19
2024
02
02:11:22

Azure Connected Machine 代理概述

https://learn.microsoft.com/zh-cn/azure/azure-arc/servers/agent-overview

借助 Azure Connected Machine 代理,可以管理企业网络或其他云提供商中托管在 Azure 外部的 Windows 和 Linux 计算机。

代理组件

Azure Connected Machine agent architectural overview.

Azure Connected Machine 代理包包含捆绑在一起的多个逻辑组件:

  • Hybrid Instance Metadata Service (HIMDS) 管理 Azure 的连接和已连接的计算机的 Azure 标识。

  • 来宾配置代理提供评估计算机是否符合所需的策略和强制实施符合性等的功能。

    对于已断开连接的计算机,请注意 Azure Policy guest configuration 的以下行为:

    • 以断开连接的计算机为目标的 Azure Policy 分配不受影响。

    • 来宾分配在本地存储 14 天。 在 14 天的期限内,如果 Connected Machine 代理重新连接到服务,则重新应用策略分配。

    • 分配的策略将在 14 天后删除,并且在 14 天期限后不会重新分配到计算机。

  • Extension 代理管理 VM 扩展,包括安装、卸载和升级。 Azure 下载扩展并将它们复制到 Windows 上的 %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads 文件夹和 Linux 上的 /opt/GC_Ext/downloads。 在 Windows 上,扩展安装到以下路径:%SystemDrive%\Packages\Plugins\<extension>;在 Linux 上,扩展安装到 /var/lib/waagent/<extension>

 备注

Azure Monitor 代理 (AMA) 是一个独立的代理,用于收集监视数据,不会替代 Connected Machine Agent;AMA 仅取代 Windows 和 Linux 计算机的 Log Analytics 代理、诊断扩展和 Telegraf 代理。

代理资源

以下信息介绍了 Azure Connected Machine 代理使用的目录和用户帐户。

windows-agent-installation-details" aria-label="节标题:Windows 代理安装详细信息" style="box-sizing: inherit; outline-color: inherit; cursor: pointer; overflow-wrap: normal; text-decoration-line: none; background-color: rgba(0, 0, 0, 0); outline-style: initial; outline-width: 0px; font-family: docons; font-size: 1rem; speak: none; font-variant-numeric: normal; font-variant-east-asian: normal; font-variant-alternates: normal; font-variant-position: normal; text-align: center; direction: ltr; -webkit-font-smoothing: antialiased; line-height: 16px; display: inline-block; width: 1px; transition: opacity 0.1s linear 0s; position: absolute; inset-inline-start: -1.875rem; transform: translateY(-50%) scale(1); inset-block-start: 1.1375rem; clip: rect(1px, 1px, 1px, 1px); clip-path: inset(50%); opacity: 0; border: 0px; height: 1px; margin: -1px; padding: 0px; overflow: hidden;">

Windows 代理安装详细信息

Windows 代理作为 Windows Installer 包 (MSI) 分发。 从 Microsoft 下载中心下载 Windows 代理。 安装适用于 Windows 的 Connected Machine 代理会应用以下系统范围的配置更改:

  • 安装过程会在安装时创建以下文件夹。

    Directory说明
    %ProgramFiles%\AzureConnectedMachineAgentazcmagent CLI 和实例元数据服务可执行文件。
    %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC扩展服务可执行文件。
    %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC来宾配置(策略)服务可执行文件。
    %ProgramData%\AzureConnectedMachineAgentazcmagent CLI 和实例元数据服务的配置、日志和标识令牌文件。
    %ProgramData%\GuestConfig扩展包下载、来宾配置(策略)定义下载,以及扩展和来宾配置服务的日志。
    %SYSTEMDRIVE%\packages扩展包可执行文件
  • 安装此代理会在目标计算机上创建以下 Windows 服务。

