Panoramica dell'agente di Azure Connected Machine

L'agente di Azure Connected Machine consente di gestire computer Windows e Linux ospitati all'esterno di Azure, nella rete aziendale o in altri provider di servizi cloud.

Componenti dell'agente

Per scaricare diagrammi di architettura in alta risoluzione, visitare Jumpstart Gem.

Il pacchetto dell'agente di Azure Connected Machine contiene diversi componenti logici in bundle:

• Il servizio di metadati dell'istanza ibrida (HIMDS) gestisce la connessione ad Azure e l'identità di Azure del computer connesso.

• L'agente di configurazione del computer fornisce funzionalità come la valutazione della conformità del computer ai criteri necessari e l'applicazione della conformità.

  Si noti il comportamento seguente con la configurazione del computer Criteri di Azure per un computer disconnesso:

  • Un'assegnazione di Criteri di Azure mirata ai computer disconnessi non viene influenzata.
  • L'assegnazione guest viene archiviata localmente per 14 giorni. Entro il periodo di 14 giorni, se l'agente di Connected Machine si riconnette al servizio, le assegnazioni dei criteri vengono riapplicate.
  • Le assegnazioni vengono eliminate dopo 14 giorni e non vengono riassegnate al computer dopo il periodo di 14 giorni.

• L'agente di estensione gestisce le estensioni delle macchine virtuali, tra cui l'installazione, la disinstallazione e l'aggiornamento. Azure scarica le estensioni e le copia nella cartella %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads in Windows e nel /opt/GC_Ext/downloads in Linux. In Windows, l'estensione viene installata nel percorso seguente %SystemDrive%\Packages\Plugins\<extension> e in Linux viene installata in /var/lib/waagent/<extension>.

Proxy di Azure Arc

Il servizio proxy di Azure Arc è responsabile dell'aggregazione del traffico di rete dai servizi dell'agente di Azure Connected Machine e di tutte le estensioni e di decidere dove instradare tali dati. Se si usa il gateway Azure Arc (anteprima limitata) per semplificare gli endpoint di rete, il servizio Proxy di Azure Arc è il componente locale che inoltra le richieste di rete tramite il gateway Azure Arc anziché la route predefinita. Il proxy di Azure Arc viene eseguito come servizio di rete in Windows e un account utente standard (arcproxy) in Linux. Prima dell'agente di Azure Connected Machine versione 1.51, questo servizio è stato disabilitato per impostazione predefinita e deve rimanere disabilitato a meno che non si configuri l'agente per l'uso del gateway Azure Arc (anteprima limitata). Con la versione 1.51 e successive, il servizio Proxy Arc viene avviato per impostazione predefinita perché ora può determinare se il computer è configurato per l'uso di un gateway Arc o per comunicare direttamente con gli endpoint Arc e comportarsi in modo appropriato. Se non si usa un gateway Arc, è comunque possibile scegliere di disabilitare il servizio Proxy Arc con il comando azcmagent config set connection.type directseguente.

Risorse dell'agente

Questa sezione descrive le directory e gli account utente usati dall'agente di Azure Connected Machine.

Dettagli sull'installazione dell'agente per Windows

L'agente di Windows viene distribuito come pacchetto Windows Installer (MSI). Scarica l'agente Windows dal Microsoft Download Center. L'installazione dell'agente Connected Machine for Window applica le modifiche alla configurazione dell'intero sistema seguenti:

• Il processo di installazione crea le cartelle seguenti durante la configurazione.

  Directory	Description
  %ProgramFiles%\AzureConnectedMachineAgent	File eseguibili del servizio metadati dell'istanza e dell'interfaccia della riga di comando azcmagent.
  %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC	File eseguibili del servizio di estensione.
  %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC	Eseguibili del servizio di configurazione del computer (criteri).
  %ProgramData%\AzureConnectedMachineAgent	File di configurazione, log e token di identità per l'interfaccia della riga di comando azcmagent e il servizio metadati dell'istanza.
  %ProgramData%\GuestConfig	Download dei pacchetti di estensione, download delle definizioni di configurazione del computer (criteri) e log per i servizi di configurazione dell'estensione e del computer.
  %SYSTEMDRIVE%\packages	File eseguibili dei pacchetti di estensioni

• L'installazione dell'agente crea i servizi Windows seguenti nel computer di destinazione.

