Panoramica di Azure Connected Machine agente

L Azure Connected Machine agent consente di gestire i computer Windows e Linux ospitati all'esterno di Azure nella rete aziendale o in altri provider di servizi cloud. Questo articolo offre una panoramica dettagliata dell'agente, dei requisiti di sistema e di rete, nonché dei diversi metodi di distribuzione.

Nota

L Monitoraggio di Azure agent (AMA) non sostituisce l'agente Connected Machine. L Monitoraggio di Azure agent sostituirà l'agente di Log Analytics, l'estensione Diagnostica e l'agente Telegraf per i computer Windows e Linux. Per altri Monitoraggio di Azure, vedere la documentazione relativa al nuovo agente.

Dettagli del componente dell'agente

Azure Arc-enabled servers agent overview.

Il Azure Connected Machine agent contiene diversi componenti logici, che vengono aggregati insieme.

  • Il servizio metadati dell'istanza ibrida (HIMDS) gestisce la connessione ad Azure e all'identità di Azure del computer connesso.

  • L'agente di configurazione guest offre funzionalità quali la valutazione della conformità del computer ai criteri richiesti e l'applicazione della conformità.

    Si noti il comportamento seguente Criteri di Azure configurazione guest per un computer disconnesso:

    • Un Criteri di Azure allocazione che ha come destinazione i computer disconnessi non viene influenzata.
    • L'assegnazione guest viene archiviata in locale per 14 giorni. Entro il periodo di 14 giorni, se l'agente Connected Machine si riconnette al servizio, le assegnazioni dei criteri vengono riapplicate.
    • Le assegnazioni vengono eliminate dopo 14 giorni e non vengono riassegnate al computer dopo il periodo di 14 giorni.
  • L'agente di estensione gestisce le estensioni delle macchine virtuali, tra cui installazione, disinstallazione e aggiornamento. Le estensioni vengono scaricate da Azure e copiate nella %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads cartella in Windows e per Linux in /opt/GC_Ext/downloads . In Windows, l'estensione viene installata nel percorso seguente %SystemDrive%\Packages\Plugins\<extension> e in Linux l'estensione viene installata in /var/lib/waagent/<extension> .

Metadati dell'istanza

Le informazioni sui metadati sulla macchina connessa vengono raccolte dopo la registrazione dell'agente di Connected Machine Azure Arc server abilitati. In particolare:

  • Nome, tipo e versione del sistema operativo
  • Nome computer
  • Produttore e modello del computer
  • Nome di dominio completo (FQDN) del computer
  • Nome di dominio (se aggiunto a un dominio di Active Directory)
  • Nome di dominio completo (FQDN) di Active Directory e DNS
  • UUID (ID BIOS)
  • Heartbeat dell'agente della macchina connessa
  • Versione dell'agente Connected Machine
  • Chiave pubblica per l'identità gestita
  • Stato e dettagli di conformità dei criteri (se si usano criteri di configurazione guest)
  • SQL Server installato (valore booleano)
  • ID risorsa cluster (per Azure Stack HCI nodi)
  • Produttore dell'hardware
  • Modello hardware
  • Provider di servizi cloud
  • Amazon Web Services(AWS), ID istanza e area dell'account (se in esecuzione in AWS)

Le informazioni sui metadati seguenti vengono richieste dall'agente da Azure:

  • Posizione risorsa (area)
  • ID macchina virtuale
  • Tag
  • Azure Active Directory certificato di identità gestita
  • Assegnazioni di criteri di configurazione guest
  • Richieste di estensione: installazione, aggiornamento ed eliminazione.

Scaricare agenti

È possibile scaricare il pacchetto dell'agente Azure Connected Machine per Windows e Linux dai percorsi elencati di seguito.

L'agente Azure Connected Machine per Windows e Linux può essere aggiornato alla versione più recente manualmente o automaticamente in base alle esigenze. Per altre informazioni, vedere qui.

