Gambaran Umum Agen Mesin Azure Connected

Agen Azure Connected Machine memungkinkan Anda untuk mengelola mesin Windows dan Linux yang dihosting di luar Azure di jaringan perusahaan Anda atau penyedia cloud lainnya. Artikel ini memberikan gambaran rinci tentang agen, sistem dan persyaratan jaringan, dan metode penyebaran yang berbeda.

Catatan

Agen Azure Monitor (AMA) tidak menggantikan agen Connected Machine. Agen Azure Monitor akan menggantikan agen Analitik Log, ekstensi Diagnostik, dan agen Telegraf untuk komputer Windows dan Linux. Tinjau dokumentasi Azure Monitor tentang agen baru untuk detail selengkapnya.

Detail komponen agen

Azure Arc-enabled servers agent overview.

Paket agen Azure Connected Machine berisi beberapa komponen logis, yang dibundel bersama-sama.

  • Layanan Metadata Instans Hibrida (HIMDS) mengelola koneksi ke Azure dan identitas Azure komputer yang tersambung.

  • Agen konfigurasi tamu menyediakan fungsionalitas seperti menilai apakah komputer mematuhi kebijakan yang diperlukan dan menerapkan kepatuhan.

    Perhatikan perilaku berikut dengan konfigurasi tamu Azure Policy untuk komputer yang tidak terhubung:

    • Penetapan Azure Policy yang menargetkan komputer yang tidak terhubung tidak terpengaruh.
    • Tugas tamu disimpan secara lokal selama 14 hari. Dalam periode 14 hari, jika agen Connected Machine tersambung kembali ke layanan, penetapan kebijakan akan diterapkan kembali.
    • Tugas dihapus setelah 14 hari, dan tidak ditugaskan kembali ke komputer setelah periode 14 hari.
  • Agen Ekstensi mengelola ekstensi VM, termasuk pemasangan, pencopotan pemasangan, dan peningkatan versi. Ekstensi diunduh dari Azure dan disalin ke folder %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads di Windows, dan untuk Linux ke /opt/GC_Ext/downloads. Di Windows, ekstensi dipasang ke jalur berikut %SystemDrive%\Packages\Plugins\<extension>, dan di Linux ekstensi dipasang ke /var/lib/waagent/<extension>.

Metadata instans

Informasi metadata tentang komputer yang tersambung dikumpulkan setelah agen Connected Machine mendaftar dengan server berkemampuan Azure Arc. Khususnya:

  • Nama, jenis, dan versi sistem operasi
  • Nama komputer
  • Produsen dan model komputer
  • Nama domain yang sepenuhnya memenuhi syarat komputer (FQDN)
  • Nama domain (jika bergabung ke domain Direktori Aktif)
  • Versi agen Connected Machine
  • Direktori Aktif dan DNS nama domain yang sepenuhnya memenuhi syarat (FQDN)
  • UUID (ID BIOS)
  • Detak jantung agen Connected Machine
  • Versi agen Connected Machine
  • Kunci umum untuk identitas terkelola
  • Status dan detail kepatuhan Azure Policy (jika menggunakan kebijakan konfigurasi tamu)
  • SQL Server diinstal (nilai Boolean)
  • ID sumber daya kluster (untuk node Azure Stack HCI)
  • Produsen perangkat keras
  • Model perangkat keras
  • Penyedia cloud
  • ID akun Amazon Web Services (AWS), ID instans, dan wilayah (jika berjalan di AWS)

Informasi metadata berikut ini diminta oleh agen dari Azure:

  • Lokasi sumber daya (wilayah)
  • ID komputer virtual
  • Tag
  • Sertifikat identitas terkelola Azure Active Directory
  • Penetapan kebijakan konfigurasi tamu
  • Permintaan ekstensi - pasang, perbarui, dan hapus.

Mengunduh agen

Anda dapat mengunduh paket agen Azure Connected Machine untuk Windows dan Linux dari lokasi yang tercantum di bawah ini.

Agen Azure Connected Machine untuk Windows dan Linux dapat ditingkatkan ke rilis terbaru secara manual atau otomatis tergantung pada kebutuhan Anda. Untuk informasi selengkapnya, lihat di sini.