  Nome servizio	Nome visualizzato	Nome del processo	Description
  himds	Servizio metadati dell'istanza di Azure Hybrid	himds.exe	Sincronizza i metadati con Azure e ospita un'API REST locale per le estensioni e le applicazioni per accedere ai metadati e richiedere i token di identità gestiti di Microsoft Entra
  GCArcService	Configurazione del computer Arc Service	gc_arc_service.exe (gc_service.exe precedenti alla versione 1.36)	Controlla e applica i criteri di configurazione dei computer di Azure nel computer.
  ExtensionService	Servizio di estensione della configurazione del computer	gc_extension_service.exe (gc_service.exe precedenti alla versione 1.36)	Installa, aggiorna e gestisce le estensioni nel computer.

• L'installazione dell'agente crea l'account del servizio virtuale seguente.

  Account virtuale	Description
  NT SERVICE\himds	Account senza privilegi usato per eseguire il servizio metadati dell'istanza ibrida.

  Tip

  Per questo account è necessario il diritto di "Accesso come servizio". Questo diritto viene concesso automaticamente durante l'installazione dell'agente. Tuttavia, se l'organizzazione configura le assegnazioni dei diritti utente con Criteri di gruppo, potrebbe essere necessario modificare l'oggetto Criteri di gruppo per concedere il diritto a "NT SERVICE\himds" o "NT SERVICE\ALL SERVICES" per consentire all'agente di funzionare.

• L'installazione dell'agente crea il gruppo di sicurezza locale seguente.

  Nome gruppo di sicurezza	Description
  Applicazioni di estensione agente ibrido	I membri di questo gruppo di sicurezza possono richiedere token Microsoft Entra per l'identità gestita assegnata dal sistema

• L'installazione dell'agente crea le variabili di ambiente seguenti

  Name	Valore predefinito
  IDENTITY_ENDPOINT	http://localhost:40342/metadata/identity/oauth2/token
  IMDS_ENDPOINT	http://localhost:40342

• Per la risoluzione dei problemi sono disponibili diversi file di log, descritti nella tabella seguente.

  Log	Description
  %ProgramData%\AzureConnectedMachineAgent\Log\himds.log	Registra i dettagli del componente agente di identità e heartbeat.
  %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log	Contiene l'output dei comandi dello strumento azcmagent.
  %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log	Registra informazioni dettagliate sul componente agente di configurazione computer (criteri).
  %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log	Registra informazioni dettagliate sull'attività di Gestione estensioni (installazione dell'estensione, disinstallazione ed eventi di aggiornamento).
  %ProgramData%\GuestConfig\extension_logs	Directory contenente i log per le singole estensioni.

• Dopo la disinstallazione dell'agente, rimangono gli artefatti seguenti.

  • %ProgramData%\AzureConnectedMachineAgent\Log
  • %ProgramData%\AzureConnectedMachineAgent
  • %ProgramData%\GuestConfig
  • %SystemDrive%\packages

Dettagli sull'installazione dell'agente per Linux

Il formato del pacchetto preferito per la distribuzione (.rpm o .deb) ospitato nel repository di pacchetti Microsoft fornisce l'agente Connected Machine per Linux. Il bundle di script della shell Install_linux_azcmagent.sh installa e configura l'agente.

L'installazione, l'aggiornamento e la rimozione dell'agente Connected Machine non sono necessari dopo il riavvio del server.

L'installazione dell'agente Connected Machine per Linux applica le modifiche di configurazione a livello di sistema seguenti.

• La configurazione crea le cartelle di installazione seguenti.

  Directory	Description
  /opt/azcmagent/	File eseguibili del servizio metadati dell'istanza e dell'interfaccia della riga di comando azcmagent.
  /opt/GC_Ext/	File eseguibili del servizio di estensione.
  /opt/GC_Service/	Eseguibili del servizio di configurazione del computer (criteri).
  /var/opt/azcmagent/	File di configurazione, log e token di identità per l'interfaccia della riga di comando azcmagent e il servizio metadati dell'istanza.
  /var/lib/GuestConfig/	Download dei pacchetti di estensione, download delle definizioni di configurazione del computer (criteri) e log per i servizi di configurazione dell'estensione e del computer.

• L'installazione dell'agente crea i daemon seguenti.

  Nome servizio	Nome visualizzato	Nome del processo	Description
  himdsd.service	Servizio agente di Azure Connected Machine	himds	Questo servizio implementa il Servizio metadati dell'istanza ibrida (IMDS) per gestire la connessione ad Azure e l'identità di Azure del computer connesso.
  gcad.service	Servizio Arc di GC	gc_linux_service	Controlla e applica i criteri di configurazione dei computer di Azure nel computer.
  extd.service	Servizio di estensione	gc_linux_service	Installa, aggiorna e gestisce le estensioni nel computer.

