Общие сведения об агенте Подключенного компьютера Azure

Агент подключенного компьютера Azure позволяет управлять компьютерами Windows и Linux, размещенными за пределами Azure, в корпоративной сети или других поставщиках облачных служб.

Компоненты агента

Обзор архитектуры агента серверов с поддержкой Azure Arc.

Пакет агента Подключенного компьютера Azure содержит несколько логических компонентов, которые объединяются вместе:

  • Служба Hybrid Instance Metadata Service (HIMDS) управляет подключением к Azure и удостоверением Azure подключенного компьютера.

  • Агент гостевой конфигурации обеспечивает такие функции, как оценка соответствия компьютера требуемым политикам и обеспечение соблюдения требований.

    Обратите внимание на следующее поведение в гостевой конфигурации Политики Azure для отключенного компьютера.

    • Назначение Политики Azure, предназначенное для отключенных компьютеров, не затрагивается.
    • Гостевое назначение хранится локально в течение 14 дней. Если агент Connected Machine повторно подключается к службе в течение 14-дневного периода, назначения политик применяются заново.
    • Назначения удаляются через 14 дней и не назначаются повторно компьютеру после 14-дневного периода.
  • Агент расширений управляет расширениями виртуальной машины, включая установку, удаление и обновление. Расширения скачиваются из Azure и копируются в папку %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads в Windows и в /opt/GC_Ext/downloads Linux. Расширение устанавливается по пути %SystemDrive%\Packages\Plugins\<extension> для Windows или /var/lib/waagent/<extension> для Linux.

Примечание

Агент Azure Monitor (AMA) — это отдельный агент, который собирает данные мониторинга и не заменяет агент подключенного компьютера. AMA заменяет агент Log Analytics, расширение диагностики и агент Telegraf только для компьютеров Windows и Linux.

Ресурсы агента

В следующих сведениях описаны каталоги и учетные записи пользователей, используемые агентом подключенного компьютера Azure.

Сведения об установке агента для Windows

Агент Windows распространяется в виде пакета установщика Windows (MSI) и может быть скачан из Центра загрузки Майкрософт. После установки пакетов агента Connected Machine для Windows применяются указанные ниже изменения конфигурации системы.

  • Во время установки создаются указанные ниже папки установки.

    Каталог Описание
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI и исполняемые файлы службы метаданных экземпляров.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Исполняемые файлы службы расширений.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Исполняемые файлы службы гостевой конфигурации (политики).
    %ProgramData%\AzureConnectedMachineAgent Файлы конфигурации, журналов и маркеров удостоверений для azcmagent CLI и службы метаданных экземпляров.
    %ProgramData%\GuestConfig Скачивание пакетов расширений, скачивание определений гостевой конфигурации (политики) и журналы для служб расширения и гостевой конфигурации.
    %SYSTEMDRIVE%\packages Исполняемые файлы пакета расширения
  • Во время установки агента на целевом компьютере создаются указанные ниже службы Windows.

    Имя службы Отображаемое имя Имя процесса Описание
    himds Гибридная служба метаданных экземпляров Azure himds Синхронизирует метаданные с Azure и размещает локальный REST API для расширений и приложений для доступа к метаданным и запроса маркеров управляемых удостоверений Azure Active Directory.
    GCArcService Служба Arc гостевой конфигурации gc_service Выполняет аудит и применение политик гостевой конфигурации Azure на компьютере.
    ExtensionService Служба расширений гостевой конфигурации gc_service Устанавливает, обновляет расширения на компьютере и управляет ими.
  • Во время установки агента создается следующая учетная запись виртуальной службы.

    Виртуальная учетная запись Описание
    NT SERVICE\himds Непривилегированная учетная запись, используемая для запуска службы метаданных гибридного экземпляра.

    Совет

    Для этой учетной записи требуется право "Вход в качестве службы". Это право предоставляется автоматически во время установки агента, но если ваша организация настраивает назначения прав пользователя с помощью групповая политика, может потребоваться настроить объект групповая политика, чтобы предоставить право "NT SERVICE\himds" или "NT SERVICE\ALL SERVICES", чтобы разрешить работу агента.

  • Во время установки агента создается следующая локальная группа безопасности.

    Имя группы безопасности Описание
    Приложения расширения гибридного агента Члены этой группы безопасности могут запрашивать маркеры Azure Active Directory для управляемого удостоверения, назначаемого системой.
  • Во время установки агента создаются указанные ниже переменные среды.

    Имя Значение по умолчанию Описание
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Есть несколько файлов журнала, доступных для устранения неполадок. Они описаны в следующей таблице.

    Журнал Описание
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Записывает сведения о компоненте пульса и агента удостоверений.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Содержит выходные данные команд средства azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Записывает сведения о компоненте агента гостевой конфигурации (политики).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Записывает сведения о действиях диспетчера расширений (события установки, удаления и обновления расширений).
    %ProgramData%\GuestConfig\extension_logs Каталог, содержащий журналы для отдельных расширений.
  • Создается локальная группа безопасности приложений расширения гибридного агента.

  • Во время удаления агента указанные ниже артефакты не удаляются.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Сведения об установке агента для Linux

Агент подключенного компьютера для ОС Linux предоставляется в пакете в предпочтительном формате для распространения (RPM или DEB). Он размещен в репозитории пакетов Microsoft. Агент устанавливается и настраивается с помощью пакета сценариев оболочки Install_linux_azcmagent.sh.

При установке, обновлении и удалении агента подключенного компьютера не потребуется перезапуск сервера.

После установки агента Connected Machine для Linux применяются указанные ниже изменения конфигурации системы.

  • Во время установки создаются указанные ниже папки установки.

