Azure Arc 対応サーバー エージェントの概要

Azure Arc 対応サーバーの Connected Machine エージェントを使用すると、企業ネットワークまたは他のクラウド プロバイダー上の Azure の外部でホストされている Windows および Linux マシンを管理できます。 この記事では、エージェント、システムとネットワークの要件、およびさまざまなデプロイ方法の概要の詳細を示します。

注意

Azure Monitor エージェント (AMA) は、Connected Machine エージェントに代わるものではありません。 Azure Monitor エージェントは、Windows と Linux の両方のマシンで、Log Analytics エージェント、診断拡張機能、および Telegraf エージェントの後継となります。 新しいエージェントの詳細については、Azure Monitor に関するドキュメントを参照してください。

エージェント コンポーネントの詳細

Arc 対応サーバー エージェントの概要。

Azure Connected Machine エージェント パッケージには、まとめてバンドルされているいくつかの論理コンポーネントが含まれています。

  • Hybrid Instance Metadata Service (HIMDS) は、Azure への接続と接続されたマシンの Azure ID を管理します。

  • ゲスト構成エージェントでは、マシンが必要なポリシーに準拠しているかどうかの評価やコンプライアンスの適用といった機能が提供されます。

    切断されたマシンに対する Azure Policy のゲスト構成での次の動作に注意してください。

    • 切断されたマシンを対象とする Azure Policy 割り当ては影響を受けません。
    • ゲスト割り当ては 14 日間ローカルに格納されます。 14 日の期間内に Connected Machine エージェントがサービスに再接続した場合は、ポリシー割り当てが再適用されます。
    • 割り当ては 14 日後に削除され、14 日の期間の後にマシンに再割り当てされることはありません。
  • 拡張エージェントは VM 拡張機能 (インストール、アンインストール、アップグレードなど) を管理します。 拡張機能は Azure からダウンロードされ、Windows では %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads フォルダー、Linux の場合は /opt/GC_Ext/downloads にコピーされます。 Windows では、拡張機能はパス %SystemDrive%\Packages\Plugins\<extension> にインストールされます。Linux では、拡張機能は /var/lib/waagent/<extension> にインストールされます。

インスタンス メタデータ

接続されたマシンに関するメタデータ情報は、Connected Machine エージェントが Arc 対応サーバーに登録された後に収集されます。 具体的な内容は次のとおりです。

  • オペレーティング システムの名前、種類、バージョン
  • コンピューター名
  • コンピューターの製造元および型番
  • コンピューターの完全修飾ドメイン名 (FQDN)
  • ドメイン名 (Active Directory ドメインに参加している場合)
  • Connected Machine エージェントのバージョン
  • Active Directory と DNS の完全修飾ドメイン名 (FQDN)
  • UUID (BIOS ID)
  • Connected Machine エージェントのハートビート
  • Connected Machine エージェントのバージョン
  • マネージド ID の公開キー
  • ポリシーのコンプライアンスの状態と詳細 (ゲスト構成ポリシーを使用している場合)
  • SQL Server のインストール状況 (ブール値)
  • クラスター リソース ID (Azure Stack HCI ノード用)

次のメタデータ情報は、Azure からエージェントによって要求されます。

  • リソースの場所 (リージョン)
  • 仮想マシン ID
  • Tags
  • Azure Active Directory マネージド ID 証明書
  • ゲスト構成ポリシーの割り当て
  • 拡張要求 - インストール、更新、削除。

エージェントをダウンロードする

Windows および Linux 用の Azure Connected Machine エージェント パッケージは、以下の場所からダウンロードできます。

Windows および Linux 用の Azure Connected Machine エージェントは、要件に応じて、手動または自動で最新リリースにアップグレードできます。 詳細については、このページを参照してください。

前提条件

サポートされている環境

Arc 対応サーバーでは、Azure の "外部" でホストされている任意の物理サーバーと仮想マシンに対する Connected Machine エージェントのインストールがサポートされています。 VMware、Azure Stack HCI、その他のクラウド環境などのプラットフォームで実行されている仮想マシンが含まれます。 Arc 対応サーバーは、Azure VM として既にモデル化されているため、Azure 内で実行されている仮想マシン、または Azure Stack Hub または Azure Stack Edge 上で実行されている仮想マシンへのエージェントのインストールをサポートしていません。

サポートされるオペレーティング システム

Azure Connected Machine エージェントでは、次のバージョンの Windows および Linux オペレーティング システムが正式にサポートされています。

  • Windows Server 2008 R2 SP1、Windows Server 2012 R2、2016、2019、2022 以上 (Server Core を含む)
  • Ubuntu 16.04、18.04、および 20.04 LTS (x64)
  • CentOS Linux 7 および 8 (x64)
  • SUSE Linux Enterprise Server (SLES) 12 および 15 (x64)
  • Red Hat Enterprise Linux (RHEL) 7 および 8 (x64)
  • Amazon Linux 2 (x64)
  • Oracle Linux 7

