Partilhar via

Descrição Geral do agente do Azure Connected Machine

  • Artigo

O agente Azure Connected Machine permite-lhe gerir as máquinas do Windows e do Linux alojadas fora do Azure na sua rede empresarial ou noutros fornecedores de cloud.

Aviso

Apenas as versões do agente Connected Machine no último 1 ano são oficialmente suportadas pelo grupo de produtos. Os clientes devem atualizar para uma versão do agente dentro desta janela.

Componentes do agente

Visão geral da arquitetura do agente do Azure Connected Machine.

O pacote do agente do Azure Connected Machine contém vários componentes lógicos agrupados:

  • O serviço de Metadados de Instância Híbrida (HIMDS) gerencia a conexão com o Azure e a identidade do Azure da máquina conectada.

  • O agente de configuração convidado fornece funcionalidades como avaliar se a máquina está em conformidade com as políticas necessárias e impor a conformidade.

    Observe o seguinte comportamento com a configuração de convidado da Política do Azure para uma máquina desconectada:

    • Uma atribuição de Política do Azure destinada a máquinas desconectadas não é afetada.
    • A atribuição de convidado é armazenada localmente por 14 dias. Dentro do período de 14 dias, se o agente Máquina Conectada se reconectar ao serviço, as atribuições de política serão reaplicadas.
    • As atribuições são excluídas após 14 dias e não são reatribuídas à máquina após o período de 14 dias.

  • O agente de extensão gerencia extensões de VM, incluindo instalação, desinstalação e atualização. O Azure transfere extensões e copia-as para a pasta no Windows e para /opt/GC_Ext/downloads o %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Linux. No Windows, a extensão é instalada no caminho %SystemDrive%\Packages\Plugins\<extension>a seguir e, no Linux, a extensão é instalada no /var/lib/waagent/<extension>.

Nota

O agente do Azure Monitor (AMA) é um agente separado que coleta dados de monitoramento e não substitui o agente de Máquina Conectada, o AMA substitui apenas o agente do Log Analytics, a extensão de Diagnóstico e o agente Telegraf para máquinas Windows e Linux.

Recursos do agente

As informações a seguir descrevem os diretórios e contas de usuário usados pelo agente do Azure Connected Machine.

Detalhes de instalação do agente do Windows

O agente do Windows é distribuído como um pacote do Windows Installer (MSI). Transfira o agente do Windows a partir do Centro de Transferências da Microsoft. A instalação do agente Connected Machine for Window aplica as seguintes alterações de configuração em todo o sistema:

  • O processo de instalação cria as seguintes pastas durante a instalação.

    Diretório Descrição
    %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent e executáveis do serviço de metadados de instância.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Executáveis do serviço de extensão.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Executáveis do serviço de configuração de convidado (política).
    %ProgramData%\AzureConnectedMachineAgent Ficheiros de configuração, de registo e de token de identidade para a CLI azcmagent e o serviço de metadados da instância.
    %ProgramData%\GuestConfig Transferências de pacotes de extensão, transferências de definições de configuração de convidado (política) e registos para os serviços de extensão e configuração de convidado.
    %SYSTEMDRIVE%\packages Executáveis do pacote de extensão

  • A instalação do agente cria os seguintes serviços do Windows na máquina de destino.

    Nome do serviço Nome a apresentar Nome do processo Description
    himds Azure Hybrid Instance Metadata Service himds.exe Sincroniza metadados com o Azure e aloja uma API REST local para que as extensões e as aplicações acedam aos metadados e peçam tokens de identidade gerida do Microsoft Entra
    GCArcService Serviço do Arc de Configuração de Convidado gc_arc_service.exe (gc_service.exe anterior à versão 1.36) Audita e impõe políticas de configuração de convidado do Azure na máquina.
    ExtensionService Serviço de Extensão de Configuração de Convidado gc_extension_service.exe (gc_service.exe anterior à versão 1.36) Instala, atualiza e gere extensões na máquina.

  • A instalação do agente cria a seguinte conta de serviço virtual.

    Conta Virtual Description
    NT SERVICE\himds Conta sem privilégios usada para executar o Hybrid Instance Metadata Service-

    Gorjeta

    Esta conta requer o direito "Iniciar sessão como serviço". Este direito é concedido automaticamente durante a instalação do agente, mas se a sua organização configurar atribuições de direitos de utilizador com a Política de Grupo, talvez seja necessário ajustar o Objeto da Polítca de Grupo para conceder o direito a "NT SERVICE\himds" ou "NT SERVICE\ALL SERVICES" para permitir que o agente funcione.

  • A instalação do agente cria o seguinte grupo de segurança local.

    Nome do grupo de segurança Description
    Aplicações de extensão de agente híbrido Os membros deste grupo de segurança podem pedir tokens do Microsoft Entra para a identidade gerida atribuída pelo sistema

  • A instalação do agente cria as seguintes variáveis ambientais:

    Name Valor predefinido Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.

    Registo Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Regista detalhes do heartbeat e do componente do agente de identidade.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contém a saída dos comandos da ferramenta azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Regista detalhes do componente do agente de configuração de convidado (política).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Regista detalhes da atividade do gestor de extensões (eventos de instalação, desinstalação e atualização de extensões).
    %ProgramData%\GuestConfig\extension_logs Diretório que contém registos de extensões individuais.

  • O processo cria os aplicativos de extensão de agente híbrido do grupo de segurança local.

  • Após a desinstalação do agente, os seguintes artefatos permanecem.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Detalhes da instalação do agente Linux

O formato de pacote preferencial para a distribuição (.rpm ou .deb) hospedada no repositório de pacotes da Microsoft fornece o agente Connected Machine para Linux. O pacote de shell script Install_linux_azcmagent.sh instala e configura o agente.

Não é necessário instalar, atualizar e remover o agente de Máquina Conectada após a reinicialização do servidor.

A instalação do agente Connected Machine para Linux aplica as seguintes alterações de configuração em todo o sistema.

  • O programa de instalação cria as seguintes pastas de instalação.

    Diretório Description
    /opt/azcmagent/ CLI azcmagent e executáveis do serviço de metadados de instância.
    /opt/GC_Ext/ Executáveis do serviço de extensão.
    /opt/GC_Service/ Executáveis do serviço de configuração de convidado (política).
    /var/opt/azcmagent/ Ficheiros de configuração, de registo e de token de identidade para a CLI azcmagent e o serviço de metadados da instância.
    /var/lib/GuestConfig/ Transferências de pacotes de extensão, transferências de definições de configuração de convidado (política) e registos para os serviços de extensão e configuração de convidado.

  • A instalação do agente cria os seguintes daemons.

    Nome do serviço Nome a apresentar Nome do processo Description
    himdsd.service Serviço Azure Connected Machine Agent himds Este serviço implementa o serviço de Metadados de Instância Híbrida (IMDS) para gerenciar a conexão com o Azure e a identidade do Azure da máquina conectada.
    gcad.service Serviço GC Arc gc_linux_service Audita e impõe políticas de configuração de convidado do Azure na máquina.
    extd.service Serviço de Extensão gc_linux_service Instala, atualiza e gere extensões na máquina.

  • Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.

    Registo Description
    /var/opt/azcmagent/log/himds.log Regista detalhes do heartbeat e do componente do agente de identidade.
    /var/opt/azcmagent/log/azcmagent.log Contém a saída dos comandos da ferramenta azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Regista detalhes do componente do agente de configuração de convidado (política).
    /var/lib/GuestConfig/ext_mgr_logs Regista detalhes da atividade do gestor de extensões (eventos de instalação, desinstalação e atualização de extensões).
    /var/lib/GuestConfig/extension_logs Diretório que contém registos de extensões individuais.

  • A instalação do agente cria as seguintes variáveis de ambiente, definidas em /lib/systemd/system.conf.d/azcmagent.conf.

    Name Valor predefinido Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Após a desinstalação do agente, os seguintes artefatos permanecem.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Governança de recursos do agente

O agente do Azure Connected Machine foi projetado para gerenciar o consumo de recursos do agente e do sistema. O agente aborda a governança de recursos nas seguintes condições:

  • O serviço Configuração da Máquina (anteriormente Configuração de Convidado) pode usar até 5% da CPU para avaliar políticas.

  • O serviço de extensão pode usar até 5% da CPU em máquinas Windows e 30% da CPU em máquinas Linux para instalar, atualizar, executar e excluir extensões. Algumas extensões podem aplicar limites de CPU mais restritivos depois de instaladas. Aplicam-se as seguintes exceções:

    Tipo de extensão Sistema operativo Limite de CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Durante as operações normais, definidas como o agente do Azure Connected Machine sendo conectado ao Azure e não modificando ativamente uma extensão ou avaliando uma política, você pode esperar que o agente consuma os seguintes recursos do sistema:

Windows Linux
Uso da CPU (normalizado para 1 núcleo) 0.07% 0,02%
Utilização da memória 57 MB 42 MB

Os dados de desempenho acima foram coletados em abril de 2023 em máquinas virtuais que executam o Windows Server 2022 e o Ubuntu 20.04. O desempenho real do agente e o consumo de recursos variam com base na configuração de hardware e software dos servidores.

Limites de recursos personalizados

Os limites de governança de recursos padrão são a melhor opção para a maioria dos servidores. No entanto, pequenas máquinas virtuais e servidores com recursos de CPU limitados podem encontrar tempos limite ao gerenciar extensões ou avaliar políticas porque não há recursos de CPU suficientes para concluir as tarefas. A partir da versão 1.39 do agente, você pode personalizar os limites de CPU aplicados ao gerenciador de extensões e aos serviços de Configuração da Máquina para ajudar o agente a concluir essas tarefas mais rapidamente.

Para ver os limites de recursos atuais para o gerenciador de extensões e os serviços de Configuração da Máquina, execute o seguinte comando.

azcmagent config list

Na saída, você verá dois campos guestconfiguration.agent.cpulimit e extensions.agent.cpulimit com o limite de recursos atual especificado como uma porcentagem. Em uma nova instalação do agente, ambos serão exibidos 5 porque o limite padrão é de 5% da CPU.

Para alterar o limite de recursos para o gerenciador de extensões para 80%, execute o seguinte comando:

azcmagent config set extensions.agent.cpulimit 80

Metadados da instância

As informações de metadados sobre uma máquina conectada são coletadas depois que o agente da Máquina Conectada se registra nos servidores habilitados para Azure Arc. Especificamente:

  • Nome, edição, tipo e versão do sistema operacional
  • Nome do computador
  • Fabricante e modelo do computador
  • FQDN (nome de domínio totalmente qualificado) do computador
  • Nome de domínio (se associado a um domínio do Ative Directory)
  • FQDN (nome de domínio totalmente qualificado) do Ative Directory e DNS
  • UUID (ID BIOS)
  • Pulsação do agente da Máquina Conectada
  • Versão do agente da Máquina Conectada
  • Chave pública para identidade gerenciada
  • Status e detalhes de conformidade da política (se estiver usando políticas de configuração de convidado)
  • SQL Server instalado (valor booleano)
  • ID do recurso de cluster (para nós HCI do Azure Stack)
  • Fabricante de hardware
  • Modelo de hardware
  • Família de CPU, soquete, núcleo físico e contagens de núcleos lógicos
  • Total de memória física
  • Número de série
  • Tag de ativo SMBIOS
  • Informações sobre a interface de rede
    • Endereço IP
    • Sub-rede
  • Informações de licenciamento do Windows
    • Estado da licença do SO
    • Canal de licença do SO
    • Elegibilidade para Atualizações de Segurança Estendidas
    • Status da licença das Atualizações de Segurança Estendidas
    • Canal de licença de Atualizações de Segurança Estendidas
  • Fornecedor de serviços cloud
  • Metadados da Amazon Web Services (AWS), quando executados na AWS:
    • ID de conta
    • Instance ID
    • País/Região
  • Metadados do Google Cloud Platform (GCP), quando executados no GCP:
    • Instance ID
    • Image
    • Tipo de máquina
    • ID do Projeto
    • Número do projeto
    • Contas de serviço
    • Zona
  • Metadados do Oracle Cloud Infrastructure, quando executados em OCI:
    • Nome a apresentar

O agente solicita as seguintes informações de metadados do Azure:

  • Localização do recurso (região)
  • ID da máquina virtual
  • Etiquetas
  • Certificado de identidade gerenciado Microsoft Entra
  • Atribuições de política de configuração de convidado
  • Solicitações de extensão - instalar, atualizar e excluir.

Nota

Os servidores habilitados para Azure Arc não armazenam/processam dados do cliente fora da região em que o cliente implanta a instância de serviço.

Opções e requisitos de implantação

A implantação do agente e a conexão da máquina exigem certos pré-requisitos. Há também requisitos de rede para estar ciente.

Fornecemos várias opções para implantar o agente. Para obter mais informações, consulte Planejar a implantação e as opções de implantação.

Recuperação após Desastre

Não há opções de recuperação de desastres habilitadas pelo cliente para servidores habilitados para Arc. No caso de uma interrupção em uma região do Azure, o sistema fará failover para outra região na mesma geografia do Azure (se existir). Embora esse procedimento de failover seja automático, leva algum tempo. O agente Máquina Conectada será desconectado durante esse período e mostrará um status de Desconectado até que o failover seja concluído. O sistema fará failback para sua região original assim que a interrupção for restaurada.

Uma interrupção do Azure Arc não afetará a carga de trabalho do cliente em si; apenas a gestão dos servidores aplicáveis via Arc será prejudicada.

Próximos passos

  • Para começar a avaliar os servidores habilitados para Azure Arc, consulte Guia de início rápido: conectar máquinas híbridas com servidores habilitados para Azure Arc.
  • Antes de implantar o agente do Azure Connected Machine e integrar com outros serviços de gerenciamento e monitoramento do Azure, revise o guia de planejamento e implantação.
  • Consulte as informações de solução de problemas no guia de solução de problemas de conexão do agente.