Dela via

Azure Arc-agent

  • Artikel

När du aktiverar gästhantering på virtuella VMware-datorer installeras Azure Connected Machine-agenten på de virtuella datorerna. Det här är samma agent som Arc-aktiverade servrar använder. Hantera dina Windows- och Linux-datorer utanför Azure i ditt företagsnätverk eller hos en annan molnleverantör på ungefär samma sätt som du hanterar interna virtuella Azure-datorer. Den här artikeln innehåller en arkitekturöversikt över Azure Connected Machine Agent.

Agentkomponenter

Diagram över arkitekturöversikt för Azure Connected Machine-agenten.

Azure Connected Machine-agentpaketet innehåller flera logiska komponenter som paketeras:

  • Hybrid Instance Metadata Service (HIMDS) hanterar anslutningen till Azure och den anslutna datorns Azure-identitet.

  • Gästkonfigurationsagenten tillhandahåller funktioner som att bedöma om datorn uppfyller de principer som krävs och framtvinga efterlevnad.

    Observera följande beteende med Azure Policy-gästkonfiguration för en frånkopplad dator:

    • En Azure Policy-tilldelning som riktar sig till frånkopplade datorer påverkas inte.
    • Gästtilldelning lagras lokalt i 14 dagar. Om den anslutna datoragenten återansluter till tjänsten inom 14 dagar tillämpas principtilldelningar på nytt.
    • Tilldelningar tas bort efter 14 dagar och tilldelas inte om till datorn efter 14-dagarsperioden.

  • Tilläggsagenten hanterar VM-tillägg, inklusive installation, avinstallation och uppgradering. Azure laddar ned tillägg och kopierar dem till %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads mappen i Windows och till /opt/GC_Ext/downloads i Linux. I Windows installeras tillägget på sökvägen %SystemDrive%\Packages\Plugins\<extension>och i Linux installeras tillägget på /var/lib/waagent/<extension>.

Kommentar

Azure Monitor-agenten (AMA) är en separat agent som samlar in övervakningsdata och den ersätter inte agenten ansluten dator. AMA ersätter endast Log Analytics-agenten, diagnostiktillägget och Telegraf-agenten för både Windows- och Linux-datorer.

Agentresurser

Följande information beskriver de kataloger och användarkonton som används av Azure Connected Machine-agenten.

Installationsinformation för Windows-agent

Windows-agenten distribueras som ett Windows Installer-paket (MSI). Ladda ned Windows-agenten från Microsoft Download Center. När du installerar connected machine-agenten för Window tillämpas följande systemomfattande konfigurationsändringar:

  • Installationsprocessen skapar följande mappar under installationen.

    Katalog beskrivning
    %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI och körbara filer för instansmetadatatjänster.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Körbara filer för tilläggstjänster.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Körbara filer för gästkonfiguration (policy).
    %ProgramData%\AzureConnectedMachineAgent Konfigurations-, logg- och identitetstokenfiler för azcmagent CLI och instansmetadatatjänsten.
    %ProgramData%\GuestConfig Nedladdningar av tilläggspaket, nedladdningar av definitioner för gästkonfiguration (policy) och loggar för tilläggs- och gästkonfigurationstjänsterna.
    %SYSTEMDRIVE%\packages Körbara tilläggspaket.

  • När du installerar agenten skapas följande Windows-tjänster på måldatorn.

    Servicenamn Visningsnamn Processnamn beskrivning
    himds Azure Hybrid Instance Metadata Service himds Synkroniserar metadata med Azure och är värd för ett lokalt REST API för tillägg och applikationer för att komma åt metadata och begära Microsoft Entra-hanterade identitetstoken
    GCArcService Arc-tjänsten för gästkonfiguration gc_service Granskar och upprätthåller Azure-gästkonfigurationspolicyer på datorn.
    ExtensionService Tilläggstjänst för gästkonfiguration gc_service Installerar, uppdaterar och hanterar tillägg på datorn.