警告

Linux ホスト名または Windows コンピューター名では、予約語や商標を名前に使用できません。使用した場合、接続されているマシンを Azure に登録しようとすると失敗します。 予約語の一覧については、「予約されたリソース名のエラーを解決する」を参照してください。

注意

Arc 対応サーバーでは Amazon Linux がサポートされていますが、以下ではこのディストリビューションはサポートされていません。

  • Azure Monitor で使用されるエージェント (つまり、Log Analytics エージェントと Dependency Agent)
  • Azure Automation の Update Management
  • VM の分析情報

ソフトウェア要件

必要なアクセス許可

  • マシンをオンボードするには、リソース グループの Azure Connected Machine のオンボード または 共同作成者 ロールのメンバーである必要があります。

  • マシンの読み取り、変更、および削除を行うには、リソース グループの Azure Connected Machine のリソース管理者 ロールのメンバーである必要があります。

  • スクリプトの生成 メソッドを使用するときにドロップダウン リストからリソース グループを選択するには、少なくともそのリソース グループの 閲覧者ロールのメンバーである必要があります。

Azure サブスクリプションとサービスの制限

Azure Arc 対応サーバーでお使いのマシンを構成する前に、Azure Resource Manager のサブスクリプションの制限リソース グループの制限を確認して、接続するマシンの数を計画してください。

Azure Arc 対応サーバーでは、1 つのリソース グループで最大 5,000 個のマシン インスタンスがサポートされます。

トランスポート層セキュリティ 1.2 プロトコル

Azure に転送中のデータのセキュリティを確保するには、トランスポート層セキュリティ (TLS) 1.2 を使用するようにマシンを構成することを強くお勧めします。 以前のバージョンの TLS/SSL (Secure Sockets Layer) は脆弱であることが確認されています。現在、これらは下位互換性を維持するために使用可能ですが、推奨されていません

プラットフォーム/言語 サポート 詳細情報
Linux Linux ディストリビューションでは、TLS 1.2 のサポートに関して OpenSSL に依存する傾向があります。 OpenSSL の Changelog を参照して、使用している OpenSSL のバージョンがサポートされていることを確認してください。
Windows Server 2012 R2 以降 サポートされています。既定で有効になっています。 既定の設定を使用していることを確認するには。

ネットワーク構成

Linux と Windows 用の Connected Machine エージェントは、TCP ポート 443 を介して安全に Azure Arc へのアウトバウンド通信を行います。 マシンがインターネットで通信するためにファイアウォールまたはプロキシ サーバー経由で接続する必要がある場合、エージェントは代わりに HTTP プロトコルをアウトバウンドの通信を行います。 トラフィックは既に暗号化されているため、プロキシ サーバーによって Connected Machine Agent のセキュリティが強化されることはありません。

注意

Arc 対応サーバーでは、Connected Machine エージェントのプロキシとして Log Analytics ゲートウェイを使用することはサポートされていません。

アウトバウンド接続がファイアウォールやプロキシ サーバーによって制限されている場合は、以下に示す URL がブロックされていないことを確認してください。 エージェントがサービスと通信するために必要な IP 範囲またはドメイン名のみを許可する場合は、次のサービス タグおよび URL へのアクセスを許可する必要があります。

サービス タグ:

  • AzureActiveDirectory
  • AzureTrafficManager
  • AzureResourceManager
  • AzureArcInfrastructure
  • ストレージ

URL:

エージェントのリソース 説明
management.azure.com Azure Resource Manager
login.windows.net Azure Active Directory
login.microsoftonline.com Azure Active Directory
dc.services.visualstudio.com Application Insights
*.guestconfiguration.azure.com ゲスト構成
*.his.arc.azure.com ハイブリッド ID サービス
*.blob.core.windows.net Arc 対応サーバー拡張機能のダウンロード元

プレビュー エージェント (バージョン 0.11 以下) でも、次の URL へのアクセスが必要になります。

エージェントのリソース 説明
agentserviceapi.azure-automation.net ゲスト構成
*-agentservice-prod-1.azure-automation.net ゲスト構成

各サービス タグ/リージョンの IP アドレスの一覧については、「Azure IP 範囲とサービス タグ – パブリック クラウド」という JSON ファイルを参照してください。 Microsoft では、各 Azure サービスとそれが使用する IP 範囲を含む更新プログラムを毎週発行しています。 JSON ファイル内のこの情報は、各サービス タグに対応する現在の特定時点の IP 範囲の一覧です。 IP アドレスは変更される可能性があります。 ファイアウォール構成に IP アドレス範囲が必要な場合は、AzureCloud サービス タグを使用して、すべての Azure サービスへのアクセスを許可してください。 これらの URL のセキュリティ監視または検査を無効にせず、他のインターネット トラフィックと同様に許可してください。

