działanie.

  • Instalacja agenta tworzy następującą lokalną grupę zabezpieczeń.

    Nazwa grupy zabezpieczeń opis
    Aplikacje rozszerzenia agenta hybrydowego Członkowie tej grupy zabezpieczeń mogą żądać tokenów firmy Microsoft dla tożsamości zarządzanej przypisanej przez system
  • Instalacja agenta tworzy następujące zmienne środowiskowe

    Nazwisko Wartość domyślna opis
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Istnieje kilka plików dziennika dostępnych do rozwiązywania problemów opisanych w poniższej tabeli.

    Dziennik opis
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Rejestruje szczegóły składnika pulsu i agenta tożsamości.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Zawiera dane wyjściowe poleceń narzędzia azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Rejestruje szczegółowe informacje o składniku agenta konfiguracji gościa (zasad).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Rejestruje szczegółowe informacje o działaniu menedżera rozszerzeń (zdarzenia instalacji, odinstalowywania i uaktualniania rozszerzenia).
    %ProgramData%\GuestConfig\extension_logs Katalog zawierający dzienniki dla poszczególnych rozszerzeń.
  • Proces tworzy lokalne aplikacje rozszerzenia agenta hybrydowego grupy zabezpieczeń.

  • Po odinstalowaniu agenta pozostają następujące artefakty:

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Szczegóły instalacji agenta systemu Linux

Preferowany format pakietu dystrybucji (.rpmlub .deb) hostowany w repozytorium pakietów firmy Microsoft udostępnia agenta połączonej maszyny dla systemu Linux. Pakiet skryptu powłoki Install_linux_azcmagent.sh instaluje i konfiguruje agenta.

Instalowanie, uaktualnianie i usuwanie agenta połączonej maszyny nie jest wymagane po ponownym uruchomieniu serwera.

Zainstalowanie agenta połączonej maszyny dla systemu Linux stosuje następujące zmiany konfiguracji w całym systemie.

  • Instalator tworzy następujące foldery instalacyjne.

    Katalog opis
    /opt/azcmagent/ azcmagent CLI i pliki wykonywalne usługi metadanych wystąpienia.
    /opt/GC_Ext/ Pliki wykonywalne usługi rozszerzenia.
    /opt/GC_Service/ Pliki wykonywalne usługi konfiguracji gościa (zasady).
    /var/opt/azcmagent/ Pliki tokenów konfiguracji, dziennika i tożsamości dla interfejsu wiersza polecenia azcmagent i usługi metadanych wystąpienia.
    /var/lib/GuestConfig/ Pobieranie pakietów rozszerzeń, pobieranie definicji konfiguracji gościa (zasad) oraz dzienniki dla usług konfiguracji rozszerzenia i gościa.
  • Zainstalowanie agenta powoduje utworzenie następujących demonów.

    Service name Display name Nazwa procesu opis
    himdsd.service Usługa agenta połączonej maszyny platformy Azure himds Ta usługa implementuje usługę metadanych wystąpienia hybrydowego (IMDS), aby zarządzać połączeniem z platformą Azure i tożsamością platformy Azure połączonej maszyny.
    gcad.service Usługa GC Arc gc_linux_service Przeprowadza inspekcję i wymusza zasady konfiguracji gościa platformy Azure na maszynie.
    extd.service Usługa rozszerzenia gc_linux_service Instaluje, aktualizuje rozszerzenia i zarządza nimi na maszynie.
  • Istnieje kilka plików dziennika dostępnych do rozwiązywania problemów opisanych w poniższej tabeli.

    Dziennik opis
    /var/opt/azcmagent/log/himds.log Rejestruje szczegóły składnika pulsu i agenta tożsamości.
    /var/opt/azcmagent/log/azcmagent.log Zawiera dane wyjściowe poleceń narzędzia azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Rejestruje szczegółowe informacje o składniku agenta konfiguracji gościa (zasad).
    /var/lib/GuestConfig/ext_mgr_logs Rejestruje szczegółowe informacje o działaniu menedżera rozszerzeń (zdarzenia instalacji, odinstalowywania i uaktualniania rozszerzenia).
    /var/lib/GuestConfig/extension_logs Katalog zawierający dzienniki dla poszczególnych rozszerzeń.
  • Instalacja agenta tworzy następujące zmienne środowiskowe ustawione w pliku /lib/systemd/system.conf.d/azcmagent.conf.

