Azure Arc-Agent

Wenn Sie die Gastverwaltung auf VMware-VMs aktivieren, wird der Azure Connected Machine-Agent auf den virtuellen Computern installiert. Dieser Agent ist derselbe Agent, den Arc-fähige Server verwenden. Mithilfe des Azure Connected Machine-Agents können Sie Ihre Windows- und Linux-Computer verwalten, die außerhalb von Azure in Ihrem Unternehmensnetzwerk oder anderen Cloudanbietern gehostet werden. Dieser Artikel enthält eine Architekturübersicht über den Azure Connected Machine-Agent.

Agent-Komponenten

Um Architekturdiagramme in hoher Auflösung herunterzuladen, besuchen Sie Jumpstart Gems.

Das Azure Connected Machine-Agent-Paket enthält mehrere logische Komponenten, die gebündelt werden:

• Hybrid Instance Metadata Service (HIMDS) verwaltet die Verbindung mit Azure und die Azure-Identität des verbundenen Computers.

• Der Gastkonfigurations-Agent stellt Funktionen wie die Überprüfung, ob der Computer den erforderlichen Richtlinien entspricht, sowie das Erzwingen der Compliance bereit.

  Beachten Sie das folgende Verhalten bei der Azure Policy-Gastkonfiguration für einen getrennten Computer:

  • Eine Azure Policy-Zuweisung, deren Ziel getrennte Computer sind, ist nicht betroffen.
  • Die Gastzuweisung wird 14 Tage lang lokal gespeichert. Wenn der Connected Machine-Agent innerhalb dieser 14 Tage erneut eine Verbindung mit dem Dienst herstellt, werden die Richtlinienzuweisungen neu angewendet.
  • Zuweisungen werden nach 14 Tagen gelöscht und werden nach diesen 14 Tagen nicht erneut dem Gerät zugewiesen.

• Der Erweiterungs-Agent verwaltet VM-Erweiterungen, einschließlich Installation, Deinstallation und Upgrade. Azure lädt Erweiterungen herunter und kopiert sie unter Windows in den Ordner %SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloads und unter Linux in den Ordner /opt/GC_Ext/downloads. Unter Windows wird die Erweiterung unter dem Pfad %SystemDrive%\Packages\Plugins\<extension> installiert, unter Linux unter /var/lib/waagent/<extension>.

Agent-Ressourcen

Die folgenden Informationen beschreiben die Verzeichnisse und Benutzerkonten, die der Azure Connected Machine-Agent verwendet.

Details zur Installation von Windows-Agenten

Der Windows-Agent ist als Windows Installer-Paket (MSI) verfügbar. Laden Sie den Windows-Agent aus dem Microsoft Download Center herunter. Nach der Installation des Connected Machine-Agents für Windows werden die folgenden systemweiten Konfigurationsänderungen angewendet:

• Während der Installation werden die folgenden Ordner erstellt.

  Verzeichnis	Beschreibung
  %ProgramFiles%\AzureConnectedMachineAgent	azcmagent CLI und ausführbare Dateien des Instanzmetadatendiensts.
  %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\GC	Ausführbare Dateien des Erweiterungsdiensts
  %ProgramFiles%\AzureConnectedMachineAgent\GCArcService\GC	Ausführbare Dateien des Gastkonfigurationsdiensts (Richtlinien).
  %ProgramData%\AzureConnectedMachineAgent	Konfigurations-, Protokoll- und Identitätstokendateien für die azcmagent CLI und den Instanzmetadatendienst.
  %ProgramData%\GuestConfig	Erweiterungspaketdownloads, Downloads von Gastkonfigurationsdefinitionen (Richtlinien) und Protokolle für die Erweiterungs- und Gastkonfigurationsdienste.
  %SYSTEMDRIVE%\packages	Ausführbare Dateien im Erweiterungspaket.

• Der Installationsprozess erstellt die folgenden Windows-Dienste auf dem Zielcomputer.

  Dienstname	Anzeigename	Prozessname	Beschreibung
  himds	Azure Hybrid-Instanz-Metadatendienst	himds	Synchronisiert Metadaten mit Azure und hostet eine lokale REST-API für Erweiterungen und Anwendungen, um auf die Metadaten zuzugreifen und Token für verwaltete Identitäten in Microsoft Entra anzufordern
  GCArcService	Gastkonfiguration des Arc-Diensts	gc_service	Überwacht und erzwingt Azure-Gastkonfigurationsrichtlinien auf dem Computer.
  ExtensionService	Gastkonfiguration des Erweiterungsdiensts	gc_service	Installiert, aktualisiert und verwaltet Erweiterungen auf dem Computer.

• Der Installationsprozess erstellt das folgende virtuelle Dienstkonto.

  Virtuelles Konto	Beschreibung
  NT-DIENST\himds	Nicht privilegiertes Konto, das zum Ausführen des Hybrid Instance Metadata Service verwendet wird.

