https://learn.microsoft.com/zh-cn/azure/azure-arc/servers/agent-overview
借助 Azure Connected Machine 代理,可以管理企业网络或其他云提供商中托管在 Azure 外部的 Windows 和 Linux 计算机。
代理组件
Azure Connected Machine 代理包包含捆绑在一起的多个逻辑组件:
Hybrid Instance Metadata Service (HIMDS) 管理 Azure 的连接和已连接的计算机的 Azure 标识。
来宾配置代理提供评估计算机是否符合所需的策略和强制实施符合性等的功能。
对于已断开连接的计算机,请注意 Azure Policy guest configuration 的以下行为:
以断开连接的计算机为目标的 Azure Policy 分配不受影响。
来宾分配在本地存储 14 天。 在 14 天的期限内,如果 Connected Machine 代理重新连接到服务,则重新应用策略分配。
分配的策略将在 14 天后删除,并且在 14 天期限后不会重新分配到计算机。
Extension 代理管理 VM 扩展,包括安装、卸载和升级。 Azure 下载扩展并将它们复制到 Windows 上的
%SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads
文件夹和 Linux 上的/opt/GC_Ext/downloads
。 在 Windows 上,扩展安装到以下路径:%SystemDrive%\Packages\Plugins\<extension>
;在 Linux 上,扩展安装到/var/lib/waagent/<extension>
。
备注
Azure Monitor 代理 (AMA) 是一个独立的代理,用于收集监视数据,不会替代 Connected Machine Agent;AMA 仅取代 Windows 和 Linux 计算机的 Log Analytics 代理、诊断扩展和 Telegraf 代理。
代理资源
以下信息介绍了 Azure Connected Machine 代理使用的目录和用户帐户。
Windows 代理安装详细信息
Windows 代理作为 Windows Installer 包 (MSI) 分发。 从 Microsoft 下载中心下载 Windows 代理。 安装适用于 Windows 的 Connected Machine 代理会应用以下系统范围的配置更改:
安装过程会在安装时创建以下文件夹。
Directory 说明 %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI 和实例元数据服务可执行文件。 %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC 扩展服务可执行文件。 %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC 来宾配置(策略)服务可执行文件。 %ProgramData%\AzureConnectedMachineAgent azcmagent CLI 和实例元数据服务的配置、日志和标识令牌文件。 %ProgramData%\GuestConfig 扩展包下载、来宾配置(策略)定义下载,以及扩展和来宾配置服务的日志。 %SYSTEMDRIVE%\packages 扩展包可执行文件 安装此代理会在目标计算机上创建以下 Windows 服务。
Service name 显示名称 进程名称 说明 himds Azure 混合实例元数据服务 himds.exe
将元数据与 Azure 同步,并托管本地 REST API,以便扩展和应用程序访问元数据并请求 Microsoft Entra 托管标识令牌 GCArcService 来宾配置 Arc 服务 gc_arc_service.exe
(1.36 版本之前的 gc_service.exe)审核并强制实施计算机上的 Azure 来宾配置策略。 ExtensionService 来宾配置扩展服务 gc_extension_service.exe
(1.36 版本之前的 gc_service.exe)在计算机上安装、更新和管理扩展。 进行代理安装会创建以下虚拟服务帐户。
虚拟帐户 说明 NT SERVICE\himds 无特权帐户,用于运行 Hybrid Instance Metadata Service。 提示
此帐户需要“作为服务登录”的权限。 代理安装期间会自动授予此权限,但如果组织使用组策略配置用户权限分配,则可能需要调整组策略对象以授予“NT SERVICE\himds”或“NT SERVICE\ALL SERVICES”的权限,以便代理正常运行。
进行代理安装会创建以下本地安全组。
安全组名称 说明 混合代理扩展应用程序 此安全组的成员可以为系统分配的托管标识请求 Microsoft Entra 令牌 进行代理安装会创建以下环境变量
名称 默认值 说明 IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
IMDS_ENDPOINT http://localhost:40342
有几个日志文件可用于故障排除,如下表所述。
日志 说明 %ProgramData%\AzureConnectedMachineAgent\Log\himds.log 记录检测信号和标识代理组件的详细信息。 %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log 包含 azcmagent 工具命令的输出。 %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log 记录来宾配置(策略)代理组件的详细信息。 %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log 记录有关扩展管理器活动的详细信息(扩展安装、卸载和升级事件)。 %ProgramData%\GuestConfig\extension_logs 包含单个扩展日志的目录。 此过程创建本地安全组“混合代理扩展应用程序”。
卸载代理后,以下项目将保留。
%ProgramData%\AzureConnectedMachineAgent\Log
%ProgramData%\AzureConnectedMachineAgent
%ProgramData%\GuestConfig
%SystemDrive%\packages
Linux 代理安装详细信息
Microsoft 包存储库中托管的分发包的首选包格式(.rpm
或 .deb
)提供了适用于 Linux 的 Connected Machine 代理。 shell 脚本捆绑包 Install_linux_azcmagent.sh 可安装和配置该代理。
