Общие сведения об агенте Azure Connected Machine

Агент подключенного компьютера Azure позволяет управлять компьютерами Windows и Linux, размещенными за пределами Azure, в корпоративной сети или других облачных поставщиках.

Warning

Только версии агента системы подключения, выпущенные в течение последнего года, официально поддерживаются продуктовой группой. Все клиенты должны обновить версию агента в этом окне или включить автоматическое обновление агента (предварительная версия).

Компоненты агента

Схема архитектуры агента подключенного компьютера Azure.

Чтобы скачать схемы архитектуры в высоком разрешении, перейдите на страницу Jumpstart Gems.

Пакет агента подключенного компьютера Azure содержит несколько логических компонентов, объединенных в состав:

  • Служба Hybrid Instance Metadata Service (HIMDS) управляет подключением к Azure и удостоверением Azure подключенного компьютера.

  • Агент конфигурации компьютера предоставляет такие функциональные возможности, как оценка соответствия компьютера обязательным политикам и обеспечение соблюдения.

    Обратите внимание на следующее поведение политики Azure конфигурации виртуальной машины для отключенной машины:

    • Назначение Политики Azure, предназначенное для отключенных компьютеров, не затрагивается.
    • Гостевое назначение хранится локально в течение 14 дней. Если агент Connected Machine повторно подключается к службе в течение 14-дневного периода, назначения политик применяются заново.
    • Назначения удаляются через 14 дней и не переназначаются компьютеру после 14-дневного периода.
  • Агент расширений управляет расширениями виртуальной машины, включая установку, удаление и обновление. Azure загружает расширения и копирует их в папку %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads в Windows и /opt/GC_Ext/downloads в Linux. В Windows расширение устанавливается по следующему пути %SystemDrive%\Packages\Plugins\<extension>, а в Linux расширение устанавливается по пути /var/lib/waagent/<extension>.

Note

Агент Azure Monitor (AMA) — это отдельный агент, который собирает данные мониторинга. Он не заменяет агент подключенного компьютера. AMA заменяет только агент Log Analytics, расширение диагностики и агент Telegraf для компьютеров Windows и Linux.

Прокси-сервер Azure Arc

Служба прокси-сервера Azure Arc отвечает за агрегирование сетевого трафика из служб агента подключенного компьютера Azure и любых расширений и выбор места маршрутизации данных. Если вы используете шлюз Azure Arc (ограниченная предварительная версия) для упрощения сетевых конечных точек, служба прокси-сервера Azure Arc — это локальный компонент, который перенаправит сетевые запросы через шлюз Azure Arc вместо маршрута по умолчанию. Прокси Azure Arc выполняется как сетевая служба в Windows и обычная учетная запись пользователя (arcproxy) в Linux. До агента подключенного компьютера Azure версии 1.51 эта служба была отключена по умолчанию и должна оставаться отключенной, если агент не настроен на использование шлюза Azure Arc (ограниченная предварительная версия). С версией 1.51 и более поздними версиями служба Прокси Arc запускается по умолчанию, так как теперь она может определить, настроен ли компьютер для использования шлюза Arc или напрямую взаимодействовать с конечными точками Arc и вести себя соответствующим образом. Если вы не используете шлюз Arc, вы по-прежнему можете отключить службу Прокси Arc с помощью следующей команды azcmagent config set connection.type direct.

Ресурсы агента

В этом разделе описываются каталоги и учетные записи пользователей, используемые агентом подключенного компьютера Azure.

Сведения об установке агента для Windows

Агент для Windows распространяется как пакет установщика Windows (MSI). Скачайте агент Windows из Центра загрузки Майкрософт. Установка агента подключенного компьютера для Окна применяет следующие изменения конфигурации на уровне системы:

  • Процесс установки создает следующие папки во время установки.

    Directory Description
    %ProgramFiles%\AzureConnectedMachineAgent Интерфейс командной строки (CLI) azcmagent и утилиты службы метаданных экземпляра.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC Исполняемые файлы для служб расширений.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC Исполняемые файлы службы конфигурации компьютера (политика).
    %ProgramData%\AzureConnectedMachineAgent Файлы конфигурации, журнала и токены идентификации для CLI azcmagent и сервиса метаданных экземпляра.
    %ProgramData%\GuestConfig Загрузка пакетов расширений, загрузка определений конфигурации компьютера (политика) и журналов для служб расширений и конфигурации компьютера.
    %SYSTEMDRIVE%\packages Исполняемые файлы пакетов расширения
  • Установка агента создает следующие службы Windows на целевом компьютере.

