azcmagent connect

  • Articolo

Connessione il server ad Azure Arc creando una rappresentazione dei metadati del server in Azure e associando l'agente del computer connesso di Azure. Il comando richiede informazioni sul tenant, la sottoscrizione e il gruppo di risorse in cui si vuole rappresentare il server in Azure e credenziali valide con le autorizzazioni per creare risorse server abilitate per Azure Arc in tale posizione.

Utilizzo

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Esempi

Connessione un server usando il metodo di accesso predefinito (browser interattivo o codice del dispositivo).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Connessione un server usando un'entità servizio.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Connessione un server usando un endpoint privato e un metodo di accesso del codice del dispositivo.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Opzioni di autenticazione

Esistono 4 modi per fornire le credenziali di autenticazione all'agente del computer connesso di Azure. Scegliere un'opzione di autenticazione e sostituire la [authentication] sezione nella sintassi di utilizzo con i flag consigliati.

Accesso interattivo al browser (solo Windows)

Questa opzione è l'impostazione predefinita nei sistemi operativi Windows con un'esperienza desktop. Viene visualizzata la pagina di accesso nel Web browser predefinito. Questa opzione potrebbe essere necessaria se l'organizzazione ha configurato criteri di accesso condizionale che richiedono l'accesso da computer attendibili.

Non è necessario alcun flag per usare l'account di accesso interattivo del browser.

Accesso al codice del dispositivo

Questa opzione genera un codice che è possibile usare per accedere a un Web browser in un altro dispositivo. Questa è l'opzione predefinita nelle edizioni principali di Windows Server e in tutte le distribuzioni linux. Quando si esegue il comando connect, è necessario avere 5 minuti per aprire l'URL di accesso specificato in un dispositivo connesso a Internet e completare il flusso di accesso.

Per eseguire l'autenticazione con un codice del dispositivo, usare il --use-device-code flag . Se l'account con cui si esegue l'accesso e la sottoscrizione in cui si sta registrando il server non si trovano nello stesso tenant, è necessario specificare anche l'ID tenant per la sottoscrizione con --tenant-id [tenant].

Entità servizio

Le entità servizio consentono di autenticare in modo non interattivo e vengono spesso usate per le distribuzioni su larga scala in cui lo stesso script viene eseguito su più server. È consigliabile fornire informazioni sull'entità servizio tramite un file di configurazione (vedere --config) per evitare di esporre il segreto in tutti i log della console. L'entità servizio deve anche essere dedicata per l'onboarding di Arc e avere il minor numero possibile di autorizzazioni, per limitare l'impatto di una credenziale rubata.

Per eseguire l'autenticazione con un'entità servizio, specificare l'ID applicazione, il segreto e l'ID tenant dell'entità servizio: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Token di accesso

I token di accesso possono essere usati anche per l'autenticazione non interattiva, ma sono di breve durata e in genere usati dalle soluzioni di automazione che eseguono l'onboarding di più server in un breve periodo di tempo. È possibile ottenere un token di accesso con Get-AzAccessToken o qualsiasi altro client Microsoft Entra.

Per eseguire l'autenticazione con un token di accesso, usare il --access-token [token] flag . Se l'account con cui si esegue l'accesso e la sottoscrizione in cui si sta registrando il server non si trovano nello stesso tenant, è necessario specificare anche l'ID tenant per la sottoscrizione con --tenant-id [tenant].

Flag

--access-token

Specifica il token di accesso Microsoft Entra usato per creare la risorsa server abilitata per Azure Arc in Azure. Per altre informazioni, vedere Opzioni di autenticazione.

--automanage-profile

ID risorsa di un profilo delle procedure consigliate per la gestione automatica di Azure che verrà applicato al server dopo la connessione ad Azure.

Valore di esempio: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Specifica l'istanza cloud di Azure. Deve essere utilizzato con il --location flag . Se il computer è già connesso ad Azure Arc, il valore predefinito è il cloud a cui l'agente è già connesso. In caso contrario, il valore predefinito è "AzureCloud".

Valori supportati:

  • AzureCloud (aree pubbliche)
  • AzureUSGovernment (aree di Azure US Government)
  • AzureChinaCloud (Microsoft Azure gestito da 21 areeVianet)

--correlation-id

Identifica il meccanismo usato per connettere il server ad Azure Arc. Ad esempio, gli script generati nella portale di Azure includono un GUID che consente a Microsoft di tenere traccia dell'utilizzo di tale esperienza. Questo flag è facoltativo e usato solo per scopi di telemetria per migliorare l'esperienza.

--ignore-network-check

Indica all'agente di continuare l'onboarding anche se il controllo di rete per gli endpoint necessari ha esito negativo. È consigliabile usare questa opzione solo se si è certi che i risultati del controllo di rete non siano corretti. Nella maggior parte dei casi, un controllo di rete non riuscito indica che l'agente del computer Connessione ed di Azure non funzionerà correttamente nel server.

