Freigeben über


Übersicht über den Azure Connected Machine-Agent

Mit dem Azure Connected Machine-Agent können Sie Ihre Windows- und Linux-Computer verwalten, die außerhalb von Azure in Ihrem Unternehmensnetzwerk oder von anderen Cloudanbietern gehostet werden.

Warnung

Nur Versionen des Connected Machine-Agents innerhalb des letzten Jahres werden von der Produktgruppe offiziell unterstützt. Kunden sollten innerhalb dieses Zeitfensters ein Update auf eine Agentversion durchführen.

Agent-Komponenten

Übersicht über die Architektur des Azure Connected Machine-Agent.

Das Azure Connected Machine-Agent-Paket enthält mehrere logische Komponenten, die gebündelt werden:

  • Hybrid Instance Metadata Service (HIMDS) verwaltet die Verbindung mit Azure und die Azure-Identität des verbundenen Computers.

  • Der Gastkonfigurations-Agent stellt Funktionen wie die Überprüfung, ob der Computer den erforderlichen Richtlinien entspricht, sowie das Erzwingen der Compliance bereit.

    Beachten Sie das folgende Verhalten bei der Azure Policy-Gastkonfiguration für einen getrennten Computer:

    • Eine Azure Policy-Zuweisung, deren Ziel getrennte Computer sind, ist nicht betroffen.
    • Die Gastzuweisung wird 14 Tage lang lokal gespeichert. Wenn der Connected Machine-Agent innerhalb dieser 14 Tage erneut eine Verbindung mit dem Dienst herstellt, werden die Richtlinienzuweisungen neu angewendet.
    • Zuweisungen werden nach 14 Tagen gelöscht und nach Ablauf dieses Zeitraums für den betreffenden Computer nicht erneut durchgeführt.
  • Der Erweiterungs-Agent verwaltet VM-Erweiterungen, einschließlich Installation, Deinstallation und Upgrade. Azure lädt Erweiterungen herunter und kopiert sie unter Windows in den Ordner %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads und unter Linux in den Ordner /opt/GC_Ext/downloads. Unter Windows wird die Erweiterung unter dem Pfad %SystemDrive%\Packages\Plugins\<extension> installiert, unter Linux unter /var/lib/waagent/<extension>.

Hinweis

Der Azure Monitor-Agent (AMA) ist ein separater Agent, der Überwachungsdaten sammelt. Er ersetzt den Connected Machine-Agent nicht. Der AMA ersetzt nur den Log Analytics-Agent, die Diagnoseerweiterung und den Telegraf-Agent für Windows- und Linux-Computer.

Azure Arc-Proxy

Der Azure Arc-Proxy-Dienst ist dafür verantwortlich, den Netzwerkdatenverkehr von den Azure Connected Machine-Agentendiensten und allen von Ihnen installierten Erweiterungen zu sammeln und zu entscheiden, wohin diese Daten weitergeleitet werden sollen. Wenn Sie das Azure Arc-Gateway (Eingeschränkte Vorschau) zur Vereinfachung Ihrer Netzwerkendpunkte verwenden, ist der Azure Arc-Proxydienst die lokale Komponente, die Netzwerkanforderungen über das Azure Arc-Gateway statt über die Standardroute weiterleitet. Der Azure Arc-Proxy wird als ein Netzwerkdienst unter Windows und als ein Standardbenutzerkonto (arcproxy) unter Linux ausgeführt. Er ist standardmäßig deaktiviert, bis Sie den Agenten für die Verwendung des Azure Arc-Gateways (Eingeschränkte Vorschau) konfigurieren.

Agent-Ressourcen

Die folgenden Informationen beschreiben die Verzeichnisse und Benutzerkonten, die vom Azure Connected Machine-Agent verwendet werden.

Installationsdetails zu Windows-Agents

Der Windows-Agent wird als Windows Installer-Paket bereitgestellt. Laden Sie den Windows-Agent aus dem Microsoft Download Center herunter. Nach der Installation des Connected Machine-Agents für Windows werden die folgenden systemweiten Konfigurationsänderungen angewendet:

  • Während der Installation werden die folgenden Ordner erstellt.

    Verzeichnis Beschreibung
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI und ausführbare Dateien des Instanzmetadatendiensts.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Ausführbare Dateien des Erweiterungsdiensts.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Ausführbare Dateien des Gastkonfigurationsdiensts (Richtlinien).
    %ProgramData%\AzureConnectedMachineAgent Konfigurations-, Protokoll- und Identitätstokendateien für die azcmagent CLI und den Instanzmetadatendienst.
    %ProgramData%\GuestConfig Erweiterungspaketdownloads, Downloads von Gastkonfigurationsdefinitionen (Richtlinien) und Protokolle für die Erweiterungs- und Gastkonfigurationsdienste.
    %SYSTEMDRIVE%\packages Ausführbare Dateien im Erweiterungspaket
  • Durch die Installation des Agenten werden die folgenden Windows-Dienste auf dem Zielcomputer eingerichtet.

