다음을 통해 공유


Azure Connected Machine 에이전트 개요

Azure Connected Machine 에이전트를 사용하면 Azure 외부에서 회사 네트워크 또는 다른 클라우드 공급자에 호스트되는 Windows 및 Linux 머신을 관리할 수 있습니다.

Warning

지난 1년 이내의 Connected Machine 에이전트 버전만 제품 그룹에서 공식적으로 지원됩니다. 고객은 이 창 내에서 에이전트 버전으로 업데이트해야 합니다.

에이전트 구성 요소

Azure Connected Machine 에이전트 아키텍처 개요.

Azure Connected Machine 에이전트 패키지에는 여러 개의 논리적 구성 요소가 함께 포함되어 있습니다.

  • 하이브리드 인스턴스 메타데이터 서비스(HIMDS)는 Azure 및 연결된 머신의 Azure ID에 대한 연결을 관리합니다.

  • 게스트 구성 에이전트는 머신에서 필요한 정책을 준수하는지 평가하고 규정 준수를 시행하는 등의 기능을 제공합니다.

    연결되지 않은 머신에 대한 Azure Policy 게스트 구성과 관련된 다음 동작에 유의하세요.

    • 연결이 끊어진 컴퓨터를 대상으로 하는 Azure Policy 할당은 영향을 받지 않습니다.
    • 게스트 할당은 14일 동안 로컬에 저장됩니다. 14일 기간 내에 연결된 컴퓨터 에이전트가 서비스에 다시 연결하는 경우 정책 할당이 다시 적용됩니다.
    • 할당은 14일 후에 삭제되며 14일 기간 이후에는 컴퓨터에 다시 할당되지 않습니다.
  • 확장 에이전트는 설치, 제거 및 업그레이드를 포함하여 VM 확장을 관리합니다. Azure는 확장을 다운로드하여 Windows의 %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads 폴더와 Linux의 /opt/GC_Ext/downloads 폴더에 복사합니다. Windows에서는 확장이 경로 %SystemDrive%\Packages\Plugins\<extension>에 설치되고 Linux에서는 확장이 /var/lib/waagent/<extension>에 설치됩니다.

참고 항목

AMA(Azure Monitor 에이전트)는 모니터링 데이터를 수집하는 별도의 에이전트이며 Connected Machine 에이전트를 대체하지는 않습니다. AMA는 Windows 및 Linux 머신 모두에 대한 Log Analytics 에이전트, 진단 확장 및 Telegraf 에이전트만 대체합니다.

Azure Arc 프록시

Azure Arc 프록시 서비스는 Azure Connected Machine 에이전트 서비스와 사용자가 설치한 모든 확장의 네트워크 트래픽을 집계하고 해당 데이터를 라우팅할 위치를 결정하는 일을 담당합니다. Azure Arc 게이트웨이(제한된 미리 보기)를 사용하여 네트워크 엔드포인트를 간소화하는 경우 Azure Arc 프록시 서비스는 기본 경로 대신 Azure Arc 게이트웨이를 통해 네트워크 요청을 전달하는 로컬 구성 요소입니다. Azure Arc 프록시는 Windows에서는 네트워크 서비스로 실행되고 Linux에서는 표준 사용자 계정(arcproxy)으로 실행됩니다. Azure Arc 게이트웨이(제한된 미리 보기)를 사용하도록 에이전트를 구성할 때까지는 기본적으로 사용하지 않도록 설정되어 있습니다.

에이전트 리소스

다음 정보는 Azure Connected Machine 에이전트에서 사용하는 디렉터리 및 사용자 계정에 대해 설명합니다.

Windows 에이전트 설치 세부 정보

Windows 에이전트는 MSI(Windows Installer 패키지)로 배포됩니다. Microsoft 다운로드 센터에서 Windows 에이전트를 다운로드하세요. Windows용 Connected Machine 에이전트를 설치하면 다음과 같은 시스템 차원 구성 변경 내용이 적용됩니다.

  • 설치 프로세스는 설치하는 동안 다음 폴더를 만듭니다.

    디렉터리 설명
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI 및 인스턴스 메타데이터 서비스 실행 파일.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC 확장 서비스 실행 파일.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC 게스트 구성(정책) 서비스 실행 파일.
    %ProgramData%\AzureConnectedMachineAgent azcmagent CLI 및 인스턴스 메타데이터 서비스에 대한 구성, 로그 및 ID 토큰 파일.
    %ProgramData%\GuestConfig 확장 패키지 다운로드, 게스트 구성(정책) 정의 다운로드 및 확장 및 게스트 구성 서비스에 대한 로그.
    %SYSTEMDRIVE%\packages 확장 패키지 실행 파일
  • 에이전트를 설치하면 대상 컴퓨터에 다음 Windows 서비스가 만들어집니다.