詳細については、サービス タグの概要に関するページをご確認ください。

Azure リソースプロバイダーを登録する

Azure Arc 対応サーバーは、このサービスを使用するために、お使いのサブスクリプション内の次の Azure リソース プロバイダーに依存しています。

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration

これらが登録されていない場合は、次のコマンドを使って登録できます。

Azure PowerShell:

Login-AzAccount
Set-AzContext -SubscriptionId [subscription you want to onboard]
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridCompute
Register-AzResourceProvider -ProviderNamespace Microsoft.GuestConfiguration

Azure CLI:

az account set --subscription "{Your Subscription Name}"
az provider register --namespace 'Microsoft.HybridCompute'
az provider register --namespace 'Microsoft.GuestConfiguration'

Azure portal」の手順に従って、Azure portal でリソースプロバイダーを登録することもできます。

インストールと構成

要件に応じたさまざまな方法を使用して、ハイブリッド環境内のマシンを直接 Azure に接続することができます。 次の表は、どの方法が組織にとって最も効果的であるかを判断するために各方法について説明しています。

重要

Connected Machine エージェントを Azure Windows 仮想マシンにインストールすることはできません。 インストールを試みた場合は、インストールによってこの操作が検出され、ロールバックされます。

Method 説明
対話型 Azure portal からマシンを接続する方法に関するページの手順に従って、1 台のマシンまたは少数のマシンにエージェントを手動でインストールします。
Azure portal からスクリプトを生成し、マシン上で実行することによって、エージェントのインストールおよび構成手順を自動化することができます。
大規模 サービス プリンシパルを使用したマシンの接続に関するページに従って、複数のマシン用にエージェントをインストールして構成します。
この方法では、非対話形式でマシンを接続するためのサービス プリンシパルが作成されます。
大規模 Windows PowerShell DSC の使用方法に関するページの説明に従って複数のマシンにエージェントをインストールして構成します。
この方法では、サービス プリンシパルを使用し、PowerShell DSC から非対話形式でマシンを接続します。

Connected Machine エージェントの技術概要

Windows エージェントのインストールの詳細

Windows 用 Connected Machine エージェントは、次の 3 つの方法のいずれかを使用してインストールできます。

  • AzureConnectedMachineAgent.msi ファイルをダブルクリックする。
  • コマンド シェルから Windows インストーラー パッケージ AzureConnectedMachineAgent.msi を実行して手動で。
  • スクリプト化されたメソッドを使用して PowerShell セッションから。

Windows 用 Connected Machine エージェントをインストールした後、次のシステム全体の構成変更が適用されます。

  • 次のインストール フォルダーは、セットアップ中に作成されます。

    Folder 説明
    %ProgramFiles%\AzureConnectedMachineAgent エージェント サポート ファイルが含まれている既定のインストール パス。
    %ProgramData%\AzureConnectedMachineAgent エージェント構成ファイルが含まれています。
    %ProgramData%\AzureConnectedMachineAgent\Tokens 取得したトークンが含まれています。
    %ProgramData%\AzureConnectedMachineAgent\Config サービスへの登録情報を記録する agentconfig.json エージェント構成ファイルが含まれています。
    %ProgramFiles%\ArcConnectedMachineAgent\ExtensionService\GC ゲスト構成エージェント ファイルを含むインストール パス。
    %ProgramData%\GuestConfig Azure からの (適用された) ポリシーが含まれています。
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads 拡張機能は Azure からダウンロードされ、ここにコピーされます。
  • エージェントのインストール中に、次の Windows サービスがターゲット マシン上に作成されます。

    [サービス名] Display name [処理名] 説明
    himds Azure Hybrid Instance Metadata Service himds このサービスは、Azure への接続と接続されたマシンの Azure ID を管理するために Azure Instance Metadata Service (IMDS) を実装します。
    GCArcService ゲスト構成 Arc サービス gc_service マシンの必要な状態構成を監視します。
    ExtensionService ゲスト構成拡張機能サービス gc_service マシンをターゲットとする必要な拡張機能をインストールします。
  • 次の環境変数は、エージェントのインストール中に作成されます。

    名前 既定値 説明
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • トラブルシューティングに使用できるログ ファイルがいくつかあります。 これらについては、次の表で説明します。

