Partilhar via

Descrição Geral do agente do Azure Connected Machine

O agente Azure Connected Machine permite gerenciar máquinas Windows e Linux hospedadas fora do Azure, em sua rede corporativa ou em outros provedores de nuvem.

Warning

Apenas as versões do Agente Connected Machine do último ano são oficialmente suportadas pelo grupo de produtos. Todos os clientes devem atualizar para uma versão do agente dentro desta janela ou habilitar as atualizações automáticas do agente (visualização).

Componentes do agente

Diagrama da visão geral da arquitetura do agente do Azure Connected Machine.

Para baixar diagramas de arquitetura em alta resolução, visite Jumpstart Gems.

O pacote do agente do Azure Connected Machine contém vários componentes lógicos agrupados:

  • O serviço de Metadados de Instância Híbrida (HIMDS) gerencia a conexão com o Azure e a identidade do Azure da máquina conectada.

  • O agente de configuração da máquina fornece funcionalidades como avaliar se a máquina está em conformidade com as políticas necessárias e impor a conformidade.

    Repare no seguinte comportamento da configuração da máquina com a Política do Azure para uma máquina desconectada:

    • Uma atribuição de Política do Azure destinada a máquinas desconectadas não é afetada.
    • A atribuição de convidado é armazenada localmente por 14 dias. Dentro do período de 14 dias, se o agente Máquina Conectada se reconectar ao serviço, as atribuições de política serão reaplicadas.
    • As atribuições são excluídas após 14 dias e não são reatribuídas à máquina após o período de 14 dias.

  • O agente de extensão gerencia extensões de VM, incluindo instalação, desinstalação e atualização. O Azure transfere extensões e copia-as para a pasta no Windows e para %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads o /opt/GC_Ext/downloads Linux. No Windows, a extensão é instalada no caminho %SystemDrive%\Packages\Plugins\<extension>a seguir e, no Linux, a extensão é instalada no /var/lib/waagent/<extension>.

Note

O agente do Azure Monitor (AMA) é um agente separado que coleta dados de monitoramento. Ele não substitui o agente Máquina Conectada. O AMA substitui apenas o agente do Log Analytics, a extensão Diagnostics e o agente Telegraf para máquinas Windows e Linux.

Azure Arc Proxy

O serviço Azure Arc Proxy é responsável por agregar o tráfego de rede dos serviços do agente do Azure Connected Machine e quaisquer extensões e decidir para onde encaminhar esses dados. Se você estiver usando o gateway do Azure Arc (visualização limitada) para simplificar seus pontos de extremidade de rede, o serviço Azure Arc Proxy é o componente local que encaminha solicitações de rede por meio do gateway do Azure Arc em vez da rota padrão. O Azure Arc Proxy é executado como um Serviço de Rede no Windows e uma conta de usuário padrão (arcproxy) no Linux. Antes do agente do Azure Connected Machine versão 1.51, esse serviço era desabilitado por padrão e deve permanecer desabilitado, a menos que você configure o agente para usar o gateway do Azure Arc (visualização limitada). Com a versão 1.51 e posterior, o serviço Arc Proxy é iniciado por padrão, pois agora pode determinar se a máquina está configurada para usar um Arc Gateway ou para se comunicar diretamente com os pontos de extremidade Arc e se comportar adequadamente. Se você não estiver usando um Arc Gateway, ainda poderá optar por desativar o serviço Arc Proxy com o seguinte comando azcmagent config set connection.type direct.

Recursos do agente

Esta seção descreve os diretórios e contas de usuário usados pelo agente do Azure Connected Machine.

Detalhes de instalação do agente do Windows

O agente do Windows é distribuído como um pacote do Windows Installer (MSI). Transfira o agente do Windows a partir do Centro de Download da Microsoft. A instalação do agente Connected Machine for Window aplica as seguintes alterações de configuração em todo o sistema:

  • O processo de instalação cria as seguintes pastas durante a instalação.

    Directory Description
    %ProgramFiles%\AzureConnectedMachineAgent CLI azcmagent e executáveis do serviço de metadados de instância.
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC Executáveis do serviço de extensão.
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC Executáveis de serviço de configuração de máquina (política).
    %ProgramData%\AzureConnectedMachineAgent Arquivos de token de configuração, log e identidade para a CLI azcmagent e o serviço de metadados da instância.
    %ProgramData%\GuestConfig Downloads de pacotes de extensão, downloads de definições de configuração de máquina (política) e logs para os serviços de extensão e configuração de máquina.
    %SYSTEMDRIVE%\packages Executáveis do pacote de extensão

  • A instalação do agente cria os seguintes serviços do Windows na máquina de destino.