Prerequisiti

Ambienti supportati

Azure Arc server abilitati per l'uso supporta l'installazione dell'agente Connected Machine in qualsiasi server fisico e macchina virtuale ospitata all'esterno di Azure. Include il supporto per le macchine virtuali in esecuzione su piattaforme come:

  • VMware
  • Azure Stack HCI
  • Altri ambienti cloud

i server abilitati per Azure Arc non supportano l'installazione dell'agente in macchine virtuali in esecuzione in Azure o macchine virtuali in esecuzione in hub di Azure Stack o Azure Stack Edge perché sono già modellate come macchine virtuali di Azure.

Sistemi operativi supportati

Le versioni seguenti dei sistemi operativi Windows e Linux sono ufficialmente supportate per l'agente Azure Connected Machine:

  • Windows Server 2008 R2 SP1, Windows Server 2012 R2, 2016, 2019 e 2022 (incluso Server Core)
  • Ubuntu 16.04, 18.04 e 20.04 LTS (x64)
  • CentOS Linux 7 e 8 (x64)
  • SUSE Linux Enterprise Server (SLES) 12 e 15 (x64)
  • Red Hat Enterprise Linux (RHEL) 7 e 8 (x64)
  • Amazon Linux 2 (x64)
  • Oracle Linux 7

Avviso

Il nome host Linux o il nome computer Windows non può contenere una delle parole riservate o dei marchi registrati, altrimenti la registrazione del computer connesso con Azure non riuscirà. Per un elenco delle parole riservate, vedere Risolvere gli errori relativi ai nomi riservati delle risorse.

Nota

Anche Azure Arc server abilitati per l'utilizzo supporta Amazon Linux, gli elementi seguenti non supportano questa distribuzione:

  • Dependency Agent usato Monitoraggio di Azure informazioni dettagliate sulle macchine virtuali
  • Automazione di Azure - Gestione aggiornamenti

Requisiti software

Autorizzazioni necessarie

  • Per eseguire l'onboarding dei computer, si è membri del Azure Connected Machine di onboarding o collaboratore nel gruppo di risorse.

  • Per leggere, modificare ed eliminare un computer, si è membri del ruolo amministratore Azure Connected Machine risorse nel gruppo di risorse.

  • Per selezionare un gruppo di risorse dall'elenco a discesa quando si usa il metodo Genera script, si è almeno membri del ruolo Lettore per tale gruppo di risorse.

Limiti del servizio e della sottoscrizione di Azure

Prima di configurare i computer con Azure Arc server abilitati, esaminare i limiti della sottoscrizione Azure Resource Manager e i limiti del gruppo di risorse per pianificare il numero di computer da collegare.

Azure Arc server abilitati per l'uso supporta fino a 5.000 istanze di computer in un gruppo di risorse.

Registrare i provider di risorse di Azure

Azure Arc server abilitati per l'uso dipendono dai provider di risorse di Azure seguenti nella sottoscrizione per poter usare questo servizio:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity

Se non sono registrati, è possibile registrarli con i comandi seguenti:

Azure PowerShell:

Login-AzAccount
Set-AzContext -SubscriptionId [subscription you want to onboard]
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridCompute
Register-AzResourceProvider -ProviderNamespace Microsoft.GuestConfiguration
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridConnectivity

Interfaccia della riga di comando di Azure:

az account set --subscription "{Your Subscription Name}"
az provider register --namespace 'Microsoft.HybridCompute'
az provider register --namespace 'Microsoft.GuestConfiguration'
az provider register --namespace 'Microsoft.HybridConnectivity'

È anche possibile registrare i provider di risorse nel portale seguendo la procedura descritta nel portale di Azure.

Transport Layer Security 1.2

Per garantire la sicurezza dei dati in transito verso Azure, è consigliabile configurare la macchina per usare il protocollo Transport Layer Security (TLS) 1.2. Le versioni precedenti di TLS/Secure Sockets Layer (SSL) sono state considerate vulnerabili. Nonostante siano ancora attualmente in uso per questioni di compatibilità con le versioni precedenti, non sono consigliate.

