Share via

Översikt över Azure Connected Machine-agenten

  • Artikel

Hantera dina Windows- och Linux-datorer utanför Azure i ditt företagsnätverk eller hos en annan molnleverantör på ungefär samma sätt som du hanterar interna virtuella Azure-datorer.

Agentkomponenter

Arkitekturöversikt över Azure Anslut ed Machine Agent.

Azure Anslut ed Machine-agentpaketet innehåller flera logiska komponenter som paketerats tillsammans:

  • Hybrid Instance Metadata Service (HIMDS) hanterar anslutningen till Azure och den anslutna datorns Azure-identitet.

  • Gästkonfigurationsagenten tillhandahåller funktioner som att bedöma om datorn uppfyller de principer som krävs och framtvinga efterlevnad.

    Observera följande beteende med Azure Policy-gästkonfiguration för en frånkopplad dator:

    • En Azure Policy-tilldelning som riktar sig till frånkopplade datorer påverkas inte.
    • Gästtilldelning lagras lokalt i 14 dagar. Om den Anslut datoragenten återansluter till tjänsten inom 14 dagar tillämpas principtilldelningar igen.
    • Tilldelningar tas bort efter 14 dagar och tilldelas inte om till datorn efter 14-dagarsperioden.

  • Tilläggsagenten hanterar VM-tillägg, inklusive installation, avinstallation och uppgradering. Azure laddar ned tillägg och kopierar dem till %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads mappen i Windows och till /opt/GC_Ext/downloads i Linux. I Windows installeras tillägget på följande sökväg %SystemDrive%\Packages\Plugins\<extension>och i Linux installeras tillägget på /var/lib/waagent/<extension>.

Kommentar

Azure Monitor-agenten (AMA) är en separat agent som samlar in övervakningsdata och den ersätter inte den Anslut ed Machine-agenten. AMA ersätter endast Log Analytics-agenten, diagnostiktillägget och Telegraf-agenten för både Windows- och Linux-datorer.

Agentresurser

Följande information beskriver de kataloger och användarkonton som används av Azure Anslut d Machine-agenten.

Installationsinformation för Windows-agent

Windows-agenten distribueras som ett Windows Installer-paket (MSI). Ladda ned Windows-agenten från Microsoft Download Center. När du installerar den Anslut ed Machine Agent for Window tillämpas följande systemomfattande konfigurationsändringar:

  • Installationsprocessen skapar följande mappar under installationen.

    Katalog beskrivning
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI och körbara filer för instansmetadatatjänster.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Körbara filer för tilläggstjänster.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Körbara filer för gästkonfiguration (policy).
    %ProgramData%\AzureConnectedMachineAgent Konfigurations-, logg- och identitetstokenfiler för azcmagent CLI och instansmetadatatjänsten.
    %ProgramData%\GuestConfig Nedladdningar av tilläggspaket, nedladdningar av definitioner för gästkonfiguration (policy) och loggar för tilläggs- och gästkonfigurationstjänsterna.
    %SYSTEMDRIVE%\packages Körbara filer för tilläggspaket

  • När du installerar agenten skapas följande Windows-tjänster på måldatorn.

    Servicenamn Visningsnamn Processnamn beskrivning
    himds Azure Hybrid Instance Metadata Service himds.exe Synkroniserar metadata med Azure och är värd för ett lokalt REST API för tillägg och applikationer för att komma åt metadata och begära Microsoft Entra-hanterade identitetstoken
    GCArcService Arc-tjänsten för gästkonfiguration gc_arc_service.exe (gc_service.exe före version 1.36) Granskar och upprätthåller Azure-gästkonfigurationspolicyer på datorn.
    ExtensionService Tilläggstjänst för gästkonfiguration gc_extension_service.exe (gc_service.exe före version 1.36) Installerar, uppdaterar och hanterar tillägg på datorn.

  • Agentinstallation skapar följande virtuella tjänstkonto.

    Virtuellt konto beskrivning
    NT SERVICE\himds Konto utan privilegier som används för att köra hybridinstansmetadatatjänsten.

    Dricks

    Det här kontot kräver rättigheten "Logga in som en tjänst". Den här rättigheten beviljas automatiskt under installationen av agenten, men om din organisation konfigurerar användarrättighetstilldelningar med grupprinciper kan du behöva justera ditt grupprincipobjekt för att bevilja rättigheten till "NT SERVICE\himds" eller "NT SERVICE\ALL SERVICES" så att agenten kan fungera.

  • Agentinstallationen skapar följande lokala säkerhetsgrupp.

