Поделиться через


Общие сведения об агенте Azure Connected Machine

Агент Azure Connected Machine позволяет управлять компьютерами с операционными системами Windows и Linux, размещенными за пределами Azure в вашей корпоративной сети или у другого поставщика облачных служб.

Предупреждение

Только версии агента подключенного компьютера в течение последних 1 года официально поддерживаются группой продуктов. Клиенты должны обновить версию агента в этом окне.

Компоненты агента

Обзор архитектуры агента подключенного компьютера Azure.

Пакет агента подключенного компьютера Azure содержит несколько логических компонентов, объединенных в состав:

  • Служба Hybrid Instance Metadata Service (HIMDS) управляет подключением к Azure и удостоверением Azure подключенного компьютера.

  • Агент гостевой конфигурации обеспечивает такие функции, как оценка соответствия компьютера требуемым политикам и обеспечение соблюдения требований.

    Обратите внимание на следующее поведение в гостевой конфигурации Политики Azure для отключенного компьютера.

    • Назначение Политики Azure, предназначенное для отключенных компьютеров, не затрагивается.
    • Гостевое назначение хранится локально в течение 14 дней. Если агент Connected Machine повторно подключается к службе в течение 14-дневного периода, назначения политик применяются заново.
    • Назначения удаляются через 14 дней и не переназначаются компьютеру после 14-дневного периода.
  • Агент расширений управляет расширениями виртуальной машины, включая установку, удаление и обновление. Azure загружает расширения и копирует их в папку %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads в Windows и /opt/GC_Ext/downloads в Linux. В Windows расширение устанавливается на следующий путь %SystemDrive%\Packages\Plugins\<extension>, а в Linux устанавливается /var/lib/waagent/<extension>расширение.

Примечание.

Агент Azure Monitor (AMA) — это отдельный агент, который собирает данные мониторинга, и он не заменяет агент подключенного компьютера. AMA заменяет агент Log Analytics, расширение диагностики и агент Telegraf для компьютеров Windows и Linux.

Прокси-сервер Azure Arc

Служба прокси-сервера Azure Arc отвечает за агрегирование сетевого трафика из служб агента подключенного компьютера Azure и всех установленных расширений и принятия решения о том, куда направлять эти данные. Если вы используете шлюз Azure Arc (ограниченная предварительная версия) для упрощения сетевых конечных точек, служба прокси-сервера Azure Arc — это локальный компонент, который перенаправит сетевые запросы через шлюз Azure Arc вместо маршрута по умолчанию. Прокси Azure Arc выполняется как сетевая служба в Windows и стандартная учетная запись пользователя (arcproxy) в Linux. Он отключен по умолчанию, пока агент не настроит для использования шлюза Azure Arc (ограниченная предварительная версия).

Ресурсы агента

В следующих сведениях описываются каталоги и учетные записи пользователей, используемые агентом подключенного компьютера Azure.

Сведения об установке агента для Windows

Агент для Windows распространяется как пакет установщика Windows (MSI). Агент для Windows можно загрузить в Центре загрузки Майкрософт. Установка агента подключенного компьютера для Окна применяет следующие изменения конфигурации на уровне системы:

  • Процесс установки создает следующие папки во время установки.

    Directory Description
    %ProgramFiles%\AzureConnectedMachineAgent Интерфейс коммандной строки (CLI) azcmagent и исполняемые файлы службы метаданных экземпляра.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC Исполняемые файлы службы расширений.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC Исполняемые файлы службы гостевой конфигурации (политики).
    %ProgramData%\AzureConnectedMachineAgent Файлы конфигурации, журналов и маркеров удостоверений для интерфейса командной строки azcmagent и службы метаданных экземпляра.
    %ProgramData%\GuestConfig Загрузки пакетов расширений, загрузки определений гостевой конфигурации (политики) и журналы для служб расширения и гостевой конфигурации.
    %SYSTEMDRIVE%\packages Исполняемые файлы пакетов расширений
  • Установка агента создает следующие службы Windows на целевом компьютере.

    Service name Показать имя Наименование процесса Description
    himds Гибридная служба метаданных экземпляров Azure himds.exe Синхронизирует метаданные с Azure и размещает локальный REST API для расширений и приложений с целью получения доступа к метаданным и запроса маркеров управляемого удостоверения Microsoft Entra
    GCArcService Служба Arc гостевой конфигурации gc_arc_service.exe (gc_service.exe до версии 1.36) Проверяет и применяет политики гостевой конфигурации Azure на компьютере.
    ExtensionService Служба расширений гостевой конфигурации gc_extension_service.exe (gc_service.exe до версии 1.36) Устанавливает и обновляет расширениями на компьютере, а также управляет ими.
  • Установка агента создает следующую учетную запись виртуальной службы.

    Виртуальная учетная запись Description
    NT SERVICE\himds Непривилегированная учетная запись, используемая для запуска службы Hybrid Instance Metadata Service.

