Общие сведения об агенте Azure Connected Machine

  • Статья

Агент Подключенного компьютера Azure позволяет управлять компьютерами Windows и Linux, размещенными за пределами Azure в корпоративной сети или других поставщиков облачных служб.

Компоненты агента

Обзор архитектуры агента Подключенного компьютера Azure.

Пакет агента Подключенного компьютера Azure содержит несколько логических компонентов, объединенных в пакет:

  • Служба Hybrid Instance Metadata Service (HIMDS) управляет подключением к Azure и удостоверением Azure подключенного компьютера.

  • Агент гостевой конфигурации обеспечивает такие функции, как оценка соответствия компьютера требуемым политикам и обеспечение соблюдения требований.

    Обратите внимание на следующее поведение в гостевой конфигурации Политики Azure для отключенного компьютера.

    • Назначение Политики Azure, предназначенное для отключенных компьютеров, не затрагивается.
    • Гостевое назначение хранится локально в течение 14 дней. Если агент Connected Machine повторно подключается к службе в течение 14-дневного периода, назначения политик применяются заново.
    • Назначения удаляются через 14 дней и не переназначаются компьютеру после 14-дневного периода.

  • Агент расширений управляет расширениями виртуальной машины, включая установку, удаление и обновление. Azure скачивает расширения и копирует их в папку в %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Windows и в /opt/GC_Ext/downloads Linux. В Windows расширение устанавливается по следующему пути %SystemDrive%\Packages\Plugins\<extension>, а в Linux — в /var/lib/waagent/<extension>.

Примечание

Агент Azure Monitor (AMA) — это отдельный агент, который собирает данные мониторинга и не заменяет агент Подключенного компьютера. AMA заменяет агент Log Analytics, расширение диагностики и агент Telegraf только для компьютеров Windows и Linux.

Ресурсы агента

В следующих сведениях описываются каталоги и учетные записи пользователей, используемые агентом Подключенного компьютера Azure.

Сведения об установке агента для Windows

Агент Windows распространяется в виде пакета установщика Windows (MSI). Скачайте агент Windows из Центра загрузки Майкрософт. При установке агента Connected Machine для Windows применяются следующие изменения конфигурации для всей системы.

  • В процессе установки во время установки создаются следующие папки.

    Каталог Описание
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI и исполняемые файлы службы метаданных экземпляра.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Исполняемые файлы службы расширений.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Исполняемые файлы службы гостевой конфигурации (политики).
    %ProgramData%\AzureConnectedMachineAgent Файлы конфигурации, журналов и маркеров удостоверений для azcmagent CLI и службы метаданных экземпляра.
    %ProgramData%\GuestConfig Скачивание пакетов расширений, скачивание определений гостевой конфигурации (политики) и журналов для служб расширения и гостевой конфигурации.
    %SYSTEMDRIVE%\packages Исполняемые файлы пакетов расширений

  • При установке агента на целевом компьютере создаются следующие службы Windows.

    Имя службы Отображаемое имя Имя процесса Описание
    himds Гибридная служба метаданных экземпляров Azure himds Синхронизирует метаданные с Azure и размещает локальный REST API для расширений и приложений для доступа к метаданным и запроса маркеров управляемых удостоверений Azure Active Directory.
    GCArcService Служба Arc гостевой конфигурации gc_service Выполняет аудит и принудительно применяет политики гостевой конфигурации Azure на компьютере.
    ExtensionService Служба расширений гостевой конфигурации gc_service Устанавливает и обновляет расширения на компьютере, а также управляет ими.

  • При установке агента создается следующая учетная запись виртуальной службы.

    Виртуальная учетная запись Описание
    NT SERVICE\himds Непривилегированная учетная запись, используемая для запуска службы метаданных гибридного экземпляра.

    Совет

    Для этой учетной записи требуется право "Вход в качестве службы". Это право предоставляется автоматически во время установки агента, но если ваша организация настраивает назначения прав пользователей с помощью групповая политика, может потребоваться настроить объект групповая политика, чтобы предоставить право на "NT SERVICE\himds" или "NT SERVICE\ALL SERVICES", чтобы разрешить агенту функционировать.

  • При установке агента создается следующая локальная группа безопасности.

    Имя группы безопасности Описание
    Приложения расширения гибридного агента Члены этой группы безопасности могут запрашивать маркеры Azure Active Directory для управляемого удостоверения, назначаемого системой.

  • Установка агента создает следующие переменные среды

    Имя Значение по умолчанию Описание
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Существует несколько файлов журналов для устранения неполадок, описанных в следующей таблице.

    Журнал Описание
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Записывает сведения о компоненте пульса и агента удостоверений.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Содержит выходные данные команд средства azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Записывает сведения о компоненте агента гостевой конфигурации (политики).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Записывает сведения о действиях диспетчера расширений (событиях установки, удаления и обновления расширения).
    %ProgramData%\GuestConfig\extension_logs Каталог, содержащий журналы для отдельных расширений.

  • Процесс создает приложения расширения гибридного агента локальной группы безопасности.

  • После удаления агента остаются следующие артефакты.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Сведения об установке агента для Linux

Предпочтительный формат пакета для дистрибутива (.rpm или .deb), размещенного в репозитории пакетов Майкрософт, предоставляет агент Connected Machine для Linux. Пакет скриптов оболочки Install_linux_azcmagent.sh устанавливает и настраивает агент.

Установка, обновление и удаление агента подключенного компьютера не требуется после перезапуска сервера.

При установке агента Connected Machine для Linux применяются следующие системные изменения конфигурации.

  • Программа установки создает следующие папки установки.

