Поделиться через

Общие сведения об агенте Azure Connected Machine

  • Статья

Агент подключенного компьютера Azure позволяет управлять компьютерами Windows и Linux, размещенными за пределами Azure, в корпоративной сети или других облачных поставщиках.

Предупреждение

Только версии агента подключённой машины за последние двенадцать месяцев официально поддерживаются продуктовой группой. Клиенты должны обновить версию агента в этом окне.

Компоненты агента

Схема архитектуры агента подключенного компьютера Azure.

Чтобы скачать схемы архитектуры в высоком разрешении, перейдите на страницу Jumpstart Gems.

Пакет агента подключенного компьютера Azure содержит несколько логических компонентов, объединенных в состав:

  • Служба Hybrid Instance Metadata Service (HIMDS) управляет подключением к Azure и удостоверением Azure подключенного компьютера.

  • Агент конфигурации компьютера предоставляет такие функциональные возможности, как оценка соответствия компьютера обязательным политикам и принудительному применению соответствия.

    Обратите внимание на следующее поведение с конфигурацией компьютера политики Azure для отключенного компьютера:

    • Назначение Политики Azure, предназначенное для отключенных компьютеров, не затрагивается.
    • Гостевое назначение хранится локально в течение 14 дней. Если агент Connected Machine повторно подключается к службе в течение 14-дневного периода, назначения политик применяются заново.
    • Назначения удаляются через 14 дней и не переназначаются компьютеру после 14-дневного периода.

  • Агент расширений управляет расширениями виртуальной машины, включая установку, удаление и обновление. Azure загружает расширения и копирует их в папку %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads в Windows и /opt/GC_Ext/downloads в Linux. В Windows расширение устанавливается на следующий путь %SystemDrive%\Packages\Plugins\<extension>, а в Linux устанавливается /var/lib/waagent/<extension>расширение.

Примечание.

Агент Azure Monitor (AMA) — это отдельный агент, который собирает данные мониторинга. Он не заменяет агент подключенного компьютера. AMA заменяет только агент Log Analytics, расширение диагностики и агент Telegraf для компьютеров Windows и Linux.

Прокси-сервер Azure Arc

Служба прокси-сервера Azure Arc отвечает за агрегирование сетевого трафика из служб агента подключенного компьютера Azure и любых расширений и выбор места маршрутизации данных. Если вы используете шлюз Azure Arc (ограниченная предварительная версия) для упрощения сетевых конечных точек, служба прокси-сервера Azure Arc — это локальный компонент, который перенаправит сетевые запросы через шлюз Azure Arc вместо маршрута по умолчанию. Прокси Azure Arc выполняется как сетевая служба в Windows и стандартная учетная запись пользователя (arcproxy) в Linux. До агента подключенного компьютера Azure версии 1.51 эта служба была отключена по умолчанию и должна оставаться отключенной, если агент не настроен на использование шлюза Azure Arc (ограниченная предварительная версия). С версией 1.51 и более поздними версиями служба Прокси Arc запускается по умолчанию, так как теперь она может определить, настроен ли компьютер для использования шлюза Arc или напрямую взаимодействовать с конечными точками Arc и вести себя соответствующим образом. Если вы не используете шлюз Arc, вы по-прежнему можете отключить службу Прокси Arc с помощью следующей команды azcmagent config set connection.type direct.

Ресурсы агента

В этом разделе описываются каталоги и учетные записи пользователей, используемые агентом подключенного компьютера Azure.

Сведения об установке агента для Windows

Агент для Windows распространяется как пакет установщика Windows (MSI). Скачайте агент Windows из Центра загрузки Майкрософт. Установка агента подключенного компьютера для Окна применяет следующие изменения конфигурации на уровне системы:

  • Процесс установки создает следующие папки во время установки.

    Каталог Описание
    %ProgramFiles%\AzureConnectedMachineAgent Интерфейс коммандной строки (CLI) azcmagent и исполняемые файлы службы метаданных экземпляра.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC Исполняемые файлы службы расширений.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC Исполняемые файлы службы конфигурации компьютера (политика).
    %ProgramData%\AzureConnectedMachineAgent Файлы маркеров конфигурации, журнала и идентификации для azcmagent CLI и службы метаданных экземпляра.
    %ProgramData%\НастройкиГостя Скачивание пакетов расширений, скачивание определений конфигурации компьютера (политика) и журналы для служб конфигурации расширений и компьютеров.
    %SYSTEMDRIVE%\пакеты Исполняемые файлы пакетов расширений

  • Установка агента создает следующие службы Windows на целевом компьютере.

    Название сервиса Показать имя Наименование процесса Описание
    хидды Гибридная служба метаданных экземпляров Azure himds.exe Синхронизирует метаданные с Azure и размещает локальный REST API для расширений и приложений с целью получения доступа к метаданным и запроса маркеров управляемого удостоверения Microsoft Entra
    GCArcService Служба Arc конфигурации компьютера gc_arc_service.exe (gc_service.exe раньше версии 1.36) Выполняет аудит и применяет политики конфигурации компьютера Azure на компьютере.
    Служба расширения Служба расширения конфигурации компьютера gc_extension_service.exe (gc_service.exe раньше версии 1.36) Устанавливает и обновляет расширениями на компьютере, а также управляет ими.

  • Установка агента создает следующую учетную запись виртуальной службы.

    Виртуальная учетная запись Описание
    NT SERVICE\himds Непривилегированная учетная запись, используемая для запуска службы Hybrid Instance Metadata Service.

    Совет

    Для этой учетной записи требуется право "Вход в качестве службы". Это право автоматически предоставляется во время установки агента. Однако если ваша организация настраивает назначения прав пользователей с помощью групповой политики, может потребоваться настроить объект групповой политики, чтобы предоставить право на "NT SERVICE\himds" или "NT SERVICE\ALL SERVICES", чтобы разрешить агенту функционировать.

  • Установка агента создает следующую локальную группу безопасности.

    Имя группы безопасности Описание
    Приложения расширения гибридного агента Члены этой группы безопасности могут запрашивать маркеры Microsoft Entra для управляемого удостоверения, назначаемого системой

  • Установка агента создает следующие переменные среды

    Имя. Значение по умолчанию
    КОНЕЧНАЯ_ТОЧКА_ИДЕНТИФИКАЦИИ http://localhost:40342/metadata/identity/oauth2/token
    КонечнаяТочкаIMDS http://localhost:40342

  • Существует несколько файлов журналов, доступных для устранения неполадок, описанных в следующей таблице.

    Журнал Описание
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Записывает сведения о компоненте пакета пульса и агента удостоверений.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Содержит выходные данные команд инструмента azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Записывает сведения о компоненте агента конфигурации компьютера (политика).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Записывает сведения о действиях диспетчера расширений (события установки, удаления и обновления расширений).
    %ProgramData%\GuestConfig\extension_logs Каталог, содержащий журналы по отдельным расширениям.

  • После удаления агента остаются следующие артефакты.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\НастройкиГостя
    • %SystemDrive%\Packages

Примечание.

Перед установкой временно исключите расположение файлов установки из антивирусной или антивредоносной проверки. Это предотвращает потенциальное вмешательство и повреждение файлов во время установки.

Сведения об установке агента для Linux

Предпочтительный формат пакета для дистрибутива (.rpm или .deb), размещенного в репозитории пакетов Майкрософт, предоставляет агент подключенного компьютера для Linux. Пакет скриптов оболочки Install_linux_azcmagent.sh устанавливает и настраивает агент.

Установка, обновление и удаление агента подключенного компьютера не требуется после перезагрузки сервера.

Установка агента подключенного компьютера для Linux применяет следующие изменения конфигурации на уровне системы.

  • Программа установки создает следующие папки установки.

    Каталог Описание
    /opt/azcmagent/ Интерфейс коммандной строки (CLI) azcmagent и исполняемые файлы службы метаданных экземпляра.
    /opt/GC_Ext/ Исполняемые файлы службы расширений.
    /opt/GC_Service/ Исполняемые файлы службы конфигурации компьютера (политика).
    /var/opt/azcmagent/ Файлы маркеров конфигурации, журнала и идентификации для azcmagent CLI и службы метаданных экземпляра.
    /var/lib/GuestConfig/ Скачивание пакетов расширений, скачивание определений конфигурации компьютера (политика) и журналы для служб конфигурации расширений и компьютеров.

  • Установка агента создает следующие daemons.

    Название сервиса Показать имя Наименование процесса Описание
    himdsd.service Служба Azure Connected Machine Agent хидды Эта служба реализует службу метаданных гибридного экземпляра (IMDS) для управления подключением к Azure и удостоверениям Azure подключенного компьютера.
    gcad.service Служба GC Arc Служба GC для Linux Выполняет аудит и применяет политики конфигурации компьютера Azure на компьютере.
    extd.service Служба расширений Служба GC для Linux Устанавливает и обновляет расширениями на компьютере, а также управляет ими.

