Azure Arc エージェント
VMware VM でゲスト管理を有効にすると、Azure Connected Machine エージェントが VM にインストールされます。 これは、Arc 対応サーバーが使用するものと同じエージェントです。 Azure Connected Machine エージェントを使用すると、Azure の外部 (企業ネットワークや他のクラウド プロバイダー) でホストされている Windows や Linux のマシンを管理することができます。 この記事では、Azure Connected Machine Agent のアーキテクチャの概要を示します
エージェント コンポーネント
Azure Connected Machine エージェント パッケージには、まとめてバンドルされている論理コンポーネントがいくつか含まれています。
Hybrid Instance Metadata Service (HIMDS) は、Azure への接続と接続されたマシンの Azure ID を管理します。
ゲスト構成エージェントでは、マシンが必要なポリシーに準拠しているかどうかの評価やコンプライアンスの適用といった機能が提供されます。
切断されたマシンに対する Azure Policy のゲスト構成での次の動作に注意してください。
- 切断されたマシンを対象とする Azure Policy 割り当ては影響を受けません。
- ゲスト割り当ては 14 日間ローカルに格納されます。 14 日の期間内に Connected Machine エージェントがサービスに再接続した場合は、ポリシー割り当てが再適用されます。
- 割り当ては 14 日後に削除されます。14 日の期間の後にマシンに再割り当てされることはありません。
拡張エージェントは VM 拡張機能 (インストール、アンインストール、アップグレードなど) を管理します。 Azure によって拡張機能がダウンロードされ、Windows では
%SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads
フォルダー、Linux では/opt/GC_Ext/downloads
にコピーされます。 Windows では、拡張機能はパス%SystemDrive%\Packages\Plugins\<extension>
にインストールされます。Linux では、拡張機能は/var/lib/waagent/<extension>
にインストールされます。
Note
Azure Monitor エージェント (AMA) は、監視データを収集する独立したエージェントであり、Connected Machine エージェントに取って代わるものではありません。AMA は、Windows と Linux の両方のマシンで、Log Analytics エージェント、診断拡張機能、および Telegraf エージェントの機能のみを引き継ぎます。
エージェントのリソース
次の情報では、Azure Connected Machine エージェントで使用されるディレクトリとユーザー アカウントについて説明します。
Windows エージェントのインストールの詳細
Windows エージェントは Windows インストーラー パッケージ (MSI) として提供されます。 Microsoft ダウンロード センターから Windows エージェントをダウンロードします。 Windows 用 Connected Machine エージェントをインストールすると、次のシステム全体の構成変更が適用されます。
インストール プロセスでは、セットアップ中に次のフォルダーが作成されます。
ディレクトリ 説明 %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI およびインスタンスメタデータ サービスの実行可能ファイル。 %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC 拡張機能サービスの実行可能ファイル。 %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC ゲスト構成 (ポリシー) サービスの実行可能ファイル。 %ProgramData%\AzureConnectedMachineAgent azcmagent CLI とインスタンス メタデータ サービスの構成、ログ、ID トークンのファイル。 %ProgramData%\GuestConfig 拡張機能パッケージのダウンロード、ゲスト構成 (ポリシー) 定義のダウンロード、および拡張機能とゲスト構成サービスのログ。 %SYSTEMDRIVE%\packages 拡張機能パッケージの実行可能ファイル。 エージェントをインストールすると、ターゲット マシンに次の Windows サービスが作成されます。
[サービス名] [表示名] プロセス名 説明 himds Azure Hybrid Instance Metadata Service himds メタデータを Azure と同期させ、拡張機能とアプリケーション用のローカル REST API をホストしてメタデータにアクセスし、Microsoft Entra マネージド ID トークンを要求します GCArcService ゲスト構成 Arc サービス gc_service マシン上で Azure ゲスト構成ポリシーを監査し、適用します。 ExtensionService ゲスト構成拡張機能サービス gc_service マシン上で、拡張の機能のインストール、更新、管理を行います。 エージェントのインストールにより、次の仮想サービス アカウントが作成されます。