    Service name 표시 이름 프로세스 이름 설명
    himds Azure Hybrid Instance Metadata Service himds.exe 메타데이터를 Azure와 동기화하고 확장 및 애플리케이션에 대한 로컬 REST API를 호스트하여 메타데이터에 액세스하고 Microsoft Entra 관리 ID 토큰을 요청합니다
    GCArcService 게스트 구성 Arc 서비스 gc_arc_service.exe (버전 1.36 이전의 gc_service.exe) 머신에서 Azure 게스트 구성 정책을 감사하고 적용합니다.
    ExtensionService 게스트 구성 확장 서비스 gc_extension_service.exe (버전 1.36 이전의 gc_service.exe) 머신에서 확장을 설치, 업데이트 및 관리합니다.
  • 에이전트 설치는 다음 가상 서비스 계정을 만듭니다.

    가상 계정 설명
    NT SERVICE\himds Hybrid Instance Metadata Service를 실행하는 데 사용되는 권한 없는 계정입니다.

    이 계정에는 “서비스로 로그온” 권한이 필요합니다. 이 권한은 에이전트 설치 중에 자동으로 부여되지만 조직에서 그룹 정책 사용하여 사용자 권한 할당을 구성하는 경우 에이전트가 작동할 수 있도록 “NT SERVICE\himds” 또는 “NT SERVICE\ALL SERVICES”에 대한 권한을 부여하도록 그룹 정책 개체를 조정해야 할 수 있습니다.

  • 에이전트 설치는 다음 로컬 보안 그룹을 만듭니다.

    보안 그룹 이름 설명
    하이브리드 에이전트 확장 애플리케이션 이 보안 그룹의 구성원은 시스템 할당 관리 ID에 대한 Microsoft Entra 토큰을 요청할 수 있습니다.
  • 에이전트 설치는 다음과 같은 환경 변수를 만듭니다.

    이름 기본값 설명
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • 다음 표에 설명된 문제 해결에 사용할 수 있는 몇 가지 로그 파일이 있습니다.

    로그 설명
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log 하트비트 및 ID 에이전트 구성 요소의 세부 정보를 기록합니다.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log azcmagent 도구 명령의 출력을 포함합니다.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log 게스트 구성(정책) 에이전트 구성 요소에 대한 세부 정보를 기록합니다.
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log 확장 관리자 작업(확장 설치, 제거 및 업그레이드 이벤트)에 대한 세부 정보를 기록합니다.
    %ProgramData%\GuestConfig\extension_logs 개별 확장에 대한 로그가 포함된 디렉터리입니다.
  • 이 프로세스는 로컬 보안 그룹 하이브리드 에이전트 확장 애플리케이션을 만듭니다.

  • 에이전트를 제거한 후 다음 아티팩트가 남아 있습니다.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Linux 에이전트 설치 세부 정보

Microsoft 패키지 리포지토리에서 호스트되는 배포(.rpm 또는 .deb)에 대한 기본 패키지 형식은 Linux용 Connected Machine 에이전트를 제공합니다. 셸 스크립트 번들 Install_linux_azcmagent.sh는 에이전트를 설치하고 구성합니다.

서버를 다시 시작한 후에는 Connected Machine 에이전트 설치, 업그레이드 및 제거가 필요하지 않습니다.

Linux용 Connected Machine 에이전트를 설치하면 다음과 같은 시스템 차원 구성 변경 내용이 적용됩니다.

  • 설치 프로그램은 다음 설치 폴더를 만듭니다.

    디렉터리 설명
    /opt/azcmagent/ azcmagent CLI 및 인스턴스 메타데이터 서비스 실행 파일.
    /opt/GC_Ext/ 확장 서비스 실행 파일.
    /opt/GC_Service/ 게스트 구성(정책) 서비스 실행 파일.
    /var/opt/azcmagent/ azcmagent CLI 및 인스턴스 메타데이터 서비스에 대한 구성, 로그 및 ID 토큰 파일.
    /var/lib/GuestConfig/ 확장 패키지 다운로드, 게스트 구성(정책) 정의 다운로드 및 확장 및 게스트 구성 서비스에 대한 로그.
  • 에이전트를 설치하면 다음 디먼이 만들어집니다.