    Dienstname Anzeigename Prozessname Beschreibung
    himds Azure Hybrid Instance Metadata Service himds.exe Synchronisiert Metadaten mit Azure und hostet eine lokale REST-API für Erweiterungen und Anwendungen, um auf die Metadaten zuzugreifen und Token für verwaltete Identitäten in Microsoft Entra anzufordern
    GCArcService Gastkonfiguration des Arc-Diensts gc_arc_service.exe (gc_service.exe vor Version 1.36) Überwacht und erzwingt Azure-Gastkonfigurationsrichtlinien auf dem Computer.
    ExtensionService Gastkonfiguration des Erweiterungsdiensts gc_extension_service.exe (gc_service.exe vor Version 1.36) Installiert, aktualisiert und verwaltet Erweiterungen auf dem Computer.
  • Die Installation des Agents erstellt das folgende virtuelle Dienstkonto.

    Virtuelles Konto Beschreibung
    NT-DIENST\himds Nicht privilegiertes Konto, das zum Ausführen des Hybrid Instance Metadata Service verwendet wird.

    Tipp

    Für dieses Konto ist das Recht „Anmelden als Dienst“ erforderlich. Dieses Recht wird während der Installation des Agents automatisch gewährt, aber wenn Ihre Organisation Zuweisungen von Benutzerrechten mit Gruppenrichtlinien konfiguriert, müssen Sie möglicherweise Ihr Gruppenrichtlinienobjekt anpassen, um „NT SERVICE\himds“ oder „NT SERVICE\ALL SERVICES“ das Recht zu gewähren, damit der Agent funktioniert.

  • Die Installation des Agents erstellt die folgende lokale Sicherheitsgruppe.

    Sicherheitsgruppenname Beschreibung
    Anwendungen der Hybrid Agent-Erweiterung Mitglieder dieser Sicherheitsgruppe können Microsoft Entra-Token für die systemseitig zugewiesene verwaltete Identität anfordern
  • Die Installation des Agents erstellt die folgenden Umgebungsvariablen

    Name Standardwert Beschreibung
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Für die Problembehandlung stehen mehrere Protokolldateien zur Verfügung, die in der folgenden Tabelle beschrieben sind.

    Log Beschreibung
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Zeichnet Details der Heartbeat- und Identitäts-Agent-Komponente auf.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Enthält die Ausgabe der Befehle des azcmagent-Tools.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Zeichnet Details zur Gastkonfigurations-Agent-Komponente (Richtlinien) auf.
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Zeichnet Details zu Erweiterungs-Manager-Aktivitäten (Ereignisse für Erweiterungsinstallation, -deinstallation und -upgrade) auf.
    %ProgramData%\GuestConfig\extension_logs Verzeichnis mit Protokollen für einzelne Erweiterungen.
  • Der Prozess erstellt die lokale Sicherheitsgruppe Hybrid-Agent-Erweiterungsanwendungen.

  • Nach der Deinstallation des Agents bleiben die folgenden Artefakte bestehen.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Linux-Agent-Installationsdetails

Der Linux-Agent für verbundene Computer wird im bevorzugten Paketformat für die Distribution (.rpm oder .deb) bereitgestellt, die im Paket-Repository von Microsoft gehostet wird. Das Shell-Skript-Bundle Install_linux_azcmagent.sh installiert und konfiguriert den Agenten.

Die Installation, Aktualisierung und Entfernung des Connected Machine-Agenten ist nach dem Neustart des Servers nicht erforderlich.

Nach der Installation des Connected Machine-Agents für Linux werden die folgenden systemweiten Konfigurationsänderungen angewendet.

  • Setup erstellt die folgenden Installationsordner.

    Verzeichnis Beschreibung
    /opt/azcmagent/ azcmagent CLI und ausführbare Dateien des Instanzmetadatendiensts.
    /opt/GC_Ext/ Ausführbare Dateien des Erweiterungsdiensts.
    /opt/GC_Service/ Ausführbare Dateien des Gastkonfigurationsdiensts (Richtlinien).
    /var/opt/azcmagent/ Konfigurations-, Protokoll- und Identitätstokendateien für die azcmagent CLI und den Instanzmetadatendienst.
    /var/lib/GuestConfig/ Erweiterungspaketdownloads, Downloads von Gastkonfigurationsdefinitionen (Richtlinien) und Protokolle für die Erweiterungs- und Gastkonfigurationsdienste.
  • Die Installation des Agents erzeugt die folgenden Umgebungsvariablen.

