Quando você permite o gerenciamento de convidados em VMs VMware, o agente Azure Connected Machine é instalado nas VMs. Esse é o mesmo agente usado pelos servidores habilitados para Arc. O agente do Azure Connected Machine permite que você gerencie computadores Windows e Linux hospedados fora do Azure em sua rede corporativa ou em outro provedor de nuvem. Este artigo fornece uma visão geral da arquitetura do agente de computador conectado do Azure.
Componentes do agente
Observação
O diagrama de arquitetura acima foi criado como parte do Arc Jumpstart. Para baixar o arquivo de origem em um formato de alta resolução, visite Jumpstart Gems.
O pacote do agente Azure Connected Machine contém vários componentes lógicos agrupados:
O Hybrid Instance Metadata service (HIMDS) gerencia a conexão com o Azure e a identidade do Azure do Connected Machine.
O agente de configuração de convidado fornece a funcionalidade de avaliar se o computador está em conformidade com as políticas necessárias e de aplicar a conformidade.
Observe o seguinte comportamento que ocorre com a configuração de convidado do Azure Policy em um computador desconectado:
Uma atribuição do Azure Policy que se destina a computadores desconectados não é afetada.
A atribuição de convidado é armazenada localmente por 14 dias. Dentro do período de 14 dias, se o Agente do Connected Machine se reconectar ao serviço, as atribuições de política serão reaplicadas.
As atribuições são excluídas após 14 dias e não são reatribuídas ao computador após o período de 14 dias.
O agente de Extensão gerencia extensões de VM, incluindo instalar, desinstalar e atualizar. O Azure baixa as extensões e as copia para a pasta %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads no Windows e para /opt/GC_Ext/downloads no Linux. No Windows, a extensão é instalada no caminho %SystemDrive%\Packages\Plugins\<extension> e, no Linux, a extensão é instalada em /var/lib/waagent/<extension>.
Observação
O agente de Azure monitor (AMA) é um agente separado que coleta dados de monitoramento e não substitui o agente de máquina conectado; o AMA apenas substitui o agente Log Analytics, a extensão de diagnóstico e o agente Telegraf para computadores Windows e Linux.
Recursos do agente
As informações a seguir descrevem os diretórios e contas de usuário usados pelo agente do Azure Connected Machine.
Detalhes de instalação do agente Windows
O agente do Windows é distribuído como um pacote do Windows Installer (MSI). Faça o download do agente do Windows no Microsoft Download Center.
A instalação do agente do Connected Machine para Windows aplica as seguintes alterações de configuração em todo o sistema:
O processo de instalação cria as seguintes pastas durante a instalação.
Diretório
Descrição
%ProgramFiles%\AzureConnectedMachineAgent
CLI do azcmagent e executáveis do serviço de metadados de instância.
Executáveis de serviço de configuração de convidado (política).
%ProgramData%\AzureConnectedMachineAgent
Arquivos de token de configuração, log e identidade para a CLI do azcmagent e o serviço de metadados de instância.
%ProgramData%\GuestConfig
Downloads de pacote de extensão, downloads de definição de configuração de convidado (política) e logs para os serviços de configuração de convidado e extensão.
%SYSTEMDRIVE%\packages
Executáveis do pacote de extensão.
A instalação do agente cria os seguintes serviços Windows no computador de destino.
Nome do serviço
Nome de exibição
Nome do processo
Descrição
himds
Serviço de Metadados de Instância do Azure Híbrido
himds
Sincroniza metadados com o Azure e hospeda uma API REST local para que extensões e aplicativos acessem os metadados e solicitem tokens de identidade gerenciados pelo Microsoft Entra
GCArcService
Serviço de configuração de convidado para Arc
gc_service
Audita e impõe as políticas de configuração de convidado do Azure na máquina.
ExtensionService
Serviço de extensão de configuração de convidado
gc_service
Instala, atualiza e gerencia extensões na máquina.
A instalação do agente cria a seguinte conta de serviço virtual.
