Partager via

azcmagent connect

  • Article

Connecter le serveur à Azure Arc en créant une représentation de métadonnées du serveur dans Azure et en associant l’agent de machine connectée Azure à celui-ci. La commande nécessite des informations sur le locataire, l’abonnement et le groupe de ressources où vous souhaitez représenter le serveur dans Azure et les informations d’identification valides avec les autorisations nécessaires pour créer des ressources de serveur avec Azure Arc dans cet emplacement.

Utilisation

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Exemples

Connecter un serveur à l’aide de la méthode de connexion par défaut (navigateur interactif ou code d’appareil).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Connecter un serveur à l’aide d’un principal de service.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Connecter un serveur à l’aide d’un point de terminaison privé et d’une méthode de connexion de code d’appareil.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Options d’authentification

Il existe quatre façons de fournir des informations d’identification d’authentification à l’agent de machine connectée Azure. Choisissez une option d’authentification et remplacez la [authentication] section dans la syntaxe d’utilisation par les indicateurs recommandés.

Connexion interactive du navigateur (Windows uniquement)

Cette option est la valeur par défaut sur les systèmes d’exploitation Windows avec une expérience de bureau. La page de connexion s’ouvre dans votre navigateur web par défaut. Cette option peut être nécessaire si votre organisation a configuré des stratégies d’accès conditionnel qui vous obligent à vous connecter à partir de machines approuvées.

Aucun indicateur n’est requis pour utiliser la connexion interactive du navigateur.

Connexion au code de l’appareil

Cette option génère un code que vous pouvez utiliser pour vous connecter à un navigateur web sur un autre appareil. Il s’agit de l’option par défaut sur les éditions principales de Windows Server et toutes les distributions Linux. Lorsque vous exécutez la commande de connexion, vous avez 5 minutes pour ouvrir l’URL de connexion spécifiée sur un appareil connecté à Internet et terminer le flux de connexion.

Pour vous authentifier avec un code d’appareil, utilisez l’indicateur --use-device-code . Si le compte avec lequel vous vous connectez et l’abonnement dans lequel vous inscrivez le serveur ne se trouvent pas dans le même locataire, vous devez également fournir l’ID de locataire de l’abonnement.--tenant-id [tenant]

Principal de service avec une clé secrète

Les principaux de service vous permettent de vous authentifier de manière non interactive et sont souvent utilisés pour les déploiements à grande échelle où le même script est exécuté sur plusieurs serveurs. Microsoft recommande de fournir des informations sur le principal de service via un fichier de configuration (voir --config) pour éviter d’exposer le secret dans les journaux de console. Le principal de service doit également être dédié à l’intégration d’Arc et disposer autant d’autorisations que possible, afin de limiter l’impact d’une information d’identification volée.

Pour vous authentifier auprès d’un principal de service à l’aide d’un secret, fournissez l’ID d’application, le secret et l’ID de locataire du principal de service : --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Principal de service avec un certificat

L’authentification basée sur des certificats est un moyen plus sécurisé de s’authentifier à l’aide de principaux de service. L’agent accepte les deux PCKS #12 (. Fichiers PFX) et fichiers encodés EN ASCII (tels que . PEM) qui contiennent à la fois les clés privées et publiques. Le certificat doit être disponible sur le disque local et l’utilisateur exécutant la azcmagent commande a besoin d’un accès en lecture au fichier. Les fichiers PFX protégés par mot de passe ne sont pas pris en charge.

Pour vous authentifier auprès d’un principal de service à l’aide d’un certificat, fournissez l’ID d’application, l’ID de locataire et le chemin d’accès au fichier de certificat : --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Pour plus d’informations, consultez créer un principal de service pour RBAC avec l’authentification par certificat.

Access token (Jeton d’accès)

Les jetons d’accès peuvent également être utilisés pour l’authentification non interactive, mais sont de courte durée et généralement utilisés par des solutions d’automatisation intégrant plusieurs serveurs sur une courte période. Vous pouvez obtenir un jeton d’accès avec Get-AzAccessToken ou tout autre client Microsoft Entra.

Pour vous authentifier avec un jeton d’accès, utilisez l’indicateur --access-token [token] . Si le compte avec lequel vous vous connectez et l’abonnement dans lequel vous inscrivez le serveur ne se trouvent pas dans le même locataire, vous devez également fournir l’ID de locataire de l’abonnement.--tenant-id [tenant]

Indicateurs

--access-token

Spécifie le jeton d’accès Microsoft Entra utilisé pour créer la ressource de serveur avec Azure Arc dans Azure. Pour plus d’informations, consultez Options d’authentification.

--automanage-profile

ID de ressource d’un profil de bonnes pratiques Azure Automanage qui sera appliqué au serveur une fois connecté à Azure.

Exemple de valeur : /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Spécifie l’instance cloud Azure. Doit être utilisé avec l’indicateur --location . Si la machine est déjà connectée à Azure Arc, la valeur par défaut est le cloud auquel l’agent est déjà connecté. Sinon, la valeur par défaut est « AzureCloud ».

Valeurs prises en charge :

  • AzureCloud (régions publiques)
  • AzureUSGovernment (régions Azure US Government)
  • AzureChinaCloud (Microsoft Azure géré par les régions 21Vianet)

--correlation-id

Identifie le mécanisme utilisé pour connecter le serveur à Azure Arc. Par exemple, les scripts générés dans le Portail Azure incluent un GUID qui aide Microsoft à suivre l’utilisation de cette expérience. Cet indicateur est facultatif et utilisé uniquement à des fins de télémétrie pour améliorer votre expérience.

