Udostępnij za pośrednictwem


Omówienie agenta Azure Connected Machine

Agent Azure Connected Machine umożliwia zarządzanie maszynami z systemami Windows i Linux hostowanymi poza platformą Azure w sieci firmowej lub u innych dostawców usług w chmurze.

Ostrzeżenie

Tylko wersje agenta connected machine w ciągu ostatniego 1 roku są oficjalnie obsługiwane przez grupę produktów. Klienci powinni zaktualizować wersję agenta w tym oknie.

Składniki agenta

Grafika przedstawiająca omówienie architektury agenta połączonej maszyny platformy Azure.

Pakiet agenta połączonej maszyny platformy Azure zawiera kilka składników logicznych połączonych ze sobą:

  • Usługa metadanych wystąpienia hybrydowego (HIMDS) zarządza połączeniem z platformą Azure i tożsamością platformy Azure połączonej maszyny.

  • Agent konfiguracji gościa udostępnia funkcje, takie jak ocena zgodności maszyny z wymaganymi zasadami i wymuszanie zgodności.

    Zwróć uwagę na następujące zachowanie w przypadku konfiguracji gościa usługi Azure Policy dla odłączonego komputera:

    • Nie ma to wpływu na przypisanie usługi Azure Policy przeznaczone dla odłączonych maszyn.
    • Przypisanie gościa jest przechowywane lokalnie przez 14 dni. W ciągu 14-dniowego okresu, jeśli agent połączonej maszyny ponownie łączy się z usługą, przypisania zasad są ponownie stosować.
    • Przypisania są usuwane po upływie 14 dni i nie są ponownie przypisywane do maszyny po upływie 14 dni.
  • Agent rozszerzenia zarządza rozszerzeniami maszyn wirtualnych, w tym instalowanie, odinstalowywanie i uaktualnianie. Platforma Azure pobiera rozszerzenia i kopiuje je do %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads folderu w systemie Windows i w /opt/GC_Ext/downloads systemie Linux. W systemie Windows rozszerzenie jest instalowane w następującej ścieżce %SystemDrive%\Packages\Plugins\<extension>, a w systemie Linux rozszerzenie jest instalowane w programie /var/lib/waagent/<extension>.

Uwaga

Agent usługi Azure Monitor (AMA) to oddzielny agent, który zbiera dane monitorowania i nie zastępuje agenta połączonej maszyny. Usługa AMA zastępuje tylko agenta usługi Log Analytics, rozszerzenia diagnostyki i agenta telegrafu zarówno dla maszyn z systemem Windows, jak i Linux.

Azure Arc Proxy

Usługa Serwera proxy usługi Azure Arc jest odpowiedzialna za agregowanie ruchu sieciowego z usług agenta połączonej maszyny platformy Azure oraz wszelkich zainstalowanych rozszerzeń i decydowania o tym, gdzie kierować te dane. Jeśli używasz bramy usługi Azure Arc (ograniczona wersja zapoznawcza) w celu uproszczenia punktów końcowych sieci, usługa Serwera proxy usługi Azure Arc jest składnikiem lokalnym, który przekazuje żądania sieciowe za pośrednictwem bramy usługi Azure Arc zamiast trasy domyślnej. Serwer proxy usługi Azure Arc działa jako usługa sieciowa w systemie Windows i konto użytkownika standardowego (arcproxy) w systemie Linux. Jest ona domyślnie wyłączona do momentu skonfigurowania agenta do korzystania z bramy usługi Azure Arc (ograniczona wersja zapoznawcza).

Zasoby agenta

Poniższe informacje opisują katalogi i konta użytkowników używane przez agenta połączonej maszyny platformy Azure.

Szczegóły instalacji agenta systemu Windows

Agent systemu Windows jest dystrybuowany jako pakiet Instalatora Windows (MSI). Pobierz agenta systemu Windows z Centrum pobierania firmy Microsoft. Zainstalowanie agenta połączonej maszyny dla okna stosuje następujące zmiany konfiguracji dla całego systemu:

  • Proces instalacji tworzy następujące foldery podczas instalacji.