Piattaforma/linguaggio Supporto Altre informazioni
Linux Le distribuzioni Linux si basano generalmente su OpenSSL per supportare TLS 1.2. Controllare nel log delle modifiche di OpenSSL per assicurarsi che la versione di OpenSSL sia supportata.
Windows Server 2012 R2 e versioni successive Supportato e abilitato per impostazione predefinita. Assicurarsi che le impostazioni predefinite siano ancora in uso.

Configurazione delle impostazioni di rete

L'Azure Connected Machine per Linux e Windows comunica in uscita in modo sicuro con Azure Arc sulla porta TCP 443. Per impostazione predefinita, l'agente usa la route predefinita a Internet per raggiungere i servizi di Azure. Facoltativamente, è possibile configurare l'agente per l'uso di un server proxy, se richiesto dalla rete. I server proxy non rendono più sicuro l'agente Connected Machine perché il traffico è già crittografato.

Per proteggere ulteriormente la connettività di rete Azure Arc, invece di usare reti pubbliche e server proxy, è possibile implementare un ambito di collegamento privato Azure Arc (anteprima).

Nota

Azure Arc server abilitati non supportano l'uso di un gateway di Log Analytics come proxy per l'agente Connected Machine.

Se la connettività in uscita è limitata dal firewall o dal server proxy, verificare che gli URL elencati di seguito non siano bloccati. Quando si consentono solo gli intervalli IP o i nomi di dominio necessari per consentire all'agente di comunicare con il servizio, è necessario consentire l'accesso ai tag di servizio e agli URL seguenti.

Tag del servizio:

  • AzureActiveDirectory
  • AzureTrafficManager
  • AzureResourceManager
  • AzureArcInfrastructure
  • Archiviazione

URL:

Risorsa dell'agente Descrizione
azgn*.servicebus.windows.net Servizio di notifica per le estensioni
management.azure.com Azure Resource Manager
login.windows.net Azure Active Directory
login.microsoftonline.com Azure Active Directory
pas.windows.net Azure Active Directory
*.guestconfiguration.azure.com Servizi di estensione e configurazione guest
*.his.arc.azure.com Metadati e servizi di gestione delle identità ibridi
*.blob.core.windows.net Scaricare l'origine per Azure Arc server abilitate per le estensioni
dc.services.visualstudio.com Telemetria dell'agente
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com Servizio di notifica

Per un elenco degli indirizzi IP per ogni tag del servizio/area, vedere il file JSON Azure IP Ranges and Service Tags – Public Cloud (Indirizzi IP di Azure e tag del servizio - Cloud pubblico). Microsoft pubblica aggiornamenti settimanali contenenti ogni servizio di Azure e gli intervalli IP usati dal servizio. Queste informazioni nel file JSON sono l'elenco temporizzazione corrente degli intervalli IP che corrispondono a ogni tag del servizio. Gli indirizzi IP sono soggetti a modifiche. Se gli intervalli di indirizzi IP sono necessari per la configurazione del firewall, occorre usare il tag del servizio AzureCloud per consentire l'accesso a tutti i servizi di Azure. Non disabilitare il monitoraggio della sicurezza o l'ispezione di questi URL, ma consentire tali URL come si farebbe con il resto del traffico Internet.

Per altre informazioni, vedere Panoramica dei tag di servizio.

Installazione e configurazione

La connessione delle macchine virtuali nell'ambiente ibrido direttamente con Azure può essere eseguita usando metodi diversi a seconda dei requisiti. La tabella seguente illustra ogni metodo per determinare quello più adatto alla propria organizzazione.

Importante

L'agente Connected Machine non può essere installato in una macchina virtuale Windows Azure. Se si tenta di eseguire questa operazione, l'installazione lo rileva ed esegue il rollback.