Conta Virtual
Descrição
NT SERVICE\himds
Conta sem privilégios usada para executar o Hybrid Instance Metadata Service.
Dica
Essa conta requer o direito Logar como um serviço. Esse direito é concedido automaticamente durante a instalação do agente, mas se a sua organização configurar atribuições de direitos de usuário com a Política de Grupo, talvez seja necessário ajustar o Objeto de Política de Grupo para conceder o direito a NT SERVICE\himds ou NT SERVICE\ALL SERVICES para permitir que o agente funcione.
A instalação do agente cria o seguinte grupo de segurança local.
Nome do grupo de segurança
Descrição
Aplicativos de extensão de agente híbrido
Os membros desse grupo de segurança podem solicitar tokens do Microsoft Entra para a identidade gerenciada atribuída pelo sistema
A instalação do agente cria as seguintes variáveis de ambiente
Registra detalhes sobre o componente do agente de configuração de convidado (política).
%ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log
Registra detalhes sobre a atividade do gerenciador de extensão (eventos de instalação, desinstalação e atualização de extensão).
%ProgramData%\GuestConfig\extension_logs
Diretório contendo logs para ramais individuais.
O processo cria o grupo de segurança local Aplicativos de extensão do agente híbrido.
Após a desinstalação do agente, os seguintes artefatos permanecem:
%ProgramData%\AzureConnectedMachineAgent\Log
%ProgramData%\AzureConnectedMachineAgent
%ProgramData%\GuestConfig
%SystemDrive%\packages
Detalhes de instalação do agente Linux
O formato de pacote preferencial para a distribuição (.rpm ou .deb) que está hospedada no repositório de pacotes da Microsoft fornece o agente do Connected Machine para Linux. O pacote de scripts shell Install_linux_azcmagent.sh instala e configura o agente.
A instalação, a atualização e a remoção do agente do Connected Machine não são necessários após a reinicialização do servidor.
A instalação do agente do Connected Machine para Linux aplica as seguintes alterações de configuração em todo o sistema.
A instalação cria as seguintes pastas de instalação.
Diretório
Descrição
/opt/azcmagent/
CLI do azcmagent e executáveis do serviço de metadados de instância.
/opt/GC_Ext/
Executáveis do serviço de extensão.
/opt/GC_Service/
Executáveis de serviço de configuração de convidado (política).
/var/opt/azcmagent/
Arquivos de token de configuração, log e identidade para a CLI do azcmagent e o serviço de metadados de instância.
/var/lib/GuestConfig/
Downloads de pacote de extensão, downloads de definição de configuração de convidado (política) e logs para os serviços de configuração de convidado e extensão.
A instalação do agente cria os seguintes daemons.
Nome do serviço
Nome de exibição
Nome do processo
Descrição
himdsd. Service
Serviço do Azure Connected Machine Agent
himds
Esse serviço implementa o IMDS (serviço de metadados de instância) híbrido para gerenciar a conexão com o Azure e a identidade do Azure do computador conectado.
gcad.service
GC Arc Service
gc_linux_service
Audita e impõe as políticas de configuração de convidado do Azure na máquina.
extd.service
Serviço de extensão
gc_linux_service
Instala, atualiza e gerencia extensões na máquina.
Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.
Log
Descrição
/var/opt/azcmagent/log/himds.log
Registra os detalhes do componente do agente de identidade e de pulsação.
/var/opt/azcmagent/log/azcmagent.log
Contém a saída dos comandos da ferramenta azcmagent.
/var/lib/GuestConfig/arc_policy_logs
Registra detalhes sobre o componente do agente de configuração de convidado (política).
/var/lib/GuestConfig/ext_mgr_logs
Registra detalhes sobre a atividade do gerenciador de extensão (eventos de instalação, desinstalação e atualização de extensão).
/var/lib/GuestConfig/extension_logs
Diretório contendo logs para ramais individuais.
