Partilhar via

azcmagent conectar

  • Artigo

Conecta o servidor ao Azure Arc criando uma representação de metadados do servidor no Azure e associando o agente de máquina conectado do Azure a ele. O comando requer informações sobre o locatário, a assinatura e o grupo de recursos onde você deseja representar o servidor no Azure e credenciais válidas com permissões para criar recursos de servidor habilitados para Azure Arc nesse local.

Utilização

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Exemplos

Conecte um servidor usando o método de login padrão (navegador interativo ou código do dispositivo).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Conecte um servidor usando uma entidade de serviço.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Conecte um servidor usando um ponto de extremidade privado e um método de login de código de dispositivo.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Opções de autenticação

Há quatro maneiras de fornecer credenciais de autenticação para o agente de máquina conectada do Azure. Escolha uma opção de autenticação e substitua a [authentication] seção na sintaxe de uso pelos sinalizadores recomendados.

Login interativo do navegador (somente Windows)

Esta opção é o padrão em sistemas operacionais Windows com uma experiência de área de trabalho. A página de login é aberta no seu navegador da Web padrão. Esta opção poderá ser necessária se a sua organização tiver configurado políticas de acesso condicional que exijam que inicie sessão a partir de máquinas fidedignas.

Nenhum sinalizador é necessário para usar o login interativo do navegador.

Login de código do dispositivo

Essa opção gera um código que pode utilizar para fazer login num navegador da Web em outro dispositivo. Esta é a opção padrão nas edições principais do Windows Server e em todas as distribuições Linux. Ao executar o comando connect, tem 5 minutos para abrir a URL de login especificada num dispositivo conectado à Internet e concluir o fluxo de login.

Para autenticar com um código de dispositivo, use o --use-device-code sinalizador. Se a conta com a qual está a iniciar sessão e a subscrição onde está a registar o servidor não estiverem no mesmo inquilino, também tem de fornecer o ID de inquilino da subscrição com --tenant-id [tenant].

Principal de serviço com segredo

As entidades de serviço permitem que você se autentique de forma não interativa e geralmente são usadas para implantações em escala em que o mesmo script é executado em vários servidores. A Microsoft recomenda fornecer informações sobre a entidade de serviço por meio de um arquivo de configuração (consulte --config) para evitar a exposição do segredo em qualquer log do console. A entidade de serviço também deve ser dedicada à integração do Arc e ter o mínimo de permissões possível, para limitar o impacto de uma credencial roubada.

Para autenticar com uma entidade de serviço usando um segredo, forneça a ID do aplicativo, o segredo e a ID do locatário da entidade de serviço: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Entidade de serviço com certificado

A autenticação baseada em certificado é uma maneira mais segura de autenticar usando entidades de serviço. O agente aceita ambos PCKS #12 (. PFX) e arquivos codificados em ASCII (como . PEM) que contêm as chaves privada e pública. O certificado deve estar disponível no disco local e o usuário que executa o azcmagent comando precisa de acesso de leitura ao arquivo. Não há suporte para arquivos PFX protegidos por senha.

Para autenticar com uma entidade de serviço usando um certificado, forneça a ID do aplicativo, a ID do locatário e o caminho para o arquivo de certificado da entidade de serviço: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Para obter mais informações, consulte criar uma entidade de serviço para RBAC com autenticação baseada em certificado.

Token de acesso

Os tokens de acesso também podem ser usados para autenticação não interativa, mas são de curta duração e normalmente usados por soluções de automação que integram vários servidores durante um curto período de tempo. Você pode obter um token de acesso com Get-AzAccessToken ou qualquer outro cliente Microsoft Entra.

Para autenticar com um token de acesso, use o --access-token [token] sinalizador. Se a conta com a qual está a iniciar sessão e a subscrição onde está a registar o servidor não estiverem no mesmo inquilino, também tem de fornecer o ID de inquilino da subscrição com --tenant-id [tenant].

Sinalizadores

--access-token

Especifica o token de acesso do Microsoft Entra usado para criar o recurso de servidor habilitado para Azure Arc no Azure. Para obter mais informações, consulte Opções de autenticação.

--automanage-profile

ID de recurso de um perfil de práticas recomendadas do Azure Automanage que será aplicado ao servidor assim que ele estiver conectado ao Azure.

Valor de exemplo: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Especifica a instância de nuvem do Azure. Deve ser usado com a --location bandeira. Se a máquina já estiver conectada ao Azure Arc, o valor padrão será a nuvem à qual o agente já está conectado. Caso contrário, o valor padrão é "AzureCloud".

Valores suportados:

  • AzureCloud (regiões públicas)
  • AzureUSGovernment (regiões do Azure US Government)
  • AzureChinaCloud (Microsoft Azure operado por 21Vianet regiões)

--correlation-id

Identifica o mecanismo que está sendo usado para conectar o servidor ao Azure Arc. Por exemplo, os scripts gerados no portal do Azure incluem um GUID que ajuda a Microsoft a controlar o uso dessa experiência. Esse sinalizador é opcional e usado apenas para fins de telemetria para melhorar sua experiência.

