Agente do Azure Arc
Quando você permite o gerenciamento de convidados em VMs VMware, o agente Azure Connected Machine é instalado nas VMs. Esse é o mesmo agente usado pelos servidores habilitados para Arc. O agente do Azure Connected Machine permite que você gerencie computadores Windows e Linux hospedados fora do Azure em sua rede corporativa ou em outro provedor de nuvem. Este artigo fornece uma visão geral da arquitetura do agente de computador conectado do Azure.
Componentes do agente
O pacote do agente Azure Connected Machine contém vários componentes lógicos agrupados:
O Hybrid Instance Metadata service (HIMDS) gerencia a conexão com o Azure e a identidade do Azure do Connected Machine.
O agente de configuração de convidado fornece a funcionalidade de avaliar se o computador está em conformidade com as políticas necessárias e de aplicar a conformidade.
Observe o seguinte comportamento que ocorre com a configuração de convidado do Azure Policy em um computador desconectado:
- Uma atribuição do Azure Policy que se destina a computadores desconectados não é afetada.
- A atribuição de convidado é armazenada localmente por 14 dias. Dentro do período de 14 dias, se o Agente do Connected Machine se reconectar ao serviço, as atribuições de política serão reaplicadas.
- As atribuições são excluídas após 14 dias e não são reatribuídas ao computador após o período de 14 dias.
O agente de Extensão gerencia extensões de VM, incluindo instalar, desinstalar e atualizar. O Azure baixa as extensões e as copia para a pasta
%SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloadsno Windows e para/opt/GC_Ext/downloadsno Linux. No Windows, a extensão é instalada no caminho%SystemDrive%\Packages\Plugins\<extension>e, no Linux, a extensão é instalada em/var/lib/waagent/<extension>.
Observação
O agente de Azure monitor (AMA) é um agente separado que coleta dados de monitoramento e não substitui o agente de máquina conectado; o AMA apenas substitui o agente Log Analytics, a extensão de diagnóstico e o agente Telegraf para computadores Windows e Linux.
Recursos do agente
As informações a seguir descrevem os diretórios e contas de usuário usados pelo agente do Azure Connected Machine.
Detalhes de instalação do agente Windows
O agente do Windows é distribuído como um pacote do Windows Installer (MSI). Faça o download do agente do Windows no Microsoft Download Center. A instalação do agente do Connected Machine para Windows aplica as seguintes alterações de configuração em todo o sistema:
O processo de instalação cria as seguintes pastas durante a instalação.
Diretório Descrição %ProgramFiles%\AzureConnectedMachineAgent CLI do azcmagent e executáveis do serviço de metadados de instância. %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Executáveis do serviço de extensão. %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Executáveis de serviço de configuração de convidado (política). %ProgramData%\AzureConnectedMachineAgent Arquivos de token de configuração, log e identidade para a CLI do azcmagent e o serviço de metadados de instância. %ProgramData%\GuestConfig Downloads de pacote de extensão, downloads de definição de configuração de convidado (política) e logs para os serviços de configuração de convidado e extensão. %SYSTEMDRIVE%\packages Executáveis do pacote de extensão. A instalação do agente cria os seguintes serviços Windows no computador de destino.
Nome do serviço Nome de exibição Nome do processo Descrição himds Serviço de Metadados de Instância do Azure Híbrido himds Sincroniza metadados com o Azure e hospeda uma API REST local para que extensões e aplicativos acessem os metadados e solicitem tokens de identidade gerenciados pelo Microsoft Entra GCArcService Serviço de configuração de convidado para Arc gc_service Audita e impõe as políticas de configuração de convidado do Azure na máquina. ExtensionService Serviço de extensão de configuração de convidado gc_service Instala, atualiza e gerencia extensões na máquina. A instalação do agente cria a seguinte conta de serviço virtual.
Conta Virtual Descrição NT SERVICE\himds Conta sem privilégios usada para executar o Hybrid Instance Metadata Service. Dica
Essa conta requer o direito Logar como um serviço. Esse direito é concedido automaticamente durante a instalação do agente, mas se a sua organização configurar atribuições de direitos de usuário com a Política de Grupo, talvez seja necessário ajustar o Objeto de Política de Grupo para conceder o direito a NT SERVICE\himds ou NT SERVICE\ALL SERVICES para permitir que o agente funcione.
A instalação do agente cria o seguinte grupo de segurança local.
Nome do grupo de segurança Descrição Aplicativos de extensão de agente híbrido Os membros desse grupo de segurança podem solicitar tokens do Microsoft Entra para a identidade gerenciada atribuída pelo sistema A instalação do agente cria as seguintes variáveis de ambiente
Nome Valor padrão Descrição IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/tokenIMDS_ENDPOINT http://localhost:40342Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.
Log Descrição %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Registra os detalhes do componente do agente de identidade e de pulsação. %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contém a saída dos comandos da ferramenta azcmagent. %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Registra detalhes sobre o componente do agente de configuração de convidado (política). %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Registra detalhes sobre a atividade do gerenciador de extensão (eventos de instalação, desinstalação e atualização de extensão). %ProgramData%\GuestConfig\extension_logs Diretório contendo logs para ramais individuais. O processo cria o grupo de segurança local Aplicativos de extensão do agente híbrido.
Após a desinstalação do agente, os seguintes artefatos permanecem:
- %ProgramData%\AzureConnectedMachineAgent\Log
- %ProgramData%\AzureConnectedMachineAgent
- %ProgramData%\GuestConfig
- %SystemDrive%\packages
Detalhes de instalação do agente Linux
O formato de pacote preferencial para a distribuição (.rpm ou .deb) que está hospedada no repositório de pacotes da Microsoft fornece o agente do Connected Machine para Linux. O pacote de scripts shell Install_linux_azcmagent.sh instala e configura o agente.
A instalação, a atualização e a remoção do agente do Connected Machine não são necessários após a reinicialização do servidor.
A instalação do agente do Connected Machine para Linux aplica as seguintes alterações de configuração em todo o sistema.
A instalação cria as seguintes pastas de instalação.
Diretório Descrição /opt/azcmagent/ CLI do azcmagent e executáveis do serviço de metadados de instância. /opt/GC_Ext/ Executáveis do serviço de extensão. /opt/GC_Service/ Executáveis de serviço de configuração de convidado (política). /var/opt/azcmagent/ Arquivos de token de configuração, log e identidade para a CLI do azcmagent e o serviço de metadados de instância. /var/lib/GuestConfig/ Downloads de pacote de extensão, downloads de definição de configuração de convidado (política) e logs para os serviços de configuração de convidado e extensão. A instalação do agente cria os seguintes daemons.
Nome do serviço Nome de exibição Nome do processo Descrição himdsd. Service Serviço do Azure Connected Machine Agent himds Esse serviço implementa o IMDS (serviço de metadados de instância) híbrido para gerenciar a conexão com o Azure e a identidade do Azure do computador conectado. gcad.service GC Arc Service gc_linux_service Audita e impõe as políticas de configuração de convidado do Azure na máquina. extd.service Serviço de extensão gc_linux_service Instala, atualiza e gerencia extensões na máquina. Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.
