azcmagent connect
Łączy serwer z usługą Azure Arc, tworząc metadane reprezentacji serwera na platformie Azure i kojarząc z nim agenta połączonej maszyny platformy Azure. Polecenie wymaga informacji o dzierżawie, subskrypcji i grupie zasobów, w której chcesz reprezentować serwer na platformie Azure i prawidłowe poświadczenia z uprawnieniami do tworzenia zasobów serwera z obsługą usługi Azure Arc w tej lokalizacji.
Użycie
azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]
Przykłady
Połącz serwer przy użyciu domyślnej metody logowania (interaktywnej przeglądarki lub kodu urządzenia).
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code
Łączenie serwera przy użyciu jednostki usługi.
azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"
Połącz serwer przy użyciu prywatnego punktu końcowego i metody logowania kodu urządzenia.
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"
Opcje uwierzytelniania
Istnieją cztery sposoby dostarczania poświadczeń uwierzytelniania agentowi połączonej maszyny platformy Azure. Wybierz jedną opcję uwierzytelniania i zastąp sekcję [authentication]
w składni użycia zalecanymi flagami.
Logowanie interakcyjne przeglądarki (tylko system Windows)
Ta opcja jest domyślna w systemach operacyjnych Windows ze środowiskiem pulpitu. Zostanie otwarta strona logowania w domyślnej przeglądarce internetowej. Ta opcja może być wymagana, jeśli organizacja skonfigurowała zasady dostępu warunkowego, które wymagają zalogowania się z zaufanych maszyn.
Nie jest wymagana flaga do korzystania z logowania przeglądarki interakcyjnej.
Logowanie za pomocą kodu urządzenia
Ta opcja generuje kod, którego można użyć do logowania się w przeglądarce internetowej na innym urządzeniu. Jest to domyślna opcja w wersjach podstawowych systemu Windows Server i wszystkich dystrybucji systemu Linux. Po wykonaniu polecenia connect masz 5 minut, aby otworzyć określony adres URL logowania na urządzeniu połączonym z Internetem i ukończyć przepływ logowania.
Aby uwierzytelnić się przy użyciu kodu urządzenia, użyj flagi --use-device-code
. Jeśli konto, za pomocą którego logujesz się, i subskrypcja, w której rejestrujesz serwer, nie znajduje się w tej samej dzierżawie, musisz również podać identyfikator dzierżawy subskrypcji za pomocą --tenant-id [tenant]
polecenia .
Jednostka usługi z wpisem tajnym
Jednostki usługi umożliwiają uwierzytelnianie nieinterakcyjne i są często używane w przypadku wdrożeń na dużą skalę, w których ten sam skrypt jest uruchamiany na wielu serwerach. Firma Microsoft zaleca dostarczanie informacji o jednostce usługi za pośrednictwem pliku konfiguracji (zobacz --config
), aby uniknąć ujawnienia wpisu tajnego w dziennikach konsoli. Jednostka usługi powinna być również przeznaczona dla dołączania do usługi Arc i mieć jak najwięcej uprawnień, aby ograniczyć wpływ skradzionego poświadczenia.
Aby uwierzytelnić się za pomocą jednostki usługi przy użyciu wpisu tajnego, podaj identyfikator aplikacji, wpis tajny i identyfikator dzierżawy jednostki usługi: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]
Jednostka usługi z certyfikatem
Uwierzytelnianie oparte na certyfikatach to bezpieczniejszy sposób uwierzytelniania przy użyciu jednostek usługi. Agent akceptuje oba pcKS #12 (. Pliki PFX i pliki zakodowane w formacie ASCII (takie jak . PEM), które zawierają zarówno klucze prywatne, jak i publiczne. Certyfikat musi być dostępny na dysku lokalnym, a użytkownik, na którym uruchomiono azcmagent
polecenie, musi mieć dostęp do odczytu do pliku. Pliki PFX chronione hasłem nie są obsługiwane.
Aby uwierzytelnić się przy użyciu jednostki usługi przy użyciu certyfikatu, podaj identyfikator aplikacji jednostki usługi, identyfikator dzierżawy i ścieżkę do pliku certyfikatu: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]
Aby uzyskać więcej informacji, zobacz create a service principal for RBAC with certificate-based authentication (Tworzenie jednostki usługi dla kontroli dostępu opartej na rolach przy użyciu uwierzytelniania opartego na certyfikatach).
Token dostępu
Tokeny dostępu mogą być również używane do uwierzytelniania nieinterakcyjnego, ale są krótkotrwałe i zwykle używane przez rozwiązania automatyzacji dołączające kilka serwerów w krótkim czasie. Token dostępu można uzyskać za pomocą polecenia Get-AzAccessToken lub dowolnego innego klienta firmy Microsoft Entra.
Aby uwierzytelnić się przy użyciu tokenu dostępu, użyj flagi --access-token [token]
. Jeśli konto, za pomocą którego logujesz się, i subskrypcja, w której rejestrujesz serwer, nie znajduje się w tej samej dzierżawie, musisz również podać identyfikator dzierżawy subskrypcji za pomocą --tenant-id [tenant]
polecenia .
Flagi
--access-token
Określa token dostępu firmy Microsoft używany do tworzenia zasobu serwera z obsługą usługi Azure Arc na platformie Azure. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
--automanage-profile
Identyfikator zasobu profilu najlepszych rozwiązań usługi Azure Automanage, który zostanie zastosowany do serwera po nawiązaniu połączenia z platformą Azure.
Przykładowa wartość: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction
--cloud
Określa wystąpienie chmury platformy Azure. Należy użyć flagi --location
. Jeśli maszyna jest już połączona z usługą Azure Arc, wartością domyślną jest chmura, z którą agent jest już połączony. W przeciwnym razie wartość domyślna to "AzureCloud".
Obsługiwane wartości:
- AzureCloud (regiony publiczne)
- AzureUSGovernment (regiony świadczenia usługi Azure US Government)
- AzureChinaCloud (platforma Microsoft Azure obsługiwana przez regiony 21Vianet)
--correlation-id
Identyfikuje mechanizm używany do łączenia serwera z usługą Azure Arc. Na przykład skrypty wygenerowane w witrynie Azure Portal zawierają identyfikator GUID, który ułatwia firmie Microsoft śledzenie użycia tego środowiska. Ta flaga jest opcjonalna i używana tylko do celów telemetrycznych w celu ulepszenia środowiska użytkownika.
--ignore-network-check
Nakazuje agentowi kontynuowanie dołączania, nawet jeśli sprawdzanie sieci dla wymaganych punktów końcowych zakończy się niepowodzeniem. Tej opcji należy używać tylko wtedy, gdy masz pewność, że wyniki sprawdzania sieci są nieprawidłowe. W większości przypadków sprawdzanie sieci nie powiodło się wskazuje, że agent usługi Azure Connected Machine nie będzie działać poprawnie na serwerze.
-l
, --location
Region świadczenia usługi Azure do sprawdzania łączności. Jeśli maszyna jest już połączona z usługą Azure Arc, bieżący region zostanie wybrany jako domyślny.
Przykładowa wartość: westeurope
--private-link-scope
Określa identyfikator zasobu zakresu łącza prywatnego usługi Azure Arc do skojarzenia z serwerem. Ta flaga jest wymagana, jeśli używasz prywatnych punktów końcowych do łączenia serwera z platformą Azure.
-g
, --resource-group
Nazwa grupy zasobów platformy Azure, w której chcesz utworzyć zasób serwera z obsługą usługi Azure Arc.
Przykładowa wartość: HybridServers
-n
, --resource-name
Nazwa zasobu serwera z obsługą usługi Azure Arc. Domyślnie nazwa zasobu to:
- Identyfikator wystąpienia platformy AWS, jeśli serwer znajduje się na platformie AWS
- Nazwa hosta dla wszystkich innych maszyn
Możesz zastąpić domyślną nazwę własną nazwą, aby uniknąć konfliktów nazewnictwa. Po wybraniu nazwy zasobu platformy Azure nie można zmienić bez odłączania i ponownego łączenia agenta.
Jeśli chcesz wymusić, aby serwery AWS używały nazwy hosta zamiast identyfikatora wystąpienia, przekaż $(hostname)
powłokę, aby ocenić bieżącą nazwę hosta i przekazać tę nazwę jako nową nazwę zasobu.