--ignore-network-check

Instrui o agente a continuar a integração mesmo se a verificação de rede para os pontos de extremidade necessários falhar. Você só deve usar essa opção se tiver certeza de que os resultados da verificação de rede estão incorretos. Na maioria dos casos, uma verificação de rede com falha indica que o agente do Azure Connected Machine não funcionará corretamente no servidor.

-l, --location

A região do Azure com a qual verificar a conectividade. Se a máquina já estiver conectada ao Azure Arc, a região atual será selecionada como padrão.

Valor da amostra: westeurope

--private-link-scope

Especifica a ID do recurso do escopo do link privado do Azure Arc a ser associado ao servidor. Esse sinalizador é necessário se você estiver usando pontos de extremidade privados para conectar o servidor ao Azure.

-g, --resource-group

Nome do grupo de recursos do Azure onde você deseja criar o recurso de servidor habilitado para Arco do Azure.

Valor de exemplo: HybridServers

-n, --resource-name

Nome para o recurso de servidor habilitado para Arco do Azure. Por padrão, o nome do recurso é:

  • O ID da instância da AWS, se o servidor estiver na AWS
  • O nome do host para todas as outras máquinas

Você pode substituir o nome padrão por um nome de sua própria escolha para evitar conflitos de nomenclatura. Uma vez escolhido, o nome do recurso do Azure não pode ser alterado sem desconectar e reconectar o agente.

Se você quiser forçar os servidores da AWS a usar o nome do host em vez do ID da instância, passe $(hostname) para que o shell avalie o nome do host atual e passe isso como o novo nome do recurso.

Valor de exemplo: FileServer01

-i, --service-principal-id

Especifica a ID do aplicativo da entidade de serviço usada para criar o recurso de servidor habilitado para Azure Arc no Azure. Deve ser usado com o --tenant-id e ou as --service-principal-secret --service-principal-cert bandeiras. Para obter mais informações, consulte Opções de autenticação.

--service-principal-cert

Especifica o caminho para um arquivo de certificado da entidade de serviço. Deve ser usado com as --service-principal-id bandeiras e --tenant-id . O certificado deve incluir uma chave privada e pode estar em um PKCS #12 (. PFX) ou texto codificado em ASCII (. PEM, . CRT). Não há suporte para arquivos PFX protegidos por senha. Para obter mais informações, consulte Opções de autenticação.

-p, --service-principal-secret

Especifica o segredo da entidade de serviço. Deve ser usado com as --service-principal-id bandeiras e --tenant-id . Para evitar expor o segredo nos logs do console, a Microsoft recomendou fornecer o segredo da entidade de serviço em um arquivo de configuração. Para obter mais informações, consulte Opções de autenticação.

-s, --subscription-id

O nome ou ID da assinatura onde você deseja criar o recurso de servidor habilitado para Arco do Azure.

Valores de amostra: Produção, aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee

--tags

Lista delimitada por vírgulas de marcas a serem aplicadas ao recurso de servidor habilitado para Arco do Azure. Cada tag deve ser especificada no formato: TagName=TagValue. Se o nome ou valor da tag contiver um espaço, use aspas simples ao redor do nome ou valor.

Valor de exemplo: Datacenter=NY3,Application=SharePoint,Owner='Serviços de infraestrutura compartilhada'

-t, --tenant-id

A ID do locatário para a assinatura onde você deseja criar o recurso de servidor habilitado para Arco do Azure. Esse sinalizador é necessário ao autenticar com uma entidade de serviço. Para todos os outros métodos de autenticação, o locatário inicial da conta usada para autenticar com o Azure também é usado para o recurso. Se os locatários da conta e da assinatura forem diferentes (contas de convidado, Lighthouse), você deverá especificar o ID do locatário para esclarecer o locatário onde a assinatura está localizada.

--use-device-code

Gere um código de logon de dispositivo Microsoft Entra que pode ser inserido em um navegador da Web em outro computador para autenticar o agente com o Azure. Para obter mais informações, consulte Opções de autenticação.

--user-tenant-id

A ID do locatário da conta usada para conectar o servidor ao Azure. Este campo é obrigatório quando o locatário da conta de integração não é o mesmo que o locatário desejado para o recurso de servidor habilitado para Arco do Azure.

Sinalizadores comuns disponíveis para todos os comandos

--config

Leva um caminho para um arquivo JSON ou YAML contendo entradas para o comando. O arquivo de configuração deve conter uma série de pares chave-valor em que a chave corresponde a uma opção de linha de comando disponível. Por exemplo, para passar o --verbose sinalizador, o arquivo de configuração teria a seguinte aparência:

{
    "verbose": true
}

Se uma opção de linha de comando for encontrada na invocação de comando e em um arquivo de configuração, o valor especificado na linha de comando terá precedência.

-h, --help

Obtenha ajuda para o comando atual, incluindo suas opções de sintaxe e linha de comando.

-j, --json

Saída do resultado do comando no formato JSON.

--log-stderr

Redirecionar mensagens de erro e detalhadas para o fluxo de erro padrão (stderr). Por padrão, toda a saída é enviada para o fluxo de saída padrão (stdout).

--no-color

Desative a saída de cores para terminais que não suportam cores ANSI.

-v, --verbose

Mostrar informações de log mais detalhadas enquanto o comando é executado. Útil para solucionar problemas ao executar um comando.