    Namn på säkerhetsgrupp beskrivning
    Tilläggsprogram för hybridagenter Medlemmar i den här säkerhetsgruppen kan begära Microsoft Entra-tokens för den systemtilldelade hanterade identiteten

  • Agentinstallation skapar följande miljövariabler

    Name Standardvärde beskrivning
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Det finns flera tillgängliga loggfiler för felsökning, som beskrivs i följande tabell.

    Loggas beskrivning
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Registrerar information om komponenten för pulsslag och identitetsagent.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Innehåller utdata från azcmagent-verktygskommandona.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Registrerar information om agentkomponenten för gästkonfiguration (policy).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Registrerar information om aktivitet i tilläggshanteraren (händelser för installation, avinstallation och uppgradering av tillägg).
    %ProgramData%\GuestConfig\extension_logs Katalog med loggar för enskilda tillägg.

  • Processen skapar den lokala säkerhetsgruppen hybridagenttilläggsprogram.

  • När agenten har avinstallerats finns följande artefakter kvar.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Installationsinformation för Linux-agent

Det föredragna paketformatet för distributionen (.rpm eller .deb) som finns på Microsoft-paketlagringsplatsen tillhandahåller Anslut d machine agent för Linux. Shell-skriptpaketet Install_linux_azcmagent.sh installerar och konfigurerar agenten.

Installation, uppgradering och borttagning av Anslut d Machine-agent krävs inte efter omstart av servern.

När du installerar den Anslut datoragenten för Linux tillämpas följande systemomfattande konfigurationsändringar.

  • Installationsprogrammet skapar följande installationsmappar.

    Katalog beskrivning
    /opt/azcmagent/ azcmagent CLI och körbara filer för instansmetadatatjänster.
    /opt/GC_Ext/ Körbara filer för tilläggstjänster.
    /opt/GC_Service/ Körbara filer för gästkonfiguration (policy).
    /var/opt/azcmagent/ Konfigurations-, logg- och identitetstokenfiler för azcmagent CLI och instansmetadatatjänsten.
    /var/lib/GuestConfig/ Nedladdningar av tilläggspaket, nedladdningar av definitioner för gästkonfiguration (policy) och loggar för tilläggs- och gästkonfigurationstjänsterna.

  • När du installerar agenten skapas följande daemoner.

    Servicenamn Visningsnamn Processnamn beskrivning
    himdsd.service Azure Anslut ed Machine Agent Service himds Den här tjänsten implementerar tjänsten Hybrid Instance Metadata (IMDS) för att hantera anslutningen till Azure och den anslutna datorns Azure-identitet.
    gcad.service GC Arc-tjänst gc_linux_service Granskar och upprätthåller Azure-gästkonfigurationspolicyer på datorn.
    extd.service Tilläggstjänst gc_linux_service Installerar, uppdaterar och hanterar tillägg på datorn.

  • Det finns flera tillgängliga loggfiler för felsökning, som beskrivs i följande tabell.

    Loggas beskrivning
    /var/opt/azcmagent/log/himds.log Registrerar information om komponenten för pulsslag och identitetsagent.
    /var/opt/azcmagent/log/azcmagent.log Innehåller utdata från azcmagent-verktygskommandona.
    /var/lib/GuestConfig/arc_policy_logs Registrerar information om agentkomponenten för gästkonfiguration (policy).
    /var/lib/GuestConfig/ext_mgr_logs Registrerar information om aktivitet i tilläggshanteraren (händelser för installation, avinstallation och uppgradering av tillägg).
    /var/lib/GuestConfig/extension_logs Katalog med loggar för enskilda tillägg.

  • Agentinstallation skapar följande miljövariabler som anges i /lib/systemd/system.conf.d/azcmagent.conf.

    Name Standardvärde beskrivning
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • När agenten har avinstallerats finns följande artefakter kvar.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Agentresursstyrning

Azure Anslut ed Machine-agenten är utformad för att hantera agent- och systemresursförbrukning. Agenten närmar sig resursstyrning under följande villkor:

  • Tjänsten Datorkonfiguration (tidigare gästkonfiguration) kan använda upp till 5 % av processorn för att utvärdera principer.

