Azure Arc-ügynök

Ha engedélyezi a vendégkezelést VMware virtuális gépeken, az Azure Connected Machine Agent telepítve lesz a virtuális gépeken. Ez ugyanaz az ügynök, amelyet az Arc-kompatibilis kiszolgálók használnak. Az Azure Connected Machine ügynök lehetővé teszi az Azure rendszeren kívül, a vállalati hálózaton vagy más felhőszolgáltatókon elhelyezett Windows és Linux gépek kezelését. Ez a cikk az Azure Connected Machine Agent architekturális áttekintését ismerteti.

Ügynökösszetevők

Az Azure Connected Machine-ügynökcsomag több logikai összetevőt tartalmaz, amelyek össze vannak csomagolva:

• A hibrid példány metaadat-szolgáltatása (HIMDS) kezeli az Azure-hoz való kapcsolatot és a csatlakoztatott gép Azure-identitását.

• A vendégkonfigurációs ügynök olyan funkciókat biztosít, mint például annak felmérése, hogy a gép megfelel-e a szükséges szabályzatoknak, és kikényszeríteni a megfelelőséget.

  Figyelje meg a következő viselkedést egy leválasztott gép Azure Policy-vendégkonfigurációjával:

  • A leválasztott gépeket célzó Azure Policy-hozzárendelések nem változnak.
  • A vendéghozzárendelések tárolása helyileg történik 14 napig. A 14 napos időszakon belül, ha a Csatlakoztatott gép ügynök újra csatlakozik a szolgáltatáshoz, a szabályzat-hozzárendelések újra lesznek alkalmazva.
  • A hozzárendelések 14 nap után törlődnek, és a 14 napos időszak után nem lesznek hozzárendelve a géphez.

• A bővítményügynök kezeli a virtuálisgép-bővítményeket, beleértve a telepítést, az eltávolítást és a frissítést. Az Azure letölti a bővítményeket, és átmásolja őket a %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads Windows és a Linux mappájába /opt/GC_Ext/downloads . Windows rendszeren a bővítmény az elérési útra %SystemDrive%\Packages\Plugins\<extension>telepíti a bővítményt, Linuxon pedig a következőre telepíti a bővítményt /var/lib/waagent/<extension>.

Ügynökerőforrások

Az alábbi információk az Azure Connected Machine-ügynök által használt címtárakat és felhasználói fiókokat ismertetik.

A Windows-ügynök telepítésének részletei

A Windows-ügynök Windows Installer-csomagként (MSI) kerül terjesztésre. Töltse le a Windows-ügynököt a Microsoft letöltőközpontból. A Windows csatlakoztatottgép-ügynökének telepítése a következő rendszerszintű konfigurációs módosításokat alkalmazza:

• A telepítési folyamat a következő mappákat hozza létre a telepítés során.

  Címtár	Leírás
  %ProgramFiles%\AzureConnectedMachineAgent	azcmagent CLI és a példány metaadat-szolgáltatás futtatható fájljai.
  %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC	Bővítményszolgáltatás futtatható fájlok.
  %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC	Vendégkonfigurációs (szabályzat) szolgáltatás futtatható fájljai.
  %ProgramData%\AzureConnectedMachineAgent	Konfigurációs, napló- és identitásjogkivonat-fájlok azcmagent parancssori felülethez és a példány metaadat-szolgáltatásához.
  %ProgramData%\GuestConfig	A bővítménycsomagok letöltése, a vendégkonfiguráció (szabályzat) definícióinak letöltése, valamint a bővítmény- és vendégkonfigurációs szolgáltatások naplói.
  %SYSTEMDRIVE%\packages	Bővítménycsomag végrehajthatók.

• Az ügynök telepítése a következő Windows-szolgáltatásokat hozza létre a célszámítógépen.

  Szolgáltatás neve	Megjelenített név	Feldolgozás neve	Leírás
  himds	Azure Hybrid Instance Metadata Service	himds	Szinkronizálja a metaadatokat az Azure-ral, és helyi REST API-t üzemeltet bővítményekhez és alkalmazásokhoz a metaadatok eléréséhez és a Microsoft Entra által felügyelt identitástokenek lekéréséhez
  GCArcService	Vendégkonfigurációs Arc-szolgáltatás	gc_service	Naplóz és kikényszeríti az Azure-vendégkonfigurációs szabályzatokat a gépen.
  ExtensionService	Vendégkonfiguráció-bővítmény szolgáltatás	gc_service	Telepíti, frissíti és kezeli a bővítményeket a gépen.

• Az ügynök telepítése a következő virtuális szolgáltatásfiókot hozza létre.

  Virtuális fiók	Leírás
  NT SERVICE\himds	A hibrid példány metaadat-szolgáltatásának futtatásához használt nem emelt szintű fiók.

  Tipp.