  Tipp

  Für dieses Konto ist die Berechtigung Als Dienst anmelden erforderlich. Der Installationsprozess gewährt dieses Recht automatisch, aber wenn Ihre Organisation Benutzerrechtezuweisungen mithilfe von Gruppenrichtlinien konfiguriert, müssen Sie ihr Gruppenrichtlinienobjekt möglicherweise anpassen, um dem NT SERVICE\himds oder NT SERVICE\ALL SERVICES das Recht zu gewähren, damit der Agent funktioniert.

• Der Installationsprozess erstellt die folgende lokale Sicherheitsgruppe.

  Sicherheitsgruppenname	Beschreibung
  Anwendungen der Hybrid Agent-Erweiterung	Mitglieder dieser Sicherheitsgruppe können Microsoft Entra-Token für die systemseitig zugewiesene verwaltete Identität anfordern

• Der Installationsprozess erstellt die folgenden Umgebungsvariablen.

  Name	Standardwert	Beschreibung
  IDENTITY_ENDPOINT	http://localhost:40342/metadata/identity/oauth2/token
  IMDS_ENDPOINT	http://localhost:40342

• Es stehen mehrere Protokolldateien zur Problembehandlung zur Verfügung, wie in der folgenden Tabelle beschrieben.

  Log	Beschreibung
  %ProgramData%\AzureConnectedMachineAgent\Log\himds.log	Erfasst Details der Heartbeat- und Identity-Agent-Komponente.
  %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log	Enthält die Ausgabe der Befehle des azcmagent-Tools.
  %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log	Zeichnet Details zur Gastkonfigurations-Agent-Komponente (Richtlinien) auf.
  %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log	Zeichnet Details zu Erweiterungs-Manager-Aktivitäten (Ereignisse für Erweiterungsinstallation, -deinstallation und -upgrade) auf.
  %ProgramData%\GuestConfig\extension_logs	Verzeichnis mit Protokollen für einzelne Erweiterungen.

• Der Prozess erstellt die Hybrid-Agent-Erweiterungsanwendungen der lokalen Sicherheitsgruppe.

• Nach der Deinstallation des Agents bleiben die folgenden Artefakte bestehen:

  • %ProgramData%\AzureConnectedMachineAgent\Log
  • %ProgramData%\AzureConnectedMachineAgent
  • %ProgramData%\GuestConfig
  • %SystemDrive%\packages

Linux-Agent-Installationsdetails

Der Agent für verbundene Computer für Linux ist im bevorzugten Paketformat (.rpm oder .deb) für Ihre Verteilung im Microsoft-Paket-Repository verfügbar. Das Shell-Skriptbundle Install_linux_azcmagent.sh den Agent installiert und konfiguriert.

Sie müssen den Agent des verbundenen Computers nach einem Serverneustart nicht installieren, aktualisieren oder entfernen.

Wenn Sie den Verbundenen Computer-Agent für Linux installieren, werden die folgenden systemweiten Konfigurationsänderungen vorgenommen:

• Setup erstellt die folgenden Installationsordner.

  Verzeichnis	Beschreibung
  /opt/azcmagent/	azcmagent CLI und ausführbare Dateien des Instanzmetadatendiensts.
  /opt/GC_Ext/	Ausführbare Dateien des Erweiterungsdiensts
  /opt/GC_Service/	Ausführbare Dateien des Gastkonfigurationsdiensts (Richtlinien).
  /var/opt/azcmagent/	Konfigurations-, Protokoll- und Identitätstokendateien für die azcmagent CLI und den Instanzmetadatendienst.
  /var/lib/GuestConfig/	Erweiterungspaketdownloads, Downloads von Gastkonfigurationsdefinitionen (Richtlinien) und Protokolle für die Erweiterungs- und Gastkonfigurationsdienste.

• Die Installation des Agents erzeugt die folgenden Daemons.

  Dienstname	Anzeigename	Prozessname	Beschreibung
  himdsd.service	Azure Connected Machine-Agent-Dienst	himds	Dieser Dienst implementiert den Hybrid Instance Metadata Service (HIMDS) für die Verwaltung der Verbindung mit Azure und der Azure-Identität des verbundenen Computers.
  gcad.service	Gastkonfiguration des Arc-Diensts	gc_linux_service	Überwacht und erzwingt Azure-Gastkonfigurationsrichtlinien auf dem Computer.
  extd.service	Erweiterungsdienst	gc_linux_service	Installiert, aktualisiert und verwaltet Erweiterungen auf dem Computer.

• Es stehen mehrere Protokolldateien zur Problembehandlung zur Verfügung, wie in der folgenden Tabelle beschrieben.