• Per la risoluzione dei problemi sono disponibili diversi file di log, descritti nella tabella seguente.

  Log	Description
  /var/opt/azcmagent/log/himds.log	Registra i dettagli del componente agente di identità e heartbeat.
  /var/opt/azcmagent/log/azcmagent.log	Contiene l'output dei comandi dello strumento azcmagent.
  /var/lib/GuestConfig/arc_policy_logs	Registra informazioni dettagliate sul componente agente di configurazione computer (criteri).
  /var/lib/GuestConfig/ext_mgr_logs	Registra informazioni dettagliate sull'attività di Gestione estensioni (installazione dell'estensione, disinstallazione ed eventi di aggiornamento).
  /var/lib/GuestConfig/extension_logs	Directory contenente i log per le singole estensioni.

• L'installazione dell'agente crea le variabili di ambiente seguenti, impostate in /lib/systemd/system.conf.d/azcmagent.conf.

  Name	Valore predefinito
  IDENTITY_ENDPOINT	http://localhost:40342/metadata/identity/oauth2/token
  IMDS_ENDPOINT	http://localhost:40342

• Dopo la disinstallazione dell'agente, rimangono gli artefatti seguenti.

  • /var/opt/azcmagent
  • /var/lib/GuestConfig

Governance delle risorse dell'agente

L'agente di Azure Connected Machine è progettato per gestire il consumo di risorse da parte di agente e sistema. L'agente si approccia alla governance delle risorse alle condizioni seguenti:

• Il servizio Configurazione computer (in precedenza Configurazione guest) può usare fino al 5% della CPU per valutare i criteri.

• Il servizio estensione può usare fino al 5% della CPU nei computer Windows e il 30% della CPU nei computer Linux per installare, aggiornare, eseguire ed eliminare estensioni. Alcune estensioni potrebbero applicare limiti di CPU più restrittivi dopo l'installazione. Si applicano le eccezioni seguenti:

  Tipo di estensione	Sistema operativo	Limite cpu
  AzureMonitorLinuxAgent	Linux	60%
  AzureMonitorWindowsAgent	Windows	100%
  LinuxOsUpdateExtension	Linux	60%
  MDE.Linux	Linux	60%
  MicrosoftDnsAgent	Windows	100%
  MicrosoftMonitoringAgent	Windows	60%
  OmsAgentForLinux	Linux	60%

Durante le normali operazioni, definite come se l'agente Azure Connected Machine fosse connesso ad Azure e non stesse modificando attivamente un'estensione o valutando un criterio, si può prevedere che l'agente utilizzi le risorse di sistema seguenti:

I dati sulle prestazioni sopra riportati sono stati raccolti nell'aprile 2023 nelle macchine virtuali che eseguono Windows Server 2022 e Ubuntu 20.04. Le prestazioni effettive dell'agente e il consumo di risorse variano in base alla configurazione hardware e software dei server.

Limiti delle risorse personalizzate

I limiti di governance delle risorse predefiniti sono la scelta migliore per la maggior parte dei server. Tuttavia, le macchine virtuali e i server di piccole dimensioni con risorse CPU limitate potrebbero riscontrare timeout durante la gestione delle estensioni o la valutazione dei criteri perché non sono disponibili risorse CPU sufficienti per completare le attività. A partire dalla versione 1.39 dell'agente, è possibile personalizzare i limiti di CPU applicati al gestore estensioni e ai servizi Configurazione computer per consentire all'agente di completare queste attività più velocemente.

Per visualizzare i limiti correnti delle risorse per gestione estensioni e i servizi Configurazione computer, eseguire il comando seguente.

azcmagent config list

Nell'output verranno visualizzati due campi, guestconfiguration.agent.cpulimit e extensions.agent.cpulimit con il limite di risorse corrente specificato come percentuale. In una nuova installazione dell'agente verranno visualizzati entrambi 5 perché il limite predefinito è il 5% della CPU.