  • Agentinstallation skapar följande virtuella tjänstkonto.

    Virtuellt konto beskrivning
    NT SERVICE\himds Konto utan privilegier som används för att köra hybridinstansmetadatatjänsten.

    Dricks

    Det här kontot kräver inloggning som tjänsträtt . Den här rättigheten beviljas automatiskt under agentinstallationen, men om din organisation konfigurerar tilldelningar av användarrättigheter med grupprincip kan du behöva justera ditt grupprincip-objekt för att ge behörighet till NT SERVICE\himds eller NT SERVICE\ALL SERVICES så att agenten kan fungera.

  • Agentinstallationen skapar följande lokala säkerhetsgrupp.

    Namn på säkerhetsgrupp beskrivning
    Tilläggsprogram för hybridagenter Medlemmar i den här säkerhetsgruppen kan begära Microsoft Entra-tokens för den systemtilldelade hanterade identiteten

  • Agentinstallation skapar följande miljövariabler

    Name Standardvärde beskrivning
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Det finns flera tillgängliga loggfiler för felsökning, som beskrivs i följande tabell.

    Loggas beskrivning
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Registrerar information om komponenten för pulsslag och identitetsagent.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Innehåller utdata från azcmagent-verktygskommandona.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Registrerar information om agentkomponenten för gästkonfiguration (policy).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Registrerar information om aktivitet i tilläggshanteraren (händelser för installation, avinstallation och uppgradering av tillägg).
    %ProgramData%\GuestConfig\extension_logs Katalog med loggar för enskilda tillägg.

  • Processen skapar den lokala säkerhetsgruppen hybridagenttilläggsprogram.

  • När agenten har avinstallerats finns följande artefakter kvar:

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Installationsinformation för Linux-agent

Det föredragna paketformatet för distributionen (.rpm eller .deb) som finns på Microsoft-paketlagringsplatsen tillhandahåller connected machine-agenten för Linux. Shell-skriptpaketet Install_linux_azcmagent.sh installerar och konfigurerar agenten.

Installation, uppgradering och borttagning av connected machine-agenten krävs inte efter omstart av servern.

När du installerar connected machine-agenten för Linux tillämpas följande systemomfattande konfigurationsändringar.

  • Installationsprogrammet skapar följande installationsmappar.

    Katalog beskrivning
    /opt/azcmagent/ azcmagent CLI och körbara filer för instansmetadatatjänster.
    /opt/GC_Ext/ Körbara filer för tilläggstjänster.
    /opt/GC_Service/ Körbara filer för gästkonfiguration (policy).
    /var/opt/azcmagent/ Konfigurations-, logg- och identitetstokenfiler för azcmagent CLI och instansmetadatatjänsten.
    /var/lib/GuestConfig/ Nedladdningar av tilläggspaket, nedladdningar av definitioner för gästkonfiguration (policy) och loggar för tilläggs- och gästkonfigurationstjänsterna.

  • När du installerar agenten skapas följande daemoner.

    Servicenamn Visningsnamn Processnamn beskrivning
    himdsd.service Azure Connected Machine Agent Service himds Den här tjänsten implementerar tjänsten Hybrid Instance Metadata (IMDS) för att hantera anslutningen till Azure och den anslutna datorns Azure-identitet.
    gcad.service GC Arc-tjänst gc_linux_service Granskar och upprätthåller Azure-gästkonfigurationspolicyer på datorn.
    extd.service Tilläggstjänst gc_linux_service Installerar, uppdaterar och hanterar tillägg på datorn.

  • Det finns flera tillgängliga loggfiler för felsökning, som beskrivs i följande tabell.