    Имя службы Показать имя Имя процесса Description
    himds Гибридная служба метаданных экземпляра Azure himds.exe Синхронизирует метаданные с Azure и размещает локальный REST API для расширений и приложений для доступа к метаданным и запроса токенов управляемого удостоверения Microsoft Entra.
    GCArcService Служба Arc конфигурации компьютера gc_arc_service.exe (gc_service.exe раньше версии 1.36) Проводит аудит и применяет политики конфигурации устройств Azure на устройстве.
    ExtensionService Служба расширения конфигурации компьютера gc_extension_service.exe (gc_service.exe раньше версии 1.36) Устанавливает и обновляет расширениями на компьютере, а также управляет ими.
  • Установка агента создает следующую учетную запись виртуальной службы.

    Виртуальная учетная запись Description
    NT SERVICE\himds Непривилегированная учетная запись, используемая для запуска службы Hybrid Instance Metadata Service.

    Tip

    Для этой учетной записи требуется право "Вход в качестве службы". Это право автоматически предоставляется во время установки агента. Однако если ваша организация настраивает назначения прав пользователей с помощью групповой политики, может потребоваться настроить объект групповой политики, чтобы предоставить право на "NT SERVICE\himds" или "NT SERVICE\ALL SERVICES", чтобы разрешить агенту функционировать.

  • Установка агента создает следующую локальную группу безопасности системы.

    Имя группы безопасности Description
    Приложения расширения гибридного агента Члены этой группы безопасности могут запрашивать токены Microsoft Entra для системно назначенного управляемого удостоверения
  • Установка агента создает следующие переменные среды

    Name Значение по умолчанию
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Существует несколько файлов журналов, доступных для устранения неполадок, описанных в следующей таблице.

    Log Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Записывает сведения о компоненте пульса и компоненте агента удостоверений.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Содержит выходные данные команд инструмента azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Записывает сведения о компоненте агента конфигурации компьютера (конфигурационная политика).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Записывает сведения о действиях диспетчера расширений (события установки, удаления и обновления расширений).
    %ProgramData%\GuestConfig\extension_logs Каталог, содержащий журналы для отдельных расширений.
  • После удаления агента остаются следующие артефакты.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Note

Перед установкой временно исключите расположение файлов установки из антивирусной или антивредоносной проверки. Это предотвращает потенциальное вмешательство и повреждение файлов во время установки.

Сведения об установке агента для Linux

Предпочтительный формат пакета для дистрибутива (.rpm или .deb), размещенного в репозитории пакетов Майкрософт, предоставляет агент подключенного компьютера для Linux. Пакет скриптов оболочки Install_linux_azcmagent.sh устанавливает и настраивает агент.

Установка, обновление и удаление агента подключенного компьютера не требуется после перезагрузки сервера.

Установка агента подключенного компьютера для Linux применяет следующие изменения конфигурации на уровне системы.

  • Программа установки создает следующие папки установки.

    Directory Description
    /opt/azcmagent/ Интерфейс командной строки (CLI) azcmagent и утилиты службы метаданных экземпляра.
    /opt/GC_Ext/ Исполняемые файлы для служб расширений.
    /opt/GC_Service/ Исполняемые файлы службы конфигурации компьютера (политика).
    /var/opt/azcmagent/ Файлы конфигурации, журнала и токены идентификации для CLI azcmagent и сервиса метаданных экземпляра.
    /var/lib/GuestConfig/ Загрузка пакетов расширений, загрузка определений конфигурации компьютера (политика) и журналов для служб расширений и конфигурации компьютера.
  • Установка агента создает следующие демоны.

    Имя службы Показать имя Имя процесса Description
    himdsd.service Служба Azure Connected Machine Agent himds Эта служба реализует службу метаданных гибридного экземпляра (IMDS) для управления подключением к Azure и идентификацией Azure подключенного компьютера.
    gcad.service Служба GC Arc gc_linux_service Проводит аудит и применяет политики конфигурации устройств Azure на устройстве.
    extd.service Служба расширений gc_linux_service Устанавливает и обновляет расширениями на компьютере, а также управляет ими.
  • Существует несколько файлов журналов, доступных для устранения неполадок, описанных в следующей таблице.