    Katalog opis
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI i pliki wykonywalne usługi metadanych wystąpienia.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC Pliki wykonywalne usługi rozszerzenia.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC Pliki wykonywalne usługi konfiguracji gościa (zasady).
    %ProgramData%\AzureConnectedMachineAgent Pliki tokenów konfiguracji, dziennika i tożsamości dla interfejsu wiersza polecenia azcmagent i usługi metadanych wystąpienia.
    %ProgramData%\GuestConfig Pobieranie pakietów rozszerzeń, pobieranie definicji konfiguracji gościa (zasad) oraz dzienniki dla usług konfiguracji rozszerzenia i gościa.
    %SYSTEMDRIVE%\packages Pliki wykonywalne pakietu rozszerzeń
  • Zainstalowanie agenta powoduje utworzenie następujących usług systemu Windows na maszynie docelowej.

    Service name Display name Nazwa procesu opis
    himds Usługa Hybrid Instance Metadata Service platformy Azure himds.exe Synchronizuje metadane z platformą Azure i hostuje lokalny interfejs API REST dla rozszerzeń i aplikacji w celu uzyskania dostępu do metadanych i żądania tokenów tożsamości zarządzanej Microsoft Entra
    GCArcService Konfiguracja gościa usługi Arc gc_arc_service.exe (gc_service.exe przed wersją 1.36) Przeprowadza inspekcję i wymusza zasady konfiguracji gościa platformy Azure na maszynie.
    ExtensionService Usługa rozszerzenia konfiguracji gościa gc_extension_service.exe (gc_service.exe przed wersją 1.36) Instaluje, aktualizuje rozszerzenia i zarządza nimi na maszynie.
  • Instalacja agenta tworzy następujące konto usługi wirtualnej.

    Konto wirtualne opis
    NT SERVICE\himds Nieuprzywilejowane konto używane do uruchamiania usługi metadanych wystąpienia hybrydowego.

    Napiwek

    To konto wymaga prawa „Zaloguj się jako usługa”. To prawo jest automatycznie przyznawane podczas instalacji agenta, ale jeśli organizacja konfiguruje przypisania praw użytkownika za pomocą zasad grupy, może być konieczne dostosowanie obiektu zasad grupy w celu udzielenia prawa do „NT SERVICE\himds” lub „NT SERVICE\ALL SERVICES”, aby umożliwić agentowi działanie.

  • Instalacja agenta tworzy następującą lokalną grupę zabezpieczeń.

    Nazwa grupy zabezpieczeń opis
    Aplikacje rozszerzenia agenta hybrydowego Członkowie tej grupy zabezpieczeń mogą żądać tokenów firmy Microsoft dla tożsamości zarządzanej przypisanej przez system
  • Instalacja agenta tworzy następujące zmienne środowiskowe

    Nazwisko Wartość domyślna opis
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Istnieje kilka plików dziennika dostępnych do rozwiązywania problemów opisanych w poniższej tabeli.

    Dziennik opis
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Rejestruje szczegóły składnika pulsu i agenta tożsamości.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Zawiera dane wyjściowe poleceń narzędzia azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Rejestruje szczegółowe informacje o składniku agenta konfiguracji gościa (zasad).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Rejestruje szczegółowe informacje o działaniu menedżera rozszerzeń (zdarzenia instalacji, odinstalowywania i uaktualniania rozszerzenia).
    %ProgramData%\GuestConfig\extension_logs Katalog zawierający dzienniki dla poszczególnych rozszerzeń.
  • Proces tworzy lokalne aplikacje rozszerzenia agenta hybrydowego grupy zabezpieczeń.

  • Po odinstalowaniu agenta pozostają następujące artefakty.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Szczegóły instalacji agenta systemu Linux

Preferowany format pakietu dystrybucji (.rpmlub .deb) hostowany w repozytorium pakietów firmy Microsoft udostępnia agenta połączonej maszyny dla systemu Linux. Pakiet skryptu powłoki Install_linux_azcmagent.sh instaluje i konfiguruje agenta.