    Loggas beskrivning
    /var/opt/azcmagent/log/himds.log Registrerar information om komponenten för pulsslag och identitetsagent.
    /var/opt/azcmagent/log/azcmagent.log Innehåller utdata från azcmagent-verktygskommandona.
    /var/lib/GuestConfig/arc_policy_logs Registrerar information om agentkomponenten för gästkonfiguration (policy).
    /var/lib/GuestConfig/ext_mgr_logs Registrerar information om aktivitet i tilläggshanteraren (händelser för installation, avinstallation och uppgradering av tillägg).
    /var/lib/GuestConfig/extension_logs Katalog med loggar för enskilda tillägg.

  • Agentinstallation skapar följande miljövariabler som anges i /lib/systemd/system.conf.d/azcmagent.conf.

    Name Standardvärde beskrivning
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • När agenten har avinstallerats finns följande artefakter kvar:

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Agentresursstyrning

Azure Connected Machine-agenten är utformad för att hantera agent- och systemresursförbrukning. Agenten närmar sig resursstyrning under följande villkor:

  • Gästkonfigurationsagenten kan använda upp till 5 % av processorn för att utvärdera principer.

  • Tilläggstjänstagenten kan använda upp till 5 % av processorn för att installera, uppgradera, köra och ta bort tillägg. Vissa tillägg kan tillämpa mer restriktiva CPU-gränser när de har installerats. Följande undantag gäller:

    Tilläggstyp Operativsystem CPU-gräns
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100 %
    AzureSecurityLinuxAgent Linux 30 %
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100 %
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Windows 60%

Under normala åtgärder, som definieras som azure connected machine-agenten som är ansluten till Azure och inte aktivt ändrar ett tillägg eller utvärderar en princip, kan du förvänta dig att agenten använder följande systemresurser:

Windows Linux
CPU-användning (normaliserad till 1 kärna) 0.07% 0,02 %
Minnesanvändning 57 MB 42 MB

Prestandadata ovan samlades in i april 2023 på virtuella datorer som kör Windows Server 2022 och Ubuntu 20.04. Den faktiska agentprestandan och resursförbrukningen varierar beroende på servrarnas maskinvaru- och programvarukonfiguration.

Instansmetadata

Metadatainformation om en ansluten dator samlas in efter att connected machine-agenten har registrerats med Azure Arc-aktiverade servrar, särskilt:

  • Operativsystemnamn, typ och version
  • Datornamn
  • Datortillverkare och modell
  • Fullständigt domännamn för datorer (FQDN)
  • Domännamn (om det är anslutet till en Active Directory-domän)
  • Fullständigt domännamn för Active Directory och DNS (FQDN)
  • UUID (BIOS-ID)
  • Pulsslag för ansluten datoragent
  • Agentversion för ansluten dator
  • Offentlig nyckel för hanterad identitet
  • Status och information om principefterlevnad (om du använder gästkonfigurationsprinciper)
  • SQL Server installerat (booleskt värde)
  • Klusterresurs-ID (för lokala Azure-noder)
  • Maskinvarutillverkare
  • Maskinvarumodell
  • Antal processorer, socketar, fysiska kärnor och logiska kärnor
  • Totalt fysiskt minne
  • Serienummer
  • SMBIOS-tillgångstagg
  • Molnleverantör
  • Amazon Web Services-metadata (AWS) när de körs i AWS:
    • Konto-ID
    • Instance ID
    • Region
  • Google Cloud Platform-metadata (GCP) när de körs i GCP:
    • Instance ID
    • Bild
    • Datortyp
    • Projekt-ID
    • Projektnummer
    • Tjänstkonton
    • Zon

Agenten begär följande metadatainformation från Azure:

  • Resursplats (region)
  • ID för virtuell dator
  • Taggar
  • Microsoft Entra-hanterat identitetscertifikat
  • Tilldelningar av gästkonfigurationsprinciper
  • Tilläggsbegäranden – installera, uppdatera och ta bort.

Kommentar

Azure Arc-aktiverade servrar lagrar/bearbetar inte kunddata utanför den region som kunden distribuerar tjänstinstansen i.

Nästa steg