你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Arc 代理
在 VMware VM 上启用来宾管理时,Azure Connected Machine Agent 安装在 VM 上。 这与已启用 Arc 的服务器使用的代理相同。 借助 Azure Connected Machine 代理,可以管理企业网络或其他云提供商中托管在 Azure 外部的 Windows 和 Linux 计算机。 本文提供 Azure Connected Machine Agent 的体系结构概述。
代理组件
Azure Connected Machine 代理包包含捆绑在一起的多个逻辑组件:
Hybrid Instance Metadata Service (HIMDS) 管理 Azure 的连接和已连接的计算机的 Azure 标识。
来宾配置代理提供评估计算机是否符合所需的策略和强制实施符合性等的功能。
对于已断开连接的计算机,请注意 Azure Policy guest configuration 的以下行为:
- 以断开连接的计算机为目标的 Azure Policy 分配不受影响。
- 来宾分配在本地存储 14 天。 在 14 天的期限内,如果 Connected Machine 代理重新连接到服务,则重新应用策略分配。
- 分配的策略将在 14 天后删除,并且在 14 天期限后不会重新分配到计算机。
Extension 代理管理 VM 扩展,包括安装、卸载和升级。 Azure 下载扩展并将它们复制到 Windows 上的
%SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads
文件夹和 Linux 上的/opt/GC_Ext/downloads
。 在 Windows 上,扩展安装到路径%SystemDrive%\Packages\Plugins\<extension>
;在 Linux 上,扩展安装到/var/lib/waagent/<extension>
。
注意
Azure Monitor 代理 (AMA) 是一个独立的代理,用于收集监视数据,不会替代 Connected Machine Agent;AMA 仅取代 Windows 和 Linux 计算机的 Log Analytics 代理、诊断扩展和 Telegraf 代理。
代理资源
以下信息介绍了 Azure Connected Machine 代理使用的目录和用户帐户。
Windows 代理安装详细信息
Windows 代理作为 Windows Installer 包 (MSI) 分发。 从 Microsoft 下载中心下载 Windows 代理。 安装适用于 Windows 的 Connected Machine 代理会应用以下系统范围的配置更改:
安装过程会在安装时创建以下文件夹。
Directory 说明 %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI 和实例元数据服务可执行文件。 %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC 扩展服务可执行文件。 %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC 来宾配置(策略)服务可执行文件。 %ProgramData%\AzureConnectedMachineAgent azcmagent CLI 和实例元数据服务的配置、日志和标识令牌文件。 %ProgramData%\GuestConfig 扩展包下载、来宾配置(策略)定义下载,以及扩展和来宾配置服务的日志。 %SYSTEMDRIVE%\packages 扩展包可执行文件。 安装此代理会在目标计算机上创建以下 Windows 服务。
Service name 显示名称 进程名称 说明 himds Azure 混合实例元数据服务 himds 将元数据与 Azure 同步,并托管本地 REST API,以便扩展和应用程序访问元数据并请求 Microsoft Entra 托管标识令牌 GCArcService 来宾配置 Arc 服务 gc_service 审核并强制实施计算机上的 Azure 来宾配置策略。 ExtensionService 来宾配置扩展服务 gc_service 在计算机上安装、更新和管理扩展。 进行代理安装会创建以下虚拟服务帐户。
虚拟帐户 说明 NT SERVICE\himds 无特权帐户,用于运行 Hybrid Instance Metadata Service。 提示
此帐户需要“作为服务登录”的权限。 代理安装期间会自动授予此权限,但如果组织使用组策略配置用户权限分配,则可能需要调整组策略对象以授予“NT SERVICE\himds”或“NT SERVICE\ALL SERVICES”的权限,以便代理正常运行。
进行代理安装会创建以下本地安全组。
安全组名称 说明 混合代理扩展应用程序 此安全组的成员可以为系统分配的托管标识请求 Microsoft Entra 令牌 进行代理安装会创建以下环境变量
名称 默认值 说明 IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
IMDS_ENDPOINT http://localhost:40342
有几个日志文件可用于故障排除,如下表所述。
日志 说明 %ProgramData%\AzureConnectedMachineAgent\Log\himds.log 记录检测信号和标识代理组件的详细信息。 %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log 包含 azcmagent 工具命令的输出。 %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log 记录来宾配置(策略)代理组件的详细信息。 %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log 记录有关扩展管理器活动的详细信息(扩展安装、卸载和升级事件)。 %ProgramData%\GuestConfig\extension_logs 包含单个扩展日志的目录。 此过程创建本地安全组“混合代理扩展应用程序”。
卸载代理后,以下项目将保留:
- %ProgramData%\AzureConnectedMachineAgent\Log
- %ProgramData%\AzureConnectedMachineAgent