Log Descrição /var/opt/azcmagent/log/himds.log Registra os detalhes do componente do agente de identidade e de pulsação. /var/opt/azcmagent/log/azcmagent.log Contém a saída dos comandos da ferramenta azcmagent. /var/lib/GuestConfig/arc_policy_logs Registra detalhes sobre o componente do agente de configuração de convidado (política). /var/lib/GuestConfig/ext_mgr_logs Registra detalhes sobre a atividade do gerenciador de extensão (eventos de instalação, desinstalação e atualização de extensão). /var/lib/GuestConfig/extension_logs Diretório contendo logs para ramais individuais. A instalação do agente cria as seguintes variáveis de ambiente, definidas em
/lib/systemd/system.conf.d/azcmagent.conf.Nome Valor padrão Descrição IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/tokenIMDS_ENDPOINT http://localhost:40342Após a desinstalação do agente, os seguintes artefatos permanecem:
- /var/opt/azcmagent
- /var/lib/GuestConfig
Governança de recursos do agente
O agente do Azure Connected Machine foi projetado para gerenciar o consumo de recursos do agente e do sistema. O agente lida com a governança de recursos nas seguintes condições:
O agente de Configuração de Convidado pode usar até 5% da CPU para avaliar as políticas.
O agente do Serviço de Extensão pode usar até 5% da CPU para instalar, atualizar, executar e excluir extensões. Algumas extensões podem aplicar limites de CPU mais restritivos depois de instaladas. As seguintes exceções se aplicam:
Tipo de extensão Sistema operacional Limite da CPU AzureMonitorLinuxAgent Linux 60% AzureMonitorWindowsAgent Windows 100% Agente AzureSecurityLinux Linux 30% LinuxOsUpdateExtension Linux 60% MDE.Linux Linux 60% MicrosoftDnsAgent Windows 100% MicrosoftMonitoringAgent Windows 60% OmsAgentForLinux Windows 60%
Durante operações normais, definidas como o agente do Azure Connected Machine sendo conectado ao Azure e não modificando ativamente uma extensão ou avaliando uma política, você pode esperar que o agente consuma os seguintes recursos do sistema:
| Windows | Linux | |
|---|---|---|
| Uso da CPU (normalizado para 1 núcleo) | 0,07% | 0,02% |
| Uso de memória | 57 MB | 42 MB |
Os dados de desempenho acima foram coletados em abril de 2023 em máquinas virtuais que executam o Windows Server 2022 e o Ubuntu 20.04. O desempenho real do agente e o consumo de recursos variam de acordo com a configuração de hardware e software de seus servidores.
Metadados da instância
As informações de metadados sobre uma computador conectado são coletadas depois que o agente do Connected Machine se registra nos servidores habilitados para Azure Arc, especificamente:
- Nome, tipo e versão do sistema operacional
- Nome do computador
- Modelo e fabricante do computador
- FQDN (nome de domínio totalmente qualificado) do computador
- Nome de domínio (se ingressado em um domínio do Active Directory)
- Active Directory e FQDN (nome de domínio totalmente qualificado) do DNS
- UUID (ID DO BIOS)
- Pulsação do Connected Machine Agent
- Versão do agente do Connected Machine
- Chave pública para identidade gerenciada
- Detalhes e status de conformidade da política (se estiver usando políticas de configuração de convidado)
- SQL Server instalado (Valor booliano)
- ID de recurso do cluster (para nós locais do Azure)
- Fabricante de hardware
- Modelo de hardware
- Família, soquete, núcleo físico e contagem de núcleos lógicos da CPU
- Memória física total
- Número de série
- Marca de ativo SMBIOS:
- Provedor de nuvem
- Metadados do AWS (Amazon Web Services) ao executar no AWS:
- ID da Conta
- ID da Instância
- Region
- Metadados do GCP (Google Cloud Platform) ao executar no GCP:
- ID da Instância
- Imagem
- Tipo de computador
- ID do projeto
- Número do projeto
- Contas de serviço
- Zona
O agente solicita as seguintes informações de metadados do Azure:
- Localização do recurso (região)
- ID da máquina virtual
- Marcações
- Certificado de identidade gerenciada do Microsoft Entra
- Atribuições da política de Configuração de Convidado
- Solicitações de extensão – instalar, atualizar e excluir.
Observação
Os servidores habilitados para Azure Arc não armazenam/processam dados de clientes fora da região em que o cliente implantar a instância de serviço.