  Log	Beschreibung
  /var/opt/azcmagent/log/himds.log	Erfasst Details der Heartbeat- und Identity-Agent-Komponente.
  /var/opt/azcmagent/log/azcmagent.log	Enthält die Ausgabe der Befehle des azcmagent-Tools.
  /var/lib/GuestConfig/arc_policy_logs	Zeichnet Details zur Gastkonfigurations-Agent-Komponente (Richtlinien) auf.
  /var/lib/GuestConfig/ext_mgr_logs	Zeichnet Details zu Erweiterungs-Manager-Aktivitäten (Ereignisse für Erweiterungsinstallation, -deinstallation und -upgrade) auf.
  /var/lib/GuestConfig/extension_logs	Verzeichnis mit Protokollen für einzelne Erweiterungen.

• Die Installation des Agents erzeugt die folgenden Umgebungsvariablen, die in /lib/systemd/system.conf.d/azcmagent.conf gesetzt werden.

  Name	Standardwert	Beschreibung
  IDENTITY_ENDPOINT	http://localhost:40342/metadata/identity/oauth2/token
  IMDS_ENDPOINT	http://localhost:40342

• Nach der Deinstallation des Agents bleiben die folgenden Artefakte bestehen:

  • /var/opt/azcmagent
  • /var/lib/GuestConfig

Agenten-Ressourcen-Governance

Der Azure Connected Machine-Agent verwaltet den Agent- und Systemressourcenverbrauch. Der Agent hält sich an bestimmte Regeln für die Ressourcenverwaltung.

• Der Gastkonfigurations-Agent verwendet bis zu 5% der CPU, um Richtlinien auszuwerten.

• Der Erweiterungsdienst-Agent verwendet bis zu 5% der CPU, um Erweiterungen zu installieren, zu aktualisieren, auszuführen und zu löschen. Einige Erweiterungen wenden nach der Installation restriktivere CPU-Grenzwerte an. Beachten Sie folgende Ausnahmen:

  Erweiterungstyp	Betriebssystem	CPU-Grenzwert
  AzureMonitorLinuxAgent	Linux	60 %
  AzureMonitorWindowsAgent	Fenster	100 %
  AzureSecurityLinuxAgent	Linux	30 %
  LinuxOsUpdateExtension	Linux	60 %
  MDE. Linux	Linux	60 %
  MicrosoftDnsAgent	Fenster	100 %
  MicrosoftMonitoringAgent	Fenster	60 %
  OmsAgentForLinux	Fenster	60 %

Bei normalen Vorgängen, die als Azure Connected Machine-Agent definiert sind, der mit Azure verbunden ist und keine Erweiterung aktiv ändert oder eine Richtlinie auswertet, nutzt der Agent die folgenden Systemressourcen:

Die Leistungsdaten wurden im April 2023 auf virtuellen Computern unter Windows Server 2022 und Ubuntu 20.04 gesammelt. Die tatsächliche Leistung des Agenten und der Ressourcenverbrauch hängen von der Hardware- und Softwarekonfiguration Ihrer Server ab.

Instanzmetadaten

Der Agent für verbundene Computer sammelt Metadaten über einen verbundenen Computer, nachdem er sich bei Azure Arc-fähigen Servern registriert hat. Der Agent sammelt die folgenden Metadaten:

• Betriebssystemname, -typ und -version
• Computer-Name
• Computerhersteller und -modell
• Vollqualifizierter Domänenname (FQDN) des Computers
• Domänenname (bei Beitritt zu einer Active Directory-Domäne)
• Vollqualifizierter Domänenname (FQDN) für Active Directory und DNS
• UUID (BIOS-ID)
• Connected Machine-Agent-Takt
• Version des Connected Machine-Agents
• Öffentlicher Schlüssel für verwaltete Identität
• Richtlinienkonformitätsstatus und Details (bei Verwendung von Richtlinien für Gastkonfigurationen)
• SQL Server installiert (boolescher Wert)
• Clusterressourcen-ID (für lokale Azure-Knoten)
• Hardwarehersteller
• Hardwaremodell
• CPU-Familie, Socket, Anzahl der physischen und logischen Kerne
• Gesamter physischer Speicher
• Seriennummer
• SMBIOS-Inventarkennzeichen
• Cloudanbieter
• Amazon Web Services (AWS)-Metadaten bei Ausführung in AWS:
  • Kontokennung
  • Instanz-ID
  • Region
• Google Cloud Platform (GCP)-Metadaten bei Ausführung in GCP:
  • Instanz-ID
  • Abbildung
  • Computertyp
  • Projektkennung
  • Projektnummer
  • Dienstkonten
  • Zone

Der Agent fordert die folgenden Metadateninformationen von Azure an:

• Ressourcenstandort (Region)
• Virtual machine ID (ID des virtuellen Computers)
• Stichwörter
• Von Microsoft Entra verwaltetes Identitätszertifikat
• Richtlinienzuweisungen für Gastkonfigurationen
• Erweiterungsanforderungen: installieren, aktualisieren und löschen

Nächste Schritte

• Verbinden Sie VMware vCenter Server mit Azure Arc.
• Installieren Sie Arc-Agent im großen Maßstab für Ihre VMware-VMs.