Agente do Azure Arc
Quando ativa a gestão de convidados nas VMs VMware, o agente Azure Connected Machine é instalado nas VMs. Este é o mesmo agente que os servidores compatíveis com o Arc usam. O agente Azure Connected Machine permite-lhe gerir as máquinas do Windows e do Linux alojadas fora do Azure na sua rede empresarial ou noutros fornecedores de cloud. Este artigo mostra uma visão geral da arquitetura do agente Azure Connected Machine.
Componentes do agente
O pacote do agente do Azure Connected Machine contém vários componentes lógicos agrupados:
O serviço de Metadados de Instância Híbrida (HIMDS) gerencia a conexão com o Azure e a identidade do Azure da máquina conectada.
O agente de configuração convidado fornece funcionalidades como avaliar se a máquina está em conformidade com as políticas necessárias e impor a conformidade.
Observe o seguinte comportamento com a configuração de convidado da Política do Azure para uma máquina desconectada:
- Uma atribuição de Política do Azure destinada a máquinas desconectadas não é afetada.
- A atribuição de convidado é armazenada localmente por 14 dias. Dentro do período de 14 dias, se o agente Máquina Conectada se reconectar ao serviço, as atribuições de política serão reaplicadas.
- As atribuições são excluídas após 14 dias e não são reatribuídas à máquina após o período de 14 dias.
O agente de extensão gerencia extensões de VM, incluindo instalação, desinstalação e atualização. O Azure transfere extensões e copia-as para a pasta no Windows e para
/opt/GC_Ext/downloadso%SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloadsLinux. No Windows, a extensão é instalada no caminho%SystemDrive%\Packages\Plugins\<extension>e, no Linux, a extensão é instalada no/var/lib/waagent/<extension>.
Nota
O agente do Azure Monitor (AMA) é um agente separado que coleta dados de monitoramento e não substitui o agente de Máquina Conectada, o AMA substitui apenas o agente do Log Analytics, a extensão de Diagnóstico e o agente Telegraf para máquinas Windows e Linux.
Recursos do agente
As informações a seguir descrevem os diretórios e contas de usuário usados pelo agente do Azure Connected Machine.
Detalhes de instalação do agente do Windows
O agente do Windows é distribuído como um pacote do Windows Installer (MSI). Transfira o agente do Windows a partir do Centro de Transferências da Microsoft. A instalação do agente Connected Machine for Window aplica as seguintes alterações de configuração em todo o sistema:
O processo de instalação cria as seguintes pastas durante a instalação.
Diretório Descrição %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent e executáveis do serviço de metadados de instância. %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Executáveis do serviço de extensão. %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Executáveis do serviço de configuração de convidado (política). %ProgramData%\AzureConnectedMachineAgent Arquivos de token de configuração, log e identidade para a CLI azcmagent e o serviço de metadados da instância. %ProgramData%\GuestConfig Transferências de pacotes de extensão, transferências de definições de configuração de convidado (política) e registos para os serviços de extensão e configuração de convidado. %SYSTEMDRIVE%\packages Executáveis do pacote de extensão. A instalação do agente cria os seguintes serviços do Windows na máquina de destino.
Nome do serviço Nome a apresentar Nome do processo Description himds Azure Hybrid Instance Metadata Service himds Sincroniza metadados com o Azure e aloja uma API REST local para que as extensões e as aplicações acedam aos metadados e peçam tokens de identidade gerida do Microsoft Entra GCArcService Serviço do Arc de Configuração de Convidado gc_service Audita e impõe políticas de configuração de convidado do Azure na máquina. ExtensionService Serviço de Extensão de Configuração de Convidado gc_service Instala, atualiza e gere extensões na máquina. A instalação do agente cria a seguinte conta de serviço virtual.
Conta Virtual Description NT SERVICE\himds Conta sem privilégios usada para executar o Hybrid Instance Metadata Service- Gorjeta
Esta conta requer o direito Iniciar sessão como serviço . Esse direito é concedido automaticamente durante a instalação do agente, mas se sua organização configurar atribuições de direitos de usuário com a Diretiva de Grupo, talvez seja necessário ajustar o Objeto de Diretiva de Grupo para conceder o direito a NT SERVICE\himds ou NT SERVICE\ALL SERVICES para permitir que o agente funcione.
A instalação do agente cria o seguinte grupo de segurança local.
Nome do grupo de segurança Description Aplicações de extensão de agente híbrido Os membros deste grupo de segurança podem pedir tokens do Microsoft Entra para a identidade gerida atribuída pelo sistema A instalação do agente cria as seguintes variáveis ambientais:
Name Valor predefinido Description IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/tokenIMDS_ENDPOINT http://localhost:40342Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.
Registo Description %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Regista detalhes do heartbeat e do componente do agente de identidade. %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contém a saída dos comandos da ferramenta azcmagent. %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Regista detalhes do componente do agente de configuração de convidado (política). %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Regista detalhes da atividade do gestor de extensões (eventos de instalação, desinstalação e atualização de extensões). %ProgramData%\GuestConfig\extension_logs Diretório que contém registos de extensões individuais. O processo cria os aplicativos de extensão de agente híbrido do grupo de segurança local.
Após a desinstalação do agente, os seguintes artefatos permanecem:
- %ProgramData%\AzureConnectedMachineAgent\Log
- %ProgramData%\AzureConnectedMachineAgent
- %ProgramData%\GuestConfig
- %SystemDrive%\packages
Detalhes da instalação do agente Linux
O formato de pacote preferencial para a distribuição (.rpm ou .deb) hospedada no repositório de pacotes da Microsoft fornece o agente Connected Machine para Linux. O pacote de shell script Install_linux_azcmagent.sh instala e configura o agente.