Prasyarat

Lingkungan yang didukung

Server yang mendukung Azure Arc mendukung penginstalan agen Mesin Terhubung di server fisik dan mesin virtual apa pun yang dihosting di luar Azure. Hal ini termasuk dukungan untuk mesin virtual yang berjalan pada platform seperti:

  • VMware
  • Azure Stack HCI
  • Lingkungan cloud lainnya

Server yang mendukung Azure Arc tidak mendukung penginstalan agen pada mesin virtual yang berjalan di Azure, atau mesin virtual yang berjalan di Azure Stack Hub atau Azure Stack Edge karena sudah dimodelkan sebagai Mesin Virtual Azure.

Sistem operasi yang didukung

Versi sistem operasi Windows dan Linux berikut ini secara resmi didukung untuk agen Azure Connected Machine:

  • Windows Server 2008 R2 SP1, Windows Server 2012 R2, 2016, 2019, dan 2022 (termasuk Server Core)
  • Ubuntu 16.04, 18.04, dan 20.04 LTS (x64)
  • CentOS Linux 7 dan 8 (x64)
  • SUSE Linux Enterprise Server (SLES) 12 dan 15 (x64)
  • Red Hat Enterprise Linux (RHEL) 7 dan 8 (x64)
  • Amazon Linux 2 (x64)
  • Oracle Linux 7

Peringatan

Nama host Linux atau nama komputer Windows tidak dapat menggunakan salah satu kata atau merek dagang yang dicadangkan dalam nama tersebut, jika tidak, upaya untuk mendaftarkan komputer yang tersambung dengan Azure akan gagal. Lihat Menyelesaikan kesalahan nama sumber daya yang dicadangkan untuk daftar kata yang dicadangkan.

Catatan

Meskipun server berkemampuan Azure Arc mendukung Amazon Linux, hal berikut tidak mendukung distro ini:

  • Agen Dependensi yang digunakan oleh wawasan VM Azure Monitor
  • Manajemen Pembaruan Azure Automation

Persyaratan perangkat lunak

Izin yang diperlukan

  • Untuk komputer onboard, Anda adalah anggota dari peran Azure Connected Machine Onboarding atau Kontributor dalam grup sumber daya.

  • Untuk membaca, memodifikasi, dan menghapus komputer, Anda adalah anggota dari peran Azure Connected Machine Resource Administrator di grup sumber daya.

  • Untuk memilih grup sumber daya dari menu drop-down saat menggunakan metode Buat skrip, minimal Anda adalah anggota dari peran Pembaca untuk grup sumber daya tersebut.

Langganan Azure dan batas layanan

Sebelum mengonfigurasi komputer Anda dengan server berkemampuan Azure Arc, tinjau batas langganan Azure Resource Manager dan batas grup sumber daya untuk merencanakan jumlah komputer yang akan disambungkan.

Server berkemampuan Azure Arc mendukung hingga 5.000 instans komputer dalam grup sumber daya.

Daftarkan penyedia sumber daya Azure

Server yang dilengkapi Azure Arc bergantung pada penyedia sumber daya Azure berikut dalam langganan Anda untuk menggunakan layanan ini:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration

Jika belum terdaftar, Anda dapat mendaftarkannya menggunakan perintah berikut:

Azure PowerShell:

Login-AzAccount
Set-AzContext -SubscriptionId [subscription you want to onboard]
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridCompute
Register-AzResourceProvider -ProviderNamespace Microsoft.GuestConfiguration

Azure CLI:

az account set --subscription "{Your Subscription Name}"
az provider register --namespace 'Microsoft.HybridCompute'
az provider register --namespace 'Microsoft.GuestConfiguration'

Anda juga dapat mendaftarkan penyedia sumber daya di portal Microsoft Azure dengan mengikuti langkah-langkah di Portal Microsoft Azure.

Protokol Transport Layer Security 1.2

Untuk memastikan keamanan data saat transit ke Azure, kami sangat menganjurkan Anda untuk mengonfigurasi komputer untuk menggunakan Transport Layer Security (TLS) 1.2. Versi TLS/Keamanan Lapisan Transportasi (SSL) yang lebih lama diketahui rentan dan meskipun saat ini masih berfungsi untuk memungkinkan kompatibilitas mundur, versi tersebut tidak disarankan.