    Service name 표시 이름 프로세스 이름 설명
    himdsd.service Azure Connected Machine 에이전트 서비스 himds 이 서비스는 하이브리드 IMDS(인스턴스 메타데이터 서비스)를 구현하여 Azure 및 연결된 머신의 Azure ID에 대한 연결을 관리합니다.
    gcad.service GC Arc 서비스 gc_linux_service 머신에서 Azure 게스트 구성 정책을 감사하고 적용합니다.
    extd.service 확장 서비스 gc_linux_service 머신에서 확장을 설치, 업데이트 및 관리합니다.
  • 다음 표에 설명된 문제 해결에 사용할 수 있는 몇 가지 로그 파일이 있습니다.

    로그 설명
    /var/opt/azcmagent/log/himds.log 하트비트 및 ID 에이전트 구성 요소의 세부 정보를 기록합니다.
    /var/opt/azcmagent/log/azcmagent.log azcmagent 도구 명령의 출력을 포함합니다.
    /var/lib/GuestConfig/arc_policy_logs 게스트 구성(정책) 에이전트 구성 요소에 대한 세부 정보를 기록합니다.
    /var/lib/GuestConfig/ext_mgr_logs 확장 관리자 작업(확장 설치, 제거 및 업그레이드 이벤트)에 대한 세부 정보를 기록합니다.
    /var/lib/GuestConfig/extension_logs 개별 확장에 대한 로그가 포함된 디렉터리입니다.
  • 에이전트 설치는 /lib/systemd/system.conf.d/azcmagent.conf에 설정된 다음 환경 변수를 만듭니다.

    이름 기본값 설명
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • 에이전트를 제거한 후 다음 아티팩트가 남아 있습니다.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

에이전트 리소스 거버넌스

Azure Connected Machine 에이전트는 에이전트와 시스템 리소스 사용을 관리하도록 설계되어 있습니다. 에이전트는 다음과 같은 경우에 리소스 거버넌스에 접근합니다.

  • 컴퓨터 구성(이전의 게스트 구성) 서비스는 정책을 평가하기 위해 CPU의 최대 5%를 사용할 수 있습니다.

  • 확장 서비스는 Windows 컴퓨터에서 CPU의 최대 5%, Linux 컴퓨터에서 CPU의 최대 30%를 사용하여 확장을 설치, 업그레이드, 실행 및 삭제할 수 있습니다. 일부 확장은 설치된 후에 더 제한적인 CPU 제한을 적용할 수 있습니다. 다음과 같은 예외가 있습니다.

    확장 형식 운영 체제 CPU 제한
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Azure에 연결되어 있고 확장을 적극적으로 수정하거나 정책을 평가하지 않는 Azure Connected Machine 에이전트로 정의된 일반 작업 중에 에이전트는 다음 시스템 리소스를 소비할 것으로 예상할 수 있습니다.

Windows Linux
CPU 사용량(1 코어로 정규화됨) 0.07% 0.02%
메모리 사용량 57MB 42MB

위의 성능 데이터는 Windows Server 2022 및 Ubuntu 20.04를 실행하는 가상 머신에서 2023년 4월에 수집되었습니다. 실제 에이전트 성능 및 리소스 사용량은 서버의 하드웨어 및 소프트웨어 구성에 따라 달라집니다.

사용자 지정 리소스 한도

기본 리소스 관리 제한은 대부분의 서버에 가장 적합한 선택입니다. 그러나 CPU 리소스가 제한된 소규모 가상 머신 및 서버에서는 작업을 완료하는 데 CPU 리소스가 충분하지 않아 확장을 관리하거나 정책을 평가할 때 시간 제한이 발생할 수 있습니다. 에이전트 버전 1.39부터 확장 관리자 및 컴퓨터 구성 서비스에 적용되는 CPU 제한을 사용자 지정하여 에이전트가 이러한 작업을 더 빠르게 완료할 수 있도록 할 수 있습니다.

확장 관리자 및 컴퓨터 구성 서비스에 대한 현재 리소스 제한을 보려면 다음 명령을 실행합니다.

azcmagent config list

출력에는 현재 리소스 제한이 백분율로 지정된 두 개의 필드(guestconfiguration.agent.cpulimitextensions.agent.cpulimit)가 표시됩니다. 에이전트를 새로 설치하면 기본 제한이 CPU의 5%이므로 둘 다 5로 표시됩니다.

확장 관리자의 리소스 제한을 80%로 변경하려면 다음 명령을 실행합니다.

azcmagent config set extensions.agent.cpulimit 80

인스턴스 메타데이터

연결된 머신에 대한 메타데이터 정보는 Connected Machine 에이전트에서 Azure Arc 지원 서버를 등록한 후에 수집됩니다. 특히 다음에 대해 주의하세요.

