Overzicht van de Azure Connected Machine-agent

  • Artikel

Met de Azure Verbinding maken ed Machine-agent kunt u uw Windows- en Linux-machines beheren die buiten Azure worden gehost op uw bedrijfsnetwerk of andere cloudproviders.

Agentonderdelen

Architectuuroverzicht van Azure Verbinding maken ed Machine-agent.

Het Azure Verbinding maken ed Machine-agentpakket bevat verschillende logische onderdelen die samen zijn gebundeld:

  • Met de Hybrid Instance Metadata Service (HIMDS) wordt de verbinding met Azure en de Azure-identiteit van de verbonden machine beheerd.

  • De gastconfiguratieagent biedt functionaliteit zoals het beoordelen of de machine voldoet aan het vereiste beleid en naleving afdwingen.

    Let op het volgende gedrag met azure Policy-gastconfiguratie voor een niet-verbonden machine:

    • Een Azure Policy-toewijzing die is gericht op niet-verbonden machines, wordt niet beïnvloed.
    • Gasttoewijzing wordt gedurende 14 dagen lokaal opgeslagen. Als de Verbinding maken ed Machine-agent binnen de periode van 14 dagen opnieuw verbinding maakt met de service, worden beleidstoewijzingen opnieuw toegepast.
    • Toewijzingen worden na 14 dagen verwijderd en worden na de periode van 14 dagen niet opnieuw toegewezen aan de machine.

  • De extensieagent beheert VM-extensies, waaronder installeren, verwijderen en upgraden. Azure downloadt extensies en kopieert ze naar de %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads map in Windows en naar /opt/GC_Ext/downloads Linux. In Windows wordt de extensie geïnstalleerd op het volgende pad %SystemDrive%\Packages\Plugins\<extension>en in Linux wordt de extensie geïnstalleerd op /var/lib/waagent/<extension>.

Notitie

De Azure Monitor-agent (AMA) is een afzonderlijke agent die bewakingsgegevens verzamelt en de Verbinding maken ed Machine-agent niet vervangt. De AMA vervangt alleen de Log Analytics-agent, de diagnostische extensie en de Telegraf-agent voor zowel Windows- als Linux-machines.

Agentbronnen

In de volgende informatie worden de mappen en gebruikersaccounts beschreven die worden gebruikt door de Azure Verbinding maken ed Machine-agent.

Installatiedetails van Windows-agent

De Windows-agent wordt gedistribueerd als een Windows Installer-pakket (MSI). Download de Windows-agent van het Microsoft Downloadcentrum. Als u de Verbinding maken ed Machine-agent voor Window installeert, worden de volgende configuratiewijzigingen voor het hele systeem toegepast:

  • Tijdens het installatieproces worden de volgende mappen gemaakt tijdens de installatie.

    Directory Beschrijving
    %ProgramFiles%\AzureConnectedMachineAgent uitvoerbare bestanden azcmagent CLI en instance metadata service.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC Uitvoerbare extensieservicebestanden.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC Uitvoerbare gastconfiguratieservicebestanden (beleid).
    %ProgramData%\AzureConnectedMachineAgent Configuratie-, logboek- en identiteitstokenbestanden voor azcmagent CLI en service voor metagegevens van exemplaren.
    %ProgramData%\GuestConfig Downloads van extensiepakketten, definitiedownloads van gastconfiguratie (beleid) en logboeken voor de extensie- en gastconfiguratieservices.
    %SYSTEMDRIVE%\packages Uitvoerbare bestanden voor extensiepakketten

  • Als u de agent installeert, worden de volgende Windows-services op de doelcomputer gemaakt.

    Servicenaam Weergavenaam Procesnaam Beschrijving
    himds Azure Hybrid Instance Metadata Service himds.exe Synchroniseert metagegevens met Azure en host een lokale REST API voor extensies en toepassingen om toegang te krijgen tot de metagegevens en om door Microsoft Entra beheerde identiteitstokens aan te vragen
    GCArcService Arc-service gastconfiguratie gc_arc_service.exe (gc_service.exe vóór versie 1.36) Controleert en dwingt azure-gastconfiguratiebeleid af op de computer.
    ExtensionService Gastconfiguratie-extensieservice gc_extension_service.exe (gc_service.exe vóór versie 1.36) Hiermee worden extensies op de computer geïnstalleerd, bijgewerkt en beheerd.

  • Agentinstallatie maakt het volgende virtuele serviceaccount.

    Virtueel account Beschrijving
    NT SERVICE\himds Niet-gemachtigd account dat wordt gebruikt voor het uitvoeren van de Hybrid Instance Metadata Service.

    Tip

    Voor dit account is het recht “Aanmelden als een service” vereist. Dit recht wordt automatisch verleend tijdens de installatie van de agent, maar als uw organisatie gebruikersrechtentoewijzingen configureert met Groepsbeleid, moet u mogelijk uw Groepsbeleidsobject aanpassen om het recht te verlenen aan 'NT SERVICE\himds' of 'NT SERVICE\ALL SERVICES' om de agent te laten functioneren.