Metodo Descrizione
In modo interattivo Installare manualmente l'agente in una singola o in un numero limitato di macchine virtuali seguendo i passaggi descritti in Connettere i computer ad Azure con Azure Arc per server - Portale.
Dal portale di Azure è possibile generare uno script ed eseguirlo sulla macchina virtuale per automatizzare i passaggi di installazione e configurazione dell'agente.
Su larga scala Installare e configurare l'agente per più macchine virtuali seguendo le procedure in Connettere computer ad Azure con Azure Arc per server - PowerShell.
Questo metodo crea un'entità servizio per connettere le macchine virtuali in modo non interattivo.
Su larga scala Installare e configurare l'agente per più computer seguendo il metodo Connessione macchine ibride in Azure da Automazione Gestione aggiornamenti.
Questo metodo crea un'entità servizio e installa e configura l'agente per più computer gestiti con Automazione di Azure Gestione aggiornamenti per connettere i computer in modo non interattivo.
Su larga scala Installare e configurare l'agente per più computer seguendo il metodo descritto in Uso della piattaforma DSC di Azure PowerShell.
Questo metodo prevede l'uso di un'entità servizio per connettere i computer in modo non interattivo con DSC di PowerShell.

Panoramica tecnica dell'agente Connected Machine

Dettagli sull'installazione dell'agente per Windows

È possibile installare l'agente Connected Machine per Windows usando uno dei tre metodi seguenti:

  • Facendo doppio clic sul file AzureConnectedMachineAgent.msi.
  • Manualmente eseguendo il pacchetto di Windows Installer AzureConnectedMachineAgent.msi dalla shell dei comandi.
  • Da una sessione di PowerShell usando un metodo con script.

Dopo aver installato l'agente Connected Machine per Windows, vengono applicate le modifiche di configurazione seguenti a livello di sistema.

  • Durante l'installazione, vengono create le cartelle di installazione seguenti.

    Cartella Descrizione
    %ProgramFiles%\AzureConnectedMachineAgent Azcmagent CLI e file eseguibili del servizio metadati dell'istanza.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC File eseguibili del servizio di estensione.
    %ProgramFiles%\AzureConnectedMachineAgent\GuestConfig\GC File eseguibili del servizio di configurazione guest (criteri).
    %ProgramData%\AzureConnectedMachineAgent File di configurazione, log e token di identità per l'interfaccia della riga di comando azcmagent e il servizio metadati dell'istanza.
    %ProgramData%\GuestConfig Download dei pacchetti di estensione, download delle definizioni di configurazione guest (criteri) e log per i servizi di configurazione dell'estensione e guest.
  • I servizi Windows seguenti vengono creati nel computer di destinazione durante l'installazione dell'agente.

    Nome servizio Nome visualizzato Nome del processo Descrizione
    himds Servizio metadati dell'istanza di Azure Hybrid himds Questo servizio implementa il servizio metadati dell'istanza ibrida (IMDS) per gestire la connessione ad Azure e l'identità di Azure del computer connesso.
    GCArcService Servizio Arc per la configurazione guest gc_service Esegue il monitoraggio della configurazione dello stato desiderato del computer.
    ExtensionService Servizio estensione configurazione guest gc_service Installa le estensioni necessarie per il computer.
  • Durante l'installazione dell'agente, vengono create le variabili di ambiente seguenti.

    Nome Valore predefinito Descrizione
    IDENTITY_ENDPOINT <http://localhost:40342/metadata/identity/oauth2/token>
    IMDS_ENDPOINT <http://localhost:40342>
  • Sono disponibili diversi file di log per la risoluzione dei problemi. descritti nella tabella seguente.

    File di log Descrizione
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Registra i dettagli del componente heartbeat e dell'agente di identità.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contiene l'output dei comandi dello strumento azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\ Registra i dettagli sul componente agente di configurazione guest (criteri).
    %ProgramData%\GuestConfig\ext_mgr_logs Registra i dettagli sul componente dell'agente di estensione.
    Estensione %ProgramData%\GuestConfig\extension_logs\ <> Registra i dettagli dell'estensione installata.
  • Viene creato il gruppo di sicurezza locale applicazioni di estensione dell'agente ibrido.

