Azure Connected Machine エージェントの概要
Azure Connected Machine エージェントを使用すると、Azure の外部 (企業ネットワークや他のクラウド プロバイダー) でホストされている Windows や Linux のマシンを管理することができます。
警告
製品グループで正式にサポートされるのは、過去 1 年間の Connected Machine エージェント バージョンのみです。 お客様は、このウィンドウ内のエージェント バージョンに更新する必要があります。
エージェント コンポーネント
Azure Connected Machine エージェント パッケージには、まとめてバンドルされている論理コンポーネントがいくつか含まれています。
Hybrid Instance Metadata Service (HIMDS) は、Azure への接続と接続されたマシンの Azure ID を管理します。
ゲスト構成エージェントでは、マシンが必要なポリシーに準拠しているかどうかの評価やコンプライアンスの適用といった機能が提供されます。
切断されたマシンに対する Azure Policy のゲスト構成での次の動作に注意してください。
- 切断されたマシンを対象とする Azure Policy 割り当ては影響を受けません。
- ゲスト割り当ては 14 日間ローカルに格納されます。 14 日の期間内に Connected Machine エージェントがサービスに再接続した場合は、ポリシー割り当てが再適用されます。
- 割り当ては 14 日後に削除され、14 日の期間の後にマシンに再割り当てされることはありません。
拡張エージェントは VM 拡張機能 (インストール、アンインストール、アップグレードなど) を管理します。 Azure によって拡張機能がダウンロードされ、Windows では
%SystemDrive%\%ProgramFiles%\AzureConnectedMachineAgent\ExtensionService\downloadsフォルダー、Linux では/opt/GC_Ext/downloadsにコピーされます。 Windows では、拡張機能はパス%SystemDrive%\Packages\Plugins\<extension>にインストールされます。Linux では、拡張機能は/var/lib/waagent/<extension>にインストールされます。
Note
Azure Monitor エージェント (AMA) は、監視データを収集する独立したエージェントであり、Connected Machine エージェントに取って代わるものではありません。AMA は、Windows と Linux の両方のマシンで、Log Analytics エージェント、診断拡張機能、および Telegraf エージェントの機能のみを引き継ぎます。
Azure Arc プロキシ
Azure Arc プロキシ サービスは、Azure Connected Machine エージェント サービスとインストールされている拡張機能からのネットワーク トラフィックを集計し、そのデータのルーティング先を決定する役割を担います。 Azure Arc ゲートウェイ (限定プレビュー)を使用してネットワーク エンドポイントを簡略化している場合、Azure Arc プロキシ サービスがローカル コンポーネントとなり、規定のルートではなく、Azure Arc ゲートウェイ経由でネットワーク リクエストを転送します。 Azure Arc プロキシは、Windows ではネットワーク サービスとして、Linux では標準ユーザー アカウント (arcproxy) として実行されます。 Azure Arc ゲートウェイ (限定プレビュー) を使用するようにエージェントを構成するまで、既定では無効になっています。
エージェントのリソース
次の情報では、Azure Connected Machine エージェントで使用されるディレクトリとユーザー アカウントについて説明します。
Windows エージェントのインストールの詳細
Windows エージェントは Windows インストーラー パッケージ (MSI) として提供されます。 Microsoft ダウンロード センターから Windows エージェントをダウンロードします。 Windows 用 Connected Machine エージェントをインストールすると、次のシステム全体の構成変更が適用されます。
インストール プロセスでは、セットアップ中に次のフォルダーが作成されます。
ディレクトリ 説明 %ProgramFiles%\AzureConnectedMachineAgent azcmagent CLI およびインスタンスメタデータ サービスの実行可能ファイル。 %ProgramFiles%\AzureConnectedMachineAgent\ExtensionService2\GC 拡張機能サービスの実行可能ファイル。 %ProgramFiles%\AzureConnectedMachineAgent\GCArcService2\GC ゲスト構成 (ポリシー) サービスの実行可能ファイル。 %ProgramData%\AzureConnectedMachineAgent azcmagent CLI およびインスタンス メタデータ サービスの構成、ログ、および ID トークンのファイル。 %ProgramData%\GuestConfig 拡張機能パッケージのダウンロード、ゲスト構成 (ポリシー) 定義のダウンロード、および拡張機能とゲスト構成サービスのログ。 %SYSTEMDRIVE%\packages 拡張機能パッケージの実行可能ファイル エージェントをインストールすると、ターゲット マシンに次の Windows サービスが作成されます。
