Connected Machine Agent 先决条件

注意

本文引用了 CentOS,这是一个处于生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指南

本文介绍安装 Connected Machine Agent 以将物理服务器或虚拟机载入到已启用 Azure Arc 的服务器的基本要求。 某些加入方法需要满足其他要求。

支持的环境

已启用 Azure Arc 的服务器支持在 Azure 外部托管的物理服务器和虚拟机上安装 Connected Machine Agent。 这包括对在平台上运行的虚拟机的支持,如:

  • VMware(包括 Azure VMware 解决方案)
  • Azure Stack HCI
  • 其他云环境

不应在 Azure、Azure Stack Hub 或 Azure Stack Edge 中托管的虚拟机上安装 Azure Arc,因为它们已有类似的功能。 不过,可以使用一个 Azure VM 来模拟本地环境,但目的仅仅是进行测试。

在具有以下特征的系统上使用 Azure Arc 时请格外小心:

  • 克隆的系统
  • 从备份作为另一个服务器实例还原的系统
  • 用于创建“黄金映像”,以从中创建其他虚拟机的系统

如果两个代理使用相同的配置,当两个代理都尝试充当一个 Azure 资源时,你将遇到不一致的行为。 对于这种情况,最佳做法是在克隆、从备份还原或从黄金映像创建服务器后,使用自动化工具或脚本将该服务器加入 Azure Arc。

注意

有关在 VMware 环境中使用已启用 Azure Arc 的服务器的其他信息,请参阅 VMware 常见问题解答。

支持的操作系统

Azure Arc 支持以下 Windows 和 Linux 操作系统。 仅支持 x86-64(64 位)体系结构。 Azure Connected Machine 代理无法在 x86(32 位)或基于 ARM 的体系结构上运行。

  • AlmaLinux 9
  • Amazon Linux 2 和 2023
  • Azure Linux (CBL-Mariner) 2.0
  • Azure Stack HCI
  • Debian 11 和 12
  • Oracle Linux 7、8 和 9
  • Red Hat Enterprise Linux (RHEL) 7、8 和 9
  • Rocky Linux 8 和 9
  • SUSE Linux Enterprise Server (SLES) 12 SP3-SP5 和 15
  • Ubuntu 18.04、20.04 和 22.04 LTS
  • Windows 10、11(请参阅客户端操作系统指南
  • Windows IoT 企业版
  • Windows Server 2012、2012 R2、2016 和 2019 和 2022
    • 支持桌面和服务器核心体验
    • Azure Stack HCI 支持 Azure Edition

Azure Connected Machine 代理未在由信息安全中心 (CIS) 基准强化的操作系统上进行测试。

注意

Azure Connected Machine Agent 版本 1.44 是正式支持 Debian 10、Ubuntu 16.04 和 Azure Linux (CBL-Mariner) 1.0 的最后一个版本。

有限支持操作系统

以下操作系统版本提供有限支持。 在每种情况下,较新的代理版本将不支持这些操作系统。 支持操作系统的最后一个代理版本已列出,并且不会向该系统提供较新的代理版本。 在 Arc 支持结束日期之前,支持列出的版本。 如果确定了影响这些代理版本的严重安全问题,则可以将修补程序反向移植到上一个支持的版本,但新功能或其他 bug 修复则不会。

操作系统 上一个支持的代理版本 Arc 支持结束日期 备注
Windows Server 2008 R2 SP1 1.39 下载 2025/03/31 Windows Server 2008 和 2008 R2 已于 2020 年 1 月终止支持。 请参阅Windows Server 2008 和 Windows Server 2008 R2 终止支持
CentOS 7 和 8 1.42 2025/05/31 请参阅 CentOS 生命周期结束指南
Debian 10 1.44 07/15/2025
Ubuntu 16.04 1.44 07/15/2025
Azure Linux (CBL-Mariner) 1.0 1.44 07/15/2025

连接新的有限支持服务器

要将运行有限支持操作系统的新服务器连接到 Azure Arc,需要对载入脚本进行一些调整。

对于 Windows,请使用 -AltDownload 参数修改安装脚本以指定所需的版本。

不再使用

    # Install the hybrid agent
    & "$env:TEMP\install_windows_azcmagent.ps1";

使用

    # Install the hybrid agent
    & "$env:TEMP\install_windows_azcmagent.ps1" -AltDownload https://aka.ms/AzureConnectedMachineAgent-1.39;

对于 Linux,相关的包存储库将仅包含适用的版本,因此无需考虑任何特殊注意事项。

客户端操作系统指南

只有在类似于服务器的环境中使用这些计算机时,Windows 10 和 11 客户端操作系统才支持 Azure Arc 服务和 Azure Connected Machine Agent。 也就是说,计算机应该始终:

