Descrição Geral do agente do Azure Connected Machine

  • Artigo

O agente Azure Connected Machine permite que você gerencie suas máquinas Windows e Linux hospedadas fora do Azure em sua rede corporativa ou em outros provedores de nuvem.

Componentes do agente

Visão geral da arquitetura do agente do Azure Connected Machine.

O pacote do agente do Azure Connected Machine contém vários componentes lógicos agrupados:

  • O serviço de Metadados de Instância Híbrida (HIMDS) gerencia a conexão com o Azure e a identidade do Azure da máquina conectada.

  • O agente de configuração convidado fornece funcionalidades como avaliar se a máquina está em conformidade com as políticas necessárias e impor a conformidade.

    Observe o seguinte comportamento com a configuração de convidado da Política do Azure para uma máquina desconectada:

    • Uma atribuição de Política do Azure destinada a máquinas desconectadas não é afetada.
    • A atribuição de convidado é armazenada localmente por 14 dias. Dentro do período de 14 dias, se o agente Máquina Conectada se reconectar ao serviço, as atribuições de política serão reaplicadas.
    • As atribuições são excluídas após 14 dias e não são reatribuídas à máquina após o período de 14 dias.

  • O agente de extensão gerencia extensões de VM, incluindo instalação, desinstalação e atualização. O Azure transfere extensões e copia-as para a pasta no Windows e para /opt/GC_Ext/downloads o %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Linux. No Windows, a extensão é instalada no caminho %SystemDrive%\Packages\Plugins\<extension>a seguir e, no Linux, a extensão é instalada no /var/lib/waagent/<extension>.

Nota

O agente do Azure Monitor (AMA) é um agente separado que coleta dados de monitoramento e não substitui o agente de Máquina Conectada, o AMA substitui apenas o agente do Log Analytics, a extensão de Diagnóstico e o agente Telegraf para máquinas Windows e Linux.

Recursos do agente

As informações a seguir descrevem os diretórios e contas de usuário usados pelo agente do Azure Connected Machine.

Detalhes de instalação do agente do Windows

O agente do Windows é distribuído como um pacote do Windows Installer (MSI). Transfira o agente do Windows a partir do Centro de Transferências da Microsoft. A instalação do agente Connected Machine for Window aplica as seguintes alterações de configuração em todo o sistema:

  • O processo de instalação cria as seguintes pastas durante a instalação.

    Diretório Descrição
    %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent e executáveis do serviço de metadados de instância.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Executáveis do serviço de extensão.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Executáveis do serviço de configuração de convidado (política).
    %ProgramData%\AzureConnectedMachineAgent Ficheiros de configuração, de registo e de token de identidade para a CLI azcmagent e o serviço de metadados da instância.
    %ProgramData%\GuestConfig Transferências de pacotes de extensão, transferências de definições de configuração de convidado (política) e registos para os serviços de extensão e configuração de convidado.
    %SYSTEMDRIVE%\packages Executáveis do pacote de extensão

  • A instalação do agente cria os seguintes serviços do Windows na máquina de destino.

    Nome do serviço Nome a apresentar Nome do processo Description
    himds Azure Hybrid Instance Metadata Service himds.exe Sincroniza metadados com o Azure e aloja uma API REST local para que as extensões e as aplicações acedam aos metadados e peçam tokens de identidade gerida do Microsoft Entra
    GCArcService Serviço do Arc de Configuração de Convidado gc_arc_service.exe (gc_service.exe anterior à versão 1.36) Audita e impõe políticas de configuração de convidado do Azure na máquina.
    ExtensionService Serviço de Extensão de Configuração de Convidado gc_extension_service.exe (gc_service.exe anterior à versão 1.36) Instala, atualiza e gere extensões na máquina.

  • A instalação do agente cria a seguinte conta de serviço virtual.

    Conta Virtual Description
    NT SERVICE\himds Conta sem privilégios usada para executar o Hybrid Instance Metadata Service-

    Gorjeta

    Esta conta requer o direito "Iniciar sessão como serviço". Este direito é concedido automaticamente durante a instalação do agente, mas se a sua organização configurar atribuições de direitos de utilizador com a Política de Grupo, talvez seja necessário ajustar o Objeto da Polítca de Grupo para conceder o direito a "NT SERVICE\himds" ou "NT SERVICE\ALL SERVICES" para permitir que o agente funcione.

