Présentation de l’agent Azure Connected Machine

Article
03/23/2024

L’agent Azure Connected Machine vous permet de gérer vos machines Windows et Linux hébergées en dehors d’Azure sur votre réseau d’entreprise ou un autre fournisseur de cloud.

Composants de l’agent

Vue d’ensemble de l’architecture de l’agent Azure Connected Machine.

Le package de l’agent Azure Connected Machine regroupe plusieurs composants logiques :

Le service HIMDS (Hybrid Instance Metadata service) gère la connexion à Azure et l’identité Azure de l’ordinateur connecté.
L’agent de configuration d’invité fournit des fonctionnalités, comme l’évaluation de la conformité de l’ordinateur avec les stratégies requises et l’implémentation de la conformité.

Notez le comportement suivant avec la configuration d’invité Azure Policy pour un ordinateur déconnecté :
- Une attribution Azure Policy qui cible les ordinateurs déconnectés n’est pas affectée.
- L’attribution d’invité est stockée localement pendant 14 jours. Pendant la période de 14 jours, si l’agent Connected Machine se reconnecte au service, les attributions de stratégie sont réappliquées.
- Les affectations sont supprimées après 14 jours et ne sont pas réaffectées à la machine après la période de 14 jours.
L’agent Extension gère les extensions de machine virtuelle, notamment l’installation, la désinstallation et la mise à niveau. Azure télécharge les extensions et les copie dans le dossier %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads sur Windows et /opt/GC_Ext/downloads sur Linux. Sur Windows, l’extension s’installe sur le chemin d’accès suivant %SystemDrive%\Packages\Plugins\<extension>et sur Linux, l’extension s’installe sur /var/lib/waagent/<extension>.

Remarque

L’agent Azure Monitor (AMA) est un agent distinct qui collecte les données de monitoring ; il ne remplace pas l’agent Connected Machine. AMA remplace uniquement l’agent Log Analytics, l’extension Diagnostics et l’agent Telegraf pour les machines Windows et Linux.

Ressources de l’agent

Les informations suivantes décrivent les répertoires et les comptes d’utilisateur utilisés par l’agent Azure Connected Machine.

Détails de l’installation de l’agent Windows

L’agent Windows est distribué en tant que package Windows Installer (MSI). Téléchargez l’agent Windows à partir du Centre de téléchargement Microsoft. L’installation de l’agent Connected Machine pour Windows applique à l’échelle du système les modifications de configuration suivantes :

Le processus d’installation crée les dossiers suivants pendant l’installation.

Répertoire	Description
%ProgramFiles%\AzureConnectedMachineAgent	CLI azcmagent et exécutables du service de métadonnées d’instance.
%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC	Exécutables du service d’extension.
%ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC	Exécutables du service de configuration Invité (stratégie).
%ProgramData%\AzureConnectedMachineAgent	Fichiers de configuration, de journal et de jeton d’identité pour azcmagent CLI et service de métadonnées d’instance.
%ProgramData%\GuestConfig	Téléchargements de packages d’extension, téléchargements de configuration Invité (stratégie) et journaux pour les services d’extension et de configuration Invité.
%SYSTEMDRIVE%\packages	Exécutables du package d’extension

L’installation de l’agent crée les services Windows suivants sur l’ordinateur cible.

Nom du service	Nom d’affichage	Nom du processus	Description
himds	Azure Hybrid Instance Metadata Service	`himds.exe`	Synchronise les métadonnées avec Azure et héberge une API REST locale pour les extensions et les applications pour accéder aux métadonnées et demander des jetons d’identité managée Microsoft Entra
GCArcService	Service Arc de configuration d’invité	`gc_arc_service.exe` (gc_service.exe antérieure à la version 1.36)	Audite et applique des stratégies de configuration d’invité Azure sur la machine.
ExtensionService	Service d’extension de la configuration d’invité	`gc_extension_service.exe` (gc_service.exe antérieure à la version 1.36)	Installe, met à jour et gère les extensions sur l’ordinateur.

L’installation de l’agent crée le compte de service virtuel suivant.

Compte virtuel Description

NT SERVICE\himds Compte non privilégié utilisé pour exécuter Hybrid Instance Metadata Service.

Conseil

Ce compte exige le droit « Se connecter en tant que service ». Ce droit est automatiquement accordé pendant l’installation de l’agent, mais si votre organisation configure des attributions de droits utilisateur avec la stratégie de groupe, vous devrez peut-être ajuster votre objet de stratégie de groupe pour accorder le droit à « NT SERVICE\himds » ou « NT SERVICE\ALL SERVICES » pour permettre à l’agent de fonctionner.

Compte virtuel	Description
NT SERVICE\himds	Compte non privilégié utilisé pour exécuter Hybrid Instance Metadata Service.

L’installation de l’agent crée le groupe de sécurité local suivant.

Nom de groupe de sécurité	Description
Applications d’extension d’agent hybride	Les membres de ce groupe de sécurité peuvent demander des jetons Microsoft Entra pour l’identité managée affectée par le système.

L’installation de l’agent crée les variables environnementales suivantes.