Per modificare il limite di risorse per gestione estensioni su 80%, eseguire il comando seguente:

azcmagent config set extensions.agent.cpulimit 80

Metadati dell'istanza

Le informazioni sui metadati relative a un computer connesso vengono raccolte dopo la registrazione dell'agente Connected Machine ai server abilitati per Azure Arc. Specifically:

• Nome del sistema operativo, edizione, tipo e versione
• Nome computer
• Produttore e modello del computer
• Nome di dominio completo (FQDN) del computer
• Nome di dominio (se aggiunto a un dominio Active Directory)
• Nome di dominio completo (FQDN) di Active Directory e DNS
• UUID (ID BIOS)
• Heartbeat dell'agente di Connected Machine
• Versione dell'agente Connected Machine
• Chiave pubblica per l'identità gestita
• Stato e dettagli di conformità dei criteri (se si usano i criteri di configurazione del computer)
• SQL Server installato (valore booleano)
• PostgreSQL installato (valore booleano)
• MySQL installato (valore booleano)
• ID risorsa cluster (per computer locali di Azure)
• Produttore hardware
• Modello hardware
• Famiglia CPU, socket, numero di core fisici e logici
• Memoria fisica totale
• Numero di serie
• Tag risorsa SMBIOS
• Informazioni sull'interfaccia di rete
  • IP address
  • Subnet
• Informazioni sulle licenze di Windows
  • Stato della licenza del sistema operativo
  • Canale licenze del sistema operativo
  • Idoneità per gli aggiornamenti della sicurezza estesi
  • Stato della licenza degli aggiornamenti della sicurezza estesa
  • Canale di licenza degli aggiornamenti della sicurezza estesa
• Provider di servizi cloud
• Metadati di Amazon Web Services (AWS), quando eseguiti in AWS:
  • Account ID
  • ID istanza
  • Region
• Metadati di Google Cloud Platform (GCP) quando eseguiti in GCP:
  • ID istanza
  • Image
  • Tipo di computer
  • ID progetto
  • Numero progetto
  • Account del servizio
  • Zone
• Metadati di Oracle Cloud Infrastructure, quando vengono eseguiti in OCI:
  • Nome visualizzato

L'agente richiede le informazioni sui metadati seguenti ad Azure:

• Località della risorsa (area)
• ID macchina virtuale
• Tags
• Certificato di identità gestita di Microsoft Entra
• Assegnazioni dei criteri di configurazione del computer
• Richieste di estensione: installazione, aggiornamento ed eliminazione.

Opzioni di distribuzione e requisiti

La distribuzione dell'agente e la connessione del computer richiedono determinati prerequisiti. Esistono anche requisiti di rete da tenere presenti.

Sono disponibili diverse opzioni per la distribuzione dell'agente. Per ulteriori informazioni, vedere Pianificare la distribuzione e Opzioni di distribuzione.

Linee guida per la clonazione

È possibile installare in modo sicuro il pacchetto azcmagent in un'immagine d'oro, ma dopo aver connesso un computer usando il comando azcmagent connect, tale computer riceve informazioni specifiche sulle risorse. Se si creano computer clonandoli da un'immagine d'oro, è necessario prima di tutto specializzare ogni computer prima di connetterlo ad Azure con il comando azcmagent connect. Non connettere il computer originale con immagine d'oro ad Azure fino a quando non è stato creato e specializzato ogni computer.

Se il server connesso riceve 429 messaggi di errore, è probabile che il server sia connesso ad Azure e che sia stato usato come immagine d'oro per la clonazione. Poiché le informazioni sulle risorse sono state registrate nell'immagine, i computer clonati creati da tale immagine tentano di inviare messaggi heartbeat alla stessa risorsa.

Per risolvere i messaggi di errore 429 per i computer esistenti, eseguire azcmagent disconnect --force-local-only in ogni computer clonato, quindi eseguire di nuovo azcmagent connect usando una credenziale appropriata per connettere i computer al cloud usando un nome di risorsa univoco.

Ripristino di emergenza

Non sono disponibili opzioni di ripristino di emergenza abilitate per i clienti per i server abilitati per Arc. In caso di interruzione in un'area di Azure, il sistema eseguirà il failover in un'altra area nella stessa area geografica di Azure ( se presente). Anche se questa procedura di failover è automatica, l'operazione richiede tempo. L'agente Connected Machine viene disconnesso durante questo periodo e mostra lo stato Disconnesso fino al completamento del failover. Il sistema tornerà alla sua regione originale una volta risolta l'interruzione.

Un'interruzione di Azure Arc non influirà sul carico di lavoro del cliente stesso; solo la gestione dei server applicabili tramite Arc sarà compromessa.

Passaggi successivi

• Per iniziare a valutare i server abilitati per Azure Arc, vedere Avvio rapido: Connettere computer ibridi con server abilitati per Azure Arc.
• Prima di distribuire l'agente di Azure Connected Machine e integrarsi con altri servizi di gestione e monitoraggio di Azure, vedere la Guida alla pianificazione e alla distribuzione.
• Esaminare le informazioni sulla risoluzione dei problemi nella guida alla risoluzione dei problemi di connessione dell'agente.