--ignore-network-check

Indique à l’agent de continuer l’intégration même si le réseau case activée pour les points de terminaison requis échoue. Vous ne devez utiliser cette option que si vous êtes sûr que le réseau case activée résultats sont incorrects. Dans la plupart des cas, un réseau défaillant case activée indique que l’agent d’ordinateur azure Connecter ed ne fonctionnera pas correctement sur le serveur.

-l, --location

Région Azure avec laquelle case activée connectivité. Si la machine est déjà connectée à Azure Arc, la région actuelle est sélectionnée comme valeur par défaut.

Exemple de valeur : westeurope

--private-link-scope

Spécifie l’ID de ressource de l’étendue de liaison privée Azure Arc à associer au serveur. Cet indicateur est requis si vous utilisez des points de terminaison privés pour connecter le serveur à Azure.

-g, --resource-group

Nom du groupe de ressources Azure dans lequel vous souhaitez créer la ressource de serveur avec Azure Arc.

Exemple de valeur : HybridServers

-n, --resource-name

Nom de la ressource de serveur avec Azure Arc. Par défaut, le nom de la ressource est :

  • ID d’instance AWS, si le serveur se trouve sur AWS
  • Nom d’hôte pour toutes les autres machines

Vous pouvez remplacer le nom par défaut par un nom de votre choix pour éviter les conflits de nommage. Une fois choisi, le nom de la ressource Azure ne peut pas être modifié sans déconnecter et reconnecter l’agent.

Si vous souhaitez forcer les serveurs AWS à utiliser le nom d’hôte au lieu de l’ID d’instance, passez pour que l’interpréteur de commandes $(hostname) évalue le nom d’hôte actuel et passez-le en tant que nouveau nom de ressource.

Exemple de valeur : FileServer01

-i, --service-principal-id

Spécifie l’ID d’application du principal de service utilisé pour créer la ressource de serveur avec Azure Arc dans Azure. Doit être utilisé avec le --tenant-id ou --service-principal-cert les --service-principal-secret indicateurs. Pour plus d’informations, consultez Options d’authentification.

--service-principal-cert

Spécifie le chemin d’accès à un fichier de certificat de principal de service. Doit être utilisé avec les indicateurs et --tenant-id les --service-principal-id indicateurs. Le certificat doit inclure une clé privée et peut se trouver dans un PKCS #12 (. PFX) ou texte encodé en ASCII (. PEM. Format CRT). Les fichiers PFX protégés par mot de passe ne sont pas pris en charge. Pour plus d’informations, consultez Options d’authentification.

-p, --service-principal-secret

Spécifie le secret du principal de service. Doit être utilisé avec les indicateurs et --tenant-id les --service-principal-id indicateurs. Pour éviter d’exposer le secret dans les journaux de console, Microsoft a recommandé de fournir le secret du principal de service dans un fichier de configuration. Pour plus d’informations, consultez Options d’authentification.

-s, --subscription-id

Nom ou ID d’abonnement dans lequel vous souhaitez créer la ressource de serveur avec Azure Arc.

Exemples de valeurs : Production, aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeee

--tags

Liste délimitée par des virgules de balises à appliquer à la ressource de serveur avec Azure Arc. Chaque balise doit être spécifiée au format : TagName=TagValue. Si le nom ou la valeur de la balise contient un espace, utilisez des guillemets simples autour du nom ou de la valeur.

Exemple de valeur : Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'

-t, --tenant-id

ID de locataire de l’abonnement dans lequel vous souhaitez créer la ressource de serveur avec Azure Arc. Cet indicateur est requis lors de l’authentification auprès d’un principal de service. Pour toutes les autres méthodes d’authentification, le locataire de base du compte utilisé pour s’authentifier auprès d’Azure est également utilisé pour la ressource. Si les locataires du compte et de l’abonnement sont différents (comptes invités, Lighthouse), vous devez spécifier l’ID de locataire pour clarifier le locataire où se trouve l’abonnement.

--use-device-code

Générez un code de connexion d’appareil Microsoft Entra qui peut être entré dans un navigateur web sur un autre ordinateur pour authentifier l’agent auprès d’Azure. Pour plus d’informations, consultez Options d’authentification.

--user-tenant-id

ID de locataire du compte utilisé pour connecter le serveur à Azure. Ce champ est requis lorsque le locataire du compte d’intégration n’est pas le même que le locataire souhaité pour la ressource de serveur avec Azure Arc.

Indicateurs courants disponibles pour toutes les commandes

--config

Prend un chemin d’accès à un fichier JSON ou YAML contenant des entrées dans la commande. Le fichier de configuration doit contenir une série de paires clé-valeur où la clé correspond à une option de ligne de commande disponible. Par exemple, pour passer l’indicateur --verbose , le fichier de configuration se présente comme suit :

{
    "verbose": true
}

Si une option de ligne de commande se trouve à la fois dans l’appel de commande et dans un fichier de configuration, la valeur spécifiée sur la ligne de commande est prioritaire.

-h, --help

Obtenez de l’aide pour la commande actuelle, y compris sa syntaxe et ses options de ligne de commande.

-j, --json

Affichez le résultat de la commande au format JSON.

--log-stderr

Redirigez les messages d’erreur et détaillés vers le flux d’erreur standard (stderr). Par défaut, toutes les sorties sont envoyées au flux de sortie standard (stdout).

--no-color

Désactivez la sortie de couleur pour les terminaux qui ne prennent pas en charge les couleurs ANSI.

-v, --verbose

Affichez des informations de journalisation plus détaillées pendant l’exécution de la commande. Utile pour résoudre les problèmes lors de l’exécution d’une commande.