Nom Valeur par défaut Description

IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token

IMDS_ENDPOINT http://localhost:40342

Nom	Valeur par défaut	Description
IDENTITY_ENDPOINT	`http://localhost:40342/metadata/identity/oauth2/token`
IMDS_ENDPOINT	`http://localhost:40342`

Plusieurs fichiers journaux, décrits dans le tableau suivant, permettent de résoudre les problèmes.

Journal	Description
%ProgramData%\AzureConnectedMachineAgent\Log\himds.log	Enregistre les détails de la pulsation et du composant de l’agent d’identité.
%ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log	Contient la sortie des commandes de l’outil azcmagent.
%ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log	Enregistre des détails concernant le composant d’agent de configuration Invité (stratégie).
%ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log	Enregistre des détails sur l’activité du gestionnaire d’extensions (installation d’extension, désinstallation et événements de mise à niveau).
%ProgramData%\GuestConfig\extension_logs	Répertoire contenant des journaux d’activité pour des extensions individuelles.

Le processus crée le groupe de sécurité local applications d’extension d’agent hybride.
Après avoir désinstallé l’agent, les artefacts suivants restent.
- %ProgramData%\AzureConnectedMachineAgent\Log
- %ProgramData%\AzureConnectedMachineAgent
- %ProgramData%\GuestConfig
- %SystemDrive%\packages

Détails de l’installation de l’agent Linux

Le format de package préféré pour la distribution (.rpm ou .deb) hébergée dans le référentiel de packages Microsoft fournit l’agent Connected Machine pour Linux. Le bundle de scripts shell Install_linux_azcmagent.sh installe et configure l’agent.

L’installation, la mise à niveau et la suppression de l’agent Connected Machine n’est pas nécessaire après le redémarrage du serveur.

L’installation de l’agent Connected Machine pour Linux applique à l’échelle du système les modifications de configuration suivantes.

Le programme d’installation crée les dossiers d’installation suivants.

Répertoire	Description
/opt/azcmagent/	CLI azcmagent et exécutables du service de métadonnées d’instance.
/opt/GC_Ext/	Exécutables du service d’extension.
/opt/GC_Service/	Exécutables du service de configuration Invité (stratégie).
/var/opt/azcmagent/	Fichiers de configuration, de journal et de jeton d’identité pour azcmagent CLI et service de métadonnées d’instance.
/var/lib/GuestConfig/	Téléchargements de packages d’extension, téléchargements de configuration Invité (stratégie) et journaux pour les services d’extension et de configuration Invité.

L’installation de l’agent crée les démons suivants.

Nom du service	Nom d’affichage	Nom du processus	Description
himdsd.service	Service Azure Connected Machine Agent	himds	Ce service implémente le service Hybrid Instance Metadata Service pour gérer la connexion à Azure et l’identité Azure de l’ordinateur connecté.
gcad.service	Service Arc GC	gc_linux_service	Audite et applique des stratégies de configuration d’invité Azure sur la machine.
extd.service	Service d’extension	gc_linux_service	Installe, met à jour et gère les extensions sur l’ordinateur.

Plusieurs fichiers journaux, décrits dans le tableau suivant, permettent de résoudre les problèmes.

Journal	Description
/var/opt/azcmagent/log/himds.log	Enregistre les détails de la pulsation et du composant de l’agent d’identité.
/var/opt/azcmagent/log/azcmagent.log	Contient la sortie des commandes de l’outil azcmagent.
/var/lib/GuestConfig/arc_policy_logs	Enregistre des détails concernant le composant d’agent de configuration Invité (stratégie).
/var/lib/GuestConfig/ext_mgr_logs	Enregistre des détails sur l’activité du gestionnaire d’extensions (installation d’extension, désinstallation et événements de mise à niveau).
/var/lib/GuestConfig/extension_logs	Répertoire contenant des journaux d’activité pour des extensions individuelles.

L’installation de l’agent crée les variables d’environnement suivantes, définies dans /lib/systemd/system.conf.d/azcmagent.conf.

Nom Valeur par défaut Description

IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token

IMDS_ENDPOINT http://localhost:40342
Après avoir désinstallé l’agent, les artefacts suivants restent.
- /var/opt/azcmagent
- /var/lib/GuestConfig

Nom	Valeur par défaut	Description
IDENTITY_ENDPOINT	`http://localhost:40342/metadata/identity/oauth2/token`
IMDS_ENDPOINT	`http://localhost:40342`

Gouvernance des ressources de l’agent

L’agent Azure Connected Machine est conçu pour gérer la consommation des ressources de l’agent et du système. L’agent approche la gouvernance des ressources dans les conditions suivantes :

Le service Configuration d’ordinateur (anciennement Configuration invité) peut utiliser jusqu’à 5 % du processeur pour évaluer des stratégies.

