Share via

azcmagent connect

  • Artículo

Conectar el servidor a Azure Arc mediante la creación de una representación de metadatos del servidor en Azure y la asociación del agente de máquina conectada de Azure con él. El comando requiere información sobre el inquilino, la suscripción y el grupo de recursos donde desea representar el servidor en Azure y credenciales válidas con permisos para crear recursos de servidor habilitados para Azure Arc en esa ubicación.

Uso

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Ejemplos

Conectar un servidor mediante el método de inicio de sesión predeterminado (código de dispositivo o explorador interactivo).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Conectar un servidor mediante una entidad de servicio.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Conectar un servidor mediante un punto de conexión privado y un método de inicio de sesión de código de dispositivo.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Opciones de autenticación

Hay cuatro maneras de proporcionar credenciales de autenticación al agente de máquina conectada de Azure. Elija una opción de autenticación y reemplace la [authentication] sección de la sintaxis de uso por las marcas recomendadas.

Inicio de sesión interactivo del explorador (solo Windows)

Esta opción es la predeterminada en los sistemas operativos Windows con una experiencia de escritorio. Se abre la página de inicio de sesión en el explorador web predeterminado. Esta opción puede ser necesaria si la organización configuró directivas de acceso condicional que requieren que inicie sesión desde máquinas de confianza.

No se requiere ninguna marca para usar el inicio de sesión del explorador interactivo.

Inicio de sesión de código de dispositivo

Esta opción genera un código que puede usar para iniciar sesión en un navegador web en otro dispositivo. Esta es la opción predeterminada en las ediciones principales de Windows Server y en todas las distribuciones de Linux. Al ejecutar el comando connect, tiene 5 minutos para abrir la dirección URL de inicio de sesión especificada en un dispositivo conectado a Internet y completar el flujo de inicio de sesión.

Para autenticarse con un código de dispositivo, use la --use-device-code marca . Si la cuenta con la que inicia sesión y la suscripción en la que está registrando el servidor no están en el mismo inquilino, también debe proporcionar el identificador de inquilino para la suscripción con --tenant-id [tenant].

Entidad de servicio con secreto

Las entidades de servicio permiten autenticarse de forma no interactiva y a menudo se usan para implementaciones a escala en las que el mismo script se ejecuta en varios servidores. Microsoft recomienda proporcionar información de entidad de servicio a través de un archivo de configuración (consulte --config) para evitar exponer el secreto en los registros de la consola. La entidad de servicio también debe estar dedicada a la incorporación de Arc y tener el menor número de permisos posible, para limitar el impacto de una credencial robada.

Para autenticarse con una entidad de servicio mediante un secreto, proporcione el identificador de aplicación, el secreto y el identificador de inquilino de la entidad de servicio: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Entidad de servicio con certificado

La autenticación basada en certificados es una manera más segura de autenticarse mediante entidades de servicio. El agente acepta ambos PCKS #12 (. Archivos PFX) y archivos codificados en ASCII (como . PEM) que contienen las claves privadas y públicas. El certificado debe estar disponible en el disco local y el usuario que ejecuta el azcmagent comando necesita acceso de lectura al archivo. No se admiten archivos PFX protegidos con contraseña.

Para autenticarse con una entidad de servicio mediante un certificado, proporcione el identificador de aplicación, el identificador de inquilino y la ruta de acceso de la entidad de servicio al archivo de certificado: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Para obtener más información, consulte Creación de una entidad de servicio para RBAC con autenticación basada en certificados.

Access token

Los tokens de acceso también se pueden usar para la autenticación no interactiva, pero son de corta duración y suelen usarse mediante soluciones de automatización que incorporan varios servidores durante un breve período de tiempo. Puede obtener un token de acceso con Get-AzAccessToken o cualquier otro cliente de Microsoft Entra.

Para autenticarse con un token de acceso, use la --access-token [token] marca . Si la cuenta con la que inicia sesión y la suscripción en la que está registrando el servidor no están en el mismo inquilino, también debe proporcionar el identificador de inquilino para la suscripción con --tenant-id [tenant].

Flags

--access-token

Especifica el token de acceso de Microsoft Entra que se usa para crear el recurso de servidor habilitado para Azure Arc en Azure. Para obtener más información, consulte opciones de autenticación.

--automanage-profile

Identificador de recurso de un perfil de procedimientos recomendados de Azure Automanage que se aplicará al servidor una vez conectado a Azure.

Valor de ejemplo: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Especifica la instancia de nube de Azure. Debe usarse con la --location marca . Si la máquina ya está conectada a Azure Arc, el valor predeterminado es la nube a la que el agente ya está conectado. De lo contrario, el valor predeterminado es "AzureCloud".

Valores admitidos:

  • AzureCloud (regiones públicas)
  • AzureUSGovernment (regiones de Azure US Government)
  • AzureChinaCloud (Microsoft Azure operado por 21 Regiones deVianet)

--correlation-id

Identifica el mecanismo que se usa para conectar el servidor a Azure Arc. Por ejemplo, los scripts generados en Azure Portal incluyen un GUID que ayuda a Microsoft a realizar un seguimiento del uso de esa experiencia. Esta marca es opcional y solo se usa con fines de telemetría para mejorar la experiencia.

