Sdílet prostřednictvím

azcmagent connect

  • Článek

Připojí server k Azure Arc vytvořením reprezentace metadat serveru v Azure a přidružením agenta připojeného počítače Azure k němu. Příkaz vyžaduje informace o tenantovi, předplatném a skupině prostředků, kde chcete reprezentovat server v Azure a platné přihlašovací údaje s oprávněními k vytvoření prostředků serveru s podporou Služby Azure Arc v daném umístění.

Využití

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Příklady

Připojte server pomocí výchozí metody přihlášení (interaktivní prohlížeč nebo kód zařízení).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Připojte server pomocí instančního objektu.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Připojte server pomocí privátního koncového bodu a metody přihlášení kódu zařízení.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Možnosti ověřování

Existují čtyři způsoby, jak poskytnout přihlašovací údaje pro ověřování agenta připojeného počítače Azure. Zvolte jednu možnost ověřování a nahraďte [authentication] část syntaxe použití doporučenými příznaky.

Přihlášení k interaktivnímu prohlížeči (jenom Windows)

Tato možnost je výchozí v operačních systémech Windows s desktopovým prostředím. Přihlašovací stránka se otevře ve výchozím webovém prohlížeči. Tato možnost se může vyžadovat, pokud vaše organizace nakonfigurovala zásady podmíněného přístupu, které vyžadují přihlášení z důvěryhodných počítačů.

K použití interaktivního přihlášení prohlížeče se nevyžaduje žádný příznak.

Přihlášení kódu zařízení

Tato možnost vygeneruje kód, který můžete použít k přihlášení ve webovém prohlížeči na jiném zařízení. Toto je výchozí možnost v edicích jádra Windows Serveru a ve všech distribucích Linuxu. Po spuštění příkazu connect máte 5 minut na otevření zadané adresy URL pro přihlášení v zařízení připojeném k internetu a dokončení přihlašovacího procesu.

K ověření pomocí kódu zařízení použijte --use-device-code příznak. Pokud účet, se kterým se přihlašujete, a předplatné, ve kterém server registrujete, nejsou ve stejném tenantovi, musíte také zadat ID tenanta předplatného --tenant-id [tenant].

Instanční objekt s tajným kódem

Instanční objekty umožňují ověřovat neinteraktivně a často se používají pro nasazení ve velkém měřítku, kde se stejný skript spouští na více serverech. Společnost Microsoft doporučuje poskytovat informace o instančním objektu prostřednictvím konfiguračního souboru (viz --config), aby se zabránilo zveřejnění tajného kódu v jakýchkoli protokolech konzoly. Instanční objekt by měl být také vyhrazený pro onboarding Arc a měl co nejvíce oprávnění, aby se omezil dopad odcizených přihlašovacích údajů.

Pokud se chcete ověřit pomocí instančního objektu pomocí tajného kódu, zadejte ID aplikace instančního objektu, tajný klíč a ID tenanta: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Instanční objekt s certifikátem

Ověřování pomocí certifikátů je bezpečnější způsob ověřování pomocí instančních objektů. Agent přijímá oba pcKS #12 (. SOUBORY PFX) a soubory kódované ASCII (například . PEM) obsahující privátní i veřejné klíče. Certifikát musí být k dispozici na místním disku a uživatel, který azcmagent spouští příkaz, potřebuje k souboru přístup pro čtení. Soubory PFX chráněné heslem nejsou podporovány.

Pokud chcete provést ověření pomocí instančního objektu pomocí certifikátu, zadejte ID aplikace instančního objektu, ID tenanta a cestu k souboru certifikátu: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Další informace najdete v tématu Vytvoření instančního objektu pro RBAC s ověřováním na základě certifikátů.

Token přístupu

Přístupové tokeny se dají použít také pro neinteraktivní ověřování, ale jsou krátkodobé a obvykle používané automatizačními řešeními, která za krátkou dobu nasadí několik serverů. Přístupový token můžete získat pomocí rutiny Get-AzAccessToken nebo jakéhokoli jiného klienta Microsoft Entra.

Pokud se chcete ověřit pomocí přístupového tokenu --access-token [token] , použijte příznak. Pokud účet, se kterým se přihlašujete, a předplatné, ve kterém server registrujete, nejsou ve stejném tenantovi, musíte také zadat ID tenanta předplatného --tenant-id [tenant].

Příznaky

--access-token

Určuje přístupový token Microsoft Entra použitý k vytvoření prostředku serveru s podporou Azure Arc v Azure. Další informace najdete v tématu Možnosti ověřování.

--automanage-profile

ID prostředku profilu osvědčených postupů služby Azure Automanage, který se po připojení k Azure použije na server.

Ukázková hodnota: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Určuje cloudovou instanci Azure. Musí se použít s příznakem --location . Pokud už je počítač připojený ke službě Azure Arc, výchozí hodnotou je cloud, ke kterému je agent již připojený. V opačném případě je výchozí hodnota AzureCloud.

Podporované hodnoty:

  • AzureCloud (veřejné oblasti)
  • AzureUSGovernment (oblasti Azure US Government)
  • AzureChinaCloud (Microsoft Azure provozovaný oblastmi 21Vianet)

--correlation-id

Identifikuje mechanismus použitý k připojení serveru ke službě Azure Arc. Například skripty vygenerované na webu Azure Portal obsahují identifikátor GUID, který microsoftu pomáhá sledovat využití tohoto prostředí. Tento příznak je volitelný a používá se jenom pro účely telemetrie, aby se zlepšilo vaše prostředí.

