Share via

conexão do azcmagent

  • Artigo

Conecta o servidor ao Azure Arc criando uma representação de metadados do servidor no Azure e associando o agente de máquina conectado do Azure a ele. O comando requer informações sobre o locatário, a assinatura e o grupo de recursos em que você deseja representar o servidor no Azure e credenciais válidas com permissões para criar recursos de servidor habilitados para o Arco do Azure nesse local.

Uso

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Exemplos

Conecte um servidor usando o método de login padrão (navegador interativo ou código do dispositivo).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Conecte um servidor usando uma entidade de serviço.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Conecte um servidor usando um ponto de extremidade privado e um método de login de código de dispositivo.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Opções de autenticação

Há quatro maneiras de fornecer credenciais de autenticação para o agente de máquina conectada do Azure. Escolha uma opção de autenticação e substitua a [authentication] seção na sintaxe de uso pelos sinalizadores recomendados.

Login interativo do navegador (somente Windows)

Essa opção é o padrão em sistemas operacionais Windows com uma experiência de área de trabalho. Sua página de login é aberta em seu navegador da Web padrão. Essa opção pode ser necessária se sua organização configurou políticas de acesso condicional que exigem que você faça logon de computadores confiáveis.

Nenhum sinalizador é necessário para usar o login interativo do navegador.

Login do código do dispositivo

Essa opção gera um código que pode ser usado para fazer login em um navegador da Web em outro dispositivo. Essa é a opção padrão nas edições principais do Windows Server e em todas as distribuições Linux. Depois de executar o comando connect, você terá 5 minutos para abrir a URL de login especificada em um dispositivo conectado à Internet e concluir o fluxo de login.

Para autenticar com um código de dispositivo, use o --use-device-code sinalizador. Se a conta com a qual você está fazendo login e a assinatura na qual você está registrando o servidor não estiverem no mesmo locatário, você também deverá fornecer a ID do locatário para a assinatura com --tenant-id [tenant].

Entidade de serviço com segredo

As entidades de serviço permitem que você se autentique de forma não interativa e são frequentemente usadas para implantações em escala em que o mesmo script é executado em vários servidores. A Microsoft recomenda fornecer informações da entidade de serviço por meio de um arquivo de configuração (consulte --config) para evitar expor o segredo em qualquer log do console. A entidade de serviço também deve ser dedicada à integração do Arc e ter o mínimo de permissões possível, para limitar o impacto de uma credencial roubada.

Para autenticar com uma entidade de serviço usando um segredo, forneça a ID do aplicativo, o segredo e a ID do locatário da entidade de serviço: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Entidade de serviço com certificado

A autenticação baseada em certificado é uma maneira mais segura de autenticar usando entidades de serviço. O agente aceita ambos os PCKS #12 (. PFX) e arquivos codificados em ASCII (como . PEM) que contêm as chaves privada e pública. O certificado deve estar disponível no disco local e o usuário que executa o azcmagent comando precisa de acesso de leitura ao arquivo. Não há suporte para arquivos PFX protegidos por senha.

Para autenticar com uma entidade de serviço usando um certificado, forneça a ID do aplicativo, a ID do locatário e o caminho da entidade de serviço para o arquivo de certificado: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Para obter mais informações, consulte Criar uma entidade de serviço para RBAC com autenticação baseada em certificado.

Token de acesso

Os tokens de acesso também podem ser usados para autenticação não interativa, mas são de curta duração e normalmente usados por soluções de automação que integram vários servidores em um curto período de tempo. Você pode obter um token de acesso com Get-AzAccessToken ou qualquer outro cliente Microsoft Entra.

Para autenticar com um token de acesso, use o --access-token [token] sinalizador. Se a conta com a qual você está fazendo login e a assinatura na qual você está registrando o servidor não estiverem no mesmo locatário, você também deverá fornecer a ID do locatário para a assinatura com --tenant-id [tenant].

Sinalizadores

--access-token

Especifica o token de acesso do Microsoft Entra usado para criar o recurso de servidor habilitado para Azure Arc no Azure. Para mais informações, consulte opções de autenticação.

--automanage-profile

ID de recurso de um perfil de práticas recomendadas do Azure Automanage que será aplicado ao servidor assim que ele estiver conectado ao Azure.

Valor de exemplo: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Especifica a instância de nuvem do Azure. Deve ser usado com a --location bandeira. Se a máquina já estiver conectada ao Azure Arc, o valor padrão será a nuvem à qual o agente já está conectado. Caso contrário, o valor padrão será "AzureCloud".

Valores com suporte:

  • AzureCloud (regiões públicas)
  • AzureUSGovernment (regiões do Azure US Government)
  • AzureChinaCloud (Microsoft Azure operado por regiões da 21Vianet)

--correlation-id

Identifica o mecanismo que está sendo usado para conectar o servidor ao Azure Arc. Por exemplo, os scripts gerados no portal do Azure incluem um GUID que ajuda a Microsoft a controlar o uso dessa experiência. Esse sinalizador é opcional e usado apenas para fins de telemetria para melhorar sua experiência.