  • A instalação do agente cria o seguinte grupo de segurança local.

    Nome do grupo de segurança Description
    Aplicações de extensão de agente híbrido Os membros deste grupo de segurança podem pedir tokens do Microsoft Entra para a identidade gerida atribuída pelo sistema

  • A instalação do agente cria as seguintes variáveis ambientais:

    Name Valor predefinido Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.

    Registo Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Regista detalhes do heartbeat e do componente do agente de identidade.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contém a saída dos comandos da ferramenta azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Regista detalhes do componente do agente de configuração de convidado (política).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Regista detalhes da atividade do gestor de extensões (eventos de instalação, desinstalação e atualização de extensões).
    %ProgramData%\GuestConfig\extension_logs Diretório que contém registos de extensões individuais.

  • O processo cria os aplicativos de extensão de agente híbrido do grupo de segurança local.

  • Após a desinstalação do agente, os seguintes artefatos permanecem.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Detalhes da instalação do agente Linux

O formato de pacote preferencial para a distribuição (.rpm ou .deb) hospedada no repositório de pacotes da Microsoft fornece o agente Connected Machine para Linux. O pacote de shell script Install_linux_azcmagent.sh instala e configura o agente.

Não é necessário instalar, atualizar e remover o agente de Máquina Conectada após a reinicialização do servidor.

A instalação do agente Connected Machine para Linux aplica as seguintes alterações de configuração em todo o sistema.

  • O programa de instalação cria as seguintes pastas de instalação.

    Diretório Description
    /opt/azcmagent/ CLI azcmagent e executáveis do serviço de metadados de instância.
    /opt/GC_Ext/ Executáveis do serviço de extensão.
    /opt/GC_Service/ Executáveis do serviço de configuração de convidado (política).
    /var/opt/azcmagent/ Ficheiros de configuração, de registo e de token de identidade para a CLI azcmagent e o serviço de metadados da instância.
    /var/lib/GuestConfig/ Transferências de pacotes de extensão, transferências de definições de configuração de convidado (política) e registos para os serviços de extensão e configuração de convidado.

  • A instalação do agente cria os seguintes daemons.

    Nome do serviço Nome a apresentar Nome do processo Description
    himdsd.service Serviço Azure Connected Machine Agent himds Este serviço implementa o serviço de Metadados de Instância Híbrida (IMDS) para gerenciar a conexão com o Azure e a identidade do Azure da máquina conectada.
    gcad.service Serviço GC Arc gc_linux_service Audita e impõe políticas de configuração de convidado do Azure na máquina.
    extd.service Serviço de Extensão gc_linux_service Instala, atualiza e gere extensões na máquina.

  • Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.

    Registo Description
    /var/opt/azcmagent/log/himds.log Regista detalhes do heartbeat e do componente do agente de identidade.
    /var/opt/azcmagent/log/azcmagent.log Contém a saída dos comandos da ferramenta azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Regista detalhes do componente do agente de configuração de convidado (política).
    /var/lib/GuestConfig/ext_mgr_logs Regista detalhes da atividade do gestor de extensões (eventos de instalação, desinstalação e atualização de extensões).
    /var/lib/GuestConfig/extension_logs Diretório que contém registos de extensões individuais.

  • A instalação do agente cria as seguintes variáveis de ambiente, definidas em /lib/systemd/system.conf.d/azcmagent.conf.

    Name Valor predefinido Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Após a desinstalação do agente, os seguintes artefatos permanecem.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Governança de recursos do agente

O agente do Azure Connected Machine foi projetado para gerenciar o consumo de recursos do agente e do sistema. O agente aborda a governança de recursos nas seguintes condições:

  • O serviço Configuração da Máquina (anteriormente Configuração de Convidado) pode usar até 5% da CPU para avaliar políticas.

  • O serviço de extensão pode usar até 5% da CPU em máquinas Windows e 30% da CPU em máquinas Linux para instalar, atualizar, executar e excluir extensões. Algumas extensões podem aplicar limites de CPU mais restritivos depois de instaladas. Aplicam-se as seguintes exceções:

    Tipo de extensão Sistema operativo Limite de CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE. Aplicações Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Durante as operações normais, definidas como o agente do Azure Connected Machine sendo conectado ao Azure e não modificando ativamente uma extensão ou avaliando uma política, você pode esperar que o agente consuma os seguintes recursos do sistema:

Windows Linux
Uso da CPU (normalizado para 1 núcleo) 0.07% 0,02%
Utilização da memória 57 MB 42 MB

Os dados de desempenho acima foram coletados em abril de 2023 em máquinas virtuais que executam o Windows Server 2022 e o Ubuntu 20.04. O desempenho real do agente e o consumo de recursos variam com base na configuração de hardware e software dos servidores.