Le service d’extension peut utiliser jusqu’à 5 % du processeur sur les machines Windows et 30 % du processeur sur les machines Linux pour installer, mettre à niveau, exécuter et supprimer des extensions. Une fois installées, certaines extensions peuvent imposer des limites de processeur plus restrictives. Il existe toutefois certaines exceptions :

Type d’extension	Système d’exploitation	Limite UC
AzureMonitorLinuxAgent	Linux	60 %
AzureMonitorWindowsAgent	Windows	100 %
LinuxOsUpdateExtension	Linux	60 %
MDE.Linux	Linux	60 %
MicrosoftDnsAgent	Windows	100 %
MicrosoftMonitoringAgent	Windows	60 %
OmsAgentForLinux	Linux	60 %

Pendant le fonctionnement normal, c’est-à-dire lorsque l’agent Azure Connected Machine est connecté à Azure et qu’il ne modifie pas activement une extension ou qu’il n’évalue pas une stratégie, vous pouvez vous attendre à ce que l’agent consomme les ressources système suivantes :

	Windows	Linux
Utilisation du processeur (normalisée à 1 cœur)	0,07 %	0,02 %
Utilisation de la mémoire	57 Mo	42 Mo

Les données de performances ci-dessus ont été collectées en avril 2023 sur les machines virtuelles exécutant Windows Server 2022 et Ubuntu 20.04. Les performances réelles de l’agent et la consommation des ressources varient en fonction de la configuration matérielle et logicielle de vos serveurs.

Limites de ressources personnalisées

Les limites de la gouvernance par défaut des ressources constituent la meilleure option pour la plupart des serveurs. Toutefois, il est possible que les petites machines virtuelles et les serveurs avec des ressources limitées de processeur rencontrent des délais d’expiration lors de la gestion des extensions ou de l’évaluation des stratégies, car les ressources de processeur sont insuffisantes pour effectuer les tâches. À compter de la version d’agent 1.39, vous pouvez personnaliser les limites de processeur appliquées au gestionnaire d’extensions et aux services Configuration d’ordinateur pour permettre à l’agent d’effectuer ces tâches plus tard.

Si vous souhaitez voir les limites de ressources actuelles pour les services du gestionnaire d’extensions et de Configuration d’ordinateur, exécutez la commande suivante.

azcmagent config list

Dans la sortie, deux champs s’affichent, guestconfiguration.agent.cpulimit et extensions.agent.cpulimit, avec la limite de ressources actuelle spécifiée en tant que pourcentage. Sur une nouvelle installation de l’agent, les deux affichent 5, car la limite par défaut est 5 % du processeur.

Pour passer à 80 % la limite de ressources du gestionnaire d’extensions, exécutez la commande suivante :

azcmagent config set extensions.agent.cpulimit 80

Métadonnées d’instance

Les informations de métadonnées sur une machine connectée sont collectées une fois que l’agent Connected Machine s’est inscrit auprès des serveurs avec Azure Arc. Plus précisément :

Nom, type et version du système d’exploitation
Nom de l'ordinateur
Fabricant et modèle de l’ordinateur
Nom de domaine complet (FQDN) de l’ordinateur
Nom de domaine (s’il est joint à un domaine Active Directory)
Nom de domaine complet (FQDN) Active Directory et DNS
UUID (ID BIOS)
Pulsation de l'agent Connected Machine
Version de l’agent Machine connectée
Clé publique pour l’identité managée
État de conformité de la stratégie et détails (si vous utilisez des stratégies de configuration invitées)
SQL Server installé (valeur booléenne)
ID de ressource de cluster (pour les nœuds Azure Stack HCI)
Fabricant du matériel
Modèle du matériel
Famille de processeur, socket, nombre de cœurs physiques et de cœurs logiques
Mémoire physique totale
Numéro de série
Identifiant de ressource SMBIOS
Fournisseur de cloud
Métadonnées Amazon Web Services (AWS), lors de l’exécution dans AWS :
- ID compte
- ID d’instance
- Région
Métadonnées Google Cloud Platform (GCP), lors de l’exécution dans GCP :
- ID d’instance
- Image
- Type de machine
- ID Projet
- Numéro de projet
- Comptes de service
- Zone
Métadonnées Oracle Cloud Infrastructure, lors de l’exécution dans OCI :
- Nom d’affichage

L’agent demande les informations de métadonnées suivantes à partir d’Azure :

Emplacement de la ressource (ressource)
ID de machine virtuelle
Balises
Certificat d’identité managée Microsoft Entra
Affectations de la stratégie de configuration invitée
Demandes d’extension : installation, mise à jour et suppression.

Remarque

Les serveurs avec Azure Arc ne stockent/traitent pas les données client en dehors de la région dans laquelle le client déploie l'instance de service.

Options de déploiement et exigences

Le déploiement de l’agent et la connexion de l’ordinateur nécessitent certaines conditions préalables. Vous devez également connaître la configuration réseau requise.

Nous proposons plusieurs options pour le déploiement de l’agent. Pour plus d’informations, consultez Planifier le déploiement et Options de déploiement.

Étapes suivantes

Pour commencer l’évaluation des serveurs avec Azure Arc, consultez Démarrage rapide : Connecter des machines hybrides à des serveurs avec Azure Arc.
Avant de déployer l’agent Azure Connected Machine et de l’intégrer à d’autres services de gestion et de supervision Azure, consultez le guide de planification et de déploiement.
Consultez les informations de dépannage dans le Guide de dépannage des problèmes de connexion de l’agent.