--ignore-network-check

Instrui o agente a continuar a integração mesmo se a verificação de rede para pontos de extremidade necessários falhar. Você só deve usar essa opção se tiver certeza de que os resultados da verificação de rede estão incorretos. Na maioria dos casos, uma verificação de rede com falha indica que o agente da Máquina Conectada do Azure não funcionará corretamente no servidor.

-l, --location

A região do Azure com a qual verificar a conectividade. Se a máquina já estiver conectada ao Arco do Azure, a região atual será selecionada como padrão.

Valor de amostra: westeurope

--private-link-scope

Especifica a ID do recurso do escopo de link privado do Azure Arc a ser associado ao servidor. Esse sinalizador será necessário se você estiver usando pontos de extremidade privados para conectar o servidor ao Azure.

-g, --resource-group

Nome do grupo de recursos do Azure onde você deseja criar o recurso de servidor habilitado para Arco do Azure.

Valor de exemplo: HybridServers

-n, --resource-name

Nome para o recurso de servidor habilitado para o Azure Arc. Por padrão, o nome do recurso é:

  • O ID da instância da AWS, se o servidor estiver na AWS
  • O nome do host para todas as outras máquinas

Você pode substituir o nome padrão por um nome de sua escolha para evitar conflitos de nomenclatura. Depois de escolhido, o nome do recurso do Azure não pode ser alterado sem desconectar e reconectar o agente.

Se você quiser forçar os servidores da AWS a usar o nome do host em vez do ID da instância, passe $(hostname) para que o shell avalie o nome do host atual e o passe como o novo nome do recurso.

Valor de exemplo: FileServer01

-i, --service-principal-id

Especifica a ID do aplicativo da entidade de serviço usada para criar o recurso de servidor habilitado para Azure Arc no Azure. Deve ser usado com os --tenant-id sinalizadores e ou o --service-principal-secret ou --service-principal-cert . Para mais informações, consulte opções de autenticação.

--service-principal-cert

Especifica o caminho para um arquivo de certificado da entidade de serviço. Deve ser usado com as --service-principal-id bandeiras e --tenant-id . O certificado deve incluir uma chave privada e pode estar em uma PKCS #12 (. PFX) ou texto codificado em ASCII (. PEM. CRT). Não há suporte para arquivos PFX protegidos por senha. Para mais informações, consulte opções de autenticação.

-p, --service-principal-secret

Especifica o segredo da entidade de serviço. Deve ser usado com as --service-principal-id bandeiras e --tenant-id . Para evitar expor o segredo nos logs do console, a Microsoft recomendou fornecer o segredo da entidade de serviço em um arquivo de configuração. Para mais informações, consulte opções de autenticação.

-s, --subscription-id

O nome ou ID da assinatura onde você deseja criar o recurso de servidor habilitado para o Azure Arc.

Valores de amostra: Produção, aaaaa-bbbb-cccc-dddd-eeeeeeeeeeee

--tags

Lista delimitada por vírgulas de marcas a serem aplicadas ao recurso de servidor habilitado para Arco do Azure. Cada tag deve ser especificada no formato: TagName=TagValue. Se o nome ou o valor da tag contiver um espaço, use aspas simples ao redor do nome ou valor.

Valor de exemplo: Datacenter=NY3,Application=SharePoint,Owner='Serviços de infraestrutura compartilhada'

-t, --tenant-id

A ID do locatário para a assinatura em que você deseja criar o recurso de servidor habilitado para o Azure Arc. Esse sinalizador é necessário ao autenticar com uma entidade de serviço. Para todos os outros métodos de autenticação, o locatário inicial da conta usada para autenticar com o Azure também é usado para o recurso. Se os locatários da conta e da assinatura forem diferentes (contas de convidado, Lighthouse), você deverá especificar a ID do locatário para esclarecer o locatário onde a assinatura está localizada.

--use-device-code

Gere um código de logon de dispositivo do Microsoft Entra que pode ser inserido em um navegador da Web em outro computador para autenticar o agente com o Azure. Para mais informações, consulte opções de autenticação.

--user-tenant-id

A ID do locatário da conta usada para conectar o servidor ao Azure. Esse campo é obrigatório quando o locatário da conta de integração não é o mesmo que o locatário desejado para o recurso de servidor habilitado para o Azure Arc.

Sinalizadores comuns disponíveis para todos os comandos

--config

Usa um caminho para um arquivo JSON ou YAML que contém entradas para o comando. O arquivo de configuração deve conter uma série de pares chave-valor onde a chave corresponde a uma opção de linha de comando disponível. Por exemplo, para passar o --verbose sinalizador, o arquivo de configuração teria a seguinte aparência:

{
    "verbose": true
}

Se uma opção de linha de comando for encontrada na invocação de comando e em um arquivo de configuração, o valor especificado na linha de comando terá precedência.

-h, --help

Obtenha ajuda para o comando atual, incluindo sua sintaxe e opções de linha de comando.

-j, --json

Saída do resultado do comando no formato JSON.

--log-stderr

Redirecionar mensagens de erro e detalhadas para o fluxo de erro padrão (stderr). Por padrão, toda a saída é enviada para o fluxo de saída padrão (stdout).

--no-color

Desative a saída de cores para terminais que não oferecem suporte a cores ANSI.

-v, --verbose

Mostrar informações de log mais detalhadas enquanto o comando é executado. Útil para solucionar problemas ao executar um comando.