[サービス名] [表示名] プロセス名 説明 himds Azure Hybrid Instance Metadata Service himds.exeメタデータを Azure と同期させ、拡張機能とアプリケーション用のローカル REST API をホストしてメタデータにアクセスし、Microsoft Entra マネージド ID トークンを要求します GCArcService ゲスト構成 Arc サービス gc_arc_service.exe(1.36 より前のバージョンの gc_service.exe)マシン上で Azure ゲスト構成ポリシーを監査し、適用します。 ExtensionService ゲスト構成拡張機能サービス gc_extension_service.exe(1.36 より前のバージョンの gc_service.exe)マシン上で、拡張の機能のインストール、更新、管理を行います。 エージェントのインストールにより、次の仮想サービス アカウントが作成されます。
仮想アカウント 説明 NT SERVICE\himds Hybrid Instance Metadata Service を実行するために使用される特権のないアカウント。 ヒント
このアカウントには、"サービスとしてログオン" 権限が必要です。 この権限は、エージェントのインストール中に自動的に付与されますが、組織がグループ ポリシーでユーザー権利の割り当てを構成している場合は、エージェントが機能するように、グループ ポリシー オブジェクトを調整して、"NT SERVICE\himds" または "NT SERVICE\ALL SERVICES" に権限を与える必要があるかもしれません。
エージェントのインストールにより、次のローカル セキュリティ グループが作成されます。
セキュリティ グループ名 説明 ハイブリッド エージェント拡張機能アプリケーション このセキュリティ グループのメンバーは、システム割り当てマネージド ID の Microsoft Entra トークンを要求できます エージェントのインストールにより、次の環境変数が作成されます
名前 既定値 説明 IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/tokenIMDS_ENDPOINT http://localhost:40342次の表に示すように、トラブルシューティングに使用できるログ ファイルがいくつかあります。
ログ 説明 %ProgramData%\AzureConnectedMachineAgent\Log\himds.log ハートビートと ID エージェント コンポーネントの詳細を記録します。 %ProgramData%\AzureConnectedMachineAgent\Log\azcmagent.log azcmagent ツール コマンドの出力を格納します。 %ProgramData%\GuestConfig\arc_policy_logs\gc_agent.log ゲスト構成 (ポリシー) エージェント コンポーネントに関する詳細を記録します。 %ProgramData%\GuestConfig\ext_mgr_logs\gc_ext.log 拡張機能マネージャーのアクティビティ (拡張機能のインストール、アンインストール、アップグレードの各イベント) に関する詳細を記録します。 %ProgramData%\GuestConfig\extension_logs 個々の拡張機能のログを含むディレクトリ。 プロセスで、ローカル セキュリティ グループのハイブリッド エージェント拡張アプリケーションが作成されます。
エージェントをアンインストールした後も、次の成果物が残ります。
- %ProgramData%\AzureConnectedMachineAgent\Log
- %ProgramData%\AzureConnectedMachineAgent
- %ProgramData%\GuestConfig
- %SystemDrive%\packages
Linux エージェントのインストールの詳細
Microsoft パッケージ リポジトリでホストされるディストリビューションの推奨パッケージ形式 (.rpmまたは .deb) により、Linux 用の Connected Machine エージェントが提供されます。 シェル スクリプト バンドル Install_linux_azcmagent.sh を使用して、エージェントをインストールおよび構成します。
サーバー再起動後、Connected Machine エージェントのインストール、アップグレード、および削除は必要ありません。
Linux 用 Connected Machine エージェントをインストールすると、次のシステム全体の構成変更が適用されます。
セットアップで、次のインストール フォルダーが作成されます。
ディレクトリ 説明 /opt/azcmagent/ azcmagent CLI およびインスタンスメタデータ サービスの実行可能ファイル。 /opt/GC_Ext/ 拡張機能サービスの実行可能ファイル。 /opt/GC_Service/ ゲスト構成 (ポリシー) サービスの実行可能ファイル。 /var/opt/azcmagent/ azcmagent CLI およびインスタンス メタデータ サービスの構成、ログ、および ID トークンのファイル。 /var/lib/GuestConfig/ 拡張機能パッケージのダウンロード、ゲスト構成 (ポリシー) 定義のダウンロード、および拡張機能とゲスト構成サービスのログ。 エージェントをインストールすると、次のデーモンが作成されます。