    Каталог Описание
    /opt/azcmagent/ azcmagent CLI и исполняемые файлы службы метаданных экземпляра.
    /opt/GC_Ext/ Исполняемые файлы службы расширений.
    /opt/GC_Service/ Исполняемые файлы службы гостевой конфигурации (политики).
    /var/opt/azcmagent/ Файлы конфигурации, журналов и маркеров удостоверений для azcmagent CLI и службы метаданных экземпляра.
    /var/lib/GuestConfig/ Скачивание пакетов расширений, скачивание определений гостевой конфигурации (политики) и журналов для служб расширения и гостевой конфигурации.

  • При установке агента создаются следующие управляющие программы.

    Имя службы Отображаемое имя Имя процесса Описание
    himdsd.service Служба Azure Connected Machine Agent himds Эта служба реализует службу метаданных гибридного экземпляра (IMDS) для управления подключением к Azure и удостоверением Azure подключенного компьютера.
    gcad.service Служба GC Arc gc_linux_service Выполняет аудит и принудительно применяет политики гостевой конфигурации Azure на компьютере.
    extd.service Служба расширений gc_linux_service Устанавливает и обновляет расширения на компьютере, а также управляет ими.

  • Существует несколько файлов журналов для устранения неполадок, описанных в следующей таблице.

    Журнал Описание
    /var/opt/azcmagent/log/himds.log Записывает сведения о компоненте пульса и агента удостоверений.
    /var/opt/azcmagent/log/azcmagent.log Содержит выходные данные команд средства azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Записывает сведения о компоненте агента гостевой конфигурации (политики).
    /var/lib/GuestConfig/ext_mgr_logs Записывает сведения о действиях диспетчера расширений (событиях установки, удаления и обновления расширения).
    /var/lib/GuestConfig/extension_logs Каталог, содержащий журналы для отдельных расширений.

  • Установка агента создает следующие переменные среды, заданные в /lib/systemd/system.conf.d/azcmagent.conf.

    Имя Значение по умолчанию Описание
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • После удаления агента остаются следующие артефакты.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Управление ресурсами агента

Агент Azure Connected Machine предназначен для управления потреблением агентов и системных ресурсов. Агент использует следующий подход к управлению ресурсами.

  • Агент гостевой конфигурации может использовать до 5 % ресурсов ЦП для оценки политик.

  • Агент службы расширений может использовать до 5 % ресурсов ЦП для установки, обновления, запуска и удаления расширений. Некоторые расширения могут применять более строгие ограничения ЦП после установки. Применяются следующие исключения:

    тип расширения; Операционная система Ограничение загрузки ЦП
    AzureMonitorLinuxAgent Linux 60 %
    AzureMonitorWindowsAgent Windows 100 %
    AzureSecurityLinuxAgent Linux 30 %
    LinuxOsUpdateExtension Linux 60 %
    MDE. Linux Linux 30 %
    MicrosoftDnsAgent Windows 100 %
    MicrosoftMonitoringAgent Windows 60 %
    OmsAgentForLinux Windows 60 %

Во время обычных операций, определенных как агент Подключенного компьютера Azure, подключенный к Azure и не изменяющий расширение или не оценивая политику, может ожидать, что агент будет потреблять следующие системные ресурсы:

Windows Linux
Использование ЦП (нормализовано до 1 ядра) 0,07 % 0,02 %
Использование памяти. 57 МБ 42 МБ

Приведенные выше данные о производительности были собраны в апреле 2023 г. на виртуальных машинах под управлением Windows Server 2022 и Ubuntu 20.04. Фактическая производительность агента и потребление ресурсов зависят от конфигурации оборудования и программного обеспечения серверов.

Метаданные экземпляра

Метаданные о подключенном компьютере собираются после того, как агент подключенного компьютера зарегистрируется на серверах с поддержкой Azure Arc. В частности:

  • имя, тип и версия операционной системы;
  • Имя компьютера
  • Производитель и модель компьютера
  • полное доменное имя (FQDN) компьютера;
  • Доменное имя (при присоединении к домену Active Directory)
  • Active Directory и полное доменное имя DNS (FQDN);
  • UUID (идентификатор BIOS);
  • пульс агента Connected Machine;
  • версия агента подключенного компьютера.
  • открытый ключ для управляемого удостоверения;
  • состояние и сведения о соответствии политике (при использовании политик гостевой конфигурации);
  • SQL Server установлен (логическое значение)
  • Идентификатор кластерного ресурса (для узлов Azure Stack HCI)
  • Производитель оборудования
  • Аппаратная модель
  • Семейство ЦП, число сокетов, физических и логических ядер
  • Общий объем физической памяти
  • Серийный номер
  • Тег ресурса SMBIOS
  • Поставщик облачных служб
  • Метаданные Amazon Web Services (AWS) при запуске в AWS:
    • Идентификатор учетной записи
    • Instance ID
    • Регион
  • Метаданные Google Cloud Platform (GCP) при выполнении в GCP:
    • Instance ID
    • Image
    • Тип компьютера
    • Идентификатор проекта
    • Номер проекта
    • учетные записи служб;
    • Зона

Агент запрашивает следующие сведения о метаданных из Azure:

  • расположение ресурса (область);
  • Virtual machine ID (Идентификатор виртуальной машины)
  • Теги
  • сертификат управляемого удостоверения Azure Active Directory;
  • назначения политики гостевой конфигурации;
  • запросы расширения — установка, обновление и удаление.

Примечание

Серверы с поддержкой Azure Arc не хранят и не обрабатывают данные клиентов за пределами региона, в который клиент развертывает экземпляр службы.

Параметры и требования к развертыванию

Для развертывания агента и подключения к компьютеру требуются определенные предварительные требования. Существуют также требования к сети , о которых следует помнить.

Мы предоставляем несколько вариантов развертывания агента. Дополнительные сведения см. в разделах Планирование развертывания и Параметры развертывания.

Дальнейшие действия