Přehled agenta Azure Connected Machine
Agent Azure Connected Machine Agent vám umožňuje spravovat počítače s Windows a Linuxem hostované mimo Azure v podnikové síti nebo u jiného poskytovatele cloudu.
Upozorňující
Produktová skupina oficiálně podporuje jenom verze agenta Connected Machine za posledních 1 rok. Zákazníci by v tomto okně měli aktualizovat verzi agenta.
Součásti agenta
Balíček agenta Azure Connected Machine obsahuje několik logických komponent spojených dohromady:
Služba metadat hybridní instance (HIMDS) spravuje připojení k Azure a identitu Azure připojeného počítače.
Agent konfigurace hosta poskytuje funkce, jako je vyhodnocení, jestli počítač splňuje požadované zásady a vynucuje dodržování předpisů.
Všimněte si následujícího chování s konfigurací hosta služby Azure Policy pro odpojený počítač:
- Přiřazení služby Azure Policy, které cílí na odpojené počítače, nemá vliv.
- Přiřazení hostů se ukládá místně po dobu 14 dnů. Během 14denního období se přiřazení zásad znovu připojí ke službě, pokud se agent Connected Machine znovu připojí ke službě.
- Přiřazení se odstraní po 14 dnech a po uplynutí 14denního období se počítač znovu nepřiřazuje.
Agent rozšíření spravuje rozšíření virtuálních počítačů, včetně instalace, odinstalace a upgradu. Azure stáhne rozšíření a zkopíruje je do složky ve
%SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads
Windows a do/opt/GC_Ext/downloads
Linuxu. Ve Windows se rozšíření nainstaluje na následující cestu%SystemDrive%\Packages\Plugins\<extension>
a v Linuxu se rozšíření nainstaluje do/var/lib/waagent/<extension>
.
Poznámka:
Agent Služby Azure Monitor (AMA) je samostatný agent, který shromažďuje data monitorování a nenahrazuje agenta Connected Machine. AMA nahrazuje pouze agenta Log Analytics, rozšíření diagnostiky a agenta Telegrafu pro počítače s Windows i Linuxem.
Azure Arc Proxy
Služba Proxy služby Azure Arc zodpovídá za agregaci síťového provozu ze služeb agenta Azure Connected Machine a všech rozšíření, která jste nainstalovali a rozhodli se, kam se mají tato data směrovat. Pokud ke zjednodušení koncových bodů sítě používáte bránu Azure Arc (Omezená verze Preview ), je místní komponenta proxy služby Azure Arc, která místo výchozí trasy předává síťové požadavky přes bránu Azure Arc. Proxy služby Azure Arc běží ve Windows jako síťová služba a standardní uživatelský účet (arcproxy) v Linuxu. Ve výchozím nastavení je zakázaný, dokud nenakonfigurujete agenta tak, aby používal bránu Azure Arc (Limited Preview).
Prostředky agenta
Následující informace popisují adresáře a uživatelské účty používané agentem Azure Connected Machine.
Podrobnosti o instalaci agenta Windows
Agent systému Windows se distribuuje jako balíček Instalační služby systému Windows (MSI). Stáhněte agenta Windows z webu Microsoft Download Center. Instalace agenta Connected Machine for Window použije následující změny konfigurace pro celý systém:
Během instalace se vytvoří následující složky.
Adresář Popis %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent a spustitelné soubory služby Instance Metadata Service. %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC Spustitelné soubory služby rozšíření. %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC Spustitelné soubory služby konfigurace hosta (zásady). %ProgramData%\AzureConnectedMachineAgent Konfigurace, soubory tokenů protokolů a identit pro azcmagent CLI a službu Instance Metadata Service. %ProgramData%\GuestConfig Stažení balíčku rozšíření, stažení definice konfigurace hosta (zásady) a protokoly pro rozšíření a služby konfigurace hosta. %SYSTEMDRIVE%\packages Spustitelné soubory balíčku rozšíření Instalace agenta vytvoří na cílovém počítači následující služby systému Windows.
Service name Zobrazované jméno Název procesu Popis himds Služba Azure Hybrid Instance Metadata Service himds.exe
Synchronizuje metadata s Azure a hostuje místní rozhraní REST API pro rozšíření a aplikace pro přístup k metadatům a vyžádání tokenů spravované identity Microsoft Entra GCArcService Služba Arc pro konfiguraci hosta gc_arc_service.exe
(gc_service.exe před verzí 1.36)Audituje a vynucuje zásady konfigurace hosta Azure na počítači. ExtensionService Služba rozšíření pro konfiguraci hosta gc_extension_service.exe
(gc_service.exe před verzí 1.36)Instaluje, aktualizuje a spravuje rozšíření na počítači. Instalace agenta vytvoří následující virtuální účet služby.
Virtuální účet Popis NT SERVICE\himds Neprivilegovaný účet používaný ke spuštění služby Hybrid Instance Metadata Service. Tip
Tento účet vyžaduje oprávnění „Přihlásit se jako služba". Toto oprávnění se automaticky uděluje během instalace agenta, ale pokud vaše organizace konfiguruje přiřazení uživatelských práv pomocí zásad skupiny, možná budete muset upravit objekt zásad skupiny tak, aby udělil oprávnění na NT SERVICE\himds nebo NT SERVICE\ALL SERVICES, aby agent mohl fungovat.
Instalace agenta vytvoří následující místní skupinu zabezpečení.
Název skupiny zabezpečení Popis Aplikace rozšíření hybridního agenta Členové této skupiny zabezpečení mohou požádat o tokeny Microsoft Entra pro spravovanou identitu přiřazenou systémem Instalace agenta vytvoří následující proměnné prostředí.
Název Výchozí hodnota Popis IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
IMDS_ENDPOINT http://localhost:40342
Pro řešení potíží je k dispozici několik souborů protokolu, které jsou popsané v následující tabulce.
Protokol Popis %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Zaznamenává údaje o komponentě prezenčních signálů a agenta identity. %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Obsahuje výstup příkazů nástroje azcmagent. %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Zaznamenává údaje o komponentě agenta konfigurace hosta (zásady). %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Zaznamenává údaje o aktivitě správce rozšíření (události instalace, odinstalace a upgradu rozšíření). %ProgramData%\GuestConfig\extension_logs Adresář obsahující protokoly pro jednotlivá rozšíření. Proces vytvoří místní aplikace rozšíření agenta hybrid agenta skupiny zabezpečení.
Po odinstalaci agenta zůstanou následující artefakty.
- %ProgramData%\AzureConnectedMachineAgent\Log
- %ProgramData%\AzureConnectedMachineAgent
- %ProgramData%\GuestConfig
- %SystemDrive%\packages
Podrobnosti o instalaci agenta pro Linux
Upřednostňovaný formát balíčku pro distribuci (.rpm
nebo.deb
) hostovaný v úložišti balíčků Microsoftu poskytuje agenta Connected Machine pro Linux. Sada skriptů prostředí Install_linux_azcmagent.sh nainstaluje a nakonfiguruje agenta.
Instalace, upgrade a odebrání agenta Connected Machine se po restartování serveru nevyžaduje.
Instalace agenta Connected Machine pro Linux použije následující změny konfigurace pro celý systém.
Instalační program vytvoří následující instalační složky.
Adresář Popis /opt/azcmagent/ CLI azcmagent a spustitelné soubory služby Instance Metadata Service. /opt/GC_Ext/ Spustitelné soubory služby rozšíření. /opt/GC_Service/ Spustitelné soubory služby konfigurace hosta (zásady). /var/opt/azcmagent/ Konfigurace, soubory tokenů protokolů a identit pro azcmagent CLI a službu Instance Metadata Service. /var/lib/GuestConfig/ Stažení balíčku rozšíření, stažení definice konfigurace hosta (zásady) a protokoly pro rozšíření a služby konfigurace hosta. Instalace agenta vytvoří následující démony.
Service name Zobrazované jméno Název procesu Popis himdsd.service Služba agenta připojeného počítače Azure himds Tato služba implementuje službu IMDS (Hybrid Instance Metadata Service) ke správě připojení k Azure a identitě Azure připojeného počítače. gcad.service Služba GC Arc gc_linux_service Audituje a vynucuje zásady konfigurace hosta Azure na počítači. extd.service Služba rozšíření gc_linux_service Instaluje, aktualizuje a spravuje rozšíření na počítači. Pro řešení potíží je k dispozici několik souborů protokolu, které jsou popsané v následující tabulce.