--ignore-network-check

Dá agentovi pokyn, aby pokračoval v onboardingu i v případě, že kontrola požadovaných koncových bodů selže. Tuto možnost byste měli použít jenom v případě, že máte jistotu, že výsledky kontroly sítě nejsou správné. Ve většině případů neúspěšná kontrola sítě značí, že agent Azure Connected Machine nebude na serveru správně fungovat.

-l, --location

Oblast Azure pro kontrolu připojení. Pokud už je počítač připojený ke službě Azure Arc, jako výchozí je vybraná aktuální oblast.

Ukázková hodnota: westeurope

--private-link-scope

Určuje ID prostředku oboru privátního propojení Azure Arc, který se má přidružit k serveru. Tento příznak se vyžaduje, pokud k připojení serveru k Azure používáte privátní koncové body.

-g, --resource-group

Název skupiny prostředků Azure, ve které chcete vytvořit prostředek serveru s podporou Azure Arc.

Ukázková hodnota: HybridServers

-n, --resource-name

Název prostředku serveru s podporou Azure Arc Ve výchozím nastavení je název prostředku následující:

  • ID instance AWS, pokud je server v AWS
  • Název hostitele pro všechny ostatní počítače

Výchozí název můžete přepsat vlastním názvem, abyste se vyhnuli konfliktům názvů. Po výběru se název prostředku Azure nedá změnit bez odpojení a opětovného připojení agenta.

Pokud chcete vynutit, aby servery AWS místo ID instance používaly název hostitele, předejte $(hostname) prostředí, aby vyhodnotil aktuální název hostitele a předal ho jako nový název prostředku.

Ukázková hodnota: FileServer01

-i, --service-principal-id

Určuje ID aplikace instančního objektu použitého k vytvoření prostředku serveru s podporou Azure Arc v Azure. Musí se používat s --tenant-id příznaky a buď --service-principal-secret s znaménou, nebo --service-principal-cert s příznakem. Další informace najdete v tématu Možnosti ověřování.

--service-principal-cert

Určuje cestu k souboru certifikátu instančního objektu. Musí se používat s příznakem --service-principal-id a --tenant-id příznakem. Certifikát musí obsahovat privátní klíč a může být v PKCS č. 12 (. PFX) nebo text kódovaný ASCII (. PEM. FORMÁT CRT. Soubory PFX chráněné heslem nejsou podporovány. Další informace najdete v tématu Možnosti ověřování.

-p, --service-principal-secret

Určuje tajný klíč instančního objektu. Musí se používat s příznakem --service-principal-id a --tenant-id příznakem. Aby se zabránilo zveřejnění tajného kódu v protokolech konzoly, společnost Microsoft doporučuje poskytnout tajný kód instančního objektu v konfiguračním souboru. Další informace najdete v tématu Možnosti ověřování.

-s, --subscription-id

Název nebo ID předplatného, ve kterém chcete vytvořit prostředek serveru s podporou Služby Azure Arc.

Ukázkové hodnoty: Production, aaaa-bbbb-cccc-ddddd-eeeeeee

--tags

Seznam značek oddělených čárkami, které se mají použít u prostředku serveru s podporou Služby Azure Arc Každá značka by měla být zadána ve formátu: TagName=TagValue. Pokud název značky nebo hodnota obsahuje mezeru, použijte kolem názvu nebo hodnoty jednoduché uvozovky.

Ukázková hodnota: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'

-t, --tenant-id

ID tenanta pro předplatné, ve kterém chcete vytvořit prostředek serveru s podporou Azure Arc. Tento příznak se vyžaduje při ověřování pomocí instančního objektu. U všech ostatních metod ověřování se pro prostředek používá také domovský tenant účtu, který se používá k ověření v Azure. Pokud se tenanti účtu a předplatného liší (účty hostů, Lighthouse), musíte zadat ID tenanta, aby bylo jasné, kde se předplatné nachází.

--use-device-code

Vygenerujte přihlašovací kód zařízení Microsoft Entra, který lze zadat ve webovém prohlížeči na jiném počítači pro ověření agenta v Azure. Další informace najdete v tématu Možnosti ověřování.

--user-tenant-id

ID tenanta pro účet použitý k připojení serveru k Azure. Toto pole se vyžaduje, pokud tenant účtu onboardingu není stejný jako požadovaný tenant pro prostředek serveru s podporou Azure Arc.

Běžné příznaky dostupné pro všechny příkazy

--config

Přebírá cestu k souboru JSON nebo YAML obsahujícímu vstupy příkazu. Konfigurační soubor by měl obsahovat řadu dvojic klíč-hodnota, kde klíč odpovídá dostupné možnosti příkazového řádku. Například pro předání příznaku --verbose by konfigurační soubor vypadal takto:

{
    "verbose": true
}

Pokud se v vyvolání příkazu i v konfiguračním souboru najde možnost příkazového řádku, bude mít přednost hodnota zadaná na příkazovém řádku.

-h, --help

Získejte nápovědu pro aktuální příkaz, včetně jeho syntaxe a možností příkazového řádku.

-j, --json

Vypište výsledek příkazu ve formátu JSON.

--log-stderr

Přesměrujte chybové a podrobné zprávy do standardního datového proudu chyby (stderr). Ve výchozím nastavení se veškerý výstup odesílá do standardního výstupního datového proudu (stdout).

--no-color

Zakažte barevný výstup pro terminály, které nepodporují barvy ANSI.

-v, --verbose

Umožňuje zobrazit podrobnější informace o protokolování při provádění příkazu. Užitečné při řešení potíží při spuštění příkazu.