    Nome do serviço Nome de exibição Nome do processo Description
    himds Serviço de Metadados de Instância Híbrida do Azure himds.exe Sincroniza metadados com o Azure e aloja uma API REST local para que as extensões e as aplicações acedam aos metadados e peçam tokens de identidade gerida do Microsoft Entra
    GCArcService Serviço Arc de configuração da máquina gc_arc_service.exe (gc_service.exe anterior à versão 1.36) Audita e impõe políticas de configuração de máquina do Azure na máquina.
    ExtensionService Serviço de extensão de configuração da máquina gc_extension_service.exe (gc_service.exe anterior à versão 1.36) Instala, atualiza e gere extensões na máquina.

  • A instalação do agente cria a seguinte conta de serviço virtual.

    Conta Virtual Description
    SERVIÇO NT\himds Conta sem privilégios usada para executar o Hybrid Instance Metadata Service-

    Tip

    Esta conta requer o direito "Iniciar sessão como serviço". Este direito é concedido automaticamente durante a instalação do agente. No entanto, se sua organização configurar atribuições de direitos de usuário com a Diretiva de Grupo, talvez seja necessário ajustar o Objeto de Diretiva de Grupo para conceder o direito a "NT SERVICE\himds" ou "NT SERVICE\ALL SERVICES" para permitir que o agente funcione.

  • A instalação do agente cria o seguinte grupo de segurança local.

    Nome do grupo de segurança Description
    Aplicações de extensão de agente híbrido Os membros deste grupo de segurança podem pedir tokens do Microsoft Entra para a identidade gerida atribuída pelo sistema

  • A instalação do agente cria as seguintes variáveis ambientais:

    Name Valor predefinido
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.

    Log Description
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log Regista detalhes do heartbeat e do componente do agente de identidade.
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log Contém a saída dos comandos da ferramenta azcmagent.
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log Registra detalhes sobre o componente do agente de configuração da máquina (política).
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log Regista detalhes da atividade do gestor de extensões (eventos de instalação, desinstalação e atualização de extensões).
    %ProgramData%\GuestConfig\extension_logs Diretório que contém registos de extensões individuais.

  • Após a desinstalação do agente, os seguintes artefatos permanecem.

    • %ProgramData%\AzureConnectedMachineAgent\Log
    • %ProgramData%\AzureConnectedMachineAgent
    • %ProgramData%\GuestConfig
    • %SystemDrive%\packages

Note

Antes da instalação, exclua temporariamente a localização dos ficheiros de instalação da verificação antivírus/antimalware. Isso evita possíveis interferências e corrupção de arquivos durante a instalação.

Detalhes da instalação do agente Linux

O formato de pacote preferencial para a distribuição (.rpm ou .deb) hospedada no repositório de pacotes da Microsoft fornece o agente Connected Machine para Linux. O pacote de shell script Install_linux_azcmagent.sh instala e configura o agente.

Não é necessário instalar, atualizar e remover o agente de Máquina Conectada após a reinicialização do servidor.

A instalação do agente Connected Machine para Linux aplica as seguintes alterações de configuração em todo o sistema.

  • O programa de instalação cria as seguintes pastas de instalação.

    Directory Description
    /opt/azcmagent/ CLI azcmagent e executáveis do serviço de metadados de instância.
    /opt/GC_Ext/ Executáveis do serviço de extensão.
    /opt/GC_Service/ Executáveis de serviço de configuração de máquina (política).
    /var/opt/azcmagent/ Arquivos de token de configuração, log e identidade para a CLI azcmagent e o serviço de metadados da instância.
    /var/lib/GuestConfig/ Downloads de pacotes de extensão, downloads de definições de configuração de máquina (política) e logs para os serviços de extensão e configuração de máquina.

  • A instalação do agente cria os seguintes daemons.

    Nome do serviço Nome de exibição Nome do processo Description
    himdsd.service Serviço Azure Connected Machine Agent himds Este serviço implementa o serviço de Metadados de Instância Híbrida (IMDS) para gerenciar a conexão com o Azure e a identidade do Azure da máquina conectada.
    gcad.service Serviço GC Arc gc_linux_service Audita e impõe políticas de configuração de máquina do Azure na máquina.
    extd.service Serviço de Extensão gc_linux_service Instala, atualiza e gere extensões na máquina.