    Dienstname Anzeigename Prozessname Beschreibung
    himdsd.service Azure Connected Machine-Agent-Dienst himds Dieser Dienst implementiert den Hybrid Instance Metadata Service (HIMDS) für die Verwaltung der Verbindung mit Azure und der Azure-Identität des verbundenen Computers.
    gcad.service Gastkonfiguration des Arc-Diensts gc_linux_service Überwacht und erzwingt Azure-Gastkonfigurationsrichtlinien auf dem Computer.
    extd.service Erweiterungsdienst gc_linux_service Installiert, aktualisiert und verwaltet Erweiterungen auf dem Computer.
  • Für die Problembehandlung stehen mehrere Protokolldateien zur Verfügung, die in der folgenden Tabelle beschrieben sind.

    Log Beschreibung
    /var/opt/azcmagent/log/himds.log Zeichnet Details der Heartbeat- und Identitäts-Agent-Komponente auf.
    /var/opt/azcmagent/log/azcmagent.log Enthält die Ausgabe der Befehle des azcmagent-Tools.
    /var/lib/GuestConfig/arc_policy_logs Zeichnet Details zur Gastkonfigurations-Agent-Komponente (Richtlinien) auf.
    /var/lib/GuestConfig/ext_mgr_logs Zeichnet Details zu Erweiterungs-Manager-Aktivitäten (Ereignisse für Erweiterungsinstallation, -deinstallation und -upgrade) auf.
    /var/lib/GuestConfig/extension_logs Verzeichnis mit Protokollen für einzelne Erweiterungen.
  • Die Installation des Agents erzeugt die folgenden Umgebungsvariablen, die in /lib/systemd/system.conf.d/azcmagent.conf gesetzt werden.

    Name Standardwert Beschreibung
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Nach der Deinstallation des Agents bleiben die folgenden Artefakte bestehen.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Governance von Agent-Ressourcen

Der Azure Connected Machine-Agent ist darauf ausgelegt, den Ressourcenverbrauchs durch Agent und System zu verwalten. Der Agent übernimmt die Ressourcengovernance unter den folgenden Bedingungen:

  • Der Computerkonfigurationsdienst (ehemals Gastkonfiguration) kann bis zu 5 % der CPU verwenden, um Richtlinien auszuwerten.

  • Der Erweiterungsdienst kann bis zu 5 % der CPU auf Windows-Rechnern und 30 % der CPU auf Linux-Rechnern für die Installation, Aktualisierung, Ausführung und Löschung von Erweiterungen verwenden. Einige Erweiterungen können nach der Installation restriktivere CPU-Limits anwenden. Beachten Sie folgende Ausnahmen:

    Erweiterungstyp Betriebssystem CPU-Grenzwert
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100 %
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100 %
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Während des normalen Betriebs, d. h. wenn der Azure Connected Machine-Agent mit Azure verbunden ist und nicht aktiv eine Erweiterung ändert oder eine Richtlinie evaluiert, können Sie davon ausgehen, dass der Agent die folgenden Systemressourcen verbraucht:

Windows Linux
CPU-Auslastung (normalisiert auf 1 Kern) 0,07 % 0,02 %
Speicherauslastung 57 MB 42 MB

Die obigen Leistungsdaten wurden im April 2023 auf virtuellen Maschinen mit Windows Server 2022 und Ubuntu 20.04 erfasst. Die tatsächliche Leistung des Agents und der Ressourcenverbrauch hängen von der Hardware- und Softwarekonfiguration Ihrer Server ab.

Benutzerdefinierte Ressourcengrenzwerte

Für die meisten Server sind die Standardgrenzwerte für die Ressourcengovernance die beste Wahl. Bei kleinen VMs und Servern mit begrenzten CPU-Ressourcen kann es jedoch zu Timeouts bei der Verwaltung von Erweiterungen oder der Bewertung von Richtlinien kommen, da nicht genügend CPU-Ressourcen für die Ausführung der Aufgaben zur Verfügung stehen. Ab Agent Version 1.39 können Sie die CPU-Grenzwerte für die Dienste Erweiterungsmanager und Computerkonfiguration anpassen, damit der Agent diese Aufgaben schneller ausführen kann.

Um die aktuellen Ressourcengrenzwerte für den Erweiterungsmanager und Computerkonfigurationsdienste anzuzeigen, führen Sie den folgenden Befehl aus.

azcmagent config list

In der Ausgabe sehen Sie zwei Felder, guestconfiguration.agent.cpulimit und extensions.agent.cpulimit, in denen der aktuelle Ressourcengrenzwert in Prozent angegeben ist. Bei einer Neuinstallation des Agents wird in beiden Fällen 5 angezeigt, da der Standardgrenzwert bei 5 % der CPU liegt.

