Udostępnij za pośrednictwem

azcmagent disconnect

  • Artykuł

Usuwa zasób serwera z obsługą usługi Azure Arc w chmurze i resetuje konfigurację agenta lokalnego. Aby uzyskać szczegółowe informacje na temat usuwania rozszerzeń i odłączania i odinstalowywania agenta, zobacz odinstalowywanie agenta.

Użycie

azcmagent disconnect [authentication] [flags]

Przykłady

Odłącz serwer przy użyciu domyślnej metody logowania (interaktywnej przeglądarki lub kodu urządzenia).

azcmagent disconnect

Odłącz serwer przy użyciu jednostki usługi.

azcmagent disconnect --service-principal-id "ID" --service-principal-secret "SECRET"

Odłącz serwer, jeśli odpowiedni zasób na platformie Azure został już usunięty.

azcmagent disconnect --force-local-only

Opcje uwierzytelniania

Istnieją cztery sposoby dostarczania poświadczeń uwierzytelniania agentowi połączonej maszyny platformy Azure. Wybierz jedną opcję uwierzytelniania i zastąp sekcję [authentication] w składni użycia zalecanymi flagami.

Uwaga

Konto używane do odłączenia serwera musi pochodzić z tej samej dzierżawy co subskrypcja, w której jest zarejestrowany serwer.

Logowanie interakcyjne przeglądarki (tylko system Windows)

Ta opcja jest domyślna w systemach operacyjnych Windows ze środowiskiem pulpitu. Strona logowania zostanie otwarta w domyślnej przeglądarce internetowej. Ta opcja może być wymagana, jeśli organizacja skonfigurowała zasady dostępu warunkowego, które wymagają zalogowania się z zaufanych maszyn.

Nie jest wymagana flaga do korzystania z logowania przeglądarki interakcyjnej.

Logowanie za pomocą kodu urządzenia

Ta opcja generuje kod, którego można użyć do logowania się w przeglądarce internetowej na innym urządzeniu. Jest to domyślna opcja w wersjach podstawowych systemu Windows Server i wszystkich dystrybucji systemu Linux. Po wykonaniu polecenia connect masz 5 minut, aby otworzyć określony adres URL logowania na urządzeniu połączonym z Internetem i ukończyć przepływ logowania.

Aby uwierzytelnić się przy użyciu kodu urządzenia, użyj flagi --use-device-code .

Jednostka usługi z wpisem tajnym

Jednostki usługi umożliwiają uwierzytelnianie nieinterakcyjne i są często używane na potrzeby operacji na dużą skalę, w których ten sam skrypt jest uruchamiany na wielu serwerach. Zaleca się podanie informacji o jednostce usługi za pośrednictwem pliku konfiguracji (zobacz --config), aby uniknąć uwidaczniania wpisu tajnego w dziennikach konsoli. Jednostka usługi powinna być również przeznaczona dla dołączania do usługi Arc i mieć jak najwięcej uprawnień, aby ograniczyć wpływ skradzionego poświadczenia.

Aby uwierzytelnić się za pomocą jednostki usługi przy użyciu wpisu tajnego, podaj identyfikator aplikacji, wpis tajny i identyfikator dzierżawy jednostki usługi: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Jednostka usługi z certyfikatem

Uwierzytelnianie oparte na certyfikatach to bezpieczniejszy sposób uwierzytelniania przy użyciu jednostek usługi. Agent akceptuje oba pcKS #12 (. Pliki PFX i pliki zakodowane w formacie ASCII (takie jak . PEM), które zawierają zarówno klucze prywatne, jak i publiczne. Certyfikat musi być dostępny na dysku lokalnym, a użytkownik, na którym uruchomiono azcmagent polecenie, musi mieć dostęp do odczytu do pliku. Pliki PFX chronione hasłem nie są obsługiwane.