  Ehhez a fiókhoz szolgáltatásként be kell jelentkeznie. Ez a jog automatikusan meg van adva az ügynök telepítése során, de ha a szervezet csoportházirenddel konfigurálja a felhasználói jogok hozzárendelését, előfordulhat, hogy módosítania kell a csoportházirend-objektumot, hogy az NT SERVICE\himds vagy az NT SERVICE\ALL SERVICES jogosultságot biztosítson az ügynök működésének engedélyezéséhez.

• Az ügynöktelepítés a következő helyi biztonsági csoportot hozza létre.

  Biztonsági csoport neve	Leírás
  Hibrid ügynökbővítmény-alkalmazások	A biztonsági csoport tagjai Microsoft Entra-tokeneket kérhetnek a rendszer által hozzárendelt felügyelt identitáshoz

• Az ügynöktelepítés a következő környezeti változókat hozza létre

  Név	Alapértelmezett érték	Leírás
  IDENTITY_ENDPOINT	http://localhost:40342/metadata/identity/oauth2/token
  IMDS_ENDPOINT	http://localhost:40342

• A hibaelhárításhoz számos naplófájl érhető el, amelyeket az alábbi táblázatban ismertetünk.

  Napló	Leírás
  %ProgramData%\AzureConnectedMachineAgent\Log\himds.log	Rögzíti a szívverés és az identitásügynök összetevők részleteit.
  %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log	Az azcmagent eszközparancsok kimenetét tartalmazza.
  %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log	A vendégkonfiguráció (szabályzat) ügynök összetevőjének adatait rögzíti.
  %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log	Rögzíti a bővítménykezelő tevékenységének részleteit (bővítménytelepítési, eltávolítási és frissítési események).
  %ProgramData%\GuestConfig\extension_logs	Az egyes bővítmények naplóit tartalmazó könyvtár.

• A folyamat létrehozza a helyi biztonsági csoport hibrid ügynökbővítmény-alkalmazásokat.

• Az ügynök eltávolítása után a következő összetevők maradnak:

  • %ProgramData%\AzureConnectedMachineAgent\Log
  • %ProgramData%\AzureConnectedMachineAgent
  • %ProgramData%\GuestConfig
  • %SystemDrive%\packages

Linux-ügynök telepítésének részletei

A Microsoft-csomagtárházban üzemeltetett disztribúció (.rpm vagy .deb) előnyben részesített csomagformátuma biztosítja a Linux csatlakoztatottgép-ügynököt. A rendszerhéj-szkriptcsomag Install_linux_azcmagent.sh telepíti és konfigurálja az ügynököt.

A csatlakoztatottgép-ügynök telepítése, frissítése és eltávolítása nem szükséges a kiszolgáló újraindítása után.

A Linux csatlakoztatottgép-ügynök telepítése a következő rendszerszintű konfigurációs módosításokat alkalmazza.

• A telepítő a következő telepítési mappákat hozza létre.

  Címtár	Leírás
  /opt/azcmagent/	azcmagent CLI és a példány metaadat-szolgáltatás futtatható fájljai.
  /opt/GC_Ext/	Bővítményszolgáltatás futtatható fájlok.
  /opt/GC_Service/	Vendégkonfigurációs (szabályzat) szolgáltatás futtatható fájljai.
  /var/opt/azcmagent/	Konfigurációs, napló- és azonosító tokenfájlok az azcmagent CLI és a példány metaadat-szolgáltatás számára.
  /var/lib/GuestConfig/	A bővítménycsomagok letöltése, a vendégkonfiguráció (szabályzat) definícióinak letöltése, valamint a bővítmény- és vendégkonfigurációs szolgáltatások naplói.

• Az ügynök telepítése a következő démonokat hozza létre.

  Szolgáltatás neve	Megjelenített név	Feldolgozás neve	Leírás
  himdsd.service	Azure Connected Machine Agent Service	himds	Ez a szolgáltatás implementálja a hibrid példány metaadat-szolgáltatását (IMDS) az Azure-hoz és a csatlakoztatott gép Azure-identitásához való kapcsolat kezeléséhez.
  gcad.service	GC Arc szolgáltatás	gc_linux_service	Naplóz és kikényszeríti az Azure-vendégkonfigurációs szabályzatokat a gépen.
  extd.service	Bővítményszolgáltatás	gc_linux_service	Telepíti, frissíti és kezeli a bővítményeket a gépen.

• A hibaelhárításhoz számos naplófájl érhető el, amelyeket az alábbi táblázatban ismertetünk.

  Napló	Leírás
  /var/opt/azcmagent/log/himds.log	Rögzíti a szívverés és az identitásügynök összetevők részleteit.
  /var/opt/azcmagent/log/azcmagent.log	Az azcmagent eszközparancsok kimenetét tartalmazza.
  /var/lib/GuestConfig/arc_policy_logs	A vendégkonfiguráció (szabályzat) ügynök összetevőjének adatait rögzíti.
  /var/lib/GuestConfig/ext_mgr_logs	Rögzíti a bővítménykezelő tevékenységének részleteit (bővítménytelepítési, eltávolítási és frissítési események).
  /var/lib/GuestConfig/extension_logs	Az egyes bővítmények naplóit tartalmazó könyvtár.