  • 운영 체제 이름, 버전, 형식 및 버전
  • 컴퓨터 이름
  • 컴퓨터 제조업체 및 모델
  • 컴퓨터 FQDN(정규화된 도메인 이름)
  • 도메인 이름(Active Directory 도메인에 조인된 경우)
  • Active Directory 및 DNS FQDN(정규화된 도메인 이름)
  • UUID(BIOS ID)
  • Connected Machine 에이전트 하트비트
  • Connected Machine 에이전트 버전
  • 관리 ID에 대한 퍼블릭 키
  • 정책 준수 상태 및 세부 정보(게스트 구성 정책을 사용하는 경우)
  • SQL Server 설치(부울 값)
  • 클러스터 리소스 ID(Azure Stack HCI 노드의 경우)
  • 하드웨어 제조업체
  • 하드웨어 모델
  • CPU 제품군, 소켓, 물리적 코어 및 논리적 코어 수
  • 총 실제 메모리
  • 일련 번호
  • SMBIOS 자산 태그
  • 네트워크 인터페이스 정보
    • IP 주소
    • 서브넷
  • Windows 라이선스 정보
    • OS 라이선스 상태
    • OS 라이선스 채널
    • 확장된 보안 업데이트 자격
    • 보안 연장 업데이트 라이선스 상태
    • 확장 보안 업데이트 라이선스 채널
  • 클라우드 공급자
  • AWS(Amazon Web Services) 메타데이터(AWS에서 실행할 때):
    • 계정 ID
    • Instance ID
    • 지역
  • GCP(Google Cloud Platform) 메타데이터(GCP에서 실행할 때):
    • Instance ID
    • 이미지
    • 머신 형식
    • 프로젝트 ID
    • 프로젝트 번호
    • 서비스 계정
  • OCI에서 실행되는 경우 Oracle 클라우드 인프라 메타데이터:
    • 표시 이름

에이전트는 Azure에서 다음 메타데이터 정보를 요청합니다.

  • 리소스 위치(지역)
  • 가상 머신 ID
  • 태그
  • Microsoft Entra 관리 ID 인증서
  • 게스트 구성 정책 할당
  • 확장 요청 - 설치, 업데이트 및 삭제

참고 항목

Azure Arc 지원 서버에서는 고객이 서비스 인스턴스를 배포하는 지역 외부에서 고객 데이터를 저장/처리하지 않습니다.

배포 옵션 및 요구 사항

에이전트 배포 및 컴퓨터 연결에는 특정 필수 구성 요소가 필요합니다. 알아야 할 네트워킹 요구 사항도 있습니다.

에이전트를 배포하기 위한 몇 가지 옵션을 제공합니다. 자세한 내용은 배포 계획배포 옵션을 참조하세요.

복제 지침

azcmagent 패키지를 골든 이미지에 안전하게 설치할 수 있지만 명령을 사용하여 azcmagent connect 컴퓨터를 연결하면 해당 컴퓨터는 특정 리소스 정보를 받습니다. 골든 이미지에서 컴퓨터를 복제하여 컴퓨터를 빌드하는 경우 명령을 사용하여 Azure azcmagent connect 에 연결하기 전에 먼저 각 컴퓨터를 특수화해야 합니다. 각 컴퓨터를 만들고 특수화할 때까지 원래 골든 이미지 머신을 Azure에 연결하지 마세요.

연결된 서버에서 429개의 오류 메시지를 수신하는 경우 서버를 Azure에 연결한 다음 해당 서버를 복제를 위한 골든 이미지로 사용했습니다. 리소스 정보가 이미지에 기록되었으므로 해당 이미지에서 만든 복제된 컴퓨터는 동일한 리소스에 하트비트 메시지를 보내려고 합니다.

기존 컴퓨터에 대한 429개의 오류 메시지를 해결하려면 복제된 각 컴퓨터에서 실행 azcmagent disconnect --force-local-only 한 다음 적절한 자격 증명을 사용하여 다시 실행 azcmagent connect 하여 고유한 리소스 이름을 사용하여 컴퓨터를 클라우드에 연결합니다.

재해 복구

Arc 지원 서버에 대한 고객 지원 재해 복구 옵션은 없습니다. Azure 지역에서 중단이 발생할 경우 시스템은 동일한 Azure 지리(있는 경우)에 있는 다른 지역으로 장애 조치(failover)를 합니다. 이 장애 조치(failover) 프로시저는 자동이지만 다소 시간이 소요됩니다. 이 기간 동안 연결된 컴퓨터 에이전트의 연결이 끊어지고 장애 조치(failover)가 완료될 때까지 연결이 끊김 상태가 표시됩니다. 중단이 복원되면 시스템은 원래 지역으로 장애 복구합니다.

Azure Arc의 중단은 고객 워크로드 자체에 영향을 주지 않습니다. Arc를 통한 해당 서버의 관리만 손상됩니다.

다음 단계