Aby uwierzytelnić się przy użyciu jednostki usługi przy użyciu certyfikatu, podaj identyfikator aplikacji jednostki usługi, identyfikator dzierżawy i ścieżkę do pliku certyfikatu: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Aby uzyskać więcej informacji, zobacz create a service principal for RBAC with certificate-based authentication (Tworzenie jednostki usługi dla kontroli dostępu opartej na rolach przy użyciu uwierzytelniania opartego na certyfikatach).

Token dostępu

Tokeny dostępu mogą być również używane do uwierzytelniania nieinterakcyjnego, ale są krótkotrwałe i zwykle używane przez rozwiązania automatyzacji działające na kilku serwerach w krótkim czasie. Token dostępu można uzyskać za pomocą polecenia Get-AzAccessToken lub dowolnego innego klienta firmy Microsoft Entra.

Aby uwierzytelnić się przy użyciu tokenu dostępu, użyj flagi --access-token [token] .

Flagi

--access-token

Określa token dostępu firmy Microsoft używany do tworzenia zasobu serwera z obsługą usługi Azure Arc na platformie Azure. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.

-f, --force-local-only

Rozłącza serwer bez usuwania zasobu na platformie Azure. Używane głównie wtedy, gdy zasób platformy Azure został usunięty, a konfiguracja agenta lokalnego musi zostać wyczyszczona.

-i, --service-principal-id

Określa identyfikator aplikacji jednostki usługi używanej do tworzenia zasobu serwera z obsługą usługi Azure Arc na platformie Azure. Należy używać z flagami --tenant-id i lub --service-principal-secret --service-principal-cert . Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.

--service-principal-cert

Określa ścieżkę do pliku certyfikatu jednostki usługi. Należy używać z flagami --service-principal-id i --tenant-id . Certyfikat musi zawierać klucz prywatny i może znajdować się w PKCS #12 (. PLIK PFX) lub tekst zakodowany w formacie ASCII (. PEM. Format CRT). Pliki PFX chronione hasłem nie są obsługiwane. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.

-p, --service-principal-secret

Określa klucz tajny jednostki usługi. Należy używać z flagami --service-principal-id i --tenant-id . Aby uniknąć uwidaczniania wpisu tajnego w dziennikach konsoli, firma Microsoft zaleca podanie wpisu tajnego jednostki usługi w pliku konfiguracji. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.

--use-device-code

Wygeneruj kod logowania urządzenia Firmy Microsoft Entra, który można wprowadzić w przeglądarce internetowej na innym komputerze w celu uwierzytelnienia agenta na platformie Azure. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.

--user-tenant-id

Identyfikator dzierżawy konta używanego do łączenia serwera z platformą Azure. To pole jest wymagane, gdy dzierżawa konta dołączania nie jest taka sama jak żądana dzierżawa zasobu serwera z obsługą usługi Azure Arc.

Typowe flagi dostępne dla wszystkich poleceń

--config

Pobiera ścieżkę do pliku JSON lub YAML zawierającego dane wejściowe do polecenia. Plik konfiguracji powinien zawierać serię par klucz-wartość, w których klucz jest zgodny z dostępną opcją wiersza polecenia. Na przykład aby przekazać flagę --verbose , plik konfiguracji będzie wyglądać następująco:

{
    "verbose": true
}

Jeśli opcja wiersza polecenia zostanie znaleziona zarówno w wywołaniu polecenia, jak i w pliku konfiguracji, wartość określona w wierszu polecenia będzie mieć pierwszeństwo.

-h, --help

Uzyskaj pomoc dotyczącą bieżącego polecenia, w tym jego składni i opcji wiersza polecenia.

-j, --json

Wyprowadź polecenie w formacie JSON.

--log-stderr

Przekierowywanie błędów i pełnych komunikatów do strumienia błędu standardowego (stderr). Domyślnie wszystkie dane wyjściowe są wysyłane do standardowego strumienia wyjściowego (stdout).

--no-color

Wyłącz dane wyjściowe kolorów dla terminali, które nie obsługują kolorów ANSI.

-v, --verbose

Pokaż bardziej szczegółowe informacje rejestrowania podczas wykonywania polecenia. Przydatne do rozwiązywania problemów podczas uruchamiania polecenia.