  • Há vários arquivos de log disponíveis para solução de problemas, descritos na tabela a seguir.

    Log Description
    /var/opt/azcmagent/log/himds.log Regista detalhes do heartbeat e do componente do agente de identidade.
    /var/opt/azcmagent/log/azcmagent.log Contém a saída dos comandos da ferramenta azcmagent.
    /var/lib/GuestConfig/arc_policy_logs Registra detalhes sobre o componente do agente de configuração da máquina (política).
    /var/lib/GuestConfig/ext_mgr_logs Regista detalhes da atividade do gestor de extensões (eventos de instalação, desinstalação e atualização de extensões).
    /var/lib/GuestConfig/extension_logs Diretório que contém registos de extensões individuais.

  • A instalação do agente cria as seguintes variáveis de ambiente, definidas em /lib/systemd/system.conf.d/azcmagent.conf.

    Name Valor predefinido
    IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINT http://localhost:40342

  • Depois que o agente é desinstalado, os seguintes artefatos permanecem.

    • /var/opt/azcmagent
    • /var/lib/GuestConfig

Governança de recursos do agente

O agente do Azure Connected Machine foi projetado para gerenciar o consumo de recursos do agente e do sistema. O agente aborda a governança de recursos nas seguintes condições:

  • O serviço Configuração da Máquina (anteriormente Configuração de Convidado) pode usar até 5% da CPU para avaliar políticas.

  • O serviço de extensão pode usar até 5% da CPU em máquinas Windows e 30% da CPU em máquinas Linux para instalar, atualizar, executar e excluir extensões. Algumas extensões podem aplicar limites de CPU mais restritivos depois de instaladas. Aplicam-se as seguintes exceções:

    Tipo de extensão Sistema operativo Limite de CPU
    AzureMonitorLinuxAgent Linux 60%
    AzureMonitorWindowsAgent Windows 100%
    LinuxOsUpdateExtension Linux 60%
    MDE.Linux Linux 60%
    MicrosoftDnsAgent Windows 100%
    MicrosoftMonitoringAgent Windows 60%
    OmsAgentForLinux Linux 60%

Durante as operações normais, definidas como o agente do Azure Connected Machine sendo conectado ao Azure e não modificando ativamente uma extensão ou avaliando uma política, você pode esperar que o agente consuma os seguintes recursos do sistema:

Windows Linux
Uso da CPU (normalizado para 1 núcleo) 0.07% 0.02%
Utilização da memória 57 MB 42 MB

Os dados de desempenho acima foram coletados em abril de 2023 em máquinas virtuais que executam o Windows Server 2022 e o Ubuntu 20.04. O desempenho real do agente e o consumo de recursos variam com base na configuração de hardware e software dos servidores.

Limites de recursos personalizados

Os limites de governança de recursos padrão são a melhor opção para a maioria dos servidores. No entanto, pequenas máquinas virtuais e servidores com recursos de CPU limitados podem enfrentar timeouts ao gerir extensões ou analisar políticas, devido à falta de recursos de CPU suficientes para concluir as tarefas. A partir da versão 1.39 do agente, você pode personalizar os limites de CPU aplicados ao gerenciador de extensões e aos serviços de Configuração da Máquina para ajudar o agente a concluir essas tarefas mais rapidamente.

Para ver os limites de recursos atuais para o gerenciador de extensões e os serviços de Configuração da Máquina, execute o seguinte comando.

azcmagent config list

Na saída, você verá dois campos guestconfiguration.agent.cpulimit e extensions.agent.cpulimit com o limite de recursos atual especificado como uma porcentagem. Em uma nova instalação do agente, ambos serão exibidos 5 porque o limite padrão é de 5% da CPU.