--ignore-network-check

Indica al agente que continúe la incorporación incluso si se produce un error en la comprobación de red de los puntos de conexión necesarios. Solo debe usar esta opción si está seguro de que los resultados de la comprobación de red son incorrectos. En la mayoría de los casos, una comprobación de red con errores indica que el agente de Máquina Conectar de Azure no funcionará correctamente en el servidor.

-l, --location

Región de Azure con la que se va a comprobar la conectividad. Si la máquina ya está conectada a Azure Arc, la región actual se selecciona como valor predeterminado.

Valor de ejemplo: westeurope

--private-link-scope

Especifica el identificador de recurso del ámbito de vínculo privado de Azure Arc que se va a asociar al servidor. Esta marca es necesaria si usa puntos de conexión privados para conectar el servidor a Azure.

-g, --resource-group

Nombre del grupo de recursos de Azure donde desea crear el recurso de servidor habilitado para Azure Arc.

Valor de ejemplo: HybridServers

-n, --resource-name

Nombre del recurso de servidor habilitado para Azure Arc. De forma predeterminada, el nombre del recurso es:

  • Identificador de instancia de AWS, si el servidor está en AWS
  • Nombre de host para todas las demás máquinas

Puede invalidar el nombre predeterminado con un nombre propio que elija para evitar conflictos de nomenclatura. Una vez elegido, el nombre del recurso de Azure no se puede cambiar sin desconectar ni volver a conectar el agente.

Si desea forzar que los servidores de AWS usen el nombre de host en lugar del identificador de instancia, pase $(hostname) para que el shell evalúe el nombre de host actual y páselo como el nuevo nombre de recurso.

Valor de ejemplo: FileServer01

-i, --service-principal-id

Especifica el identificador de aplicación de la entidad de servicio que se usa para crear el recurso de servidor habilitado para Azure Arc en Azure. Debe usarse con y --tenant-id las --service-principal-secret marcas o --service-principal-cert . Para obtener más información, consulte opciones de autenticación.

--service-principal-cert

Especifica la ruta de acceso a un archivo de certificado de entidad de servicio. Debe usarse con las marcas --service-principal-id y --tenant-id . El certificado debe incluir una clave privada y puede estar en un PKCS #12 (. PFX) o texto codificado en ASCII (. PEM. Formato CRT). No se admiten archivos PFX protegidos con contraseña. Para obtener más información, consulte opciones de autenticación.

-p, --service-principal-secret

Especifica el secreto de la entidad de servicio. Debe usarse con las marcas --service-principal-id y --tenant-id . Para evitar exponer el secreto en los registros de consola, Microsoft recomienda proporcionar el secreto de entidad de servicio en un archivo de configuración. Para obtener más información, consulte opciones de autenticación.

-s, --subscription-id

Nombre o identificador de suscripción en el que desea crear el recurso de servidor habilitado para Azure Arc.

Valores de ejemplo: Production, aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeee

--tags

Lista delimitada por comas de etiquetas que se aplicarán al recurso de servidor habilitado para Azure Arc. Cada etiqueta debe especificarse con el formato TagName=TagValue. Si el nombre o el valor de etiqueta contienen un espacio, use comillas simples alrededor del nombre o valor.

Valor de ejemplo: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'

-t, --tenant-id

Identificador de inquilino de la suscripción donde desea crear el recurso de servidor habilitado para Azure Arc. Esta marca es necesaria al autenticarse con una entidad de servicio. Para todos los demás métodos de autenticación, el inquilino principal de la cuenta que se usa para autenticarse con Azure también se usa para el recurso. Si los inquilinos de la cuenta y la suscripción son diferentes (cuentas de invitado, Lighthouse), debe especificar el identificador de inquilino para aclarar el inquilino donde se encuentra la suscripción.

--use-device-code

Genere un código de inicio de sesión de dispositivo de Microsoft Entra que se pueda escribir en un explorador web en otro equipo para autenticar el agente con Azure. Para obtener más información, consulte opciones de autenticación.

--user-tenant-id

Identificador de inquilino de la cuenta que se usa para conectar el servidor a Azure. Este campo es necesario cuando el inquilino de la cuenta de incorporación no es el mismo que el inquilino deseado para el recurso de servidor habilitado para Azure Arc.

Marcas comunes disponibles para todos los comandos

--config

Toma una ruta de acceso a un archivo JSON o YAML que contiene entradas al comando. El archivo de configuración debe contener una serie de pares clave-valor donde la clave coincide con una opción de línea de comandos disponible. Por ejemplo, para pasar la --verbose marca, el archivo de configuración tendría el siguiente aspecto:

{
    "verbose": true
}

Si se encuentra una opción de línea de comandos en la invocación de comandos y en un archivo de configuración, el valor especificado en la línea de comandos tendrá prioridad.

-h, --help

Obtenga ayuda para el comando actual, incluida su sintaxis y opciones de línea de comandos.

-j, --json

Genera el resultado del comando en formato JSON.

--log-stderr

Redirigir mensajes de error y detallados al flujo de error estándar (stderr). De forma predeterminada, toda la salida se envía al flujo de salida estándar (stdout).

--no-color

Deshabilite la salida de color para los terminales que no admiten colores ANSI.

-v, --verbose

Mostrar información de registro más detallada mientras se ejecuta el comando. Resulta útil para solucionar problemas al ejecutar un comando.