  • 连接到 Internet
  • 连接到电源
  • 已开机

例如,负责处理数字标牌、销售点解决方案和一般性后端办公系统管理任务的运行 Windows 11 的计算机非常适合使用 Azure Arc。可能长时间脱机的最终用户生产力计算机(例如笔记本电脑)不应使用 Azure Arc,而应考虑使用 Microsoft IntuneMicrosoft Configuration Manager

短期服务器和虚拟桌面基础结构

Azure 不建议在短期(临时)服务器或虚拟桌面基础结构 (VDI) VM 上运行 Azure Arc。 Azure Arc 专为服务器的长期管理而设计,并未针对定期创建和删除服务器的方案进行优化。 例如,Azure Arc 不知道代理是否因执行计划的系统维护而脱机,或者 VM 是否已被删除,因此它不会自动清理已停止发送检测信号的服务器资源。 因此,如果你重新创建同名的 VM,并且存在同名的现有 Azure Arc 资源,则可能会遇到冲突。

Azure Stack HCI 上的 Azure 虚拟桌面不使用短期 VM,但支持在桌面 VM 中运行 Azure Arc。

软件要求

Windows 操作系统:

Linux 操作系统:

  • systemd
  • wget(用于下载安装脚本)
  • openssl
  • gnupg(仅限基于 Debian 的系统)

Windows 系统的本地用户登录权限

Azure Hybrid Instance Metadata Service 在低特权虚拟帐户 NT SERVICE\himds 下运行。 该帐户需要 Windows 中的“作为服务登录”权限才能运行。 大多数情况下,你无需执行任何操作,因为此权限已默认授予虚拟帐户。 但是,如果你的组织使用组策略自定义此设置,则需将 NT SERVICE\himds 添加到可作为服务登录的帐户列表中。

可以通过从“开始”菜单打开本地组策略编辑器 (gpedit.msc) 并导航到以下策略项来检查计算机上的当前策略:

计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配 > 作为服务登录

检查列表中是否有 NT SERVICE\ALL SERVICESNT SERVICE\himdsS-1-5-80-4215458991-2034252225-2287069555-1155419622-2701885083(NT SERVICE\himds 的静态安全标识符)。 如果列表中没有任何内容,你需要与组策略管理员合作,将 NT SERVICE\himds 添加到在服务器上配置用户权限分配的任何策略中。 组策略管理员需要在装有 Azure Connected Machine 代理的计算机上进行更改,使对象选取器能够正确解析标识。 无需配置代理或将代理连接到 Azure 即可进行此更改。

本地组策略编辑器的屏幕捕获,其中显示了哪些用户有权以服务身份登录。

所需的权限

需要使用以下 Azure 内置角色来对连接的计算机进行不同方面的管理:

  • 若要加入计算机,必须对你要在其中管理服务器的资源组具有 Azure Connected Machine 加入参与者角色。
  • 若要读取、修改和删除计算机,你必须在资源组中具有 Azure Connected Machine 资源管理员角色。
  • 若要在使用“生成脚本”方法时从下拉列表中选择某个资源组,你还需要对该资源组具有读取者角色(或拥有“读取者”访问权限的另一个角色)。
  • 将专用链接范围与 Arc Server 关联时,必须对专用链接范围资源具有 Microsoft.HybridCompute/privateLinkScopes/read 权限。

Azure 订阅和服务限制

可以在任何一个资源组、订阅或租户中注册的已启用 Azure Arc 的服务器数量没有限制。

每个已启用 Azure Arc 的服务器都与一个 Microsoft Entra 对象相关联,并计入目录配额。 有关可以在 Microsoft Entra 目录中使用的最大对象数量的信息,请参阅 Microsoft Entra 服务限制和局限性

Azure 资源提供程序

若要使用已启用 Azure Arc 的服务器,必须在订阅中注册以下 Azure 资源提供程序

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureArcData(如果你计划使用启用了 Arc 的 SQL Server)
  • Microsoft.Compute(用于 Azure 更新管理器和自动扩展升级)

可以使用以下命令注册资源提供程序:

Azure PowerShell:

Connect-AzAccount -Environment AzureChinaCloud
Set-AzContext -SubscriptionId [subscription you want to onboard]
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridCompute
Register-AzResourceProvider -ProviderNamespace Microsoft.GuestConfiguration
Register-AzResourceProvider -ProviderNamespace Microsoft.HybridConnectivity
Register-AzResourceProvider -ProviderNamespace Microsoft.AzureArcData

Azure CLI:

az account set --subscription "{Your Subscription Name}"
az provider register --namespace 'Microsoft.HybridCompute'
az provider register --namespace 'Microsoft.GuestConfiguration'
az provider register --namespace 'Microsoft.HybridConnectivity'
az provider register --namespace 'Microsoft.AzureArcData'

还可以在 Azure 门户中注册资源提供程序。

后续步骤