Platform/Bahasa Dukungan Informasi lebih lanjut: {0}
Linux Distribusi Linux cenderung mengandalkan OpenSSL untuk dukungan TLS 1.2. Periksa OpenSSL Changelog untuk mengonfirmasi bahwa versi OpenSSL Anda didukung.
Windows Server 2012 R2 dan lebih tinggi Didukung, dan diaktifkan secara default. Untuk mengonfirmasi bahwa Anda masih menggunakan pengaturan default.

Konfigurasi jaringan

Agen Azure Connected Machine untuk Linux dan Windows berkomunikasi keluar dengan aman ke Azure Arc melalui port TCP 443. Secara default, agen menggunakan rute default ke internet untuk mencapai layanan Azure. Anda dapat secara opsional mengkonfigurasi agen untuk menggunakan server proxy jika jaringan Anda membutuhkannya. Server proxy tidak membuat agen Connected Machine lebih aman karena lalu lintas sudah dienkripsi.

Untuk lebih mengamankan konektivitas jaringan Anda ke Azure Arc, alih-alih menggunakan jaringan publik dan server proksi, Anda dapat menerapkan Azure Arc Private Link Scope (pratinjau).

Catatan

Server berkemampuan Azure Arc tidak mendukung penggunaan gateway Log Analytics sebagai proksi untuk agen Connected Machine.

Jika konektivitas keluar dibatasi oleh firewall atau server proksi Anda, pastikan URL yang tercantum di bawah tidak diblokir. Saat Anda hanya mengizinkan rentang IP atau nama domain yang diperlukan agen untuk berkomunikasi dengan layanan, Anda harus mengizinkan akses ke Tag Layanan dan URL berikut.

Tag Layanan:

  • AzureActiveDirectory
  • AzureTrafficManager
  • AzureResourceManager
  • AzureArcInfrastructure
  • Penyimpanan

URL:

Sumber daya agen Deskripsi
azgn*.servicebus.windows.net Layanan pemberitahuan untuk ekstensi
management.azure.com Azure Resource Manager
login.windows.net Azure Active Directory
login.microsoftonline.com Azure Active Directory
pas.windows.net Azure Active Directory
*.guestconfiguration.azure.com Layanan konfigurasi tamu dan ekstensi
*.his.arc.azure.com Layanan identitas hibrid dan metadata
*.blob.core.windows.net Unduh sumber untuk ekstensi server berkemampuan Azure Arc
dc.services.visualstudio.com Telemetri agen

Untuk daftar alamat IP untuk setiap tag/wilayah layanan, lihat file JSON - Azure IP Ranges dan Service Tags Public Cloud. Microsoft menerbitkan pembaruan mingguan yang berisi setiap Layanan Azure dan rentang IP yang digunakannya. Informasi dalam file JSON ini adalah daftar titik waktu saat ini dari rentang IP yang sesuai dengan setiap tag layanan. Alamat IP dapat berubah. Jika rentang alamat IP diperlukan untuk konfigurasi firewall Anda, maka Tag Layanan AzureCloud harus digunakan untuk mengizinkan akses ke semua layanan Azure. Jangan nonaktifkan pemantauan keamanan atau pemeriksaan URL ini, izinkan seperti yang Anda lakukan pada lalu lintas Internet lainnya.

Untuk informasi lebih lanjut, tinjau Ringkasan tag layanan.

Penginstalan dan konfigurasi

Menyambungkan komputer di lingkungan hibrida Anda secara langsung dengan Azure dapat dilakukan menggunakan metode yang berbeda tergantung pada kebutuhan Anda. Tabel berikut menyoroti setiap metode untuk menentukan mana yang paling sesuai untuk organisasi Anda.

Penting

Agen Connected Machine tidak dapat dipasang pada komputer virtual Azure Windows. Jika Anda mencoba, penginstalan mendeteksi tindakan ini dan menggulung balik.

