Přehled agenta Azure Arc povolených serverů

Agent Azure Arc connected machine umožňuje spravovat počítače s Windows a Linuxem hostované mimo Azure ve vaší podnikové síti nebo jiných poskytovatelích cloudu. Tento článek poskytuje podrobný přehled o agentech, požadavcích na systém a síť a o různých metodách nasazení.

Poznámka

Od obecné verze serverů s podporou Azure Arc v září 2020 se všechny předběžné verze agenta Azure Connected Machine (agenti s verzemi nižšími než 1.0) od 2. února 2021 přesouvnou. Tento časový rámec umožňuje upgradovat na verzi 1.0 nebo vyšší, než budou předem vydaní agenti moct komunikovat s Azure Arc serverovou službou.

Poznámka

Agent Azure Monitor (AMA), který je aktuálně ve verzi Preview, nenahrazuje agenta Connected Machine. Agent Azure Monitor nahradí agenta Log Analytics, rozšíření diagnostiky a agenta Telegrafu pro počítače s Windows i Linuxem. Další podrobnosti Azure Monitor dokumentaci k novému agentovi.

Podrobnosti o komponentách agenta

Přehled agenta serverů s podporou služby Arc

Balíček Azure Connected Machine obsahuje několik logických komponent, které jsou spojeny dohromady.

  • Služba Metadata hybridní instance (HIMDS) spravuje připojení k Azure a identitě Azure připojeného počítače.

  • Agent konfigurace hosta poskytuje In-Guest zásad a konfigurace hosta, jako je například posouzení, jestli počítač splňuje požadované zásady.

    Všimněte si následujícího chování Azure Policy konfigurace hosta pro odpojený počítač:

    • Přiřazení zásad konfigurace hosta, které cílí na odpojené počítače, není ovlivněné.
    • Přiřazení hosta se ukládá místně po dobu 14 dnů. Pokud se agent Connected Machine znovu připojí ke službě, přiřazení zásad se během 14 dnů znovu připojí.
    • Přiřazení se odstraní po 14 dnech a po uplynutí 14denního období se k počítači znovu nepřiřazení.
  • Agent rozšíření spravuje rozšíření virtuálního počítače, včetně instalace, odinstalace a upgradu. Rozšíření se stáhnou z Azure a zkopírují do složky ve Windows a pro %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Linux na /opt/GC_Ext/downloads . Ve Windows se rozšíření nainstaluje do následující cesty %SystemDrive%\Packages\Plugins\<extension> a v Linuxu je rozšíření nainstalované na /var/lib/waagent/<extension> .

Metadata instance

Po registraci agenta Connected Machine na serverech s podporou Arc se shromažďují metadata o připojeném počítači. Konkrétně se jedná o tyto:

  • Název, typ a verze operačního systému
  • Název počítače
  • Výrobce a model počítače
  • Plně kvalifikovaný název domény (FQDN) počítače
  • Verze agenta Connected Machine
  • Plně kvalifikovaný název domény (FQDN) služby Active Directory a DNS
  • UUID (ID systému BIOS)
  • Heartbeat agenta Connected Machine
  • Verze agenta Connected Machine
  • Veřejný klíč pro spravovanou identitu
  • Stav dodržování zásad a podrobnosti (pokud používáte Azure Policy konfigurace hosta)
  • SQL Server nainstalovaná hodnota (logická hodnota)
  • ID prostředku clusteru (pro Azure Stack HCI uzly)

Agent z Azure požaduje následující informace o metadatech:

  • Umístění prostředku (oblast)
  • ID virtuálního počítače
  • Značky
  • Azure Active Directory certifikátu spravované identity
  • Přiřazení zásad konfigurace hosta
  • Žádosti o rozšíření – instalace, aktualizace a odstranění.

Stažení agentů

Balíček agenta Azure Connected Machine pro Windows a Linux si můžete stáhnout z umístění uvedených níže.

Agenta Azure Connected Machine pro Windows a Linux je možné upgradovat na nejnovější verzi ručně nebo automaticky v závislosti na vašich požadavcích. Další informace najdete tady.

Požadavky

Podporovaná prostředí

Servery s podporou služby Arc podporují instalaci agenta Connected Machine na libovolný fyzický server a virtuální počítač hostovaný mimo Azure. To zahrnuje virtuální počítače běžící na platformách, jako je VMware, Azure Stack HCI a dalších cloudových prostředích. Servery s podporou služby Arc nepodporují instalaci agenta na virtuální počítače spuštěné v Azure ani virtuální počítače běžící na Azure Stack Hub nebo Azure Stack Edge, protože už jsou modelované jako virtuální počítače Azure.

Podporované operační systémy

Následující verze operačního systému Windows a Linux se oficiálně podporují pro agenta Azure Connected Machine systému:

  • Windows Server 2008 R2 SP1, Windows Server 2012 R2 a novější (včetně jádra serveru)
  • Ubuntu 16.04, 18.04 a 20.04 LTS (x64)
  • CentOS Linux 7 a 8 (x64)
  • SUSE Linux Enterprise Server (SLES) 12 a 15 (x64)
  • Red Hat Enterprise Linux (RHEL) 7 a 8 (x64)
  • Amazon Linux 2 (x64)
  • Oracle Linux 7

Upozornění

Název hostitele s Linuxem nebo název počítače s Windows nemůže v názvu použít jedno z vyhrazených slov nebo ochranných známek, jinak pokus o registraci připojeného počítače v Azure selže. Seznam vyhrazených slov najdete v tématu Řešení chyb názvů rezervovaných prostředků.

Poznámka

I když servery s podporou Arc podporují Amazon Linux, následující distribuce tuto distribuci nepodporují:

  • Agenti využí Azure Monitor (to znamená agent Log Analytics a dependency agent)
  • Azure Automation – Update Management
  • Přehledy virtuálních počítače

Požadavky na software

Požadovaná oprávnění

  • Pokud chcete onboarding počítačů, jste členem role Azure Connected Machine onboardingu nebo přispěvatele ve skupině prostředků.

  • Pokud chcete číst, upravovat a odstraňovat počítač, jste členem role správce Azure Connected Machine prostředků ve skupině prostředků.

  • Pokud chcete při použití metody vygenerovat skript vybrat skupinu prostředků z rozevíracího seznamu, musíte být minimálně členem role Čtenář pro tuto skupinu prostředků.

Limity předplatného a služeb Azure

Před konfigurací počítačů s Azure Arc povolenými servery si prohlédněte limity předplatného Azure Resource Manager a omezení skupin prostředků a naplánujte počet počítačů, které se mají připojit.

Azure Arc podporuje až 5 000 instancí počítače ve skupině prostředků.

Protokol Transport Layer Security 1.2

Pokud chcete zajistit zabezpečení dat při přenosu do Azure, důrazně doporučujeme nakonfigurovat počítač tak, aby používat protokol TLS (Transport Layer Security) 1.2. Zjistilo se, že starší verze protokolu TLS/SSL (Secure Sockets Layer) (SSL) jsou zranitelné, a přestože v současné době pracují s povolením zpětné kompatibility, nedoporučuje se.

Platforma/jazyk Podpora Další informace
Linux Linuxové distribuce se při podpoře protokolu TLS 1.2 obvykle spoléhají na OpenSSL. Zkontrolujte protokol změn OpenSSL a ověřte, že je vaše verze OpenSSL podporovaná.
Windows Server 2012 R2 a novější Podporuje se a ve výchozím nastavení je povolený. Potvrďte, že stále používáte výchozí nastavení.

Konfigurace sítě

Agent Connected Machine pro Linux a Windows zabezpečeně komunikuje s odchozím provozem Azure Arc přes port TCP 443. Pokud se počítač připojuje přes bránu firewall nebo proxy server komunikovat přes internet, zkontrolujte následující informace, abyste porozuměli požadavkům na konfiguraci sítě.

Poznámka

Servery s podporou služby Arc nepodporují použití brány Log Analytics jako proxy pro agenta Connected Machine.

Pokud je odchozí připojení omezeno bránou firewall nebo proxy server, ujistěte se, že níže uvedené adresy URL nejsou blokované. Pokud povolíte pouze rozsahy IP adres nebo názvy domén, které musí agent komunikovat se službou, budete potřebovat přístup k následujícím značkám služby a adresám URL.

Značky služby:

  • Azureactivedirectory selhala
  • AzureTrafficManager
  • AzureResourceManager
  • AzureArcInfrastructure
  • Storage

Adrese

Prostředek agenta Description
management.azure.com Azure Resource Manager
login.windows.net Azure Active Directory
login.microsoftonline.com Azure Active Directory
dc.services.visualstudio.com Application Insights
*.guestconfiguration.azure.com Konfigurace hosta
*.his.arc.azure.com Služba hybridní identity
*.blob.core.windows.net Zdroj stahování pro rozšíření serverů s podporou ARC

Agenti Preview (verze 0,11 a nižší) také vyžadují přístup k následujícím adresám URL:

Prostředek agenta Description
agentserviceapi.azure-automation.net Konfigurace hosta
*-agentservice-prod-1.azure-automation.net Konfigurace hosta

Seznam IP adres pro jednotlivé značky nebo oblasti služby najdete v souboru JSON – rozsahy IP adres Azure a značky služeb – veřejný cloud. Microsoft publikuje týdenní aktualizace obsahující každou službu Azure a rozsahy IP adres, které používá. Tyto informace v souboru JSON představují aktuální časový Seznam rozsahů IP adres, které odpovídají jednotlivým značkám služby. Tato IP adresa se může změnit. Pokud se pro konfiguraci brány firewall vyžadují rozsahy IP adres, měla by se tato značka služby AzureCloud použít k povolení přístupu ke všem službám Azure. Nepovolujte monitorování zabezpečení ani kontrolu těchto adres URL. Povolte je stejně jako jiný internetový provoz.

Další informace najdete v přehledu značek služeb.

Registrovat poskytovatele prostředků Azure

Servery s podporou ARC Azure jsou závislé na následujících poskytovatelích prostředků Azure ve vašem předplatném, aby bylo možné tuto službu používat:

  • Microsoft. HybridCompute
  • Microsoft. GuestConfiguration

Pokud nejsou registrovány, můžete je zaregistrovat pomocí následujících příkazů:

Azure PowerShell:

Login-AzAccount
Set-AzContext -SubscriptionId [subscription you want to onboard]
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridCompute
Register-AzResourceProvider -ProviderNamespace Microsoft.GuestConfiguration

Rozhraní příkazového řádku Azure:

az account set --subscription "{Your Subscription Name}"
az provider register --namespace 'Microsoft.HybridCompute'
az provider register --namespace 'Microsoft.GuestConfiguration'

Poskytovatele prostředků můžete také zaregistrovat v Azure Portal podle kroků v části Azure Portal.

Instalace a konfigurace

Propojení počítačů ve vašem hybridním prostředí s Azure je možné dosáhnout pomocí různých metod v závislosti na vašich požadavcích. Následující tabulka zvýrazňuje jednotlivé metody, abyste zjistili, které funkce jsou pro vaši organizaci nejvhodnější.

Důležité

Agenta připojeného počítače nejde nainstalovat na virtuální počítač Azure s Windows. Pokud se pokusíte, instalace ji zjistí a vrátí zpět.

Metoda Popis
Interaktivně Ručně nainstalujte agenta na jeden nebo malý počet počítačů podle postupu v části připojení počítačů od Azure Portal.
Z Azure Portal můžete vygenerovat skript a spustit ho na počítači, abyste mohli automatizovat kroky instalace a konfigurace agenta.
Ve velkém měřítku Nainstalujte a nakonfigurujte agenta pro více počítačů, které následují po připojení počítačů pomocí instančního objektu.
Tato metoda vytvoří instanční objekt pro připojení počítačů, které nejsou interaktivně.
Ve velkém měřítku Nainstalujte a nakonfigurujte agenta pro více počítačů, které následují za metodou pomocí Windows POWERSHELL DSC.
Tato metoda používá instanční objekt k propojení počítačů bez interaktivního připojení k prostředí PowerShell DSC.

Technický přehled agenta připojeného počítače

Podrobnosti o instalaci agenta Windows

Agenta připojeného počítače pro systém Windows lze nainstalovat pomocí jedné z následujících tří metod:

  • Dvakrát klikněte na soubor AzureConnectedMachineAgent.msi .
  • Ručně spuštěním Instalační služba systému Windows balíčku AzureConnectedMachineAgent.msi z příkazového prostředí.
  • Z relace PowerShellu pomocí skriptované metody.

Po instalaci agenta připojeného počítače pro systém Windows jsou aplikovány následující změny konfigurace v rámci systému.

  • Během instalace se vytvoří následující instalační složky.

    Složka Description
    %ProgramFiles%\AzureConnectedMachineAgent Výchozí instalační cesta obsahující soubory podpory agenta.
    %ProgramData%\AzureConnectedMachineAgent Obsahuje konfigurační soubory agenta.
    %ProgramData%\AzureConnectedMachineAgent\Tokens Obsahuje získané tokeny.
    %ProgramData%\AzureConnectedMachineAgent\Config Obsahuje konfigurační soubor agenta, který ve agentconfig.json službě zaznamenává informace o registraci.
    %ProgramFiles%\ArcConnectedMachineAgent\ExtensionService\GC Instalační cesta obsahující soubory agenta konfigurace hosta
    %ProgramData%\GuestConfig Obsahuje zásady (použité) z Azure.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Rozšíření se stáhnou z Azure a zkopírují se sem.
  • Následující služby systému Windows se v cílovém počítači vytvoří během instalace agenta.

