Agent Azure Arc
Když povolíte správu hosta na virtuálních počítačích VMware, na virtuálních počítačích se nainstaluje agent Azure Connected Machine Agent. Jedná se o stejné servery s podporou agenta Arc. Agent Azure Connected Machine Agent vám umožňuje spravovat počítače s Windows a Linuxem hostované mimo Azure v podnikové síti nebo u jiného poskytovatele cloudu. Tento článek obsahuje přehled architektury agenta Azure Connected Machine Agent.
Součásti agenta
Balíček agenta Azure Connected Machine obsahuje několik logických komponent spojených dohromady:
Služba metadat hybridní instance (HIMDS) spravuje připojení k Azure a identitu Azure připojeného počítače.
Agent konfigurace hosta poskytuje funkce, jako je vyhodnocení, jestli počítač splňuje požadované zásady a vynucuje dodržování předpisů.
Všimněte si následujícího chování s konfigurací hosta služby Azure Policy pro odpojený počítač:
- Přiřazení služby Azure Policy, které cílí na odpojené počítače, nemá vliv.
- Přiřazení hostů se ukládá místně po dobu 14 dnů. Během 14denního období se přiřazení zásad znovu připojí ke službě, pokud se agent Connected Machine znovu připojí ke službě.
- Přiřazení se odstraní po 14 dnech a po uplynutí 14denního období se počítač znovu nepřiřadí.
Agent rozšíření spravuje rozšíření virtuálních počítačů, včetně instalace, odinstalace a upgradu. Azure stáhne rozšíření a zkopíruje je do složky ve
%SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads
Windows a do/opt/GC_Ext/downloads
Linuxu. Ve Windows se rozšíření nainstaluje do cesty%SystemDrive%\Packages\Plugins\<extension>
a v Linuxu se rozšíření nainstaluje do/var/lib/waagent/<extension>
.
Poznámka:
Agent Služby Azure Monitor (AMA) je samostatný agent, který shromažďuje data monitorování a nenahrazuje agenta Connected Machine. AMA nahrazuje pouze agenta Log Analytics, rozšíření diagnostiky a agenta Telegrafu pro počítače s Windows i Linuxem.
Prostředky agenta
Následující informace popisují adresáře a uživatelské účty používané agentem Azure Connected Machine.
Podrobnosti o instalaci agenta Windows
Agent systému Windows se distribuuje jako balíček Instalační služby systému Windows (MSI). Stáhněte agenta Windows z webu Microsoft Download Center. Instalace agenta Connected Machine for Window použije následující změny konfigurace pro celý systém:
Během instalace se vytvoří následující složky.
Adresář Popis %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent a spustitelné soubory služby Instance Metadata Service. %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Spustitelné soubory služby rozšíření. %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Spustitelné soubory služby konfigurace hosta (zásady). %ProgramData%\AzureConnectedMachineAgent Soubory tokenů konfigurace, protokolu a identity pro azcmagent CLI a službu metadat instance %ProgramData%\GuestConfig Stažení balíčku rozšíření, stažení definice konfigurace hosta (zásady) a protokoly pro rozšíření a služby konfigurace hosta. %SYSTEMDRIVE%\packages Spustitelné soubory balíčku rozšíření Instalace agenta vytvoří na cílovém počítači následující služby systému Windows.
Service name Zobrazované jméno Název procesu Popis himds Služba Azure Hybrid Instance Metadata Service himds Synchronizuje metadata s Azure a hostuje místní rozhraní REST API pro rozšíření a aplikace pro přístup k metadatům a vyžádání tokenů spravované identity Microsoft Entra GCArcService Služba Arc pro konfiguraci hosta gc_service Audituje a vynucuje zásady konfigurace hosta Azure na počítači. ExtensionService Služba rozšíření pro konfiguraci hosta gc_service Instaluje, aktualizuje a spravuje rozšíření na počítači. Instalace agenta vytvoří následující virtuální účet služby.