  • Agentinstallatie maakt de volgende lokale beveiligingsgroep.

    Naam beveiligingsgroep Beschrijving
    Hybride agent uitbreidingstoepassingen Leden van deze beveiligingsgroep kunnen Microsoft Entra-tokens aanvragen voor de door het systeem toegewezen beheerde identiteit

  • Agentinstallatie maakt de volgende omgevingsvariabelen

    Naam Standaardwaarde Beschrijving
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Er zijn verschillende logboekbestanden beschikbaar voor probleemoplossing, zoals beschreven in de volgende tabel.

    Logboek Beschrijving
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Registreert details van het heartbeat- en identiteitsagentonderdeel.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Bevat de uitvoer van de opdrachten van het hulpprogramma azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Registreert gegevens over het onderdeel van de gastconfiguratieagent (beleid).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Registreert details over de activiteit van extensiebeheer (extensie-installatie, verwijdering en upgrade-gebeurtenissen).
    %ProgramData%\GuestConfig\extension_logs Map met logboeken voor afzonderlijke extensies.

  • Tijdens het proces worden de hybride agentextensietoepassingen voor de lokale beveiligingsgroep gemaakt.

  • Na het verwijderen van de agent blijven de volgende artefacten behouden.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Installatiedetails van Linux-agent

De voorkeurspakketindeling voor de distributie (.rpmof.deb) die wordt gehost in de Microsoft-pakketopslagplaats, biedt de Verbinding maken ed Machine-agent voor Linux. De shellscriptbundel Install_linux_azcmagent.sh installeert en configureert de agent.

Installeren, upgraden en verwijderen van de Verbinding maken ed Machine-agent is niet vereist nadat de server opnieuw is opgestart.

Als u de Verbinding maken ed Machine-agent voor Linux installeert, worden de volgende configuratiewijzigingen voor het hele systeem toegepast.

  • Met Setup worden de volgende installatiemappen gemaakt.

    Directory Beschrijving
    /opt/azcmagent/ uitvoerbare bestanden azcmagent CLI en instance metadata service.
    /opt/GC_Ext/ Uitvoerbare extensieservicebestanden.
    /opt/GC_Service/ Uitvoerbare gastconfiguratieservicebestanden (beleid).
    /var/opt/azcmagent/ Configuratie-, logboek- en identiteitstokenbestanden voor azcmagent CLI en service voor metagegevens van exemplaren.
    /var/lib/GuestConfig/ Downloads van extensiepakketten, definitiedownloads van gastconfiguratie (beleid) en logboeken voor de extensie- en gastconfiguratieservices.

  • Als u de agent installeert, worden de volgende daemons gemaakt.

    Servicenaam Weergavenaam Procesnaam Beschrijving
    himdsd.service Azure Verbinding maken ed Machine Agent Service himds Met deze service wordt de Service Voor metagegevens van hybride exemplaren (IMDS) geïmplementeerd om de verbinding met Azure en de Azure-identiteit van de verbonden machine te beheren.
    gcad.service GC Arc-service gc_linux_service Controleert en dwingt azure-gastconfiguratiebeleid af op de computer.
    extd.service Extensieservice gc_linux_service Hiermee worden extensies op de computer geïnstalleerd, bijgewerkt en beheerd.

  • Er zijn verschillende logboekbestanden beschikbaar voor probleemoplossing, zoals beschreven in de volgende tabel.

    Logboek Beschrijving
    /var/opt/azcmagent/log/himds.log Registreert details van het heartbeat- en identiteitsagentonderdeel.
    /var/opt/azcmagent/log/azcmagent.log Bevat de uitvoer van de opdrachten van het hulpprogramma azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Registreert gegevens over het onderdeel van de gastconfiguratieagent (beleid).
    /var/lib/GuestConfig/ext_mgr_logs Registreert details over de activiteit van extensiebeheer (extensie-installatie, verwijdering en upgrade-gebeurtenissen).
    /var/lib/GuestConfig/extension_logs Map met logboeken voor afzonderlijke extensies.

  • Tijdens de installatie van de agent worden de volgende omgevingsvariabelen gemaakt, ingesteld in /lib/systemd/system.conf.d/azcmagent.conf.

    Naam Standaardwaarde Beschrijving
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Na het verwijderen van de agent blijven de volgende artefacten behouden.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Resourcebeheer voor agents

De Azure Verbinding maken ed Machine-agent is ontworpen om het verbruik van agents en systeemresources te beheren. De agent benadert resourcebeheer onder de volgende omstandigheden:

  • De machineconfiguratieservice (voorheen gastconfiguratie) kan maximaal 5% van de CPU gebruiken om beleid te evalueren.