Instalowanie, uaktualnianie i usuwanie agenta połączonej maszyny nie jest wymagane po ponownym uruchomieniu serwera.

Zainstalowanie agenta połączonej maszyny dla systemu Linux stosuje następujące zmiany konfiguracji w całym systemie.

  • Instalator tworzy następujące foldery instalacyjne.

    Katalog opis
    /opt/azcmagent/ azcmagent CLI i pliki wykonywalne usługi metadanych wystąpienia.
    /opt/GC_Ext/ Pliki wykonywalne usługi rozszerzenia.
    /opt/GC_Service/ Pliki wykonywalne usługi konfiguracji gościa (zasady).
    /var/opt/azcmagent/ Pliki tokenów konfiguracji, dziennika i tożsamości dla interfejsu wiersza polecenia azcmagent i usługi metadanych wystąpienia.
    /var/lib/GuestConfig/ Pobieranie pakietów rozszerzeń, pobieranie definicji konfiguracji gościa (zasad) oraz dzienniki dla usług konfiguracji rozszerzenia i gościa.
  • Zainstalowanie agenta powoduje utworzenie następujących demonów.

    Service name Display name Nazwa procesu opis
    himdsd.service Usługa agenta połączonej maszyny platformy Azure himds Ta usługa implementuje usługę metadanych wystąpienia hybrydowego (IMDS), aby zarządzać połączeniem z platformą Azure i tożsamością platformy Azure połączonej maszyny.
    gcad.service Usługa GC Arc gc_linux_service Przeprowadza inspekcję i wymusza zasady konfiguracji gościa platformy Azure na maszynie.
    extd.service Usługa rozszerzenia gc_linux_service Instaluje, aktualizuje rozszerzenia i zarządza nimi na maszynie.
  • Istnieje kilka plików dziennika dostępnych do rozwiązywania problemów opisanych w poniższej tabeli.

    Dziennik opis
    /var/opt/azcmagent/log/himds.log Rejestruje szczegóły składnika pulsu i agenta tożsamości.
    /var/opt/azcmagent/log/azcmagent.log Zawiera dane wyjściowe poleceń narzędzia azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Rejestruje szczegółowe informacje o składniku agenta konfiguracji gościa (zasad).
    /var/lib/GuestConfig/ext_mgr_logs Rejestruje szczegółowe informacje o działaniu menedżera rozszerzeń (zdarzenia instalacji, odinstalowywania i uaktualniania rozszerzenia).
    /var/lib/GuestConfig/extension_logs Katalog zawierający dzienniki dla poszczególnych rozszerzeń.
  • Instalacja agenta tworzy następujące zmienne środowiskowe ustawione w pliku /lib/systemd/system.conf.d/azcmagent.conf.

    Nazwisko Wartość domyślna opis
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Po odinstalowaniu agenta pozostają następujące artefakty.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Nadzór nad zasobami agenta

Agent połączonej maszyny platformy Azure jest przeznaczony do zarządzania użyciem agentów i zasobów systemowych. Agent podchodzi do ładu zasobów w następujących warunkach:

  • Usługa Konfiguracja komputera (wcześniej Konfiguracja gościa) może użyć do 5% procesora CPU do oceny zasad.

  • Usługa rozszerzenia może używać do 5% procesora CPU na maszynach z systemem Windows i 30% procesora CPU na maszynach z systemem Linux do instalowania, uaktualniania, uruchamiania i usuwania rozszerzeń. Niektóre rozszerzenia mogą stosować bardziej restrykcyjne limity procesora CPU po zainstalowaniu. Stosuje się następujące wyjątki:

    Typ rozszerzenia System operacyjny Limit procesora CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Podczas normalnych operacji zdefiniowanych jako agent połączonej maszyny platformy Azure połączony z platformą Azure i nie aktywnie modyfikując rozszerzenia lub oceniając zasady, można oczekiwać, że agent będzie korzystać z następujących zasobów systemowych:

Windows Linux
Użycie procesora CPU (znormalizowane do 1 rdzenia) 0.07% 0,02%
Użycie pamięci 57 MB 42 MB

Powyższe dane dotyczące wydajności zostały zebrane w kwietniu 2023 r. na maszynach wirtualnych z systemami Windows Server 2022 i Ubuntu 20.04. Rzeczywista wydajność agenta i użycie zasobów będą się różnić w zależności od konfiguracji sprzętu i oprogramowania serwerów.