[サービス名] [表示名] プロセス名 説明 himdsd.service Azure Connected Machine Agent サービス。 himds このサービスは、Azure への接続、接続マシンの Azure ID を管理するために、Hybrid Instance Metadata Service (IMDS) を実装します。 gcad.service GC Arc サービス gc_linux_service マシン上で Azure ゲスト構成ポリシーを監査し、適用します。 extd.service 拡張機能サービス gc_linux_service マシン上で、拡張の機能のインストール、更新、管理を行います。 次の表に示すように、トラブルシューティングに使用できるログ ファイルがいくつかあります。
ログ 説明 /var/opt/azcmagent/log/himds.log ハートビートと ID エージェント コンポーネントの詳細を記録します。 /var/opt/azcmagent/log/azcmagent.log azcmagent ツール コマンドの出力を格納します。 /var/lib/GuestConfig/arc_policy_logs ゲスト構成 (ポリシー) エージェント コンポーネントに関する詳細を記録します。 /var/lib/GuestConfig/ext_mgr_logs 拡張機能マネージャーのアクティビティ (拡張機能のインストール、アンインストール、アップグレードの各イベント) に関する詳細を記録します。 /var/lib/GuestConfig/extension_logs 個々の拡張機能のログを含むディレクトリ。 エージェントのインストールにより、次の環境変数が作成され、
/lib/systemd/system.conf.d/azcmagent.confに設定されます。名前 既定値 説明 IDENTITY_ENDPOINT http://localhost:40342/metadata/identity/oauth2/tokenIMDS_ENDPOINT http://localhost:40342エージェントをアンインストールした後も、次の成果物が残ります。
- /var/opt/azcmagent
- /var/lib/GuestConfig
エージェント リソース ガバナンス
Azure Connected Machine エージェントは、エージェントとシステム リソースの使用を管理するように設計されています。 エージェントは、次の条件下でリソース ガバナンスにアプローチします。
マシン構成 (旧称ゲスト構成) サービスは、ポリシーを評価するために CPU の最大 5% を使用できます。
拡張機能サービスでは、拡張機能のインストール、アップグレード、実行、削除に、Windows マシン CPU の最大 5% と Linux マシン CPU の 30% を使用できます。 拡張機能によっては、インストール後により厳しい CPU 制限が適用される場合があります。 適用される例外を次に示します。
拡張機能の種類 オペレーティング システム CPU 制限 AzureMonitorLinuxAgent Linux 60% AzureMonitorWindowsAgent Windows 100% LinuxOsUpdateExtension Linux 60% MDE.Linux Linux 60% MicrosoftDnsAgent Windows 100% MicrosoftMonitoringAgent Windows 60% OmsAgentForLinux Linux 60%
通常の操作で、Azure に接続されている Azure Connected Machine エージェントとして定義され、拡張機能の変更やポリシーの評価をアクティブに行わない場合、エージェントが次のシステム リソースを使用することが予想されます。
| Windows | Linux | |
|---|---|---|
| CPU 使用率 (1 コアに正規化) | 0.07% | 0.02% |
| メモリ使用量 | 57 MB | 42 MB |
上記のパフォーマンス データは、Windows Server 2022 と Ubuntu 20.04 を実行している仮想マシンで 2023 年 4 月に収集されました。 実際のエージェントのパフォーマンスとリソースの消費量は、サーバーのハードウェアとソフトウェアの構成によって異なります。
カスタム リソースの制限
既定のリソース ガバナンス制限は、ほとんどのサーバーに最適な選択肢です。 ただし、仮想マシンとサーバーが小規模で、CPU リソースが限られている場合、タスクを完了するのに十分な CPU リソースがないため、拡張機能の管理やポリシーの評価時にタイムアウトが発生する可能性があります。 エージェント バージョン 1.39 以降、エージェントがこれらのタスクをより迅速に完了できるように、拡張機能マネージャーとマシン構成サービスに適用される CPU 制限をカスタマイズすることができます。
拡張機能マネージャーとマシン構成サービスの現在のリソース制限を確認するには、次のコマンドを実行します。
azcmagent config list
出力には guestconfiguration.agent.cpulimit と extensions.agent.cpulimit という 2 つのフィールドが表示され、現在のリソース制限がパーセンテージで指定されています。 エージェントの新規インストールの場合、既定の制限は CPU の 5% であるため、両方とも 5 が表示されます。
拡張機能マネージャーのリソース制限を 80% に変更するには、次のコマンドを実行します。
azcmagent config set extensions.agent.cpulimit 80
インスタンス メタデータ