  • De Extensieservice kan maximaal 5% van de CPU op Windows-computers en 30% van de CPU op Linux-computers gebruiken om extensies te installeren, bij te werken, uit te voeren en te verwijderen. Sommige extensies kunnen meer beperkende CPU-limieten toepassen nadat ze zijn geïnstalleerd. De volgende uitzonderingen zijn van toepassing:

    Type extensie Besturingssysteem CPU-limiet
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE. Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Tijdens normale bewerkingen, gedefinieerd als de Azure Verbinding maken ed Machine-agent die wordt verbonden met Azure en niet actief een extensie wijzigt of een beleid evalueert, kunt u verwachten dat de agent de volgende systeemresources verbruikt:

Windows Linux
CPU-gebruik (genormaliseerd tot 1 kern) 0.07% 0,02%
Geheugengebruik 57 MB 42 MB

De bovenstaande prestatiegegevens zijn verzameld in april 2023 op virtuele machines met Windows Server 2022 en Ubuntu 20.04. De werkelijke prestaties en het resourceverbruik van de agent variëren op basis van de hardware- en softwareconfiguratie van uw servers.

Aangepaste resourcelimieten

De standaardlimieten voor resourcebeheer zijn de beste keuze voor de meeste servers. Kleine virtuele machines en servers met beperkte CPU-resources kunnen echter time-outs ondervinden bij het beheren van extensies of het evalueren van beleid, omdat er onvoldoende CPU-resources zijn om de taken te voltooien. Vanaf agentversie 1.39 kunt u de CPU-limieten aanpassen die worden toegepast op de extensiebeheer- en Machine Configuration-services om de agent te helpen deze taken sneller te voltooien.

Voer de volgende opdracht uit om de huidige resourcelimieten voor de extensiebeheer- en machineconfiguratieservices te bekijken.

azcmagent config list

In de uitvoer ziet u twee velden en guestconfiguration.agent.cpulimitextensions.agent.cpulimit met de huidige resourcelimiet die is opgegeven als percentage. Bij een nieuwe installatie van de agent worden beide weergegeven 5 omdat de standaardlimiet 5% van de CPU is.

Voer de volgende opdracht uit om de resourcelimiet voor extensiebeheer te wijzigen in 80%:

azcmagent config set extensions.agent.cpulimit 80

Exemplaarmetagegevens

Metagegevensinformatie over een verbonden machine wordt verzameld nadat de Verbinding maken ed Machine-agent zich registreert bij servers met Azure Arc. Specifiek:

  • Naam, type en versie van het besturingssysteem
  • Computernaam
  • Computerfabrikant en -model
  • Volledig gekwalificeerde domeinnaam (FQDN) van de computer
  • Domeinnaam (indien toegevoegd aan een Active Directory-domein)
  • Fully Qualified Domain Name (FQDN) van Active Directory en DNS
  • UUID (BIOS-id)
  • heartbeat van de machineagent Verbinding maken
  • Versie van Connected Machine-agent
  • Openbare sleutel voor beheerde identiteit
  • Status en details van beleidsnaleving (als u beleidsregels voor gastconfiguratie gebruikt)
  • SQL Server geïnstalleerd (Booleaanse waarde)
  • Clusterresource-id (voor Azure Stack HCI-knooppunten)
  • Hardwarefabrikant
  • Hardwaremodel
  • CPU-familie, socket, fysieke kern en logische kernaantallen
  • Totaal fysiek geheugen
  • Serienummer
  • SMBIOS-assettag
  • Cloudprovider
  • Metagegevens van Amazon Web Services (AWS) wanneer ze worden uitgevoerd in AWS:
    • Rekening-ID
    • Instance ID
    • Regio
  • Metagegevens van Google Cloud Platform (GCP) bij uitvoering in GCP:
    • Instance ID
    • Afbeelding
    • Type computer
    • Project-id
    • Projectnummer
    • Serviceaccounts
    • Zone
  • Metagegevens van Oracle Cloud Infrastructure, wanneer ze worden uitgevoerd in OCI:
    • Weergavenaam

De agent vraagt de volgende metagegevensgegevens van Azure aan:

  • Resourcelocatie (regio)
  • Id van virtuele machine
  • Tags
  • Door Microsoft Entra beheerd identiteitscertificaat
  • Toewijzingen van gastconfiguratiebeleid
  • Extensieaanvragen: installeren, bijwerken en verwijderen.

Notitie

Servers met Azure Arc slaan geen klantgegevens op buiten de regio waarin de klant het service-exemplaar implementeert.

Implementatieopties en -vereisten

Voor agentimplementatie en machineverbinding zijn bepaalde vereisten vereist. Er zijn ook netwerkvereisten om rekening mee te houden.

We bieden verschillende opties voor het implementeren van de agent. Zie Implementatie- en implementatieopties plannen voor meer informatie.

Volgende stappen