服务器重启后,不需要安装、升级和删除 Connected Machine 代理。
安装适用于 Linux 的 Connected Machine 代理会应用以下系统范围的配置更改。
安装程序会创建以下安装文件夹。
Directory 说明 /opt/azcmagent/ azcmagent CLI 和实例元数据服务可执行文件。 /opt/GC_Ext/ 扩展服务可执行文件。 /opt/GC_Service/ 来宾配置(策略)服务可执行文件。 /var/opt/azcmagent/ azcmagent CLI 和实例元数据服务的配置、日志和标识令牌文件。 /var/lib/GuestConfig/ 扩展包下载、来宾配置(策略)定义下载,以及扩展和来宾配置服务的日志。 安装此代理会创建以下守护程序。
Service name 显示名称 进程名称 说明 himdsd.service Azure Connected Machine Agent Service himds 此服务实现混合实例元数据服务 (IMDS) 来管理 Azure 的连接和已连接计算机的 Azure 标识。 gcad.service GC Arc Service gc_linux_service 审核并强制实施计算机上的 Azure 来宾配置策略。 extd.service Extension Service gc_linux_service 在计算机上安装、更新和管理扩展。 有几个日志文件可用于故障排除,如下表所述。
日志 说明 /var/opt/azcmagent/log/himds.log 记录检测信号和标识代理组件的详细信息。 /var/opt/azcmagent/log/azcmagent.log 包含 azcmagent 工具命令的输出。 /var/lib/GuestConfig/arc_policy_logs 记录来宾配置(策略)代理组件的详细信息。 /var/lib/GuestConfig/ext_mgr_logs 记录有关扩展管理器活动的详细信息(扩展安装、卸载和升级事件)。 /var/lib/GuestConfig/extension_logs 包含单个扩展日志的目录。 进行代理安装会创建在
/lib/systemd/system.conf.d/azcmagent.conf
中设置的下述环境变量。名称 默认值 说明 IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/token
IMDS_ENDPOINT http://localhost:40342
卸载代理后,以下项目将保留。
/var/opt/azcmagent
/var/lib/GuestConfig
代理资源治理
Azure Connected Machine Agent 旨在管理代理和系统资源消耗。 在下列情况下,该代理会采取资源监管:
来宾配置代理最多可使用 5% 的 CPU 来评估策略。
扩展服务代理最多可使用 Windows 计算机上的 5% CPU 和 Linux 计算机上的 30% CPU 来安装、升级、运行和删除扩展。 安装后,某些扩展可能会应用更严格的 CPU 限制。 存在以下例外:
扩展类型 操作系统 CPU 限制 AzureMonitorLinuxAgent Linux 60% AzureMonitorWindowsAgent Windows 100% LinuxOsUpdateExtension Linux 60% MDE.Linux Linux 60% MicrosoftDnsAgent Windows 100% MicrosoftMonitoringAgent Windows 60% OmsAgentForLinux Linux 60%
在正常操作(定义为连接到 Azure 且未主动修改扩展或评估策略的 Azure Connected Machine 代理)期间,可以预期代理会消耗以下系统资源:
Windows | Linux | |
---|---|---|
CPU 使用情况(规范化为 1 核) | 0.07% | 0.02% |
内存使用率 | 57 MB | 42 MB |
上述性能数据于 2023 年 4 月在运行 Windows Server 2022 和 Ubuntu 20.04 的虚拟机上收集。 实际的代理性能和资源消耗量因服务器的硬件和软件配置而异。
实例元数据
在 Connected Machine Agent 向已启用 Azure Arc 的服务器注册后,将收集有关已连接计算机的元数据信息。 具体而言:
操作系统名称、类型和版本
计算机名称
计算机制造商和型号
计算机完全限定域名 (FQDN)
域名(如果已联接到 Active Directory 域)
Active Directory 和 DNS 完全限定的域名 (FQDN)
UUID (BIOS ID)
Connected Machine 代理程序检测信号
Connected Machine 代理版本
托管标识的公钥
策略符合性状态和详细信息(如果使用来宾配置策略)
已安装 SQL Server(布尔值)
适用于 Azure Stack HCI 节点的群集资源 ID
硬件制造商
硬件型号
CPU 系列、套接字、物理核心和逻辑核心计数
总物理内存
序列号
SMBIOS 资产标记
云提供商
Amazon Web Services (AWS) 元数据(在 AWS 中运行时):
帐户 ID
实例 ID
区域
Google Cloud Platform (GCP) 元数据(在 GCP 中运行时):
实例 ID
映像
计算机类型
项目 ID
项目编号
服务帐户
区域
Oracle Cloud Infrastructure 元数据(在 OCI 中运行时):
显示名称
代理从 Azure 请求以下元数据信息:
资源位置(区域)
虚拟机 ID
标记
Microsoft Entra 托管标识证书
Guest Configuration 策略分配
扩展请求 - 安装、更新和删除。
备注
已启用 Azure arc 的服务器不会在客户部署服务实例的区域之外存储/处理客户数据。
部署选项和要求
需要满足特定的先决条件才能进行代理部署和计算机连接。 还有一些需要注意的网络要求。
我们提供了用于部署代理的几个选项。 有关详细信息,请参阅部署计划和部署选项。
后续步骤
若要开始评估已启用 Azure Arc 的服务器,请参阅快速入门:连接混合计算机与已启用 Azure Arc 的服务器。
在部署 Azure Connected Machine 代理并与其他 Azure 管理和监视服务集成之前,请查看规划和部署指南。
查看代理连接问题排查指南中的故障排除信息。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/5155.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~