仮想アカウント 説明 NT SERVICE\himds Hybrid Instance Metadata Service を実行するために使用される特権のないアカウント。 ヒント
このアカウントには、"サービスとしてログオン" 権限が必要です。 この権限は、エージェントのインストール中に自動的に付与されますが、組織がグループ ポリシーでユーザー権利の割り当てを構成している場合は、エージェントが機能するように、グループ ポリシー オブジェクトを調整して、NT SERVICE\himds または NT SERVICE\ALL SERVICES に権限を与える必要があるかもしれません。
エージェントのインストールにより、次のローカル セキュリティ グループが作成されます。
セキュリティ グループ名 説明 ハイブリッド エージェント拡張機能アプリケーション このセキュリティ グループのメンバーは、システム割り当てマネージド ID の Microsoft Entra トークンを要求できます エージェントのインストールにより、次の環境変数が作成されます
名前 既定値 説明 IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
IMDS_ENDPOINT http://localhost:40342
次の表に示すように、トラブルシューティングに使用できるログ ファイルがいくつかあります。
ログ 説明 %ProgramData%\AzureConnectedMachineAgent\Log\himds.log ハートビートと ID エージェント コンポーネントの詳細を記録します。 %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log azcmagent ツール コマンドの出力を格納します。 %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log ゲスト構成 (ポリシー) エージェント コンポーネントに関する詳細を記録します。 %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log 拡張機能マネージャーのアクティビティ (拡張機能のインストール、アンインストール、アップグレードの各イベント) に関する詳細を記録します。 %ProgramData%\GuestConfig\extension_logs 個々の拡張機能のログを含むディレクトリ。 プロセスで、ローカル セキュリティ グループのハイブリッド エージェント拡張アプリケーションが作成されます。
エージェントをアンインストールした後も、次の成果物が残ります。
- %ProgramData%\AzureConnectedMachineAgent\Log
- %ProgramData%\AzureConnectedMachineAgent
- %ProgramData%\GuestConfig
- %SystemDrive%\packages
Linux エージェントのインストールの詳細
Microsoft パッケージ リポジトリでホストされるディストリビューションの推奨パッケージ形式 (.rpm
または .deb
) により、Linux 用の Connected Machine エージェントが提供されます。 シェル スクリプト バンドル Install_linux_azcmagent.sh を使用して、エージェントをインストールおよび構成します。
サーバー再起動後、Connected Machine エージェントのインストール、アップグレード、および削除は必要ありません。
Linux 用 Connected Machine エージェントをインストールすると、次のシステム全体の構成変更が適用されます。
セットアップで、次のインストール フォルダーが作成されます。
ディレクトリ 説明 /opt/azcmagent/ azcmagent CLI およびインスタンスメタデータ サービスの実行可能ファイル。 /opt/GC_Ext/ 拡張機能サービスの実行可能ファイル。 /opt/GC_Service/ ゲスト構成 (ポリシー) サービスの実行可能ファイル。 /var/opt/azcmagent/ azcmagent CLI およびインスタンス メタデータ サービスの構成、ログ、および ID トークンのファイル。 /var/lib/GuestConfig/ 拡張機能パッケージのダウンロード、ゲスト構成 (ポリシー) 定義のダウンロード、および拡張機能とゲスト構成サービスのログ。 エージェントをインストールすると、次のデーモンが作成されます。
[サービス名] [表示名] プロセス名 説明 himdsd.service Azure Connected Machine Agent サービス。 himds このサービスは、Azure への接続、接続マシンの Azure ID を管理するために、Hybrid Instance Metadata Service (IMDS) を実装します。 gcad.service GC Arc サービス gc_linux_service マシン上で Azure ゲスト構成ポリシーを監査し、適用します。 extd.service 拡張機能サービス gc_linux_service マシン上で、拡張の機能のインストール、更新、管理を行います。 次の表に示すように、トラブルシューティングに使用できるログ ファイルがいくつかあります。
ログ 説明 /var/opt/azcmagent/log/himds.log ハートビートと ID エージェント コンポーネントの詳細を記録します。 /var/opt/azcmagent/log/azcmagent.log azcmagent ツール コマンドの出力を格納します。 /var/lib/GuestConfig/arc_policy_logs ゲスト構成 (ポリシー) エージェント コンポーネントに関する詳細を記録します。 /var/lib/GuestConfig/ext_mgr_logs 拡張機能マネージャーのアクティビティ (拡張機能のインストール、アンインストール、アップグレードの各イベント) に関する詳細を記録します。 /var/lib/GuestConfig/extension_logs 個々の拡張機能のログを含むディレクトリ。 エージェントのインストールにより、次の環境変数が作成され、
/lib/systemd/system.conf.d/azcmagent.conf
に設定されます。名前 既定値 説明 IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
IMDS_ENDPOINT http://localhost:40342
エージェントをアンインストールした後も、次の成果物が残ります。
- /var/opt/azcmagent
- /var/lib/GuestConfig
エージェント リソース ガバナンス
Azure Connected Machine エージェントは、エージェントとシステム リソースの使用を管理するように設計されています。 エージェントは、次の条件下でリソース ガバナンスにアプローチします。
ゲスト構成エージェントは、ポリシーを評価するために CPU の最大 5% を使用できます。
拡張機能サービス エージェントは、拡張機能のインストール、アップグレード、実行、および削除に CPU の最大 5% を使用できます。 拡張機能によっては、インストール後により厳しい CPU 制限が適用される場合があります。 適用される例外を次に示します。
拡張機能の種類 オペレーティング システム CPU 制限 AzureMonitorLinuxAgent Linux 60% AzureMonitorWindowsAgent Windows 100% AzureSecurityLinuxAgent Linux 30% LinuxOsUpdateExtension Linux 60% MDE.Linux Linux 60% MicrosoftDnsAgent Windows 100% MicrosoftMonitoringAgent Windows 60% OmsAgentForLinux Windows 60%
通常の操作で、Azure に接続されている Azure Connected Machine エージェントとして定義され、拡張機能の変更やポリシーの評価をアクティブに行わない場合、エージェントが次のシステム リソースを使用することが予想されます。
Windows | Linux | |
---|---|---|
CPU 使用率 (1 コアに正規化) | 0.07% | 0.02% |
メモリ使用量 | 57 MB | 42 MB |
上記のパフォーマンス データは、Windows Server 2022 と Ubuntu 20.04 を実行している仮想マシンで 2023 年 4 月に収集されました。 実際のエージェントのパフォーマンスとリソースの消費量は、サーバーのハードウェアとソフトウェアの構成によって異なります。
インスタンス メタデータ
接続されたマシンに関するメタデータ情報は、Connected Machine エージェントが Azure Arc 対応サーバーに登録された後に収集されます。具体的には次の情報です。
- オペレーティング システムの名前、種類、バージョン
- コンピューター名
- コンピューターの製造元および型番
- コンピューターの完全修飾ドメイン名 (FQDN)
- ドメイン名 (Active Directory ドメインに参加している場合)
- Active Directory と DNS の完全修飾ドメイン名 (FQDN)
- UUID (BIOS ID)
- Connected Machine エージェントのハートビート
- Connected Machine エージェントのバージョン
- マネージド ID の公開キー
- ポリシーのコンプライアンスの状態と詳細 (ゲスト構成ポリシーを使用している場合)
- SQL Server のインストール状況 (ブール値)
- クラスター リソース ID (Azure ローカル ノード用)
- ハードウェアの製造元
- ハードウェア モデル
- CPU ファミリ、ソケット、物理コア、論理コアの数
- 物理メモリの合計
- シリアル番号
- SMBIOS 資産タグ
- クラウド プロバイダー
- AWS で実行されている場合の Amazon Web Services (AWS) メタデータ:
- 取引先企業 ID
- Instance ID
- リージョン
- GCP で実行されている場合の Google Cloud Platform (GCP) メタデータ:
- Instance ID
- Image
- マシンの種類
- Project ID
- プロジェクト番号
- サービス アカウント
- ゾーン
エージェントから、Azure に次のメタデータ情報が要求されます。
- リソースの場所 (リージョン)
- 仮想マシン ID
- タグ
- Microsoft Entra マネージド ID 証明書
- ゲスト構成ポリシーの割り当て
- 拡張要求 - インストール、更新、削除。
Note
顧客がサービス インスタンスをデプロイしたリージョンの外部で、Azure Arc 対応サーバーによって、顧客データの格納または処理が行われることはありません。