Limity zasobów niestandardowych

Domyślne limity ładu zasobów są najlepszym wyborem dla większości serwerów. Jednak małe maszyny wirtualne i serwery z ograniczonymi zasobami procesora CPU mogą napotkać przekroczenia limitu czasu podczas zarządzania rozszerzeniami lub oceny zasad, ponieważ nie ma wystarczającej ilości zasobów procesora CPU do wykonania zadań. Począwszy od agenta w wersji 1.39, można dostosować limity procesora ZASTOSOWANE do menedżera rozszerzeń i usług konfiguracji maszyny, aby ułatwić agentowi szybsze wykonywanie tych zadań.

Aby wyświetlić bieżące limity zasobów dla menedżera rozszerzeń i usług konfiguracji maszyny, uruchom następujące polecenie.

azcmagent config list

W danych wyjściowych zobaczysz dwa pola i guestconfiguration.agent.cpulimit extensions.agent.cpulimit z bieżącym limitem zasobów określonym jako wartość procentowa. W nowej instalacji agenta oba te elementy będą wyświetlane 5 , ponieważ domyślny limit wynosi 5% procesora CPU.

Aby zmienić limit zasobów menedżera rozszerzeń na 80%, uruchom następujące polecenie:

azcmagent config set extensions.agent.cpulimit 80

Metadane wystąpienia

Metadane dotyczące połączonej maszyny są zbierane po zarejestrowaniu agenta połączonej maszyny na serwerach z obsługą usługi Azure Arc. Szczególnie:

  • Nazwa systemu operacyjnego, wersja, typ i wersja
  • Nazwa komputera
  • Producent i model komputera
  • W pełni kwalifikowana nazwa domeny komputera (FQDN)
  • Nazwa domeny (jeśli została przyłączona do domeny usługi Active Directory)
  • W pełni kwalifikowana nazwa domeny usługi Active Directory i DNS (FQDN)
  • UUID (identyfikator BIOS)
  • Puls agenta połączonej maszyny
  • Wersja agenta połączonej maszyny
  • Klucz publiczny tożsamości zarządzanej
  • Stan zgodności zasad i szczegóły (w przypadku korzystania z zasad konfiguracji gościa)
  • Zainstalowany program SQL Server (wartość logiczna)
  • Identyfikator zasobu klastra (dla maszyn lokalnych platformy Azure)
  • Producent sprzętu
  • Model sprzętu
  • Rodzina procesora CPU, gniazdo, liczba rdzeni fizycznych i logicznych
  • Całkowity rozmiar pamięci fizycznej
  • Numer seryjny
  • Tag zasobu SMBIOS
  • Informacje o interfejsie sieciowym
    • Adres IP
    • Podsieć
  • Informacje o licencjonowaniu systemu Windows
    • Stan licencji systemu operacyjnego
    • Kanał licencji systemu operacyjnego
    • Uprawnienia do rozszerzonych aktualizacji zabezpieczeń
    • Stan licencji rozszerzonych aktualizacji zabezpieczeń
    • Kanał licencji rozszerzonych aktualizacji zabezpieczeń
  • Dostawca usług w chmurze
  • Metadane usług Amazon Web Services (AWS) podczas uruchamiania na platformie AWS:
    • Identyfikator konta
    • Instance ID
    • Region (Region)
  • Metadane platformy Google Cloud Platform (GCP) podczas uruchamiania w GCP:
    • Instance ID
    • Obraz
    • Typ maszyny
    • Identyfikator projektu
    • Numer projektu
    • Konta usług
    • Strefa
  • Metadane infrastruktury chmury Oracle podczas uruchamiania w usłudze OCI:
    • Display name