• Az ügynöktelepítés a következő környezeti változókat hozza létre a következő beállításban /lib/systemd/system.conf.d/azcmagent.conf.

  Név	Alapértelmezett érték	Leírás
  IDENTITY_ENDPOINT	http://localhost:40342/metadata/identity/oauth2/token
  IMDS_ENDPOINT	http://localhost:40342

• Az ügynök eltávolítása után a következő összetevők maradnak:

  • /var/opt/azcmagent
  • /var/lib/GuestConfig

Ügynökerőforrás-szabályozás

Az Azure Connected Machine-ügynök az ügynök és a rendszer erőforrás-felhasználásának kezelésére lett kialakítva. Az ügynök a következő feltételek mellett közelíti meg az erőforrás-szabályozást:

• A vendégkonfigurációs ügynök a processzor akár 5%-át is használhatja a szabályzatok kiértékeléséhez.

• A Bővítményszolgáltatás-ügynök a processzor akár 5%-át is használhatja bővítmények telepítéséhez, frissítéséhez, futtatásához és törléséhez. Egyes bővítmények szigorúbb cpu-korlátozásokat alkalmazhatnak a telepítés után. A következő kivételek érvényesek:

  Bővítmény típusa	Operációs rendszer	CPU-korlát
  AzureMonitorLinuxAgent	Linux	60%
  AzureMonitorWindowsAgent	Windows	100%
  AzureSecurityLinuxAgent	Linux	30%
  LinuxOsUpdateExtension	Linux	60%
  MDE.Linux	Linux	60%
  MicrosoftDnsAgent	Windows	100%
  MicrosoftMonitoringAgent	Windows	60%
  OmsAgentForLinux	Windows	60%

Az Azure-hoz csatlakoztatott Azure Connected Machine-ügynökként definiált normál műveletek során, amelyek nem módosítják aktívan a bővítményeket vagy kiértékelik a szabályzatokat, számíthat arra, hogy az ügynök a következő rendszererőforrásokat használja fel:

A fenti teljesítményadatokat 2023 áprilisában gyűjtöttük össze Windows Server 2022 és Ubuntu 20.04 rendszerű virtuális gépeken. Az ügynök tényleges teljesítménye és erőforrás-felhasználása a kiszolgálók hardver- és szoftverkonfigurációja alapján változik.

Példány metaadatai

A csatlakoztatott gép metaadatainak gyűjtése azután történik, hogy a csatlakoztatott gép ügynök regisztrál az Azure Arc-kompatibilis kiszolgálókon, különösen:

• Operációs rendszer neve, típusa és verziója
• Számítógép neve
• Számítógép gyártója és modellje
• Számítógép teljes tartományneve (FQDN)
• Tartománynév (ha egy Active Directory-tartományhoz csatlakozik)
• Active Directory és DNS teljes tartománynév (FQDN)
• UUID (BIOS-AZONOSÍTÓ)
• Csatlakoztatott gép ügynökének szívverése
• Csatlakoztatott gép ügynökének verziója
• Nyilvános kulcs felügyelt identitáshoz
• Szabályzatmegfelelőségi állapot és részletek (vendégkonfigurációs szabályzatok használata esetén)
• Telepített SQL Server (logikai érték)
• Fürt erőforrás-azonosítója (azure-beli helyi csomópontokhoz)
• Hardvergyártó
• Hardvermodell
• CPU-család, szoftvercsatornák, fizikai magok és logikai magok száma
• Fizikai memória összesen
• Sorszám
• SMBIOS-eszközcímke
• Felhőszolgáltató
• Az Amazon Web Services (AWS) metaadatai az AWS-ben való futtatáskor:
  • Számlaazonosító
  • Instance ID (Példányazonosító)
  • Régió
• A Google Cloud Platform (GCP) metaadatai a GCP-ben való futtatáskor:
  • Instance ID (Példányazonosító)
  • Kép
  • Gép típusa
  • Projektazonosító
  • Projektszám
  • Szolgáltatásfiókok
  • Zóna

Az ügynök a következő metaadatadatokat kéri le az Azure-tól:

• Erőforrás helye (régió)
• Virtuális gép azonosítója
• Címkék
• Microsoft Entra felügyelt identitástanúsítvány
• Vendégkonfigurációs házirend-hozzárendelések
• Bővítménykérelmek – telepítés, frissítés és törlés.

Következő lépések

• A VMware vCenter Server csatlakoztatása az Azure Archoz.
• Telepítse az Arc-ügynököt nagy méretekben a VMware virtuális gépekhez.