  • Durante la disinstallazione dell'agente, non vengono rimossi gli artefatti seguenti.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent e sottodirectory
    • %ProgramData%\GuestConfig

Dettagli sull'installazione dell'agente per Linux

L'agente Connected Machine per Linux viene fornito nel formato di pacchetto preferito per la distribuzione (RPM o DEB) ospitata nel repository dei pacchetti di Microsoft. L'agente viene installato e configurato con il bundle di script della shell Install_linux_azcmagent.sh.

Dopo aver installato l'agente Connected Machine per Linux, vengono applicate le modifiche di configurazione a livello di sistema seguenti.

  • Durante l'installazione, vengono create le cartelle di installazione seguenti.

    Cartella Descrizione
    /opt/azcmagent/ Azcmagent CLI e file eseguibili del servizio metadati dell'istanza.
    /opt/GC_Ext/ Eseguibili del servizio di estensione.
    /opt/GC_Service/ File eseguibili del servizio di configurazione guest (criteri).
    /var/opt/azcmagent/ File di configurazione, log e token di identità per l'interfaccia della riga di comando di azcmagent e il servizio metadati dell'istanza.
    /var/lib/GuestConfig/ Download dei pacchetti di estensione, download delle definizioni di configurazione guest (criteri) e log per i servizi di configurazione dell'estensione e guest.
  • I daemon seguenti vengono creati nel computer di destinazione durante l'installazione dell'agente.

    Nome servizio Nome visualizzato Nome del processo Descrizione
    himdsd.service agente di Azure Connected Machine Service himds Questo servizio implementa il servizio metadati dell'istanza ibrida (IMDS) per gestire la connessione ad Azure e l'identità di Azure del computer connesso.
    gcad.service GC Arc Service gc_linux_service Monitora la configurazione dello stato desiderata del computer.
    extd.service Servizio di estensione gc_linux_service Installa le estensioni necessarie per il computer.
  • Sono disponibili diversi file di log per la risoluzione dei problemi. descritti nella tabella seguente.

    File di log Descrizione
    /var/opt/azcmagent/log/himds.log Registra i dettagli del componente heartbeat e dell'agente di identità.
    /var/opt/azcmagent/log/azcmagent.log Contiene l'output dei comandi dello strumento azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Registra i dettagli sul componente agente di configurazione guest (criteri).
    /var/lib/GuestConfig/ext_mgr_logs Registra i dettagli sul componente dell'agente di estensione.
    /var/lib/GuestConfig/extension_logs Registra i dettagli delle operazioni di installazione/aggiornamento/disinstallazione dell'estensione.
  • Durante l'installazione dell'agente, vengono create le variabili di ambiente seguenti. Queste variabili vengono impostate in /lib/systemd/system.conf.d/azcmagent.conf.

    Nome Valore predefinito Descrizione
    IDENTITY_ENDPOINT <http://localhost:40342/metadata/identity/oauth2/token>
    IMDS_ENDPOINT <http://localhost:40342>
  • Durante la disinstallazione dell'agente, non vengono rimossi gli artefatti seguenti.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Governance delle risorse dell'agente

Azure Connected Machine è progettato per gestire l'utilizzo delle risorse di sistema e dell'agente. L'agente si avvicina alla governance delle risorse nelle condizioni seguenti:

  • L'agente di configurazione guest può usare fino al 5% della CPU per valutare i criteri.

  • L'agente del servizio di estensione può usare fino al 5% della CPU per installare e gestire le estensioni.

    • Dopo l'installazione, ogni estensione può usare fino al 5% della CPU durante l'esecuzione. Ad esempio, se sono installate 2 estensioni, possono usare un totale combinato del 10% della CPU.
    • L'agente di Log Analytics e Monitoraggio di Azure Agent possono usare fino al 60% della CPU durante le operazioni di installazione/aggiornamento/disinstallazione in Red Hat Linux, CentOS e altre varianti di Linux aziendali. Il limite è maggiore per questa combinazione di estensioni e sistemi operativi per soddisfare l'impatto sulle prestazioni di SELinux su questi sistemi.

Passaggi successivi