  • Tilläggstjänsten kan använda upp till 5 % av processorn på Windows-datorer och 30 % av processorn på Linux-datorer för att installera, uppgradera, köra och ta bort tillägg. Vissa tillägg kan tillämpa mer restriktiva CPU-gränser när de har installerats. Följande undantag gäller:

    Tilläggstyp Operativsystem CPU-gräns
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100 %
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100 %
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Under normala åtgärder, som definieras som den Azure Anslut ed Machine-agent som är ansluten till Azure och inte aktivt ändrar ett tillägg eller utvärderar en princip, kan du förvänta dig att agenten använder följande systemresurser:

Windows Linux
CPU-användning (normaliserad till 1 kärna) 0.07% 0,02 %
Minnesanvändning 57 MB 42 MB

Prestandadata ovan samlades in i april 2023 på virtuella datorer som kör Windows Server 2022 och Ubuntu 20.04. Den faktiska agentprestandan och resursförbrukningen varierar beroende på servrarnas maskinvaru- och programvarukonfiguration.

Anpassade resursgränser

Standardgränserna för resursstyrning är det bästa valet för de flesta servrar. Små virtuella datorer och servrar med begränsade CPU-resurser kan dock stöta på timeouter vid hantering av tillägg eller utvärderingsprinciper eftersom det inte finns tillräckligt med CPU-resurser för att slutföra uppgifterna. Från och med agentversion 1.39 kan du anpassa de CPU-gränser som tillämpas på tilläggshanteraren och Machine Configuration-tjänsterna för att hjälpa agenten att utföra dessa uppgifter snabbare.

Kör följande kommando för att se de aktuella resursgränserna för tilläggshanteraren och Machine Configuration-tjänsterna.

azcmagent config list

I utdata visas två fält guestconfiguration.agent.cpulimit och extensions.agent.cpulimit med den aktuella resursgränsen angiven som en procentandel. Vid en ny installation av agenten visas 5 båda eftersom standardgränsen är 5 % av processorn.

Om du vill ändra resursgränsen för tilläggshanteraren till 80 % kör du följande kommando:

azcmagent config set extensions.agent.cpulimit 80

Instansmetadata

Metadatainformation om en ansluten dator samlas in efter att den Anslut ed Machine-agenten har registrerats med Azure Arc-aktiverade servrar. Specifikt:

  • Operativsystemnamn, version, typ och version
  • Datornamn
  • Datortillverkare och modell
  • Fullständigt domännamn för datorer (FQDN)
  • Domännamn (om det är anslutet till en Active Directory-domän)
  • Fullständigt domännamn för Active Directory och DNS (FQDN)
  • UUID (BIOS-ID)
  • Anslut d maskinagentens pulsslag
  • Anslut version av datoragent
  • Offentlig nyckel för hanterad identitet
  • Status och information om principefterlevnad (om du använder gästkonfigurationsprinciper)
  • SQL Server installerat (booleskt värde)
  • Klusterresurs-ID (för Azure Stack HCI-noder)
  • Maskinvarutillverkare
  • Maskinvarumodell
  • Antal processorer, socketar, fysiska kärnor och logiska kärnor
  • Totalt fysiskt minne
  • Serienummer
  • SMBIOS-tillgångstagg
  • Information om nätverksgränssnitt
    • IP-adress
    • Undernät
  • Licensieringsinformation för Windows
    • Status för OS-licens
    • OS-licenskanal
    • Utökad behörighet för säkerhet Uppdateringar
    • Utökad licensstatus för säkerhets- Uppdateringar
    • Utökad licenskanal för säkerhet Uppdateringar
  • Molnleverantör
  • Amazon Web Services-metadata (AWS) när de körs i AWS:
    • Konto-ID
    • Instance ID
    • Region
  • Google Cloud Platform-metadata (GCP) när de körs i GCP:
    • Instance ID
    • Bild
    • Datortyp
    • Projekt-ID
    • Projektnummer
    • Tjänstkonton
    • Zon
  • Oracle Cloud Infrastructure-metadata när de körs i OCI:
    • Visningsnamn

Agenten begär följande metadatainformation från Azure:

  • Resursplats (region)
  • ID för virtuell dator
  • Taggar
  • Microsoft Entra-hanterat identitetscertifikat
  • Tilldelningar av gästkonfigurationsprinciper
  • Tilläggsbegäranden – installera, uppdatera och ta bort.

Kommentar

Azure Arc-aktiverade servrar lagrar/bearbetar inte kunddata utanför den region som kunden distribuerar tjänstinstansen i.

Distributionsalternativ och krav

Agentdistribution och datoranslutning kräver vissa krav. Det finns också nätverkskrav att känna till.

Vi tillhandahåller flera alternativ för att distribuera agenten. Mer information finns i Planera för distribution och distributionsalternativ.

Nästa steg