    Совет

    Для этой учетной записи требуется право "Вход в качестве службы". Это право автоматически предоставляется во время установки агента, но если организация настраивает назначение прав пользователей с помощью групповой политики, для функционирования агента может потребоваться скорректировать объект групповой политики, чтобы предоставить право на "Службу NT SERVICE\himds" или "СЛУЖБУ NT\ВСЕ СЛУЖБЫ".

  • Установка агента создает следующую локальную группу безопасности.

    Имя группы безопасности Description
    Приложения расширения гибридного агента Члены этой группы безопасности могут запрашивать маркеры Microsoft Entra для управляемого удостоверения, назначаемого системой
  • Установка агента создает следующие переменные среды

    Имя. Значение по умолчанию Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Существует несколько файлов журналов, доступных для устранения неполадок, описанных в следующей таблице.

    Журнал Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Записывает сведения о компоненте пакета пульса и агента удостоверений.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Содержит выходные данные команд инструмента azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Записывает сведения о компоненте агента гостевой конфигурации (политики).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Записывает сведения о действиях диспетчера расширений (события установки, удаления и обновления расширений).
    %ProgramData%\GuestConfig\extension_logs Каталог, содержащий журналы по отдельным расширениям.
  • Процесс создает приложения расширения гибридного агента локальной группы безопасности.

  • После удаления агента остаются следующие артефакты.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\Packages

Сведения об установке агента для Linux

Предпочтительный формат пакета для дистрибутива (.rpmили.deb), размещенного в репозитории пакетов Майкрософт, предоставляет агент подключенного компьютера для Linux. Пакет скриптов оболочки Install_linux_azcmagent.sh устанавливает и настраивает агент.

Установка, обновление и удаление агента подключенного компьютера не требуется после перезагрузки сервера.

Установка агента подключенного компьютера для Linux применяет следующие изменения конфигурации на уровне системы.

  • Программа установки создает следующие папки установки.

    Directory Description
    /opt/azcmagent/ Интерфейс коммандной строки (CLI) azcmagent и исполняемые файлы службы метаданных экземпляра.
    /opt/GC_Ext/ Исполняемые файлы службы расширений.
    /opt/GC_Service/ Исполняемые файлы службы гостевой конфигурации (политики).
    /var/opt/azcmagent/ Файлы конфигурации, журналов и маркеров удостоверений для интерфейса командной строки azcmagent и службы метаданных экземпляра.
    /var/lib/GuestConfig/ Загрузки пакетов расширений, загрузки определений гостевой конфигурации (политики) и журналы для служб расширения и гостевой конфигурации.
  • Установка агента создает следующие daemons.

    Service name Показать имя Наименование процесса Description
    himdsd.service Служба Azure Connected Machine Agent himds Эта служба реализует службу метаданных гибридного экземпляра (IMDS) для управления подключением к Azure и удостоверениям Azure подключенного компьютера.
    gcad.service Служба GC Arc gc_linux_service Проверяет и применяет политики гостевой конфигурации Azure на компьютере.
    extd.service Служба расширений gc_linux_service Устанавливает и обновляет расширениями на компьютере, а также управляет ими.
  • Существует несколько файлов журналов, доступных для устранения неполадок, описанных в следующей таблице.

    Журнал Description
    /var/opt/azcmagent/log/himds.log Записывает сведения о компоненте пакета пульса и агента удостоверений.
    /var/opt/azcmagent/log/azcmagent.log Содержит выходные данные команд инструмента azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Записывает сведения о компоненте агента гостевой конфигурации (политики).
    /var/lib/GuestConfig/ext_mgr_logs Записывает сведения о действиях диспетчера расширений (события установки, удаления и обновления расширений).
    /var/lib/GuestConfig/extension_logs Каталог, содержащий журналы по отдельным расширениям.
  • Установка агента создает следующие переменные среды, заданные в /lib/systemd/system.conf.d/azcmagent.conf.

    Имя. Значение по умолчанию Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • После удаления агента остаются следующие артефакты.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Управление ресурсами агента

Агент подключенного компьютера Azure предназначен для управления потреблением агентов и системных ресурсов. Агент использует следующий подход к управлению ресурсами.

  • Служба конфигурации компьютера (прежнее название — гостевая конфигурация) может использовать до 5 % ЦП для оценки политик.

  • Служба расширений может использовать до 5% ЦП на компьютерах Windows и 30% ЦП на компьютерах Linux для установки, обновления, запуска и удаления расширений. Некоторые расширения могут применять более строгие ограничения ЦП после установки. Применяются следующие исключения:

    тип расширения; Операционная система Ограничение ЦП
    AzureMonitorLinuxAgent Linux 60 %
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60 %
    MDE.Linux Linux 60 %
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60 %
    OmsAgentForLinux Linux 60 %

Во время обычных операций, определенных как агент подключенной машины Azure к Azure и не изменяя расширение или оценивая политику, можно ожидать, что агент будет использовать следующие системные ресурсы:

Windows Linux
Использование ЦП (нормализовано до 1 ядра) 0,07 % 0,02 %
Использование памяти. 57 МБ 42 МБ

Приведенные выше данные о производительности были собраны в апреле 2023 года на виртуальных машинах под управлением Windows Server 2022 и Ubuntu 20.04. Фактические показатели производительности агента и потребления ресурсов зависят от конфигурации оборудования и программного обеспечения серверов.