Não é necessário instalar, atualizar e remover o agente de Máquina Conectada após a reinicialização do servidor.
A instalação do agente Connected Machine para Linux aplica as seguintes alterações de configuração em todo o sistema.
O programa de instalação cria as seguintes pastas de instalação.
Diretório Description /opt/azcmagent/ CLI azcmagent e executáveis do serviço de metadados de instância. /opt/GC_Ext/ Executáveis do serviço de extensão. /opt/GC_Service/ Executáveis do serviço de configuração de convidado (política). /var/opt/azcmagent/ Ficheiros de configuração, de registo e de token de identidade para a CLI azcmagent e o serviço de metadados da instância. /var/lib/GuestConfig/ Transferências de pacotes de extensão, transferências de definições de configuração de convidado (política) e registos para os serviços de extensão e configuração de convidado. A instalação do agente cria os seguintes daemons.
Nome do serviço Nome a apresentar Nome do processo Description himdsd.service Serviço Azure Connected Machine Agent himds Este serviço implementa o serviço de Metadados de Instância Híbrida (IMDS) para gerenciar a conexão com o Azure e a identidade do Azure da máquina conectada. gcad.service Serviço GC Arc gc_linux_service Audita e impõe políticas de configuração de convidado do Azure na máquina. extd.service Serviço de Extensão gc_linux_service Instala, atualiza e gere extensões na máquina. Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.
Registo Description /var/opt/azcmagent/log/himds.log Regista detalhes do heartbeat e do componente do agente de identidade. /var/opt/azcmagent/log/azcmagent.log Contém a saída dos comandos da ferramenta azcmagent. /var/lib/GuestConfig/arc_policy_logs Regista detalhes do componente do agente de configuração de convidado (política). /var/lib/GuestConfig/ext_mgr_logs Regista detalhes da atividade do gestor de extensões (eventos de instalação, desinstalação e atualização de extensões). /var/lib/GuestConfig/extension_logs Diretório que contém registos de extensões individuais. A instalação do agente cria as seguintes variáveis de ambiente, definidas em
/lib/systemd/system.conf.d/azcmagent.conf.Name Valor predefinido Description IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/tokenIMDS_ENDPOINT http://localhost:40342Após a desinstalação do agente, os seguintes artefatos permanecem:
- /var/opt/azcmagent
- /var/lib/GuestConfig
Governança de recursos do agente
O agente do Azure Connected Machine foi projetado para gerenciar o consumo de recursos do agente e do sistema. O agente aborda a governança de recursos nas seguintes condições:
O agente de Configuração de Convidado pode usar até 5% da CPU para avaliar políticas.
O agente do Serviço de Extensão pode usar até 5% da CPU para instalar, atualizar, executar e excluir extensões. Algumas extensões podem aplicar limites de CPU mais restritivos depois de instaladas. Aplicam-se as seguintes exceções:
Tipo de extensão Sistema operativo Limite de CPU AzureMonitorLinuxAgent Linux 60% AzureMonitorWindowsAgent Windows 100% AzureSecurityLinuxAgent Linux 30% LinuxOsUpdateExtension Linux 60% MDE.Linux Linux 60% MicrosoftDnsAgent Windows 100% MicrosoftMonitoringAgent Windows 60% OmsAgentForLinux Windows 60%
Durante as operações normais, definidas como o agente do Azure Connected Machine sendo conectado ao Azure e não modificando ativamente uma extensão ou avaliando uma política, você pode esperar que o agente consuma os seguintes recursos do sistema:
| Windows | Linux | |
|---|---|---|
| Uso da CPU (normalizado para 1 núcleo) | 0.07% | 0,02% |
| Utilização da memória | 57 MB | 42 MB |
Os dados de desempenho acima foram coletados em abril de 2023 em máquinas virtuais que executam o Windows Server 2022 e o Ubuntu 20.04. O desempenho real do agente e o consumo de recursos variam com base na configuração de hardware e software dos servidores.
Metadados da instância
As informações de metadados sobre uma máquina conectada são coletadas depois que o agente da Máquina Conectada se registra nos servidores habilitados para Azure Arc, especificamente:
- Nome, tipo e versão do sistema operacional
- Nome do computador
- Fabricante e modelo do computador
- FQDN (nome de domínio totalmente qualificado) do computador
- Nome de domínio (se associado a um domínio do Ative Directory)
- FQDN (nome de domínio totalmente qualificado) do Ative Directory e DNS
- UUID (ID BIOS)
- Pulsação do agente da Máquina Conectada
- Versão do agente da Máquina Conectada
- Chave pública para identidade gerenciada
- Status e detalhes de conformidade da política (se estiver usando políticas de configuração de convidado)
- SQL Server instalado (valor booleano)
- ID do recurso de cluster (para nós locais do Azure)
- Fabricante de hardware
- Modelo de hardware
- Família de CPU, soquete, núcleo físico e contagens de núcleo lógico
- Total de memória física
- Número de série
- Tag de ativo SMBIOS
- Fornecedor de serviços cloud
- Metadados da Amazon Web Services (AWS), quando executados na AWS:
- ID de conta
- Instance ID
- País/Região
- Metadados do Google Cloud Platform (GCP), quando executados no GCP:
- Instance ID
- Image
- Tipo de máquina
- ID do Projeto
- Número do projeto
- Contas de serviço
- Zona
O agente solicita as seguintes informações de metadados do Azure:
- Localização do recurso (região)
- ID da máquina virtual
- Etiquetas
- Certificado de identidade gerenciado Microsoft Entra
- Atribuições de política de configuração de convidado
- Solicitações de extensão - instalar, atualizar e excluir.
Nota
Os servidores habilitados para Arco do Azure não armazenam/processam dados do cliente fora da região em que o cliente implanta a instância de serviço.