    Název služby Zobrazované jméno Název procesu Description
    himds Hybridní Instance Metadata Service Azure himds Tato služba implementuje službu metadat Azure instance (IMDS) pro správu připojení k Azure a identitě Azure připojeného počítače.
    GCArcService Služba ARC konfigurace hosta gc_service Monitoruje konfiguraci požadovaného stavu počítače.
    ExtensionService Služba rozšíření konfigurace hosta gc_service Nainstaluje požadovaná rozšíření, která cílí na daný počítač.
  • Během instalace agenta se vytvoří následující proměnné prostředí.

    Name Výchozí hodnota Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Pro řešení potíží je k dispozici několik souborů protokolu. Jsou popsané v následující tabulce.

    Protokol Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Zaznamenává údaje o službě agentů (HIMDS) a interakci s Azure.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Obsahuje výstup příkazů nástroje azcmagent při použití podrobného argumentu (-v).
    %ProgramData%\GuestConfig\gc_agent_logs\gc_agent.log Zaznamenává údaje o aktivitě služby DSC.
    zejména propojení mezi službou HIMDS a Azure Policy.
    %ProgramData%\GuestConfig\gc_agent_logs\gc_agent_telemetry.txt Zaznamenává údaje o telemetrii služby DSC a podrobném protokolování.
    %ProgramData%\GuestConfig\ext_mgr_logs Zaznamenává údaje o komponentě agenta rozšíření.
    %ProgramData%\GuestConfig\extension_logs<Extension> Zaznamenává údaje z nainstalovaného rozšíření.
  • Vytvoří se aplikace rozšíření hybridního agenta místní skupiny zabezpečení.

  • Během odinstalace agenta nejsou odebrány následující artefakty.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent a podadresáře
    • %ProgramData%\GuestConfig

Podrobnosti o instalaci agenta pro Linux

Agent Connected Machine pro Linux je k dispozici v upřednostňovaném formátu balíčku pro distribuci (. RPM nebo . DEB), která je hostovaná v úložišti balíčků Microsoftu. Agent je nainstalovaný a nakonfigurovaný se sadou skriptů prostředí Install_linux_azcmagent.sh.

Po instalaci agenta Connected Machine pro Linux se použijí následující změny konfigurace v celém systému.

  • Během instalace se vytvoří následující instalační složky.

    Složka Description
    /var/opt/azcmagent/ Výchozí instalační cesta obsahující podpůrné soubory agenta.
    /opt/azcmagent/
    /opt/GC_Ext Instalační cesta obsahující soubory agenta konfigurace hosta.
    /opt/DSC/
    /var/opt/azcmagent/tokens Obsahuje získané tokeny.
    /var/lib/GuestConfig Obsahuje (použité) zásady z Azure.
    /opt/GC_Ext/soubory ke stažení Rozšíření se stáhnou z Azure a zkopírují se sem.
  • Během instalace agenta se na cílovém počítači vytvoří následující procesy démon.

    Název služby Zobrazované jméno Název procesu Description
    himdsd.service Azure Connected Machine Agent Service himds (jeho id) Tato služba implementuje službu Azure Instance Metadata Service (IMDS) pro správu připojení k Azure a identitě Azure připojeného počítače.
    gcad.service Služba GC Arc gc_linux_service Monitoruje konfiguraci požadovaného stavu počítače.
    extd.service Služba rozšíření gc_linux_service Nainstaluje požadovaná rozšíření zaměřená na počítač.
  • Pro řešení potíží je k dispozici několik souborů protokolu. Jsou popsané v následující tabulce.

    Protokol Description
    /var/opt/azcmagent/log/himds.log Zaznamenává údaje o službě agentů (HIMDS) a interakci s Azure.
    /var/opt/azcmagent/log/azcmagent.log Obsahuje výstup příkazů nástroje azcmagent při použití podrobného argumentu (-v).
    /opt/logs/dsc.log Zaznamenává údaje o aktivitě služby DSC.
    zejména propojení mezi službou himds a Azure Policy.
    /opt/logs/dsc.telemetry.txt Zaznamenává údaje o telemetrii služby DSC a podrobném protokolování.
    /var/lib/GuestConfig/ext_mgr_logs Zaznamenává údaje o komponentě agenta rozšíření.
    /var/lib/GuestConfig/extension_logs Zaznamenává údaje z nainstalovaného rozšíření.
  • Během instalace agenta se vytvoří následující proměnné prostředí. Tyto proměnné se nastaví v /lib/systemd/system.conf.d/azcmagent.conf .

    Name Výchozí hodnota Description
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • Během odinstalace agenta nejsou odebrány následující artefakty.

    • /var/opt/azcmagent
    • /opt/logs

Další kroky