Przykładowa wartość: FileServer01
-i
, --service-principal-id
Określa identyfikator aplikacji jednostki usługi używanej do tworzenia zasobu serwera z obsługą usługi Azure Arc na platformie Azure. Należy używać z flagami --tenant-id
i lub --service-principal-secret
--service-principal-cert
. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
--service-principal-cert
Określa ścieżkę do pliku certyfikatu jednostki usługi. Należy używać z flagami --service-principal-id
i --tenant-id
. Certyfikat musi zawierać klucz prywatny i może znajdować się w PKCS #12 (. PLIK PFX) lub tekst zakodowany w formacie ASCII (. PEM. Format CRT). Pliki PFX chronione hasłem nie są obsługiwane. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
-p
, --service-principal-secret
Określa klucz tajny jednostki usługi. Należy używać z flagami --service-principal-id
i --tenant-id
. Aby uniknąć uwidaczniania wpisu tajnego w dziennikach konsoli, firma Microsoft zaleca podanie wpisu tajnego jednostki usługi w pliku konfiguracji. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
-s
, --subscription-id
Nazwa subskrypcji lub identyfikator, w którym chcesz utworzyć zasób serwera z obsługą usługi Azure Arc.
Przykładowe wartości: Production, aaaaaa-bbbb-cccc-dddd-eeeee
--tags
Rozdzielana przecinkami lista tagów, które mają być stosowane do zasobu serwera z obsługą usługi Azure Arc. Każdy tag powinien być określony w formacie: TagName=TagValue. Jeśli nazwa lub wartość tagu zawiera spację, użyj pojedynczych cudzysłowów wokół nazwy lub wartości.
Przykładowa wartość: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'
-t
, --tenant-id
Identyfikator dzierżawy subskrypcji, w której chcesz utworzyć zasób serwera z obsługą usługi Azure Arc. Ta flaga jest wymagana podczas uwierzytelniania za pomocą jednostki usługi. W przypadku wszystkich innych metod uwierzytelniania dzierżawa główna konta używanego do uwierzytelniania za pomocą platformy Azure jest również używana dla zasobu. Jeśli dzierżawy dla konta i subskrypcji są inne (konta gościa, Lighthouse), należy określić identyfikator dzierżawy, aby wyjaśnić dzierżawę, w której znajduje się subskrypcja.
--use-device-code
Wygeneruj kod logowania urządzenia Firmy Microsoft Entra, który można wprowadzić w przeglądarce internetowej na innym komputerze w celu uwierzytelnienia agenta na platformie Azure. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
--user-tenant-id
Identyfikator dzierżawy konta używanego do łączenia serwera z platformą Azure. To pole jest wymagane, gdy dzierżawa konta dołączania nie jest taka sama jak żądana dzierżawa zasobu serwera z obsługą usługi Azure Arc.
Typowe flagi dostępne dla wszystkich poleceń
--config
Pobiera ścieżkę do pliku JSON lub YAML zawierającego dane wejściowe do polecenia. Plik konfiguracji powinien zawierać serię par klucz-wartość, w których klucz jest zgodny z dostępną opcją wiersza polecenia. Na przykład aby przekazać flagę --verbose
, plik konfiguracji będzie wyglądać następująco:
{
"verbose": true
}
Jeśli opcja wiersza polecenia zostanie znaleziona zarówno w wywołaniu polecenia, jak i w pliku konfiguracji, wartość określona w wierszu polecenia będzie mieć pierwszeństwo.
-h
, --help
Uzyskaj pomoc dotyczącą bieżącego polecenia, w tym jego składni i opcji wiersza polecenia.
-j
, --json
Wyprowadź polecenie w formacie JSON.
--log-stderr
Przekierowywanie błędów i pełnych komunikatów do strumienia błędu standardowego (stderr). Domyślnie wszystkie dane wyjściowe są wysyłane do standardowego strumienia wyjściowego (stdout).
--no-color
Wyłącz dane wyjściowe kolorów dla terminali, które nie obsługują kolorów ANSI.
-v
, --verbose
Pokaż bardziej szczegółowe informacje rejestrowania podczas wykonywania polecenia. Przydatne do rozwiązywania problemów podczas uruchamiania polecenia.