Virtuální účet Popis NT SERVICE\himds Neprivilegovaný účet používaný ke spuštění služby Hybrid Instance Metadata Service. Tip
Tento účet vyžaduje právo přihlásit se jako služba . Toto právo se automaticky uděluje během instalace agenta, ale pokud vaše organizace konfiguruje přiřazení uživatelských práv pomocí zásad skupiny, možná budete muset upravit objekt zásad skupiny tak, aby udělil právo na NT SERVICE\himds nebo NT SERVICE\ALL SERVICES , aby agent mohl fungovat.
Instalace agenta vytvoří následující místní skupinu zabezpečení.
Název skupiny zabezpečení Popis Aplikace rozšíření hybridního agenta Členové této skupiny zabezpečení mohou požádat o tokeny Microsoft Entra pro spravovanou identitu přiřazenou systémem Instalace agenta vytvoří následující proměnné prostředí.
Název Výchozí hodnota Popis IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
IMDS_ENDPOINT http://localhost:40342
Pro řešení potíží je k dispozici několik souborů protokolu, které jsou popsané v následující tabulce.
Protokol Popis %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Zaznamenává údaje o komponentě prezenčních signálů a agenta identity. %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Obsahuje výstup příkazů nástroje azcmagent. %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Zaznamenává údaje o komponentě agenta konfigurace hosta (zásady). %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Zaznamenává údaje o aktivitě správce rozšíření (události instalace, odinstalace a upgradu rozšíření). %ProgramData%\GuestConfig\extension_logs Adresář obsahující protokoly pro jednotlivá rozšíření. Proces vytvoří místní aplikace rozšíření agenta hybrid agenta skupiny zabezpečení.
Po odinstalaci agenta zůstanou následující artefakty:
- %ProgramData%\AzureConnectedMachineAgent\Log
- %ProgramData%\AzureConnectedMachineAgent
- %ProgramData%\GuestConfig
- %SystemDrive%\packages
Podrobnosti o instalaci agenta pro Linux
Upřednostňovaný formát balíčku pro distribuci (.rpm
nebo.deb
) hostovaný v úložišti balíčků Microsoftu poskytuje agenta Connected Machine pro Linux. Sada skriptů prostředí Install_linux_azcmagent.sh nainstaluje a nakonfiguruje agenta.
Instalace, upgrade a odebrání agenta Connected Machine se po restartování serveru nevyžaduje.
Instalace agenta Connected Machine pro Linux použije následující změny konfigurace pro celý systém.
Instalační program vytvoří následující instalační složky.
Adresář Popis /opt/azcmagent/ CLI azcmagent a spustitelné soubory služby Instance Metadata Service. /opt/GC_Ext/ Spustitelné soubory služby rozšíření. /opt/GC_Service/ Spustitelné soubory služby konfigurace hosta (zásady). /var/opt/azcmagent/ Konfigurace, soubory tokenů protokolů a identit pro azcmagent CLI a službu Instance Metadata Service. /var/lib/GuestConfig/ Stažení balíčku rozšíření, stažení definice konfigurace hosta (zásady) a protokoly pro rozšíření a služby konfigurace hosta. Instalace agenta vytvoří následující démony.
Service name Zobrazované jméno Název procesu Popis himdsd.service Služba agenta připojeného počítače Azure himds Tato služba implementuje službu IMDS (Hybrid Instance Metadata Service) ke správě připojení k Azure a identitě Azure připojeného počítače. gcad.service Služba GC Arc gc_linux_service Audituje a vynucuje zásady konfigurace hosta Azure na počítači. extd.service Služba rozšíření gc_linux_service Instaluje, aktualizuje a spravuje rozšíření na počítači. Pro řešení potíží je k dispozici několik souborů protokolu, které jsou popsané v následující tabulce.
Protokol Popis /var/opt/azcmagent/log/himds.log Zaznamenává údaje o komponentě prezenčních signálů a agenta identity. /var/opt/azcmagent/log/azcmagent.log Obsahuje výstup příkazů nástroje azcmagent. /var/lib/GuestConfig/arc_policy_logs Zaznamenává údaje o komponentě agenta konfigurace hosta (zásady). /var/lib/GuestConfig/ext_mgr_logs Zaznamenává údaje o aktivitě správce rozšíření (události instalace, odinstalace a upgradu rozšíření). /var/lib/GuestConfig/extension_logs Adresář obsahující protokoly pro jednotlivá rozšíření. Instalace agenta vytvoří následující proměnné prostředí nastavené v
/lib/systemd/system.conf.d/azcmagent.conf
.Název Výchozí hodnota Popis IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
IMDS_ENDPOINT http://localhost:40342
Po odinstalaci agenta zůstanou následující artefakty:
- /var/opt/azcmagent
- /var/lib/GuestConfig
Zásady správného řízení prostředků agenta
Agent Azure Connected Machine je navržený ke správě využití agentů a systémových prostředků. Agent přistupuje k zásadám správného řízení prostředků za následujících podmínek:
Agent konfigurace hosta může k vyhodnocení zásad použít až 5 % procesoru.
Agent Extension Service může k instalaci, upgradu, spuštění a odstranění rozšíření použít až 5 % procesoru. Některá rozšíření můžou po instalaci použít přísnější limity procesoru. Platí následující výjimky:
Typ rozšíření Operační systém Limit procesoru AzureMonitorLinuxAgent Linux 60 % AzureMonitorWindowsAgent Windows 100 % AzureSecurityLinuxAgent Linux 30 % LinuxOsUpdateExtension Linux 60 % MDE.Linux Linux 60 % MicrosoftDnsAgent Windows 100 % MicrosoftMonitoringAgent Windows 60 % OmsAgentForLinux Windows 60 %
Během normálních operací definovaných jako agent Azure Connected Machine, který je připojený k Azure, a ne aktivní úpravou rozšíření nebo vyhodnocením zásad, můžete očekávat, že agent bude využívat následující systémové prostředky:
Windows | Linux | |
---|---|---|
Využití procesoru (normalizované na 1 jádro) | 0.07% | 0,02 % |
Využití paměti | 57 MB | 42 MB |
Výše uvedená data o výkonu se shromáždila v dubnu 2023 na virtuálních počítačích s Windows Serverem 2022 a Ubuntu 20.04. Skutečný výkon agenta a spotřeba prostředků se liší v závislosti na konfiguraci hardwaru a softwaru vašich serverů.
Metadata instance
Informace o metadatech o připojeném počítači se shromažďují po registraci agenta Connected Machine na serverech s podporou Azure Arc, konkrétně:
- Název, typ a verze operačního systému
- Název počítače
- Výrobce počítače a model
- Plně kvalifikovaný název domény počítače (FQDN)
- Název domény (pokud je připojený k doméně služby Active Directory)
- Plně kvalifikovaný název domény služby Active Directory a DNS
- UUID (BIOS ID)
- Prezenčních signálů připojeného agenta počítače
- Verze agenta connected machine
- Veřejný klíč pro spravovanou identitu
- Stav a podrobnosti o dodržování zásad (pokud používáte zásady konfigurace hosta)
- Nainstalovaný SQL Server (logická hodnota)
- ID prostředku clusteru (pro místní uzly Azure)
- Výrobce hardwaru
- Hardwarový model
- Počet procesorů, soketů, fyzických jader a logických jader
- Celková fyzická paměť
- Sériové číslo
- Značka assetu SMBIOS
- Poskytovatel cloudu
- Metadata Amazon Web Services (AWS) při spuštění v AWS:
- ID účtu
- ID instance
- Oblast
- Metadata Google Cloud Platform (GCP) při spuštění v GCP:
- ID instance
- Image
- Typ počítače
- ID projektu
- Číslo projektu
- Service Accounts
- Zóna
Agent požaduje z Azure následující informace o metadatech:
- Umístění prostředku (oblast)
- ID virtuálního počítače
- Značky
- Certifikát spravované identity Microsoft Entra
- Přiřazení zásad konfigurace hosta
- Žádosti o rozšíření – instalace, aktualizace a odstranění
Poznámka:
Servery s podporou Azure Arc neukládají nebo nezpracují zákaznická data mimo oblast, do které zákazník nasadí instanci služby.