接続されたマシンに関するメタデータ情報は、Connected Machine エージェントが Azure Arc 対応サーバーに登録された後に収集されます。 具体的には、次のように使用します。
- オペレーティング システムの名前、エディション、種類、バージョン
- コンピューター名
- コンピューターの製造元および型番
- コンピューターの完全修飾ドメイン名 (FQDN)
- ドメイン名 (Active Directory ドメインに参加している場合)
- Active Directory と DNS の完全修飾ドメイン名 (FQDN)
- UUID (BIOS ID)
- Connected Machine エージェントのハートビート
- Connected Machine エージェントのバージョン
- マネージド ID の公開キー
- ポリシーのコンプライアンスの状態と詳細 (ゲスト構成ポリシーを使用している場合)
- SQL Server のインストール状況 (ブール値)
- クラスター リソース ID (Azure Local マシン用)
- ハードウェアの製造元
- ハードウェア モデル
- CPU ファミリ、ソケット、物理コア、論理コアの数
- 物理メモリの合計
- シリアル番号
- SMBIOS 資産タグ
- ネットワーク インターフェイスの情報
- IP アドレス
- Subnet
- Windows のライセンス情報
- OS のライセンスの状態
- OS のライセンス チャネル
- 拡張セキュリティ更新プログラムの資格
- 拡張セキュリティ更新プログラムのライセンスの状態
- 拡張セキュリティ更新プログラムのライセンス チャネル
- クラウド プロバイダー
- AWS で実行されている場合の Amazon Web Services (AWS) メタデータ:
- 取引先企業 ID
- Instance ID
- リージョン
- GCP で実行されている場合の Google Cloud Platform (GCP) メタデータ:
- Instance ID
- Image
- マシンの種類
- Project ID
- プロジェクト番号
- サービス アカウント
- ゾーン
- OCI で実行する場合の Oracle クラウド インフラストラクチャ メタデータ:
- [表示名]
エージェントから、Azure に次のメタデータ情報が要求されます。
- リソースの場所 (リージョン)
- 仮想マシン ID
- タグ
- Microsoft Entra マネージド ID 証明書
- ゲスト構成ポリシーの割り当て
- 拡張要求 - インストール、更新、削除。
Note
顧客がサービス インスタンスをデプロイしたリージョンの外部で、Azure Arc 対応サーバーによって、顧客データの格納または処理が行われることはありません。
デプロイのオプションと要件
エージェントのデプロイとマシン接続には、特定の前提条件が必要です。 また、ネットワーク要件にも注意する必要があります。
エージェントのデプロイについては、いくつかのオプションが提供されています。 詳しくは、「デプロイの計画」と「デプロイ オプション」ご覧ください。
複製のガイドライン
azcmagent パッケージをゴールデン イメージに安全にインストールすることはできますが、azcmagent connect コマンドを使ってマシンを接続すると、そのマシンは特定のリソース情報を受け取ります。 ゴールデン イメージから複製してマシンを構築する場合は、azcmagent connect コマンドを使って Azure に接続する前にまず、マシンごとに特殊化する必要があります。 各マシンを作成して特殊化しないまま、元のゴールデン イメージ マシンを Azure に接続しないでください。
接続されているサーバーが 429 エラー メッセージを受け取る場合は、サーバーを Azure に接続した後で、そのサーバーを複製のゴールデン イメージとして使用した可能性があります。 リソース情報がイメージに記録されているため、そのイメージから作成された複製のマシンは、同じリソースにハートビート メッセージを送信しようとします。
既存のマシンに対する 429 エラー メッセージを解決するには、複製された各マシンで azcmagent disconnect --force-local-only を実行してから、適切な資格情報を使って azcmagent connect を実行し直し、一意のリソース名を使ってマシンをクラウドに接続します。
ディザスター リカバリー
Arc 対応サーバーには、お客様が有効にするディザスター リカバリーのオプションはありません。 Azure リージョンで障害が発生した場合、システムは同じ Azure の地域の別のリージョン (存在する場合) にフェールオーバーします。 このフェールオーバー手順は自動ですが、しばらく時間がかかります。 この期間中、Connected Machine エージェントは切断され、フェールオーバーが完了するまで [切断] の状態が表示されます。 障害が復元されると、システムは元のリージョンにフェールバックされます。
Azure Arc の障害は、お客様のワークロード自体には影響しません。Arc を介する該当するサーバーの管理のみが機能しなくなります。
次のステップ
- Azure Arc 対応サーバーの評価を開始するには、「クイックスタート: Azure Arc 対応サーバーにハイブリッド マシンを接続する」を参照してください。
- Azure Connected Machine エージェントをデプロイし、他の Azure の管理および監視サービスと統合する前に、計画とデプロイに関するガイドを参照してください。
- エージェント接続問題のトラブルシューティング ガイドで、トラブルシューティング情報を確認してください。