Поделиться через

Агент Azure Arc

  • Статья

При включении гостевого управления на виртуальных машинах VMware на виртуальных машинах устанавливается агент Azure Connected Machine. Это тот же агент, что и для серверов с поддержкой Arc. Агент Azure Connected Machine позволяет управлять компьютерами с операционными системами Windows и Linux, размещенными за пределами Azure в вашей корпоративной сети или у другого поставщика облачных служб. В этой статье приведен обзор архитектуры агента Azure Connected Machine.

Компоненты агента

Схема архитектуры агента подключенного компьютера Azure.

Примечание.

Приведенная выше схема архитектуры была создана в рамках Arc Jumpstart. Чтобы скачать исходный файл в формате высокого разрешения, перейдите на страницу Jumpstart Gems.

Пакет агента подключенного компьютера Azure содержит несколько логических компонентов, объединенных в состав:

  • Служба Hybrid Instance Metadata Service (HIMDS) управляет подключением к Azure и удостоверением Azure подключенного компьютера.

  • Агент гостевой конфигурации обеспечивает такие функции, как оценка соответствия компьютера требуемым политикам и обеспечение соблюдения требований.

    Обратите внимание на следующее поведение в гостевой конфигурации Политики Azure для отключенного компьютера.

    • Назначение Политики Azure, предназначенное для отключенных компьютеров, не затрагивается.
    • Гостевое назначение хранится локально в течение 14 дней. Если агент Connected Machine повторно подключается к службе в течение 14-дневного периода, назначения политик применяются заново.
    • Назначения удаляются через 14 дней и не переназначаются компьютеру после 14-дневного периода.

  • Агент расширений управляет расширениями виртуальной машины, включая установку, удаление и обновление. Azure загружает расширения и копирует их в папку %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads в Windows и /opt/GC_Ext/downloads в Linux. В Windows расширение устанавливается в путь %SystemDrive%\Packages\Plugins\<extension>, а в Linux устанавливается /var/lib/waagent/<extension>расширение.

Примечание.

Агент Azure Monitor (AMA) — это отдельный агент, который собирает данные мониторинга, и он не заменяет агент подключенного компьютера. AMA заменяет агент Log Analytics, расширение диагностики и агент Telegraf для компьютеров Windows и Linux.

Ресурсы агента

В следующих сведениях описываются каталоги и учетные записи пользователей, используемые агентом подключенного компьютера Azure.

Сведения об установке агента для Windows

Агент для Windows распространяется как пакет установщика Windows (MSI). Агент для Windows можно загрузить в Центре загрузки Майкрософт. Установка агента подключенного компьютера для Окна применяет следующие изменения конфигурации на уровне системы:

  • Процесс установки создает следующие папки во время установки.

    Directory Description
    %ProgramFiles%\AzureConnectedMachineAgent Интерфейс коммандной строки (CLI) azcmagent и исполняемые файлы службы метаданных экземпляра.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Исполняемые файлы службы расширений.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Исполняемые файлы службы гостевой конфигурации (политики).
    %ProgramData%\AzureConnectedMachineAgent Файлы маркеров конфигурации, журнала и идентификации для azcmagent CLI и службы метаданных экземпляра.
    %ProgramData%\GuestConfig Загрузки пакетов расширений, загрузки определений гостевой конфигурации (политики) и журналы для служб расширения и гостевой конфигурации.
    %SYSTEMDRIVE%\packages Исполняемые файлы пакета расширения.

  • Установка агента создает следующие службы Windows на целевом компьютере.

    Service name Показать имя Наименование процесса Description
    himds Гибридная служба метаданных экземпляров Azure himds Синхронизирует метаданные с Azure и размещает локальный REST API для расширений и приложений с целью получения доступа к метаданным и запроса маркеров управляемого удостоверения Microsoft Entra
    GCArcService Служба Arc гостевой конфигурации gc_service Проверяет и применяет политики гостевой конфигурации Azure на компьютере.
    ExtensionService Служба расширений гостевой конфигурации gc_service Устанавливает и обновляет расширениями на компьютере, а также управляет ими.

  • Установка агента создает следующую учетную запись виртуальной службы.

    Виртуальная учетная запись Description
    NT SERVICE\himds Непривилегированная учетная запись, используемая для запуска службы Hybrid Instance Metadata Service.

    Совет

    Для этой учетной записи требуется право входа в качестве службы . Это право автоматически предоставляется во время установки агента, но если организация настраивает назначения прав пользователей с помощью групповой политики, может потребоваться настроить объект групповой политики, чтобы предоставить право NT SERVICE\himds или NT SERVICE\ALL SERVICES , чтобы разрешить агенту функционировать.

  • Установка агента создает следующую локальную группу безопасности.

    Имя группы безопасности Description
    Приложения расширения гибридного агента Члены этой группы безопасности могут запрашивать маркеры Microsoft Entra для управляемого удостоверения, назначаемого системой

  • Установка агента создает следующие переменные среды

    Имя. Значение по умолчанию Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Существует несколько файлов журналов, доступных для устранения неполадок, описанных в следующей таблице.

    Журнал Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Записывает сведения о компоненте пакета пульса и агента удостоверений.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Содержит выходные данные команд инструмента azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Записывает сведения о компоненте агента гостевой конфигурации (политики).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Записывает сведения о действиях диспетчера расширений (события установки, удаления и обновления расширений).
    %ProgramData%\GuestConfig\extension_logs Каталог, содержащий журналы по отдельным расширениям.

  • Процесс создает приложения расширения гибридного агента локальной группы безопасности.

  • После удаления агента остаются следующие артефакты:

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\Packages

Сведения об установке агента для Linux

Предпочтительный формат пакета для дистрибутива (.rpmили.deb), размещенного в репозитории пакетов Майкрософт, предоставляет агент подключенного компьютера для Linux. Пакет скриптов оболочки Install_linux_azcmagent.sh устанавливает и настраивает агент.

Установка, обновление и удаление агента подключенного компьютера не требуется после перезагрузки сервера.

Установка агента подключенного компьютера для Linux применяет следующие изменения конфигурации на уровне системы.

  • Программа установки создает следующие папки установки.

    Directory Description
    /opt/azcmagent/ Интерфейс коммандной строки (CLI) azcmagent и исполняемые файлы службы метаданных экземпляра.
    /opt/GC_Ext/ Исполняемые файлы службы расширений.
    /opt/GC_Service/ Исполняемые файлы службы гостевой конфигурации (политики).
    /var/opt/azcmagent/ Файлы конфигурации, журналов и маркеров удостоверений для интерфейса командной строки azcmagent и службы метаданных экземпляра.
    /var/lib/GuestConfig/ Загрузки пакетов расширений, загрузки определений гостевой конфигурации (политики) и журналы для служб расширения и гостевой конфигурации.

  • Установка агента создает следующие daemons.

    Service name Показать имя Наименование процесса Description
    himdsd.service Служба Azure Connected Machine Agent himds Эта служба реализует службу метаданных гибридного экземпляра (IMDS) для управления подключением к Azure и удостоверениям Azure подключенного компьютера.
    gcad.service Служба GC Arc gc_linux_service Проверяет и применяет политики гостевой конфигурации Azure на компьютере.
    extd.service Служба расширений gc_linux_service Устанавливает и обновляет расширениями на компьютере, а также управляет ими.

  • Существует несколько файлов журналов, доступных для устранения неполадок, описанных в следующей таблице.

    Журнал Description
    /var/opt/azcmagent/log/himds.log Записывает сведения о компоненте пакета пульса и агента удостоверений.
    /var/opt/azcmagent/log/azcmagent.log Содержит выходные данные команд инструмента azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Записывает сведения о компоненте агента гостевой конфигурации (политики).
    /var/lib/GuestConfig/ext_mgr_logs Записывает сведения о действиях диспетчера расширений (события установки, удаления и обновления расширений).
    /var/lib/GuestConfig/extension_logs Каталог, содержащий журналы по отдельным расширениям.

  • Установка агента создает следующие переменные среды, заданные в /lib/systemd/system.conf.d/azcmagent.conf.

    Имя. Значение по умолчанию Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • После удаления агента остаются следующие артефакты:

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Управление ресурсами агента

Агент подключенного компьютера Azure предназначен для управления потреблением агентов и системных ресурсов. Агент использует следующий подход к управлению ресурсами.

  • Агент гостевой конфигурации может использовать до 5 % ЦП для оценки политик.

  • Агент службы расширений может использовать до 5 % ЦП для установки, обновления, запуска и удаления расширений. Некоторые расширения могут применять более строгие ограничения ЦП после установки. Применяются следующие исключения:

    тип расширения; Операционная система Ограничение ЦП
    AzureMonitorLinuxAgent Linux 60 %
    AzureMonitorWindowsAgent Windows 100%
    AzureSecurityLinuxAgent Linux 30%
    LinuxOsUpdateExtension Linux 60 %
    MDE.Linux Linux 60 %
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60 %
    OmsAgentForLinux Windows 60 %

Во время обычных операций, определенных как агент подключенной машины Azure к Azure и не изменяя расширение или оценивая политику, можно ожидать, что агент будет использовать следующие системные ресурсы:

Windows Linux
Использование ЦП (нормализовано до 1 ядра) 0,07 % 0,02 %
Использование памяти. 57 МБ 42 МБ

Приведенные выше данные о производительности были собраны в апреле 2023 года на виртуальных машинах под управлением Windows Server 2022 и Ubuntu 20.04. Фактические производительность агента и потребление ресурсов зависят от конфигурации оборудования и программного обеспечения серверов.

Метаданные экземпляра

Метаданные подключенного компьютера собираются после регистрации агента подключенного компьютера с серверами с поддержкой Azure Arc, в частности:

  • имя, тип и версия операционной системы;
  • Имя компьютера
  • Производитель и модель компьютера
  • полное доменное имя (FQDN) компьютера;
  • Доменное имя (при присоединении к домену Active Directory)
  • Active Directory и полное доменное имя DNS (FQDN);
  • UUID (идентификатор BIOS);
  • пульс агента Connected Machine;
  • версия агента подключенного компьютера.
  • открытый ключ для управляемого удостоверения;
  • состояние и сведения о соответствии политике (при использовании политик гостевой конфигурации);
  • SQL Server установлен (логическое значение)
  • Идентификатор ресурса кластера (для локальных узлов Azure)
  • Изготовитель оборудования
  • Аппаратная модель
  • Семейство ЦП, сокет, физическое ядро и количество логических ядер
  • Общий объем физической памяти
  • Серийный номер
  • Тег ресурса SMBIOS
  • Обязательства поставщика
  • Метаданные Amazon Web Services (AWS) при запуске в AWS:
    • Код счета
    • Instance ID
    • Область/регион
  • Метаданные Google Cloud Platform (GCP) при выполнении в GCP:
    • Instance ID
    • Изображения
    • Тип компьютера
    • Код проекта
    • Номер проекта
    • учетные записи служб;
    • Зона

Агент запрашивает следующие сведения метаданных из Azure:

  • расположение ресурса (область);
  • Virtual machine ID (Идентификатор виртуальной машины)
  • Теги
  • Сертификат управляемого удостоверения Microsoft Entra
  • назначения политики гостевой конфигурации;
  • запросы расширения — установка, обновление и удаление.

Примечание.

Серверы с поддержкой Azure Arc не хранят и не обрабатывают данные клиента за пределами региона, в который клиент развертывает экземпляр службы.

Следующие шаги