    Service name显示名称进程名称说明
    himdsAzure 混合实例元数据服务himds.exe将元数据与 Azure 同步,并托管本地 REST API,以便扩展和应用程序访问元数据并请求 Microsoft Entra 托管标识令牌
    GCArcService来宾配置 Arc 服务gc_arc_service.exe(1.36 版本之前的 gc_service.exe)审核并强制实施计算机上的 Azure 来宾配置策略。
    ExtensionService来宾配置扩展服务gc_extension_service.exe(1.36 版本之前的 gc_service.exe)在计算机上安装、更新和管理扩展。
  • 进行代理安装会创建以下虚拟服务帐户。

    虚拟帐户说明
    NT SERVICE\himds无特权帐户,用于运行 Hybrid Instance Metadata Service。

     提示

    此帐户需要“作为服务登录”的权限。 代理安装期间会自动授予此权限,但如果组织使用组策略配置用户权限分配,则可能需要调整组策略对象以授予“NT SERVICE\himds”或“NT SERVICE\ALL SERVICES”的权限,以便代理正常运行。

  • 进行代理安装会创建以下本地安全组。

    安全组名称说明
    混合代理扩展应用程序此安全组的成员可以为系统分配的托管标识请求 Microsoft Entra 令牌
  • 进行代理安装会创建以下环境变量

    名称默认值说明
    IDENTITY_ENDPOINThttp://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINThttp://localhost:40342
  • 有几个日志文件可用于故障排除,如下表所述。

    日志说明
    %ProgramData%\AzureConnectedMachineAgent\Log\himds.log记录检测信号和标识代理组件的详细信息。
    %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log包含 azcmagent 工具命令的输出。
    %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log记录来宾配置(策略)代理组件的详细信息。
    %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log记录有关扩展管理器活动的详细信息(扩展安装、卸载和升级事件)。
    %ProgramData%\GuestConfig\extension_logs包含单个扩展日志的目录。
  • 此过程创建本地安全组“混合代理扩展应用程序”。

  • 卸载代理后,以下项目将保留。

    • %ProgramData%\AzureConnectedMachineAgent\Log

    • %ProgramData%\AzureConnectedMachineAgent

    • %ProgramData%\GuestConfig

    • %SystemDrive%\packages

Linux 代理安装详细信息

Microsoft 包存储库中托管的分发包的首选包格式(.rpm 或 .deb)提供了适用于 Linux 的 Connected Machine 代理。 shell 脚本捆绑包 Install_linux_azcmagent.sh 可安装和配置该代理。

服务器重启后,不需要安装、升级和删除 Connected Machine 代理。

安装适用于 Linux 的 Connected Machine 代理会应用以下系统范围的配置更改。

  • 安装程序会创建以下安装文件夹。

    Directory说明
    /opt/azcmagent/azcmagent CLI 和实例元数据服务可执行文件。
    /opt/GC_Ext/扩展服务可执行文件。
    /opt/GC_Service/来宾配置(策略)服务可执行文件。
    /var/opt/azcmagent/azcmagent CLI 和实例元数据服务的配置、日志和标识令牌文件。
    /var/lib/GuestConfig/扩展包下载、来宾配置(策略)定义下载,以及扩展和来宾配置服务的日志。
  • 安装此代理会创建以下守护程序。

    Service name显示名称进程名称说明
    himdsd.serviceAzure Connected Machine Agent Servicehimds此服务实现混合实例元数据服务 (IMDS) 来管理 Azure 的连接和已连接计算机的 Azure 标识。
    gcad.serviceGC Arc Servicegc_linux_service审核并强制实施计算机上的 Azure 来宾配置策略。
    extd.serviceExtension Servicegc_linux_service在计算机上安装、更新和管理扩展。
  • 有几个日志文件可用于故障排除,如下表所述。

    日志说明
    /var/opt/azcmagent/log/himds.log记录检测信号和标识代理组件的详细信息。
    /var/opt/azcmagent/log/azcmagent.log包含 azcmagent 工具命令的输出。
    /var/lib/GuestConfig/arc_policy_logs记录来宾配置(策略)代理组件的详细信息。
    /var/lib/GuestConfig/ext_mgr_logs记录有关扩展管理器活动的详细信息(扩展安装、卸载和升级事件)。
    /var/lib/GuestConfig/extension_logs包含单个扩展日志的目录。
  • 进行代理安装会创建在 /lib/systemd/system.conf.d/azcmagent.conf 中设置的下述环境变量。