Um den Ressourcengrenzwert für den Erweiterungsmanager auf 80 % zu ändern, führen Sie den folgenden Befehl aus:

azcmagent config set extensions.agent.cpulimit 80

Instanzmetadaten

Metadateninformationen über einen verbundenen Computer werden gesammelt, nachdem der Connected Machine-Agent bei Azure Arc-fähigen Servern registriert wurde. Speziell:

  • Name, Edition, Typ und Version des Betriebssystems
  • Computername
  • Computerhersteller und -modell
  • Vollqualifizierter Domänenname (FQDN) des Computers
  • Domänenname (bei Beitritt zu einer Active Directory-Domäne)
  • Vollqualifizierter Domänenname (FQDN) für Active Directory und DNS
  • UUID (BIOS-ID)
  • Connected Machine-Agent-Takt
  • Version des Connected Machine-Agents
  • Öffentlicher Schlüssel für verwaltete Identität
  • Richtlinienkonformitätsstatus und Details (bei Verwendung von Richtlinien für Gastkonfigurationen)
  • SQL Server installiert (boolescher Wert)
  • Clusterressourcen-ID (für Azure Stack HCI-Knoten)
  • Hardwarehersteller
  • Hardwaremodell
  • CPU-Familie, Sockel, Anzahl der physischen und logischen Kerne
  • Gesamter physischer Speicher
  • Seriennummer
  • SMBIOS-Bestandskennzeichen
  • Informationen zur Netzwerkschnittstelle
    • IP-Adresse
    • Subnetz
  • Windows-Lizenzierungsinformationen
    • Betriebssystemlizenzstatus
    • Betriebssystemlizenzierungskanal
    • Berechtigung für erweiterte Sicherheitsupdates
    • Lizenzierungsstatus für erweiterte Sicherheitsupdates
    • Lizenzierungskanal für erweiterte Sicherheitsupdates
  • Cloudanbieter
  • Amazon Web Services (AWS)-Metadaten bei Ausführung in AWS:
    • Kontokennung
    • Instanz-ID
    • Region
  • Google Cloud Platform (GCP)-Metadaten bei Ausführung in GCP:
    • Instanz-ID
    • Abbildung
    • Computertyp
    • Projektkennung
    • Projektnummer
    • Dienstkonten
    • Zone
  • Oracle Cloud Infrastructure-Metadaten, wenn sie in OCI ausgeführt werden:
    • Anzeigename

Der Agent fordert die folgenden Metadateninformationen von Azure an:

  • Ressourcenstandort (Region)
  • Virtual machine ID (ID des virtuellen Computers)
  • Tags
  • Von Microsoft Entra verwaltetes Identitätszertifikat
  • Richtlinienzuweisungen für Gastkonfigurationen
  • Erweiterungsanforderungen: installieren, aktualisieren und löschen

Hinweis

Bei Servern mit Azure Arc-Unterstützung werden keine Kundendaten außerhalb der Region gespeichert oder verarbeitet, in der der Kunde die Dienstinstanz bereitstellt.

Bereitstellungsoptionen und -anforderungen

Für die Bereitstellung des Agenten und die Verbindung mit dem Rechner müssen bestimmte Voraussetzungen erfüllt sein. Es gibt auch Netzwerkanforderungen, die Sie beachten müssen.

Wir bieten mehrere Optionen für die Bereitstellung des Agents. Weitere Informationen finden Sie unter Planen und Bereitstellen von Servern mit Azure Arc-Unterstützung und Bereitstellungsoptionen für den Azure Connected Machine-Agent.

Notfallwiederherstellung

Es gibt keine vom Kunden aktivierten Optionen für die Notfallwiederherstellung von Arc-fähigen Servern. Bei einem Ausfall in einer Azure-Region führt das System ein Failover in eine andere Region in derselben Azure-Geografie (sofern vorhanden) aus. Dieses Failoververfahren erfolgt zwar automatisch, dauert jedoch einige Zeit. Der Agent für verbundene Computer wird in diesem Zeitraum getrennt und zeigt den Status Getrennt an, bis das Failover abgeschlossen ist. Das System führt ein Failback in seine ursprüngliche Region aus, sobald der Ausfall behoben wurde.

Ein Ausfall von Azure Arc wirkt sich nicht auf die Kundenworkload selbst aus. nur die Verwaltung der entsprechenden Server über Arc wird beeinträchtigt.

Nächste Schritte