A instalação do agente cria as seguintes variáveis de ambiente, definidas em /lib/systemd/system.conf.d/azcmagent.conf.
Após a desinstalação do agente, os seguintes artefatos permanecem:
/var/opt/azcmagent
/var/lib/GuestConfig
Governança de recursos do agente
O agente do Azure Connected Machine foi projetado para gerenciar o consumo de recursos do agente e do sistema. O agente lida com a governança de recursos nas seguintes condições:
O agente de Configuração de Convidado pode usar até 5% da CPU para avaliar as políticas.
O agente do Serviço de Extensão pode usar até 5% da CPU para instalar, atualizar, executar e excluir extensões. Algumas extensões podem aplicar limites de CPU mais restritivos depois de instaladas. As seguintes exceções se aplicam:
Tipo de extensão
Sistema operacional
Limite da CPU
AzureMonitorLinuxAgent
Linux
60%
AzureMonitorWindowsAgent
Windows
100%
Agente AzureSecurityLinux
Linux
30%
LinuxOsUpdateExtension
Linux
60%
MDE.Linux
Linux
60%
MicrosoftDnsAgent
Windows
100%
MicrosoftMonitoringAgent
Windows
60%
OmsAgentForLinux
Windows
60%
Durante operações normais, definidas como o agente do Azure Connected Machine sendo conectado ao Azure e não modificando ativamente uma extensão ou avaliando uma política, você pode esperar que o agente consuma os seguintes recursos do sistema:
Windows
Linux
Uso da CPU (normalizado para 1 núcleo)
0,07%
0,02%
Uso de memória
57 MB
42 MB
Os dados de desempenho acima foram coletados em abril de 2023 em máquinas virtuais que executam o Windows Server 2022 e o Ubuntu 20.04. O desempenho real do agente e o consumo de recursos variam de acordo com a configuração de hardware e software de seus servidores.
Metadados da instância
As informações de metadados sobre uma computador conectado são coletadas depois que o agente do Connected Machine se registra nos servidores habilitados para Azure Arc, especificamente:
Nome, tipo e versão do sistema operacional
Nome do computador
Modelo e fabricante do computador
FQDN (nome de domínio totalmente qualificado) do computador
Nome de domínio (se ingressado em um domínio do Active Directory)
Active Directory e FQDN (nome de domínio totalmente qualificado) do DNS
UUID (ID DO BIOS)
Pulsação do Connected Machine Agent
Versão do agente do Connected Machine
Chave pública para identidade gerenciada
Detalhes e status de conformidade da política (se estiver usando políticas de configuração de convidado)
SQL Server instalado (Valor booliano)
ID de recurso do cluster (para nós locais do Azure)
Fabricante de hardware
Modelo de hardware
Família, soquete, núcleo físico e contagem de núcleos lógicos da CPU
Memória física total
Número de série
Marca de ativo SMBIOS:
Provedor de nuvem
Metadados do AWS (Amazon Web Services) ao executar no AWS:
ID da Conta
ID da Instância
Region
Metadados do GCP (Google Cloud Platform) ao executar no GCP:
ID da Instância
Imagem
Tipo de computador
ID do projeto
Número do projeto
Contas de serviço
Zona
O agente solicita as seguintes informações de metadados do Azure:
Localização do recurso (região)
ID da máquina virtual
Marcações
Certificado de identidade gerenciada do Microsoft Entra
Atribuições da política de Configuração de Convidado
Solicitações de extensão – instalar, atualizar e excluir.
Observação
Os servidores habilitados para Azure Arc não armazenam/processam dados de clientes fora da região em que o cliente implantar a instância de serviço.
Entenda as funcionalidades de monitoramento dos servidores habilitados para Azure Arc. Saiba como integrar servidores habilitados para Azure Arc a logs e métricas do Azure, insights de VM e alertas do Azure Monitor e conheça os benefícios dessa prática.
Como administrador híbrido do Windows Server, você integra ambientes do Windows Server aos serviços do Azure e gerencia o Windows Server em redes locais.