    Nazwisko Wartość domyślna opis
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Po odinstalowaniu agenta pozostają następujące artefakty:

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Nadzór nad zasobami agenta

Agent połączonej maszyny platformy Azure jest przeznaczony do zarządzania użyciem agentów i zasobów systemowych. Agent podchodzi do ładu zasobów w następujących warunkach:

  • Agent konfiguracji gościa może użyć do 5% procesora CPU do oceny zasad.

  • Agent usługi rozszerzenia może używać do 5% procesora CPU do instalowania, uaktualniania, uruchamiania i usuwania rozszerzeń. Niektóre rozszerzenia mogą stosować bardziej restrykcyjne limity procesora CPU po zainstalowaniu. Stosuje się następujące wyjątki:

    Typ rozszerzenia System operacyjny Limit procesora CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    AzureSecurityLinuxAgent Linux 30%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Windows 60%

Podczas normalnych operacji zdefiniowanych jako agent połączonej maszyny platformy Azure połączony z platformą Azure i nie aktywnie modyfikując rozszerzenia lub oceniając zasady, można oczekiwać, że agent będzie korzystać z następujących zasobów systemowych:

Windows Linux
Użycie procesora CPU (znormalizowane do 1 rdzenia) 0.07% 0,02%
Użycie pamięci 57 MB 42 MB

Powyższe dane dotyczące wydajności zostały zebrane w kwietniu 2023 r. na maszynach wirtualnych z systemami Windows Server 2022 i Ubuntu 20.04. Rzeczywista wydajność agenta i zużycie zasobów różnią się w zależności od konfiguracji sprzętu i oprogramowania serwerów.

Metadane wystąpienia

Metadane dotyczące połączonej maszyny są zbierane po zarejestrowaniu agenta połączonej maszyny z serwerami z obsługą usługi Azure Arc, w szczególności:

  • Nazwa, typ i wersja systemu operacyjnego
  • Nazwa komputera
  • Producent i model komputera
  • W pełni kwalifikowana nazwa domeny komputera (FQDN)
  • Nazwa domeny (jeśli została przyłączona do domeny usługi Active Directory)
  • W pełni kwalifikowana nazwa domeny usługi Active Directory i DNS (FQDN)
  • UUID (identyfikator BIOS)
  • Puls agenta połączonej maszyny
  • Wersja agenta połączonej maszyny
  • Klucz publiczny tożsamości zarządzanej
  • Stan zgodności zasad i szczegóły (w przypadku korzystania z zasad konfiguracji gościa)
  • Zainstalowany program SQL Server (wartość logiczna)
  • Identyfikator zasobu klastra (dla węzłów rozwiązania Azure Stack HCI)
  • Producent sprzętu
  • Model sprzętu
  • Rodzina procesorów CPU, gniazda, rdzeni fizycznych i liczba rdzeni logicznych
  • Całkowity rozmiar pamięci fizycznej
  • Numer seryjny
  • Tag zasobu SMBIOS
  • Dostawca usług w chmurze
  • Metadane usług Amazon Web Services (AWS) podczas uruchamiania na platformie AWS:
    • Identyfikator konta
    • Instance ID
    • Region (Region)
  • Metadane platformy Google Cloud Platform (GCP) podczas uruchamiania w GCP:
    • Instance ID
    • Obraz
    • Typ maszyny
    • Identyfikator projektu
    • Numer projektu
    • Konta usług
    • Strefa

Agent żąda następujących informacji o metadanych z platformy Azure:

  • Lokalizacja zasobu (region)
  • Identyfikator maszyny wirtualnej
  • Tagi
  • Certyfikat tożsamości zarządzanej firmy Microsoft Entra
  • Przypisania zasad konfiguracji gościa
  • Żądania rozszerzeń — instalowanie, aktualizowanie i usuwanie.

Uwaga

Serwery z obsługą usługi Azure Arc nie przechowują/przetwarzają danych klientów poza regionem, w którym klient wdraża wystąpienie usługi.

Następne kroki