  • Существует несколько файлов журналов, доступных для устранения неполадок, описанных в следующей таблице.

    Журнал Описание
    /var/opt/azcmagent/log/himds.log Записывает сведения о компоненте пакета пульса и агента удостоверений.
    /var/opt/azcmagent/log/azcmagent.log Содержит выходные данные команд инструмента azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Записывает сведения о компоненте агента конфигурации компьютера (политика).
    /var/lib/GuestConfig/ext_mgr_logs Записывает сведения о действиях диспетчера расширений (события установки, удаления и обновления расширений).
    /var/lib/GuestConfig/extension_logs Каталог, содержащий журналы по отдельным расширениям.

  • Установка агента создает следующие переменные среды, заданные в /lib/systemd/system.conf.d/azcmagent.conf.

    Имя. Значение по умолчанию
    КОНЕЧНАЯ_ТОЧКА_ИДЕНТИФИКАЦИИ http://localhost:40342/metadata/identity/oauth2/token
    КонечнаяТочкаIMDS http://localhost:40342

  • После удаления агента остаются следующие артефакты.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Управление ресурсами агента

Агент подключенного компьютера Azure предназначен для управления потреблением агентов и системных ресурсов. Агент использует следующий подход к управлению ресурсами.

  • Служба конфигурации компьютера (прежнее название — гостевая конфигурация) может использовать до 5 % ЦП для оценки политик.

  • Служба расширений может использовать до 5% ЦП на компьютерах Windows и 30% ЦП на компьютерах Linux для установки, обновления, запуска и удаления расширений. Некоторые расширения могут применять более строгие ограничения ЦП после установки. Применяются следующие исключения:

    тип расширения; Операционная система Ограничение ЦП
    AzureMonitorLinuxAgent Линукс 60 %
    Агент Azure Monitor для Windows Виндоус 100%
    LinuxOsUpdateExtension Линукс 60 %
    MDE. Линукс Линукс 60 %
    MicrosoftDnsAgent Виндоус 100%
    MicrosoftMonitoringAgent (Агент мониторинга Microsoft) Виндоус 60 %
    OmsAgentForLinux Линукс 60 %

Во время обычных операций, определенных как агент подключенной машины Azure к Azure и не изменяя расширение или оценивая политику, можно ожидать, что агент будет использовать следующие системные ресурсы:

Виндоус Линукс
Использование ЦП (нормализовано до 1 ядра) 0,07 % 0,02 %
Использование памяти 57 МБ 42 МБ

Приведенные выше данные о производительности были собраны в апреле 2023 года на виртуальных машинах под управлением Windows Server 2022 и Ubuntu 20.04. Фактические производительность агента и потребление ресурсов зависят от конфигурации оборудования и программного обеспечения серверов.

Ограничения настраиваемых ресурсов

Ограничения управления ресурсами по умолчанию являются лучшим выбором для большинства серверов. Однако небольшие виртуальные машины и серверы с ограниченными ресурсами ЦП могут столкнуться с временем ожидания при управлении расширениями или оценке политик, так как для выполнения задач недостаточно ресурсов ЦП. Начиная с версии 1.39 агента можно настроить ограничения ЦП, применяемые к диспетчеру расширений и службам конфигурации компьютера, чтобы помочь агенту быстрее выполнить эти задачи.

Чтобы просмотреть текущие ограничения ресурсов для диспетчера расширений и служб конфигурации компьютера, выполните следующую команду.

azcmagent config list

В выходных данных вы увидите два поля и guestconfiguration.agent.cpulimit текущее ограничение ресурсов, extensions.agent.cpulimit указанное в процентах. При новой установке агента оба будут отображаться 5 , так как ограничение по умолчанию составляет 5% от ЦП.