- %ProgramData%\GuestConfig
- %SystemDrive%\packages
Linux 代理安装详细信息
Microsoft 包存储库中托管的分发包的首选包格式(.rpm
或 .deb
)提供了适用于 Linux 的 Connected Machine 代理。 shell 脚本捆绑包 Install_linux_azcmagent.sh 可安装和配置该代理。
服务器重启后,不需要安装、升级和删除 Connected Machine 代理。
安装适用于 Linux 的 Connected Machine 代理会应用以下系统范围的配置更改。
安装程序会创建以下安装文件夹。
Directory 说明 /opt/azcmagent/ azcmagent CLI 和实例元数据服务可执行文件。 /opt/GC_Ext/ 扩展服务可执行文件。 /opt/GC_Service/ 来宾配置(策略)服务可执行文件。 /var/opt/azcmagent/ azcmagent CLI 和实例元数据服务的配置、日志和标识令牌文件。 /var/lib/GuestConfig/ 扩展包下载、来宾配置(策略)定义下载,以及扩展和来宾配置服务的日志。 安装此代理会创建以下守护程序。
Service name 显示名称 进程名称 说明 himdsd.service Azure Connected Machine Agent Service himds 此服务实现混合实例元数据服务 (IMDS) 来管理 Azure 的连接和已连接计算机的 Azure 标识。 gcad.service GC Arc Service gc_linux_service 审核并强制实施计算机上的 Azure 来宾配置策略。 extd.service Extension Service gc_linux_service 在计算机上安装、更新和管理扩展。 有几个日志文件可用于故障排除,如下表所述。
日志 说明 /var/opt/azcmagent/log/himds.log 记录检测信号和标识代理组件的详细信息。 /var/opt/azcmagent/log/azcmagent.log 包含 azcmagent 工具命令的输出。 /var/lib/GuestConfig/arc_policy_logs 记录来宾配置(策略)代理组件的详细信息。 /var/lib/GuestConfig/ext_mgr_logs 记录有关扩展管理器活动的详细信息(扩展安装、卸载和升级事件)。 /var/lib/GuestConfig/extension_logs 包含单个扩展日志的目录。 进行代理安装会创建在
/lib/systemd/system.conf.d/azcmagent.conf
中设置的下述环境变量。名称 默认值 说明 IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
IMDS_ENDPOINT http://localhost:40342
卸载代理后,以下项目将保留:
- /var/opt/azcmagent
- /var/lib/GuestConfig
代理资源治理
Azure Connected Machine Agent 旨在管理代理和系统资源消耗。 在下列情况下,该代理会采取资源监管:
来宾配置代理最多可使用 5% 的 CPU 来评估策略。
扩展服务代理最多可使用 5% 的 CPU 来安装、升级、运行和删除扩展。 安装后,某些扩展可能会应用更严格的 CPU 限制。 存在以下例外:
扩展类型 操作系统 CPU 限制 AzureMonitorLinuxAgent Linux 60% AzureMonitorWindowsAgent Windows 100% AzureSecurityLinuxAgent Linux 30% LinuxOsUpdateExtension Linux 60% MDE.Linux Linux 60% MicrosoftDnsAgent Windows 100% MicrosoftMonitoringAgent Windows 60% OmsAgentForLinux Windows 60%
在正常操作(定义为连接到 Azure 且未主动修改扩展或评估策略的 Azure Connected Machine 代理)期间,可以预期代理会消耗以下系统资源:
Windows | Linux | |
---|---|---|
CPU 使用情况(规范化为 1 核) | 0.07% | 0.02% |
内存使用率 | 57 MB | 42 MB |
上述性能数据于 2023 年 4 月在运行 Windows Server 2022 和 Ubuntu 20.04 的虚拟机上收集。 实际的代理性能和资源消耗量因服务器的硬件和软件配置而异。
实例元数据
在 Connected Machine Agent 向已启用 Azure Arc 的服务器注册后,将收集有关已连接计算机的元数据信息,具体来说:
- 操作系统名称、类型和版本
- 计算机名称
- 计算机制造商和型号
- 计算机完全限定域名 (FQDN)
- 域名(如果已联接到 Active Directory 域)
- Active Directory 和 DNS 完全限定的域名 (FQDN)
- UUID (BIOS ID)
- Connected Machine 代理程序检测信号
- Connected Machine 代理版本
- 托管标识的公钥
- 策略符合性状态和详细信息(如果使用来宾配置策略)
- 已安装 SQL Server(布尔值)
- 群集资源 ID(适用于 Azure Local 节点)
- 硬件制造商
- 硬件型号
- CPU 系列、套接字、物理核心和逻辑核心计数
- 总物理内存
- 序列号
- SMBIOS 资产标记
- 云提供商
- Amazon Web Services (AWS) 元数据(在 AWS 中运行时):
- 帐户 ID
- 实例 ID
- 区域
- Google Cloud Platform (GCP) 元数据(在 GCP 中运行时):
- 实例 ID
- 映像
- 计算机类型
- 项目 ID
- 项目编号
- 服务帐户
- 区域
代理从 Azure 请求以下元数据信息:
- 资源位置(区域)
- 虚拟机 ID
- 标记
- Microsoft Entra 托管标识证书
- Guest Configuration 策略分配
- 扩展请求 - 安装、更新和删除。
注意
已启用 Azure Arc 的服务器不会在客户部署服务实例的区域之外存储/处理客户数据。