Para alterar o limite de recursos para o gerenciador de extensões para 80%, execute o seguinte comando:

azcmagent config set extensions.agent.cpulimit 80

Metadados da instância

As informações de metadados sobre uma máquina conectada são coletadas depois que o agente da Máquina Conectada se registra nos servidores habilitados para Azure Arc. Specifically:

  • Nome, edição, tipo e versão do sistema operacional
  • Nome do computador
  • Fabricante e modelo do computador
  • FQDN (nome de domínio totalmente qualificado) do computador
  • Nome de domínio (se associado a um domínio do Ative Directory)
  • FQDN (nome de domínio totalmente qualificado) do Ative Directory e DNS
  • UUID (ID BIOS)
  • Pulsação do agente da Máquina Conectada
  • Versão do agente da Máquina Conectada
  • Chave pública para identidade gerenciada
  • Status e detalhes de conformidade da política (se estiver usando políticas de configuração da máquina)
  • SQL Server instalado (valor booleano)
  • PostgreSQL instalado (valor booleano)
  • MySQL instalado (valor booleano)
  • ID do recurso de cluster (para máquinas locais do Azure)
  • Fabricante de hardware
  • Modelo de hardware
  • Família de CPU, soquete, núcleo físico e contagens de núcleos lógicos
  • Memória física total (para sistemas Linux, isso contém o valor MemTotal de /proc/meminfo, que é a RAM total utilizável em vez da memória física total)
  • Número de série
  • Tag de ativo SMBIOS
  • Informações sobre a interface de rede
    • endereço IP
    • Subnet
  • Informações de licenciamento do Windows
    • Estado da licença do SO
    • Canal de licença do SO
    • Elegibilidade para Atualizações de Segurança Estendidas
    • Status da licença das Atualizações de Segurança Estendidas
    • Canal de licença de Atualizações de Segurança Estendidas
  • Provedor de nuvem
  • Metadados da Amazon Web Services (AWS), quando executados na AWS:
    • ID da conta
    • ID da instância
    • Region
  • Metadados do Google Cloud Platform (GCP), quando executados no GCP:
    • ID da instância
    • Imagem
    • Tipo de máquina
    • ID do projeto
    • Número do projeto
    • Contas de serviço
    • Zone
  • Metadados do Oracle Cloud Infrastructure, quando executados em OCI:
    • Nome de exibição

O agente solicita as seguintes informações de metadados do Azure:

  • Localização do recurso (região)
  • ID da máquina virtual
  • Tags
  • Certificado de identidade gerenciado Microsoft Entra
  • Atribuições de política de configuração de máquina
  • Solicitações de extensão - instalar, atualizar e excluir.

Note

Os servidores habilitados para Arco do Azure não coletam informações de identificação pessoal (PII) ou informações de identificação do usuário final nem armazenam dados do cliente.

Os metadados do cliente não são armazenados ou processados fora da região em que o cliente implanta a instância de serviço.

Opções e requisitos de implantação

A implantação do agente e a conexão da máquina exigem certos pré-requisitos. Há também requisitos de rede a ter em conta.

Fornecemos várias opções para implantar o agente. Para obter mais informações, consulte Planejar a implantação e as opções de implantação.

Diretrizes de clonagem

Você pode instalar com segurança o pacote azcmagent em uma imagem dourada, mas depois de conectar uma máquina usando o azcmagent connect comando, essa máquina recebe informações específicas do recurso. Se você estiver criando máquinas clonando-as a partir de uma imagem dourada, deverá primeiro especializar cada máquina antes de conectá-la ao Azure com o azcmagent connect comando. Não conecte a máquina de imagem dourada original ao Azure até criar e especializar cada máquina.

Se o servidor conectado estiver recebendo 429 mensagens de erro, é provável que você conectou o servidor ao Azure e, em seguida, usou esse servidor como a imagem dourada para clonagem. Como as informações do recurso foram gravadas na imagem, máquinas clonadas criadas a partir dessa imagem tentam enviar mensagens de pulsação para o mesmo recurso.

Para resolver 429 mensagens de erro para máquinas existentes, execute azcmagent disconnect --force-local-only em cada máquina clonada e, em seguida, execute azcmagent connect novamente usando uma credencial apropriada para conectar as máquinas à nuvem usando um nome de recurso exclusivo.

Recuperação de desastres

Não há opções de recuperação de desastres habilitadas pelo cliente para servidores habilitados para Arc. No caso de uma interrupção em uma região do Azure, o sistema fará failover para outra região na mesma geografia do Azure (se existir). Embora esse procedimento de failover seja automático, leva algum tempo. O agente Máquina Conectada é desconectado durante este período e mostra um status de Desconectado até que a comutação por falha seja concluída. O sistema voltará à sua região original assim que a interrupção for resolvida.

Uma interrupção do Azure Arc não afetará a carga de trabalho do cliente em si; apenas a gestão dos servidores aplicáveis via Arc será prejudicada.

Próximos passos

  • Last updated on