    名称默认值说明
    IDENTITY_ENDPOINThttp://localhost:40342/metadata/identity/oauth2/token
    IMDS_ENDPOINThttp://localhost:40342
  • 卸载代理后,以下项目将保留。

    • /var/opt/azcmagent

    • /var/lib/GuestConfig

代理资源治理

Azure Connected Machine Agent 旨在管理代理和系统资源消耗。 在下列情况下,该代理会采取资源监管:

  • 来宾配置代理最多可使用 5% 的 CPU 来评估策略。

  • 扩展服务代理最多可使用 Windows 计算机上的 5% CPU 和 Linux 计算机上的 30% CPU 来安装、升级、运行和删除扩展。 安装后,某些扩展可能会应用更严格的 CPU 限制。 存在以下例外:

    扩展类型操作系统CPU 限制
    AzureMonitorLinuxAgentLinux60%
    AzureMonitorWindowsAgentWindows100%
    LinuxOsUpdateExtensionLinux60%
    MDE.LinuxLinux60%
    MicrosoftDnsAgentWindows100%
    MicrosoftMonitoringAgentWindows60%
    OmsAgentForLinuxLinux60%

在正常操作(定义为连接到 Azure 且未主动修改扩展或评估策略的 Azure Connected Machine 代理)期间,可以预期代理会消耗以下系统资源:


WindowsLinux
CPU 使用情况(规范化为 1 核)0.07%0.02%
内存使用率57 MB42 MB

上述性能数据于 2023 年 4 月在运行 Windows Server 2022 和 Ubuntu 20.04 的虚拟机上收集。 实际的代理性能和资源消耗量因服务器的硬件和软件配置而异。

实例元数据

在 Connected Machine Agent 向已启用 Azure Arc 的服务器注册后,将收集有关已连接计算机的元数据信息。 具体而言:

  • 操作系统名称、类型和版本

  • 计算机名称

  • 计算机制造商和型号

  • 计算机完全限定域名 (FQDN)

  • 域名(如果已联接到 Active Directory 域)

  • Active Directory 和 DNS 完全限定的域名 (FQDN)

  • UUID (BIOS ID)

  • Connected Machine 代理程序检测信号

  • Connected Machine 代理版本

  • 托管标识的公钥

  • 策略符合性状态和详细信息(如果使用来宾配置策略)

  • 已安装 SQL Server(布尔值)

  • 适用于 Azure Stack HCI 节点的群集资源 ID

  • 硬件制造商

  • 硬件型号

  • CPU 系列、套接字、物理核心和逻辑核心计数

  • 总物理内存

  • 序列号

  • SMBIOS 资产标记

  • 云提供商

  • Amazon Web Services (AWS) 元数据(在 AWS 中运行时):

    • 帐户 ID

    • 实例 ID

    • 区域

  • Google Cloud Platform (GCP) 元数据(在 GCP 中运行时):

    • 实例 ID

    • 映像

    • 计算机类型

    • 项目 ID

    • 项目编号

    • 服务帐户

    • 区域

  • Oracle Cloud Infrastructure 元数据(在 OCI 中运行时):

    • 显示名称

代理从 Azure 请求以下元数据信息:

  • 资源位置(区域)

  • 虚拟机 ID

  • 标记

  • Microsoft Entra 托管标识证书

  • Guest Configuration 策略分配

  • 扩展请求 - 安装、更新和删除。

 备注

已启用 Azure arc 的服务器不会在客户部署服务实例的区域之外存储/处理客户数据。

部署选项和要求

需要满足特定的先决条件才能进行代理部署和计算机连接。 还有一些需要注意的网络要求

我们提供了用于部署代理的几个选项。 有关详细信息,请参阅部署计划部署选项

后续步骤




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/5155.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: