Agent Azure Arc

  • Článek

Když povolíte správu hosta na virtuálních počítačích VMware, na virtuálních počítačích se nainstaluje agent Azure Connected Machine Agent. Jedná se o stejné servery s podporou agenta Arc. Agent Azure Connected Machine Agent vám umožňuje spravovat počítače s Windows a Linuxem hostované mimo Azure v podnikové síti nebo u jiného poskytovatele cloudu. Tento článek obsahuje přehled architektury agenta Azure Connected Machine Agent.

Součásti agenta

Diagram architektury agenta Azure Connected Machine

Balíček agenta Azure Connected Machine obsahuje několik logických komponent spojených dohromady:

  • Služba metadat hybridní instance (HIMDS) spravuje připojení k Azure a identitu Azure připojeného počítače.

  • Agent konfigurace hosta poskytuje funkce, jako je vyhodnocení, jestli počítač splňuje požadované zásady a vynucuje dodržování předpisů.

    Všimněte si následujícího chování s konfigurací hosta služby Azure Policy pro odpojený počítač:

    • Přiřazení služby Azure Policy, které cílí na odpojené počítače, nemá vliv.
    • Přiřazení hostů se ukládá místně po dobu 14 dnů. Během 14denního období se přiřazení zásad znovu připojí ke službě, pokud se agent Connected Machine znovu připojí ke službě.
    • Přiřazení se odstraní po 14 dnech a po uplynutí 14denního období se počítač znovu nepřiřadí.

  • Agent rozšíření spravuje rozšíření virtuálních počítačů, včetně instalace, odinstalace a upgradu. Azure stáhne rozšíření a zkopíruje je do složky ve %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Windows a do /opt/GC_Ext/downloads Linuxu. Ve Windows se rozšíření nainstaluje do cesty %SystemDrive%\Packages\Plugins\<extension>a v Linuxu se rozšíření nainstaluje do /var/lib/waagent/<extension>.

Poznámka:

Agent Služby Azure Monitor (AMA) je samostatný agent, který shromažďuje data monitorování a nenahrazuje agenta Connected Machine. AMA nahrazuje pouze agenta Log Analytics, rozšíření diagnostiky a agenta Telegrafu pro počítače s Windows i Linuxem.

Prostředky agenta

Následující informace popisují adresáře a uživatelské účty používané agentem Azure Connected Machine.

Podrobnosti o instalaci agenta Windows

Agent systému Windows se distribuuje jako balíček Instalační služby systému Windows (MSI). Stáhněte agenta Windows z webu Microsoft Download Center. Instalace agenta Connected Machine for Window použije následující změny konfigurace pro celý systém:

  • Během instalace se vytvoří následující složky.

    Adresář Popis
    %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent a spustitelné soubory služby Instance Metadata Service.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Spustitelné soubory služby rozšíření.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Spustitelné soubory služby konfigurace hosta (zásady).
    %ProgramData%\AzureConnectedMachineAgent Soubory tokenů konfigurace, protokolu a identity pro azcmagent CLI a službu metadat instance
    %ProgramData%\GuestConfig Stažení balíčku rozšíření, stažení definice konfigurace hosta (zásady) a protokoly pro rozšíření a služby konfigurace hosta.
    %SYSTEMDRIVE%\packages Spustitelné soubory balíčku rozšíření

  • Instalace agenta vytvoří na cílovém počítači následující služby systému Windows.

    Service name Zobrazované jméno Název procesu Popis
    himds Služba Azure Hybrid Instance Metadata Service himds Synchronizuje metadata s Azure a hostuje místní rozhraní REST API pro rozšíření a aplikace pro přístup k metadatům a vyžádání tokenů spravované identity Microsoft Entra
    GCArcService Služba Arc pro konfiguraci hosta gc_service Audituje a vynucuje zásady konfigurace hosta Azure na počítači.
    ExtensionService Služba rozšíření pro konfiguraci hosta gc_service Instaluje, aktualizuje a spravuje rozšíření na počítači.

  • Instalace agenta vytvoří následující virtuální účet služby.

    Virtuální účet Popis
    NT SERVICE\himds Neprivilegovaný účet používaný ke spuštění služby Hybrid Instance Metadata Service.

    Tip

    Tento účet vyžaduje právo přihlásit se jako služba . Toto právo se automaticky uděluje během instalace agenta, ale pokud vaše organizace konfiguruje přiřazení uživatelských práv pomocí zásad skupiny, možná budete muset upravit objekt zásad skupiny tak, aby udělil právo na NT SERVICE\himds nebo NT SERVICE\ALL SERVICES , aby agent mohl fungovat.

  • Instalace agenta vytvoří následující místní skupinu zabezpečení.

    Název skupiny zabezpečení Popis
    Aplikace rozšíření hybridního agenta Členové této skupiny zabezpečení mohou požádat o tokeny Microsoft Entra pro spravovanou identitu přiřazenou systémem

  • Instalace agenta vytvoří následující proměnné prostředí.

    Název Výchozí hodnota Popis
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Pro řešení potíží je k dispozici několik souborů protokolu, které jsou popsané v následující tabulce.

    Protokol Popis
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Zaznamenává údaje o komponentě prezenčních signálů a agenta identity.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Obsahuje výstup příkazů nástroje azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Zaznamenává údaje o komponentě agenta konfigurace hosta (zásady).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Zaznamenává údaje o aktivitě správce rozšíření (události instalace, odinstalace a upgradu rozšíření).
    %ProgramData%\GuestConfig\extension_logs Adresář obsahující protokoly pro jednotlivá rozšíření.

  • Proces vytvoří místní aplikace rozšíření agenta hybrid agenta skupiny zabezpečení.

  • Po odinstalaci agenta zůstanou následující artefakty:

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Podrobnosti o instalaci agenta pro Linux

Upřednostňovaný formát balíčku pro distribuci (.rpmnebo.deb) hostovaný v úložišti balíčků Microsoftu poskytuje agenta Connected Machine pro Linux. Sada skriptů prostředí Install_linux_azcmagent.sh nainstaluje a nakonfiguruje agenta.

Instalace, upgrade a odebrání agenta Connected Machine se po restartování serveru nevyžaduje.

Instalace agenta Connected Machine pro Linux použije následující změny konfigurace pro celý systém.

  • Instalační program vytvoří následující instalační složky.

    Adresář Popis
    /opt/azcmagent/ CLI azcmagent a spustitelné soubory služby Instance Metadata Service.
    /opt/GC_Ext/ Spustitelné soubory služby rozšíření.
    /opt/GC_Service/ Spustitelné soubory služby konfigurace hosta (zásady).
    /var/opt/azcmagent/ Konfigurace, soubory tokenů protokolů a identit pro azcmagent CLI a službu Instance Metadata Service.
    /var/lib/GuestConfig/ Stažení balíčku rozšíření, stažení definice konfigurace hosta (zásady) a protokoly pro rozšíření a služby konfigurace hosta.

  • Instalace agenta vytvoří následující démony.

    Service name Zobrazované jméno Název procesu Popis
    himdsd.service Služba agenta připojeného počítače Azure himds Tato služba implementuje službu IMDS (Hybrid Instance Metadata Service) ke správě připojení k Azure a identitě Azure připojeného počítače.
    gcad.service Služba GC Arc gc_linux_service Audituje a vynucuje zásady konfigurace hosta Azure na počítači.
    extd.service Služba rozšíření gc_linux_service Instaluje, aktualizuje a spravuje rozšíření na počítači.

  • Pro řešení potíží je k dispozici několik souborů protokolu, které jsou popsané v následující tabulce.

    Protokol Popis
    /var/opt/azcmagent/log/himds.log Zaznamenává údaje o komponentě prezenčních signálů a agenta identity.
    /var/opt/azcmagent/log/azcmagent.log Obsahuje výstup příkazů nástroje azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Zaznamenává údaje o komponentě agenta konfigurace hosta (zásady).
    /var/lib/GuestConfig/ext_mgr_logs Zaznamenává údaje o aktivitě správce rozšíření (události instalace, odinstalace a upgradu rozšíření).
    /var/lib/GuestConfig/extension_logs Adresář obsahující protokoly pro jednotlivá rozšíření.