Чтобы изменить ограничение ресурсов диспетчера расширений на 80%, выполните следующую команду:

azcmagent config set extensions.agent.cpulimit 80

Метаданные экземпляра

Метаданные подключенного компьютера собираются после регистрации агента подключенного компьютера с серверами с поддержкой Azure Arc. В частности:

  • Имя операционной системы, выпуск, тип и версия
  • Имя компьютера
  • Производитель и модель компьютера
  • полное доменное имя (FQDN) компьютера;
  • Доменное имя (при присоединении к домену Active Directory)
  • Active Directory и полное доменное имя DNS (FQDN);
  • UUID (идентификатор BIOS);
  • пульс агента Connected Machine;
  • версия агента подключенного компьютера.
  • открытый ключ для управляемого удостоверения;
  • Состояние соответствия политик и сведения (при использовании политик конфигурации компьютера)
  • SQL Server установлен (логическое значение)
  • PostgreSQL установлено (логическое значение)
  • MySQL установлен (логическое значение)
  • Идентификатор ресурса кластера (для локальных компьютеров Azure)
  • Изготовитель оборудования
  • Аппаратная модель
  • Семейство ЦП, сокет, физическое ядро и количество логических ядер
  • Общий объем физической памяти
  • Серийный номер
  • Тег ресурса SMBIOS
  • Сведения о сетевом интерфейсе
    • IP-адрес
    • Подсеть
  • Сведения о лицензировании Windows
    • Состояние лицензии ОС
    • Канал лицензий ОС
    • Возможность расширенных обновлений системы безопасности
    • Состояние лицензии расширенных обновлений безопасности
    • Канал лицензий расширенных обновлений безопасности
  • Обязательства поставщика
  • Метаданные Amazon Web Services (AWS) при запуске в AWS:
    • Код счета
    • Идентификатор экземпляра
    • Область/регион
  • Метаданные Google Cloud Platform (GCP) при выполнении в GCP:
    • Идентификатор экземпляра
    • Изображения
    • Тип компьютера
    • Код проекта
    • Номер проекта
    • учетные записи служб;
    • Зона
  • Метаданные Oracle Cloud Infrastructure при запуске в OCI:
    • Показать имя

Агент запрашивает следующие сведения метаданных из Azure:

  • расположение ресурса (область);
  • Virtual machine ID (Идентификатор виртуальной машины)
  • Теги
  • Сертификат управляемого удостоверения Microsoft Entra
  • Назначения политик конфигурации компьютера
  • запросы расширения — установка, обновление и удаление.

Примечание.

Серверы с поддержкой Azure Arc не собирают личные сведения (PII) или идентифицируемые пользователем сведения или хранят данные клиента.

Метаданные клиента не хранятся или обрабатываются за пределами региона, в который клиент развертывает экземпляр службы.

Параметры и требования к развертыванию

Для развертывания агента и подключения к компьютеру требуются определенные предварительные требования. Существуют также требования к сети , которые следует учитывать.

Мы предоставляем несколько вариантов развертывания агента. Дополнительную информацию см. в разделах "Планирование развертывания" и "Варианты развертывания".

Рекомендации по клонированию

Вы можете безопасно установить пакет azcmagent в золотой образ, но после подключения компьютера с помощью команды этот компьютер получает определенные сведения о ресурсе azcmagent connect . Если вы создаете компьютеры, клонируя их из золотого образа, перед подключением к Azure с azcmagent connect помощью команды необходимо сначала специализировать каждый компьютер. Не подключайте исходный компьютер с золотым изображением к Azure, пока не создайте и не будете специализированы на каждом компьютере.

Если подключенный сервер получает 429 сообщений об ошибках, скорее всего, вы подключили сервер к Azure, а затем использовали этот сервер в качестве золотого образа для клонирования. Так как сведения о ресурсе были записаны на образ, клонированные компьютеры, созданные на этом изображении, пытаются отправить сообщения пульса в тот же ресурс.

Чтобы устранить 429 сообщений об ошибках для существующих компьютеров, запустите azcmagent disconnect --force-local-only на каждом клонированного компьютера, а затем повторно запустите azcmagent connect с помощью соответствующих учетных данных для подключения компьютеров к облаку с использованием уникального имени ресурса.

Аварийное восстановление

Для серверов с поддержкой Arc нет вариантов аварийного восстановления с поддержкой клиента. В случае сбоя в регионе Azure система переключится на другой регион в том же географическом регионе Azure (если он существует). Хотя эта процедура отработки отказа выполняется автоматически, требуется некоторое время. Агент подключенной машины отключен в течение этого периода и отображает состояние Отключено до завершения переключения на резервный канал. Система вернётся в исходный регион после устранения сбоя.

Сбой Azure Arc не повлияет на саму рабочую нагрузку клиента; Только управление применимыми серверами с помощью Arc будет нарушено.

Следующие шаги