Limites de recursos personalizados

Os limites de governança de recursos padrão são a melhor opção para a maioria dos servidores. No entanto, pequenas máquinas virtuais e servidores com recursos de CPU limitados podem encontrar tempos limite ao gerenciar extensões ou avaliar políticas porque não há recursos de CPU suficientes para concluir as tarefas. A partir da versão 1.39 do agente, você pode personalizar os limites de CPU aplicados ao gerenciador de extensões e aos serviços de Configuração da Máquina para ajudar o agente a concluir essas tarefas mais rapidamente.

Para ver os limites de recursos atuais para o gerenciador de extensões e os serviços de Configuração da Máquina, execute o seguinte comando.

azcmagent config list

Na saída, você verá dois campos guestconfiguration.agent.cpulimit e extensions.agent.cpulimit com o limite de recursos atual especificado como uma porcentagem. Em uma nova instalação do agente, ambos serão exibidos 5 porque o limite padrão é de 5% da CPU.

Para alterar o limite de recursos para o gerenciador de extensões para 80%, execute o seguinte comando:

azcmagent config set extensions.agent.cpulimit 80

Metadados da instância

As informações de metadados sobre uma máquina conectada são coletadas depois que o agente da Máquina Conectada se registra nos servidores habilitados para Azure Arc. Especificamente:

  • Nome, tipo e versão do sistema operacional
  • Nome do computador
  • Fabricante e modelo do computador
  • FQDN (nome de domínio totalmente qualificado) do computador
  • Nome de domínio (se associado a um domínio do Ative Directory)
  • FQDN (nome de domínio totalmente qualificado) do Ative Directory e DNS
  • UUID (ID BIOS)
  • Pulsação do agente da Máquina Conectada
  • Versão do agente da Máquina Conectada
  • Chave pública para identidade gerenciada
  • Status e detalhes de conformidade da política (se estiver usando políticas de configuração de convidado)
  • SQL Server instalado (valor booleano)
  • ID do recurso de cluster (para nós HCI do Azure Stack)
  • Fabricante de hardware
  • Modelo de hardware
  • Família de CPU, soquete, núcleo físico e contagens de núcleos lógicos
  • Total de memória física
  • Número de série
  • Tag de ativo SMBIOS
  • Fornecedor de serviços cloud
  • Metadados da Amazon Web Services (AWS), quando executados na AWS:
    • ID de conta
    • Instance ID
    • País/Região
  • Metadados do Google Cloud Platform (GCP), quando executados no GCP:
    • Instance ID
    • Imagem
    • Tipo de máquina
    • ID do Projeto
    • Número do projeto
    • Contas de serviço
    • Zona
  • Metadados do Oracle Cloud Infrastructure, quando executados em OCI:
    • Nome a apresentar

O agente solicita as seguintes informações de metadados do Azure:

  • Localização do recurso (região)
  • ID da máquina virtual
  • Etiquetas
  • Certificado de identidade gerenciado Microsoft Entra
  • Atribuições de política de configuração de convidado
  • Solicitações de extensão - instalar, atualizar e excluir.

Nota

Os servidores habilitados para Azure Arc não armazenam/processam dados do cliente fora da região em que o cliente implanta a instância de serviço.

Opções e requisitos de implantação

A implantação do agente e a conexão da máquina exigem certos pré-requisitos. Há também requisitos de rede para estar ciente.

Fornecemos várias opções para implantar o agente. Para obter mais informações, consulte Planejar a implantação e as opções de implantação.

Próximos passos

  • Para começar a avaliar os servidores habilitados para Azure Arc, consulte Guia de início rápido: conectar máquinas híbridas com servidores habilitados para Azure Arc.
  • Antes de implantar o agente do Azure Connected Machine e integrar com outros serviços de gerenciamento e monitoramento do Azure, revise o guia de planejamento e implantação.
  • Consulte as informações de solução de problemas no guia de solução de problemas de conexão do agente.