    ログ 説明
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log エージェント (HIMDS) サービスや Azure との対話の詳細を記録します。
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log 詳細 (-v) 引数が使用されている場合は、azcmagent ツール コマンドの出力が含まれます。
    %ProgramData%\GuestConfig\gc_agent_logs\gc_agent.log DSC サービス アクティビティの詳細を記録します
    (特に、HIMDS サービスと Azure Policy の間の接続)。
    %ProgramData%\GuestConfig\gc_agent_logs\gc_agent_telemetry.txt DSC サービス テレメトリと詳細ログの詳細を記録します。
    %ProgramData%\GuestConfig\ext_mgr_logs 拡張エージェント コンポーネントに関する詳細を記録します。
    %ProgramData%\GuestConfig\extension_logs<Extension> インストールされた拡張機能の詳細を記録します。
  • ローカル セキュリティ グループの ハイブリッド エージェント拡張アプリケーション が作成されます。

  • エージェントのアンインストール中に、次の成果物は削除されません。

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent とサブディレクトリ
    • %ProgramData%\GuestConfig

Linux エージェントのインストールの詳細

Linux 用の Connected Machine エージェントは、Microsoft パッケージ リポジトリでホストされたディストリビューション (.RPM または .DEB) に適したパッケージ形式で提供されます。 エージェントは、シェル スクリプト バンドルの Install_linux_azcmagent.sh を使用してインストールおよび構成されます。

Linux 用 Connected Machine エージェントをインストールした後、次のシステム全体の構成変更が適用されます。

  • 次のインストール フォルダーは、セットアップ中に作成されます。

    Folder 説明
    /var/opt/azcmagent/ エージェント サポート ファイルが含まれている既定のインストール パス。
    /opt/azcmagent/
    /opt/GC_Ext ゲスト構成エージェント ファイルを含むインストール パス。
    /opt/DSC/
    /var/opt/azcmagent/tokens 取得したトークンが含まれています。
    /var/lib/GuestConfig Azure からの (適用された) ポリシーが含まれています。
    /opt/GC_Ext/downloads 拡張機能は Azure からダウンロードされ、ここにコピーされます。
  • 次のデーモンは、エージェントのインストール中にターゲット マシン上に作成されます。

    [サービス名] Display name [処理名] 説明
    himdsd.service Azure Connected Machine Agent サービス。 himds このサービスは、Azure への接続と接続されたマシンの Azure ID を管理するために Azure Instance Metadata Service (IMDS) を実装します。
    gcad.service GC Arc サービス gc_linux_service マシンの必要な状態構成を監視します。
    extd.service 拡張機能サービス gc_linux_service マシンをターゲットとする必要な拡張機能をインストールします。
  • トラブルシューティングに使用できるログ ファイルがいくつかあります。 これらについては、次の表で説明します。

    ログ 説明
    /var/opt/azcmagent/log/himds.log エージェント (HIMDS) サービスや Azure との対話の詳細を記録します。
    /var/opt/azcmagent/log/azcmagent.log 詳細 (-v) 引数が使用されている場合は、azcmagent ツール コマンドの出力が含まれます。
    /opt/logs/dsc.log DSC サービス アクティビティの詳細を記録します
    (特に、himds サービスと Azure Policy 間の接続)。
    /opt/logs/dsc.telemetry.txt DSC サービス テレメトリと詳細ログの詳細を記録します。
    /var/lib/GuestConfig/ext_mgr_logs 拡張エージェント コンポーネントに関する詳細を記録します。
    /var/lib/GuestConfig/extension_logs インストールされた拡張機能の詳細を記録します。
  • 次の環境変数は、エージェントのインストール中に作成されます。 これらの変数は /lib/systemd/system.conf.d/azcmagent.conf に設定されます。

    名前 既定値 説明
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342
  • エージェントのアンインストール中に、次の成果物は削除されません。

    • /var/opt/azcmagent
    • /opt/logs

エージェント リソース ガバナンス

Arc 対応サーバーの Connected Machine エージェントは、エージェントとシステム リソースの使用を管理するように設計されています。 エージェントは、次の条件下でリソース ガバナンスにアプローチします。

  • ゲスト構成エージェントは、ポリシーを評価するために、CPU の使用量を最大で 5% に制限します。

  • 拡張機能サービス エージェントは、CPU の使用量を最大で 5% に制限されます。

    • これは、インストール、アンインストール、およびアップグレード操作にのみ適用されます。 インストールが完了した拡張機能は、自身のリソース使用率について責任を負います。5% の CPU 制限は適用されません。
    • Log Analytics エージェントと Azure Monitor エージェントは、Red Hat Linux、CentOS、およびその他のエンタープライズ Linux のバリアントでのインストール、アップグレード、およびアンインストール操作中に、最大で CPU の 60% を使用することができます。 これらのシステムでの SELinux のパフォーマンスへの影響に対応するために、この制限はこの拡張機能とオペレーティング システムの組み合わせに対しては高くなっています。

次のステップ