Ограничения настраиваемых ресурсов

Ограничения управления ресурсами по умолчанию являются лучшим выбором для большинства серверов. Однако небольшие виртуальные машины и серверы с ограниченными ресурсами ЦП могут столкнуться со временем ожидания при управлении расширениями или оценке политик, так как для выполнения задач недостаточно ресурсов ЦП. Начиная с версии 1.39 агента можно настроить ограничения ЦП, применяемые к диспетчеру расширений и службам конфигурации компьютера, чтобы помочь агенту быстрее выполнить эти задачи.

Чтобы просмотреть текущие ограничения ресурсов для диспетчера расширений и служб конфигурации компьютера, выполните следующую команду.

azcmagent config list

В выходных данных вы увидите два поля и extensions.agent.cpulimit текущее ограничение ресурсов, guestconfiguration.agent.cpulimit указанное в процентах. При новой установке агента оба будут отображаться 5 , так как ограничение по умолчанию составляет 5% от ЦП.

Чтобы изменить ограничение ресурсов диспетчера расширений на 80%, выполните следующую команду:

azcmagent config set extensions.agent.cpulimit 80

Метаданные экземпляра

Метаданные подключенного компьютера собираются после регистрации агента подключенного компьютера с серверами с поддержкой Azure Arc. В частности:

  • Имя операционной системы, выпуск, тип и версия
  • Имя компьютера
  • Производитель и модель компьютера
  • полное доменное имя (FQDN) компьютера;
  • Доменное имя (при присоединении к домену Active Directory)
  • Active Directory и полное доменное имя DNS (FQDN);
  • UUID (идентификатор BIOS);
  • пульс агента Connected Machine;
  • версия агента подключенного компьютера.
  • открытый ключ для управляемого удостоверения;
  • состояние и сведения о соответствии политике (при использовании политик гостевой конфигурации);
  • SQL Server установлен (логическое значение)
  • Идентификатор кластерного ресурса (для узлов Azure Stack HCI)
  • Изготовитель оборудования
  • Аппаратная модель
  • Семейство ЦП, сокет, физическое ядро и количество логических ядер
  • Общий объем физической памяти
  • Серийный номер
  • Тег ресурса SMBIOS
  • Сведения о сетевом интерфейсе
    • IP-адрес
    • Подсеть
  • Сведения о лицензировании Windows
    • Состояние лицензии ОС
    • Канал лицензий ОС
    • Возможность расширенных обновлений системы безопасности
    • Состояние лицензии расширенных обновлений безопасности
    • Канал лицензий расширенных обновлений безопасности
  • Обязательства поставщика
  • Метаданные Amazon Web Services (AWS) при запуске в AWS:
    • Код счета
    • Instance ID
    • Область/регион
  • Метаданные Google Cloud Platform (GCP) при выполнении в GCP:
    • Instance ID
    • Изображения
    • Тип компьютера
    • Код проекта
    • Номер проекта
    • учетные записи служб;
    • Зона
  • Метаданные Oracle Cloud Infrastructure при запуске в OCI:
    • Показать имя

Агент запрашивает следующие сведения метаданных из Azure:

  • расположение ресурса (область);
  • Virtual machine ID (Идентификатор виртуальной машины)
  • Теги
  • Сертификат управляемого удостоверения Microsoft Entra
  • назначения политики гостевой конфигурации;
  • запросы расширения — установка, обновление и удаление.

Примечание.

Серверы с поддержкой Azure Arc не хранят и не обрабатывают данные клиента за пределами региона, в который клиент развертывает экземпляр службы.

Параметры и требования к развертыванию

Для развертывания агента и подключения к компьютеру требуются определенные предварительные требования. Существуют также требования к сети, которые следует учитывать.

Мы предоставляем несколько вариантов развертывания агента. Дополнительные сведения см. в разделе "Планирование развертывания и развертывания".

Аварийное восстановление

Для серверов с поддержкой Arc нет вариантов аварийного восстановления с поддержкой клиента. В случае сбоя в регионе Azure система переключится на другой регион в том же географическом регионе Azure (если он существует). Хотя эта процедура отработки отказа выполняется автоматически, требуется некоторое время. Агент подключенного компьютера будет отключен в течение этого периода и будет отображать состояние "Отключено " до завершения отработки отказа. Система восстановит отработку отказа в исходном регионе после восстановления сбоя.

Сбой Azure Arc не повлияет на саму рабочую нагрузку клиента; Только управление применимыми серверами с помощью Arc будет нарушено.

Следующие шаги