  • Instalace agenta vytvoří následující proměnné prostředí nastavené v /lib/systemd/system.conf.d/azcmagent.conf.

    Název Výchozí hodnota Popis
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Po odinstalaci agenta zůstanou následující artefakty:

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Zásady správného řízení prostředků agenta

Agent Azure Connected Machine je navržený ke správě využití agentů a systémových prostředků. Agent přistupuje k zásadám správného řízení prostředků za následujících podmínek:

  • Agent konfigurace hosta může k vyhodnocení zásad použít až 5 % procesoru.

  • Agent Extension Service může k instalaci, upgradu, spuštění a odstranění rozšíření použít až 5 % procesoru. Některá rozšíření můžou po instalaci použít přísnější limity procesoru. Platí následující výjimky:

    Typ rozšíření Operační systém Limit procesoru
    AzureMonitorLinuxAgent Linux 60 %
    AzureMonitorWindowsAgent Windows 100 %
    AzureSecurityLinuxAgent Linux 30 %
    LinuxOsUpdateExtension Linux 60 %
    MDE.Linux Linux 60 %
    MicrosoftDnsAgent Windows 100 %
    MicrosoftMonitoringAgent Windows 60 %
    OmsAgentForLinux Windows 60 %

Během normálních operací definovaných jako agent Azure Connected Machine, který je připojený k Azure, a ne aktivní úpravou rozšíření nebo vyhodnocením zásad, můžete očekávat, že agent bude využívat následující systémové prostředky:

Windows Linux
Využití procesoru (normalizované na 1 jádro) 0.07% 0,02 %
Využití paměti 57 MB 42 MB

Výše uvedená data o výkonu se shromáždila v dubnu 2023 na virtuálních počítačích s Windows Serverem 2022 a Ubuntu 20.04. Skutečný výkon agenta a spotřeba prostředků se liší v závislosti na konfiguraci hardwaru a softwaru vašich serverů.

Metadata instance

Informace o metadatech o připojeném počítači se shromažďují po registraci agenta Connected Machine na serverech s podporou Azure Arc, konkrétně:

  • Název, typ a verze operačního systému
  • Název počítače
  • Výrobce počítače a model
  • Plně kvalifikovaný název domény počítače (FQDN)
  • Název domény (pokud je připojený k doméně služby Active Directory)
  • Plně kvalifikovaný název domény služby Active Directory a DNS
  • UUID (BIOS ID)
  • Prezenčních signálů připojeného agenta počítače
  • Verze agenta connected machine
  • Veřejný klíč pro spravovanou identitu
  • Stav a podrobnosti o dodržování zásad (pokud používáte zásady konfigurace hosta)
  • Nainstalovaný SQL Server (logická hodnota)
  • ID prostředku clusteru (pro uzly Azure Stack HCI)
  • Výrobce hardwaru
  • Hardwarový model
  • Počet procesorů, soketů, fyzických jader a logických jader
  • Celková fyzická paměť
  • Sériové číslo
  • Značka assetu SMBIOS
  • Poskytovatel cloudu
  • Metadata Amazon Web Services (AWS) při spuštění v AWS:
    • ID účtu
    • ID instance
    • Oblast
  • Metadata Google Cloud Platform (GCP) při spuštění v GCP:
    • ID instance
    • Image
    • Typ počítače
    • ID projektu
    • Číslo projektu
    • Service Accounts
    • Zóna

Agent požaduje z Azure následující informace o metadatech:

  • Umístění prostředku (oblast)
  • ID virtuálního počítače
  • Značky
  • Certifikát spravované identity Microsoft Entra
  • Přiřazení zásad konfigurace hosta
  • Žádosti o rozšíření – instalace, aktualizace a odstranění

Poznámka:

Servery s podporou Azure Arc neukládají nebo nezpracují zákaznická data mimo oblast, do které zákazník nasadí instanci služby.

Další kroky