    Каталог Описание
    /opt/azcmagent/ azcmagent CLI и исполняемые файлы службы метаданных экземпляров.
    /opt/GC_Ext/ Исполняемые файлы службы расширений.
    /opt/GC_Service/ Исполняемые файлы службы гостевой конфигурации (политики).
    /var/opt/azcmagent/ Файлы конфигурации, журналов и маркеров удостоверений для azcmagent CLI и службы метаданных экземпляров.
    /var/lib/GuestConfig/ Скачивание пакетов расширений, скачивание определений гостевой конфигурации (политики) и журналы для служб расширения и гостевой конфигурации.
  • Во время установки агента на целевом компьютере создаются указанные ниже управляющие программы.

    Имя службы Отображаемое имя Имя процесса Описание
    himdsd.service Служба Azure Connected Machine Agent himds Эта служба реализует службу метаданных гибридного экземпляра (IMDS) для управления подключением к Azure и удостоверением Azure подключенного компьютера.
    gcad.service Служба GC Arc gc_linux_service Выполняет аудит и применение политик гостевой конфигурации Azure на компьютере.
    extd.service Служба расширений gc_linux_service Устанавливает, обновляет расширения на компьютере и управляет ими.
  • Есть несколько файлов журнала, доступных для устранения неполадок. Они описаны в следующей таблице.

    Журнал Описание
    /var/opt/azcmagent/log/himds.log Записывает сведения о компоненте пульса и агента удостоверений.
    /var/opt/azcmagent/log/azcmagent.log Содержит выходные данные команд средства azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Записывает сведения о компоненте агента гостевой конфигурации (политики).
    /var/lib/GuestConfig/ext_mgr_logs Записывает сведения о действиях диспетчера расширений (события установки, удаления и обновления расширений).
    /var/lib/GuestConfig/extension_logs Каталог, содержащий журналы для отдельных расширений.
  • Во время установки агента создаются следующие переменные среды. В /lib/systemd/system.conf.d/azcmagent.conf задаются указанные ниже переменные.

    Имя Значение по умолчанию Описание
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Во время удаления агента указанные ниже артефакты не удаляются.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Управление ресурсами агента

Агент Подключенного компьютера Azure предназначен для управления потреблением агентов и системных ресурсов. Агент использует следующий подход к управлению ресурсами.

  • Агент гостевой конфигурации может использовать до 5 % ресурсов ЦП для оценки политик.

  • Агент службы расширений может использовать до 5 % ресурсов ЦП для установки, обновления, запуска и удаления расширений. Применяются следующие исключения:

    • Если расширение устанавливает фоновые службы, которые выполняются независимо от Azure Arc, например Microsoft Monitoring Agent, эти службы не будут распространяются на перечисленные выше ограничения управления ресурсами.
    • Агенту Log Analytics и агенту Azure Monitor разрешено использовать до 60 % ресурсов ЦП во время операций установки, обновления и удаления в Red Hat Linux, CentOS и других корпоративных версиях Linux. Ограничение для этого сочетания расширений и операционных систем повышено в связи с влиянием SELinux на производительность этих систем.
    • Агент Azure Monitor может использовать до 30 % ресурсов ЦП во время обычных операций.
    • Расширение обновления ОС Linux (используемое Центром управления обновлениями Azure) может использовать до 30 % ресурсов ЦП для исправления сервера.
    • Расширение Microsoft Defender для конечной точки может использовать до 30 % ресурсов ЦП во время установки, обновления и удаления.

Метаданные экземпляра

Метаданные о подключенном компьютере собираются после того, как агент подключенного компьютера регистрируется на серверах с поддержкой Azure Arc. В частности:

  • имя, тип и версия операционной системы;
  • Имя компьютера
  • Производитель и модель компьютера
  • полное доменное имя (FQDN) компьютера;
  • Доменное имя (при присоединении к домену Active Directory)
  • Active Directory и полное доменное имя DNS (FQDN);
  • UUID (идентификатор BIOS);
  • пульс агента Connected Machine;
  • версия агента подключенного компьютера.
  • открытый ключ для управляемого удостоверения;
  • состояние и сведения о соответствии политике (при использовании политик гостевой конфигурации);
  • SQL Server установлен (логическое значение)
  • Идентификатор кластерного ресурса (для узлов Azure Stack HCI)
  • Производитель оборудования
  • Аппаратная модель
  • Количество логических ядер ЦП
  • Поставщик облачных служб
  • Метаданные Amazon Web Services (AWS) при запуске в AWS:
    • Идентификатор учетной записи
    • Instance ID
    • Регион
  • Метаданные Google Cloud Platform (GCP) при выполнении в GCP:
    • Instance ID
    • Image
    • Тип компьютера
    • Идентификатор проекта
    • Номер проекта
    • учетные записи служб;
    • Зона

Агент запрашивает следующие метаданные из Azure:

  • расположение ресурса (область);
  • Virtual machine ID (Идентификатор виртуальной машины)
  • Теги
  • сертификат управляемого удостоверения Azure Active Directory;
  • назначения политики гостевой конфигурации;
  • запросы расширения — установка, обновление и удаление.

Примечание

Серверы с поддержкой Azure Arc не хранят и не обрабатывают данные клиентов за пределами региона, в который клиент развертывает экземпляр службы.

Параметры и требования к развертыванию

Чтобы развернуть агент и подключить компьютер, необходимо выполнить определенные предварительные требования . Существуют также требования к сети , о которых следует помнить.

Мы предоставляем несколько вариантов развертывания агента. Дополнительные сведения см. в разделах Планирование развертывания и Параметры развертывания.

Дальнейшие действия