    Log Description
    /var/opt/azcmagent/log/himds.log Записывает сведения о компоненте сердцебиения и агенте идентификации.
    /var/opt/azcmagent/log/azcmagent.log Содержит выходные данные команд инструмента azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Записывает сведения о компоненте агента настройки машины (политика).
    /var/lib/GuestConfig/ext_mgr_logs Записывает сведения о действиях диспетчера расширений (события установки, удаления и обновления расширений).
    /var/lib/GuestConfig/extension_logs Каталог, содержащий журналы для отдельных расширений.
  • Установка агента создает следующие переменные среды, заданные в /lib/systemd/system.conf.d/azcmagent.conf.

    Name Значение по умолчанию
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • После удаления агента остаются следующие остаточные файлы.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Управление ресурсами агента

Агент подключенного компьютера Azure предназначен для управления потреблением агентов и системных ресурсов. Агент подходит к управлению ресурсами при следующих условиях.

  • Служба конфигурации компьютера (прежнее название — гостевая конфигурация) может использовать до 5 % ЦП для оценки политик.

  • Служба расширений может использовать до 5% ЦП на компьютерах Windows и 30% ЦП на компьютерах Linux для установки, обновления, запуска и удаления расширений. Некоторые расширения могут применять более строгие ограничения ЦП после установки. Применяются следующие исключения:

    Тип расширения Операционная система Ограничение ЦП
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Во время обычных операций, когда агент подключенной машины Azure подключен к Azure, и не происходит активного изменения расширений или оценки политик, можно ожидать, что агент будет использовать следующие системные ресурсы:

Windows Linux
Использование ЦП (нормализовано до 1 ядра) 0.07% 0.02%
Использование памяти 57 МБ 42 МБ

Приведенные выше данные о производительности были собраны в апреле 2023 года на виртуальных машинах под управлением Windows Server 2022 и Ubuntu 20.04. Фактические производительность агента и потребление ресурсов зависят от конфигурации оборудования и программного обеспечения серверов.

Ограничения настраиваемых ресурсов

Ограничения управления ресурсами по умолчанию являются лучшим выбором для большинства серверов. Однако небольшие виртуальные машины и серверы с ограниченными ресурсами ЦП могут столкнуться с временем ожидания при управлении расширениями или оценке политик, так как для выполнения задач недостаточно ресурсов ЦП. Начиная с версии 1.39 агента можно настроить ограничения ЦП, применяемые к диспетчеру расширений и службам конфигурации компьютера, чтобы помочь агенту быстрее выполнить эти задачи.

Чтобы просмотреть текущие ограничения ресурсов для диспетчера расширений и служб конфигурации компьютера, выполните следующую команду.

azcmagent config list

В выходных данных вы увидите два поля, guestconfiguration.agent.cpulimit и extensions.agent.cpulimit, с текущим ограничением ресурсов, указанным в процентах. При новой установке агента оба будут показывать 5 , так как ограничение по умолчанию составляет 5% от процессора.

Чтобы изменить ограничение ресурсов диспетчера расширений на 80%, выполните следующую команду:

azcmagent config set extensions.agent.cpulimit 80

Метаданные экземпляра

Метаданные подключенного компьютера собираются после регистрации агента подключенного компьютера с серверами с поддержкой Azure Arc. Specifically:

  • Имя операционной системы, выпуск, тип и версия
  • Имя компьютера
  • Производитель и модель компьютера
  • полное доменное имя (FQDN) компьютера;
  • Доменное имя (при присоединении к домену Active Directory)
  • Active Directory и полное доменное имя DNS (FQDN);
  • UUID (идентификатор BIOS);
  • пульс агента Connected Machine;
  • версия агента подключённой машины.
  • открытый ключ для управляемой идентификации
  • Состояние соответствия политик и сведения (при использовании политик конфигурации компьютера)
  • SQL Server (логическое значение: установлен)
  • PostgreSQL установлено (логическое значение)
  • MySQL установлен (логическое значение)
  • Идентификатор ресурса кластера (для локальных компьютеров Azure)
  • Изготовитель оборудования
  • Аппаратная модель
  • Семейство ЦП, сокет, физическое ядро и количество логических ядер
  • Общая физическая память (для систем Linux, которая содержит значение MemTotal из /proc/meminfo, которое является общим объемом используемой оперативной памяти, а не общей физической памяти).
  • Порядковый номер
  • Тег ресурса SMBIOS
  • Сведения о сетевом интерфейсе
    • IP address
    • Subnet
  • Сведения о лицензировании Windows
    • Состояние лицензии ОС
    • Канал лицензий ОС
    • Возможность расширенных обновлений системы безопасности
    • Состояние лицензии расширенных обновлений безопасности
    • Канал лицензий расширенных обновлений безопасности
  • Поставщик облачных служб
  • Метаданные Amazon Web Services (AWS) при запуске в AWS:
    • Идентификатор учетной записи
    • Идентификатор экземпляра
    • Region
  • Метаданные Google Cloud Platform (GCP), когда они используются в GCP:
    • Идентификатор экземпляра
    • Image
    • Тип компьютера
    • Идентификатор проекта
    • Номер проекта
    • Учетные записи служб
    • Zone
  • Метаданные Oracle Cloud Infrastructure при запуске в OCI:
    • Показать имя

Агент запрашивает следующие сведения метаданных из Azure:

  • расположение ресурса (область);
  • Virtual machine ID (Идентификатор виртуальной машины)
  • Tags
  • Сертификат управляемой идентификации Microsoft Entra
  • Назначения политик конфигурации машины
  • запросы расширения — установка, обновление и удаление.

Note

Серверы с поддержкой Azure Arc не собирают личные сведения (PII) или идентифицируемые пользователем сведения или хранят данные клиента.

Метаданные клиента не хранятся или обрабатываются за пределами региона, в который клиент развертывает экземпляр службы.

Параметры и требования к развертыванию

Для развертывания агента и подключения к компьютеру требуются определенные предварительные требования. Существуют также требования к сети , которые следует учитывать.

Мы предоставляем несколько вариантов развертывания агента. Дополнительную информацию см. в разделах "Планирование развертывания" и "Варианты развертывания".

Рекомендации по клонированию

Вы можете безопасно установить пакет azcmagent в золотой образ, но после подключения компьютера с помощью команды azcmagent connect этот компьютер получает конкретные данные о ресурсах. Если вы создаете машины, клонируя их из золотого образа, сначала необходимо специализировать каждую машину перед подключением к Azure с помощью команды azcmagent connect. Не подключайте исходную машину с золотым образом к Azure, пока не создадите и не настроите каждую машину.

Если подключенный сервер получает 429 сообщений об ошибках, скорее всего, вы подключили сервер к Azure, а затем использовали этот сервер в качестве золотого образа для клонирования. Так как сведения о ресурсе были записаны на образ, клонированные компьютеры, созданные на этом изображении, пытаются отправить сообщения пульса в тот же ресурс.

Чтобы устранить 429 сообщений об ошибках для существующих компьютеров, запустите azcmagent disconnect --force-local-only на каждом клонированного компьютера, а затем повторно запустите azcmagent connect с помощью соответствующих учетных данных для подключения компьютеров к облаку с использованием уникального имени ресурса.

Восстановление после катастрофы

Для серверов с поддержкой Arc нет вариантов аварийного восстановления с поддержкой клиента. В случае сбоя в регионе Azure система переключится на другой регион в том же географическом регионе Azure (если он существует). Хотя эта процедура отработки отказа выполняется автоматически, требуется некоторое время. Агент подключенной машины отключен в течение этого периода и отображает статус Отключен до завершения аварийного переключения. Система вернётся в исходный регион после устранения сбоя.

Сбой Azure Arc не повлияет на саму рабочую нагрузку клиента; Только управление применимыми серверами с помощью Arc будет нарушено.

Отключение сервера

Агент подключенной машины периодически отправляет сигнал о состоянии в Azure каждые пять минут. Если сервер с поддержкой Arc перестает отправлять сигналы в Azure дольше 15 минут, это может означать, что сервер находится в автономном режиме, сетевое подключение заблокировано или агент не работает.

Разработайте план реагирования и расследования этих инцидентов, включая настройку оповещений о работоспособности ресурсов, чтобы получать уведомления при возникновении таких инцидентов. Дополнительные сведения см. в статье Создание оповещений о состоянии ресурсов на портале Azure и Устранение неполадок с Azure Arc в сценариях без подключения.

Дальнейшие шаги