Protokol Popis /var/opt/azcmagent/log/himds.log Zaznamenává údaje o komponentě prezenčních signálů a agenta identity. /var/opt/azcmagent/log/azcmagent.log Obsahuje výstup příkazů nástroje azcmagent. /var/lib/GuestConfig/arc_policy_logs Zaznamenává údaje o komponentě agenta konfigurace hosta (zásady). /var/lib/GuestConfig/ext_mgr_logs Zaznamenává údaje o aktivitě správce rozšíření (události instalace, odinstalace a upgradu rozšíření). /var/lib/GuestConfig/extension_logs Adresář obsahující protokoly pro jednotlivá rozšíření. Instalace agenta vytvoří následující proměnné prostředí nastavené v
/lib/systemd/system.conf.d/azcmagent.conf
.Název Výchozí hodnota Popis IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
IMDS_ENDPOINT http://localhost:40342
Po odinstalaci agenta zůstanou následující artefakty.
- /var/opt/azcmagent
- /var/lib/GuestConfig
Zásady správného řízení prostředků agenta
Agent Azure Connected Machine je navržený ke správě využití agentů a systémových prostředků. Agent přistupuje k zásadám správného řízení prostředků za následujících podmínek:
Služba Konfigurace počítače (dříve Konfigurace hosta) může k vyhodnocení zásad použít až 5 % procesoru.
Služba rozšíření může používat až 5 % procesoru na počítačích s Windows a 30 % procesoru na počítačích s Linuxem k instalaci, upgradu, spuštění a odstranění rozšíření. Některá rozšíření můžou po instalaci použít přísnější limity procesoru. Platí následující výjimky:
Typ rozšíření Operační systém Limit procesoru AzureMonitorLinuxAgent Linux 60 % AzureMonitorWindowsAgent Windows 100 % LinuxOsUpdateExtension Linux 60 % MDE.Linux Linux 60 % MicrosoftDnsAgent Windows 100 % MicrosoftMonitoringAgent Windows 60 % OmsAgentForLinux Linux 60 %
Během normálních operací definovaných jako agent Azure Connected Machine, který je připojený k Azure, a ne aktivní úpravou rozšíření nebo vyhodnocením zásad, můžete očekávat, že agent bude využívat následující systémové prostředky:
Windows | Linux | |
---|---|---|
Využití procesoru (normalizované na 1 jádro) | 0.07% | 0,02 % |
Využití paměti | 57 MB | 42 MB |
Výše uvedená data o výkonu se shromáždila v dubnu 2023 na virtuálních počítačích s Windows Serverem 2022 a Ubuntu 20.04. Skutečný výkon agenta a spotřeba prostředků se budou lišit v závislosti na konfiguraci hardwaru a softwaru vašich serverů.
Vlastní limity prostředků
Výchozí limity zásad správného řízení prostředků jsou nejlepší volbou pro většinu serverů. Malé virtuální počítače a servery s omezenými prostředky procesoru ale můžou při správě rozšíření nebo vyhodnocování zásad narazit na časové limity, protože k dokončení úloh není dostatek prostředků procesoru. Počínaje verzí agenta 1.39 můžete přizpůsobit omezení procesoru použitá pro správce rozšíření a služby Konfigurace počítače, aby agent mohl tyto úlohy dokončit rychleji.
Pokud chcete zobrazit aktuální limity prostředků pro správce rozšíření a služby Konfigurace počítače, spusťte následující příkaz.
azcmagent config list
Ve výstupu uvidíte dvě pole guestconfiguration.agent.cpulimit
a extensions.agent.cpulimit
aktuální limit prostředků zadaný jako procento. Při nové instalaci agenta se oba zobrazí 5
, protože výchozí limit je 5 % procesoru.
Pokud chcete změnit limit prostředků pro správce rozšíření na 80 %, spusťte následující příkaz:
azcmagent config set extensions.agent.cpulimit 80
Metadata instance
Informace o metadatech o připojeném počítači se shromažďují po registraci agenta Connected Machine na serverech s podporou Azure Arc. Konkrétně:
- Název operačního systému, edice, typ a verze
- Název počítače
- Výrobce počítače a model
- Plně kvalifikovaný název domény počítače (FQDN)
- Název domény (pokud je připojený k doméně služby Active Directory)
- Plně kvalifikovaný název domény služby Active Directory a DNS
- UUID (BIOS ID)
- Prezenčních signálů připojeného agenta počítače
- Verze agenta connected machine
- Veřejný klíč pro spravovanou identitu
- Stav a podrobnosti o dodržování zásad (pokud používáte zásady konfigurace hosta)
- Nainstalovaný SQL Server (logická hodnota)
- ID prostředku clusteru (pro místní počítače Azure)
- Výrobce hardwaru
- Hardwarový model
- Počet procesorů, soketů, fyzických jader a logických jader
- Celková fyzická paměť
- Sériové číslo
- Značka assetu SMBIOS
- Informace o síťovém rozhraní
- IP adresa
- Podsíť
- Informace o licencování Windows
- Stav licence operačního systému
- Licenční kanál operačního systému
- Nárok na rozšířené aktualizace zabezpečení
- Stav licence Extended Security Updates
- Licenční kanál rozšířených aktualizací zabezpečení
- Poskytovatel cloudu
- Metadata Amazon Web Services (AWS) při spuštění v AWS:
- ID účtu
- ID instance
- Oblast
- Metadata Google Cloud Platform (GCP) při spuštění v GCP:
- ID instance
- Image
- Typ počítače
- ID projektu
- Číslo projektu
- Service Accounts
- Zóna
- Metadata infrastruktury Oracle Cloud Infrastructure při spuštění v OCI:
- Zobrazované jméno
Agent požaduje z Azure následující informace o metadatech:
- Umístění prostředku (oblast)
- ID virtuálního počítače
- Značky
- Certifikát spravované identity Microsoft Entra
- Přiřazení zásad konfigurace hosta
- Žádosti o rozšíření – instalace, aktualizace a odstranění
Poznámka:
Servery s podporou Azure Arc neukládají nebo zpracovávají zákaznická data mimo oblast, do které zákazník nasadí instanci služby.
Možnosti nasazení a požadavky
Nasazení agenta a připojení počítače vyžadují určité požadavky. Existují také požadavky na síť, o které je potřeba vědět.
Nabízíme několik možností nasazení agenta. Další informace najdete v tématu Plánování nasazení a možností nasazení.
Pokyny pro klonování
Balíček azcmagent můžete bezpečně nainstalovat do zlaté image, ale jakmile připojíte počítač pomocí azcmagent connect
příkazu, tento počítač obdrží konkrétní informace o prostředku. Pokud vytváříte počítače tak, že je naklonujete ze zlaté image, musíte se před připojením k Azure azcmagent connect
pomocí příkazu nejprve specializovat na každý počítač. Nepřipojujte původní zlatý počítač image k Azure, dokud nevytvořili a nespecializovali jednotlivé počítače.
Pokud se na připojeném serveru zobrazuje 429 chybových zpráv, je pravděpodobné, že jste server připojili k Azure a pak tento server použili jako zlatý obrázek pro klonování. Vzhledem k tomu, že informace o prostředku byly zaznamenány do image, klonované počítače vytvořené z této image se pokusí odesílat zprávy prezenčních signálů do stejného prostředku.
Pokud chcete vyřešit chyby 429 pro existující počítače, spusťte azcmagent disconnect --force-local-only
na každém klonovaném počítači znovu azcmagent connect
přihlašovací údaje a připojte počítače ke cloudu pomocí jedinečného názvu prostředku.
Zotavení po havárii
Pro servery s podporou Arc nejsou k dispozici žádné možnosti zotavení po havárii s podporou zákazníka. V případě výpadku v oblasti Azure systém provede převzetí služeb při selhání do jiné oblasti ve stejné zeměpisné oblasti Azure (pokud existuje). I když je tento postup převzetí služeb při selhání automatický, nějakou dobu trvá. Agent Connected Machine se během tohoto období odpojí a zobrazí stav Odpojeno , dokud se převzetí služeb při selhání dokončí. Jakmile dojde k obnovení výpadku, systém obnoví služby po obnovení do původní oblasti.
Výpadek služby Azure Arc nebude mít vliv na samotnou úlohu zákazníka; bude narušena pouze správa příslušných serverů přes Arc.
Další kroky
- Pokud chcete začít vyhodnocovat servery s podporou Azure Arc, přečtěte si rychlý start: Připojení hybridních počítačů pomocí serverů s podporou Azure Arc.
- Než nasadíte agenta Azure Connected Machine a integrujete se s dalšími službami pro správu a monitorování Azure, projděte si průvodce plánováním a nasazením.
- Projděte si informace o řešení potíží v průvodci odstraňováním potíží s připojením agenta.