-l, --location

Area di Azure con cui verificare la connettività. Se il computer è già connesso ad Azure Arc, l'area corrente viene selezionata come predefinita.

Valore di esempio: westeurope

--private-link-scope

Specifica l'ID risorsa dell'ambito del collegamento privato di Azure Arc da associare al server. Questo flag è obbligatorio se si usano endpoint privati per connettere il server ad Azure.

-g, --resource-group

Nome del gruppo di risorse di Azure in cui si vuole creare la risorsa server abilitata per Azure Arc.

Valore di esempio: HybridServers

-n, --resource-name

Nome della risorsa server abilitata per Azure Arc. Per impostazione predefinita, il nome della risorsa è:

  • ID dell'istanza di AWS, se il server si trova in AWS
  • Nome host per tutti gli altri computer

È possibile sostituire il nome predefinito con un nome personalizzato per evitare conflitti di denominazione. Dopo aver scelto, il nome della risorsa di Azure non può essere modificato senza disconnettersi e riconnettere l'agente.

Se si vuole forzare i server AWS a usare il nome host anziché l'ID istanza, passare $(hostname) per fare in modo che la shell valuti il nome host corrente e lo passi come nuovo nome di risorsa.

Valore di esempio: FileServer01

-i, --service-principal-id

Specifica l'ID applicazione dell'entità servizio usata per creare la risorsa server abilitata per Azure Arc. Deve essere utilizzato con i --service-principal-secret flag e --tenant-id . Per altre informazioni, vedere Opzioni di autenticazione.

-p, --service-principal-secret

Specifica il segreto dell'entità servizio. Deve essere utilizzato con i --service-principal-id flag e --tenant-id . Per evitare di esporre il segreto nei log della console, è consigliabile passare il segreto dell'entità servizio in un file di configurazione. Per altre informazioni, vedere Opzioni di autenticazione.

-s, --subscription-id

Nome o ID della sottoscrizione in cui si vuole creare la risorsa server abilitata per Azure Arc.

Valori di esempio: Production, aaaaa-bbbb-cccc-dddd-eeeeee

--tags

Elenco delimitato da virgole di tag da applicare alla risorsa server abilitata per Azure Arc. Ogni tag deve essere specificato nel formato TagName=TagValue. Se il nome o il valore del tag contiene uno spazio, usare virgolette singole intorno al nome o al valore.

Valore di esempio: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'

-t, --tenant-id

ID tenant per la sottoscrizione in cui si vuole creare la risorsa server abilitata per Azure Arc. Questo flag è obbligatorio quando si esegue l'autenticazione con un'entità servizio. Per tutti gli altri metodi di autenticazione, viene usato anche il tenant principale dell'account usato per l'autenticazione con Azure per la risorsa. Se i tenant per l'account e la sottoscrizione sono diversi (account guest, Lighthouse), è necessario specificare l'ID tenant per chiarire il tenant in cui si trova la sottoscrizione.

--use-device-code

Generare un codice di accesso al dispositivo Microsoft Entra che può essere immesso in un Web browser in un altro computer per autenticare l'agente con Azure. Per altre informazioni, vedere Opzioni di autenticazione.

--user-tenant-id

ID tenant per l'account usato per connettere il server ad Azure. Questo campo è obbligatorio quando il tenant dell'account di onboarding non corrisponde al tenant desiderato per la risorsa server abilitata per Azure Arc.

Flag comuni disponibili per tutti i comandi

--config

Accetta un percorso di un file JSON o YAML contenente input al comando. Il file di configurazione deve contenere una serie di coppie chiave-valore in cui la chiave corrisponde a un'opzione della riga di comando disponibile. Ad esempio, per passare il --verbose flag, il file di configurazione sarà simile al seguente:

{
    "verbose": true
}

Se viene trovata un'opzione della riga di comando sia nella chiamata al comando che in un file di configurazione, il valore specificato nella riga di comando avrà la precedenza.

-h, --help

Ottenere la Guida per il comando corrente, inclusa la sintassi e le opzioni della riga di comando.

-j, --json

Restituire il risultato del comando nel formato JSON.

--log-stderr

Reindirizzare i messaggi di errore e dettagliati al flusso di errore standard (stderr). Per impostazione predefinita, tutto l'output viene inviato al flusso di output standard (stdout).

--no-color

Disabilitare l'output dei colori per i terminali che non supportano i colori ANSI.

-v, --verbose

Visualizzare informazioni di registrazione più dettagliate durante l'esecuzione del comando. Utile per la risoluzione dei problemi durante l'esecuzione di un comando.