Metode Deskripsi
Secara interaktif Pasang agen secara manual pada satu atau beberapa komputer dengan mengikuti langkah-langkah di Menyambungkan komputer dari portal Azure.
Dari portal Azure, Anda dapat membuat skrip dan menjalankannya di komputer untuk mengotomatiskan langkah penginstalan dan konfigurasi agen.
Pada skala Pasang dan konfigurasikan agen untuk beberapa komputer dengan mengikuti Menyambungkan komputer menggunakan Perwakilan Layanan.
Metode ini membuat perwakilan layanan untuk menyambungkan komputer secara non-interaktif.
Pada skala Instal dan konfigurasikan agen untuk beberapa mesin mengikuti metode Koneksi mesin hibrida ke Azure dari Manajemen Pembaruan Otomasi.
Metode ini menciptakan prinsip layanan, dan menginstal dan mengonfigurasi agen untuk beberapa mesin yang dikelola dengan Azure Automation Update Management untuk menghubungkan mesin secara non-interaktif.
Pada skala Pasang dan konfigurasikan agen untuk beberapa komputer dengan mengikuti metode Menggunakan Windows PowerShell DSC.
Metode ini menggunakan perwakilan layanan untuk menyambungkan komputer secara non-interaktif dengan PowerShell DSC.

Ringkasan teknis agen Connected Machine

Detail penginstalan agen Windows

Agen Connected Machine untuk Windows dapat dipasang dengan menggunakan salah satu dari tiga metode berikut:

  • Klik dua kali file AzureConnectedMachineAgent.msi.
  • Secara manual dengan menjalankan paket Pemasang Windows AzureConnectedMachineAgent.msi dari shell Perintah.
  • Dari sesi PowerShell menggunakan metode skrip.

Setelah memasang agen Connected Machine untuk Windows, perubahan konfigurasi seluruh sistem berikut diterapkan.

  • Folder penginstalan berikut dibuat selama penyiapan.

    Folder Deskripsi
    %ProgramFiles%\AzureConnectedMachineAgent File eksekusi layanan metadata instans dan CLI azcmagent.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC File eksekusi layanan ekstensi.
    %ProgramFiles%\AzureConnectedMachineAgent\GuestConfig\GC File eksekusi layanan konfigurasi tamu (kebijakan).
    %ProgramData%\AzureConnectedMachineAgent Konfigurasi, log dan file token identitas untuk layanan metadata instans dan CLI azcmagent.
    %ProgramData%\GuestConfig Unduhan paket ekstensi, unduhan definisi konfigurasi tamu (kebijakan), dan log untuk layanan konfigurasi tamu dan ekstensi.
  • Layanan Windows berikut dibuat pada komputer target selama penginstalan agen.

    Nama layanan Nama tampilan Nama proses Deskripsi
    himds Azure Hybrid Instance Metadata Service himds Layanan ini mengimplementasikan Hybrid Instance Metadata Service (IMDS) untuk mengelola koneksi ke Azure dan identitas Azure komputer terhubung.
    GCArcService Layanan Arc konfigurasi tamu gc_service Memantau konfigurasi status komputer yang diinginkan.
    ExtensionService Layanan Ekstensi konfigurasi tamu gc_service Memasang ekstensi yang diperlukan yang menargetkan komputer.
  • Variabel lingkungan berikut dibuat selama penginstalan agen.

    Nama Nilai default Deskripsi
    IDENTITY_ENDPOINT <http://localhost:40342/metadata/identity/oauth2/token>
    IMDS_ENDPOINT <http://localhost:40342>
  • Ada beberapa file log yang tersedia untuk pemecahan masalah. File tersebut dijelaskan dalam tabel berikut.

    Log Deskripsi
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Mencatat detail komponen utama dan komponen agen identitas.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Berisi output dari perintah alat azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\ Mencatat detail tentang komponen agen konfigurasi tamu (kebijakan).
    %ProgramData%\GuestConfig\ext_mgr_logs Mencatat detail tentang komponen Agen ekstensi.
    %ProgramData%\GuestConfig\extension_logs\ < Ekstensi> Merekam detail dari ekstensi yang dipasang.
  • Aplikasi ekstensi agen hibrida grup keamanan lokal telah dibuat.

  • Selama pencopotan pemasangan agen, artefak berikut tidak dihapus.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent dan subdirektori
    • %ProgramData%\GuestConfig

Detail penginstalan agen Linux

Agen Connected Machine untuk Linux disediakan dalam format paket pilihan untuk distribusi (.RPM atau .DEB) yang dihosting di repositori paket Microsoft. Agen dipasang dan dikonfigurasi dengan bundel skrip shell Install_linux_azcmagent.sh.

Setelah memasang agen Connected Machine untuk Linux, perubahan konfigurasi seluruh sistem berikut diterapkan.

  • Folder penginstalan berikut dibuat selama penyiapan.

    Folder Deskripsi
    /opt/azcmagent/ File eksekusi layanan metadata instans dan CLI azcmagent.
    /opt/GC_Ext/ File eksekusi layanan ekstensi.
    /opt/GC_Service/ File eksekusi layanan konfigurasi tamu (kebijakan).
    /var/opt/azcmagent/ Konfigurasi, log dan file token identitas untuk layanan metadata instans dan CLI azcmagent.
    /var/lib/GuestConfig/ Unduhan paket ekstensi, unduhan definisi konfigurasi tamu (kebijakan), dan log untuk layanan konfigurasi tamu dan ekstensi.
  • Daemon berikut dibuat pada komputer target selama penginstalan agen.

    Nama layanan Nama tampilan Nama proses Deskripsi
    himdsd.service Layanan Azure Connected Machine Agent himds Layanan ini mengimplementasikan Hybrid Instance Metadata Service (IMDS) untuk mengelola koneksi ke Azure dan identitas Azure komputer terhubung.
    gcad.service Layanan Arc GC gc_linux_service Memantau konfigurasi status komputer yang diinginkan.
    extd.service Layanan Ekstensi gc_linux_service Memasang ekstensi yang diperlukan yang menargetkan komputer.
  • Ada beberapa file log yang tersedia untuk pemecahan masalah. File tersebut dijelaskan dalam tabel berikut.

    Log Deskripsi
    /var/opt/azcmagent/log/himds.log Mencatat detail komponen utama dan komponen agen identitas.
    /var/opt/azcmagent/log/azcmagent.log Berisi output dari perintah alat azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Mencatat detail tentang komponen agen konfigurasi tamu (kebijakan).
    /var/lib/GuestConfig/ext_mgr_logs Mencatat detail tentang komponen agen ekstensi.
    /var/lib/GuestConfig/extension_logs Mencatat detail dari operasi penginstalan/pembaruan/penghapusan instalan ekstensi.
  • Variabel lingkungan berikut dibuat selama penginstalan agen. Variabel ini disetel di /lib/systemd/system.conf.d/azcmagent.conf.

    Nama Nilai default Deskripsi
    IDENTITY_ENDPOINT <http://localhost:40342/metadata/identity/oauth2/token>
    IMDS_ENDPOINT <http://localhost:40342>
  • Selama pencopotan pemasangan agen, artefak berikut tidak dihapus.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Tata kelola sumber daya agen

Azure Connected Machine agent dirancang untuk mengelola konsumsi sumber daya agen dan sistem. Agen mendekati tata kelola sumber daya dalam kondisi berikut:

  • Agen Konfigurasi Tamu hanya dapat menggunakan hingga 5% dari CPU untuk mengevaluasi kebijakan.

  • Agen Layanan Ekstensi hanya dapat menggunakan hingga 5% dari CPU untuk menginstal dan mengelola ekstensi.

    • Setelah diinstal, setiap ekstensi hanya dapat menggunakan hingga 5% dari CPU saat berjalan. Misalnya, jika Anda menginstal 2 ekstensi, ekstensi tersebut dapat menggunakan total sebesar 10% dari CPU.
    • Agen Log Analytics dan Agen Azure Monitor diizinkan untuk menggunakan hingga 60% dari CPU selama operasi instal/peningkatan/hapus instalan mereka pada Red Hat Linux, CentOS, dan varian Linux enterprise lainnya. Batasnya lebih tinggi untuk kombinasi ekstensi dan sistem operasi ini untuk mengakomodasi dampak kinerja SELinux pada sistem ini.

Langkah berikutnya