Agent żąda następujących informacji o metadanych z platformy Azure:

  • Lokalizacja zasobu (region)
  • Identyfikator maszyny wirtualnej
  • Tagi
  • Certyfikat tożsamości zarządzanej firmy Microsoft Entra
  • Przypisania zasad konfiguracji gościa
  • Żądania rozszerzeń — instalowanie, aktualizowanie i usuwanie.

Uwaga

Serwery z obsługą usługi Azure Arc nie przechowują/przetwarzają danych klientów poza regionem, w którym klient wdraża wystąpienie usługi.

Opcje wdrożenia i wymagania

Wdrożenie agenta i połączenie maszyny wymagają pewnych wymagań wstępnych. Należy również pamiętać o wymaganiach dotyczących sieci.

Udostępniamy kilka opcji wdrażania agenta. Aby uzyskać więcej informacji, zobacz Planowanie opcji wdrażania i wdrażania.

Wytyczne dotyczące klonowania

Pakiet azcmagent można bezpiecznie zainstalować w złotym obrazie, ale po nawiązaniu połączenia z maszyną przy użyciu polecenia ta maszyna otrzymuje określone informacje o zasobie azcmagent connect . Jeśli tworzysz maszyny, klonując je ze złotego obrazu, musisz najpierw specjalizować każdą maszynę przed połączeniem jej z platformą Azure za pomocą azcmagent connect polecenia . Nie należy łączyć oryginalnej złotej maszyny obrazu z platformą Azure, dopóki nie utworzono i wyspecjalizowanej każdej maszyny.

Jeśli serwer połączony otrzymuje 429 komunikatów o błędach, prawdopodobnie serwer został połączony z platformą Azure, a następnie użył tego serwera jako złotego obrazu do klonowania. Ponieważ informacje o zasobie zostały zarejestrowane na obrazie, sklonowane maszyny utworzone na podstawie tego obrazu próbują wysłać komunikaty pulsu do tego samego zasobu.

Aby rozwiązać problemy z komunikatami o błędach 429 dla istniejących maszyn, uruchom azcmagent disconnect --force-local-only polecenie na każdej sklonowanej maszynie, a następnie uruchom azcmagent connect ponownie przy użyciu odpowiednich poświadczeń, aby połączyć maszyny z chmurą przy użyciu unikatowej nazwy zasobu.

Odzyskiwanie po awarii

Brak opcji odzyskiwania po awarii z obsługą klienta dla serwerów z obsługą usługi Arc. W przypadku awarii w regionie świadczenia usługi Azure system przejdzie w tryb failover do innego regionu w tej samej lokalizacji geograficznej platformy Azure (jeśli istnieje). Chociaż ta procedura trybu failover jest automatyczna, zajmuje trochę czasu. Agent połączonej maszyny zostanie odłączony w tym okresie i będzie wyświetlany stan Rozłączone do czasu zakończenia pracy w trybie failover. Po przywróceniu awarii system powróci do oryginalnego regionu.

Awaria usługi Azure Arc nie wpłynie na samo obciążenie klienta; tylko zarządzanie odpowiednimi serwerami za pośrednictwem usługi Arc będzie osłabione.

Następne kroki

  • Aby rozpocząć ocenianie serwerów z obsługą usługi Azure Arc, zobacz Szybki start: łączenie maszyn hybrydowych z serwerami z obsługą usługi Azure Arc.
  • Przed wdrożeniem agenta usługi Azure Connected Machine i zintegrowania z innymi usługami zarządzania i monitorowania platformy Azure zapoznaj się z przewodnikiem planowania i wdrażania.
  • Przejrzyj informacje dotyczące rozwiązywania problemów w przewodniku rozwiązywania problemów z połączeniem agenta.