azcmagent connect
Подключение сервер в Azure Arc, создав представление метаданных сервера в Azure и связав с ним агент подключенного компьютера Azure. Для выполнения команды требуются сведения о клиенте, подписке и группе ресурсов, где требуется представить сервер в Azure и допустимые учетные данные с разрешениями на создание ресурсов сервера с поддержкой Azure Arc в этом расположении.
Использование
azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]
Примеры
Подключение сервер с помощью метода входа по умолчанию (интерактивный браузер или код устройства).
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code
Подключение сервер с помощью субъекта-службы.
azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"
Подключение сервер с помощью частной конечной точки и метода входа кода устройства.
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"
Варианты проверки подлинности
Существует четыре способа предоставления учетных данных проверки подлинности агенту подключенного компьютера Azure. Выберите один параметр проверки подлинности и замените [authentication] раздел в синтаксисе использования рекомендуемыми флагами.
Интерактивное имя входа в браузер (только для Windows)
Этот параметр используется по умолчанию в операционных системах Windows с классическим интерфейсом. Откроется страница входа в веб-браузере по умолчанию. Этот параметр может потребоваться, если ваша организация настроила политики условного доступа, требующие входа с доверенных компьютеров.
Для использования интерактивного входа в браузер не требуется флаг.
Имя входа в код устройства
Этот параметр создает код, который можно использовать для входа в веб-браузер на другом устройстве. Это параметр по умолчанию для основных выпусков Windows Server и всех дистрибутивов Linux. При выполнении команды подключения вы должны открыть указанный URL-адрес входа на подключенном к Интернету устройстве и завершить поток входа в течение 5 минут.
Для проверки подлинности с помощью кода устройства используйте --use-device-code флаг. Если учетная запись, в которой выполняется вход, и подписка, в которой вы регистрируете сервер, не в том же клиенте, необходимо также указать идентификатор клиента для подписки --tenant-id [tenant].
Субъект-служба с секретом
Субъекты-службы позволяют выполнять проверку подлинности неинтерактивно и часто используются для масштабируемых развертываний, где один и тот же сценарий выполняется на нескольких серверах. Корпорация Майкрософт рекомендует предоставлять сведения о субъекте-службе через файл конфигурации (см --config.), чтобы избежать предоставления секрета в журналах консоли. Субъект-служба также должен быть выделен для подключения Arc и иметь как можно меньше разрешений, чтобы ограничить влияние украденных учетных данных.
Чтобы пройти проверку подлинности с помощью секрета, укажите идентификатор приложения, секрет и идентификатор клиента субъекта-службы: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]
Субъект-служба с сертификатом
Проверка подлинности на основе сертификатов — это более безопасный способ проверки подлинности с помощью субъектов-служб. Агент принимает оба пакета PCKS #12 (). PFX- файлы и файлы в кодировке ASCII (например. PEM) с закрытыми и открытыми ключами. Сертификат должен быть доступен на локальном диске, и пользователь, выполняя azcmagent команду, должен иметь доступ на чтение к файлу. Защищенные паролем PFX-файлы не поддерживаются.
Чтобы пройти проверку подлинности с помощью сертификата, укажите идентификатор приложения субъекта-службы, идентификатор клиента и путь к файлу сертификата: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]
Дополнительные сведения см. в статье о создании субъекта-службы для RBAC с проверкой подлинности на основе сертификатов.
Маркер доступа
Маркеры доступа также можно использовать для неинтерактивной проверки подлинности, но обычно используются решениями автоматизации, подключенными к нескольким серверам в течение короткого периода времени. Маркер доступа можно получить с помощью Get-AzAccessToken или любого другого клиента Microsoft Entra.
Чтобы пройти проверку подлинности с помощью маркера доступа, используйте --access-token [token] флаг. Если учетная запись, в которой выполняется вход, и подписка, в которой вы регистрируете сервер, не в том же клиенте, необходимо также указать идентификатор клиента для подписки --tenant-id [tenant].
Флаги
--access-token
Указывает маркер доступа Microsoft Entra, используемый для создания ресурса сервера с поддержкой Azure Arc в Azure. Дополнительные сведения см. в разделе "Параметры проверки подлинности".
--automanage-profile
Идентификатор ресурса профиля рекомендаций для автоматического управления Azure, который будет применен к серверу после подключения к Azure.
Пример значения: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction
--cloud
Указывает экземпляр облака Azure. Необходимо использовать с флагом --location . Если компьютер уже подключен к Azure Arc, значение по умолчанию — это облако, к которому агент уже подключен. В противном случае значение по умолчанию — AzureCloud.
Поддерживаемые значения:
- AzureCloud (общедоступные регионы)
- AzureUSGovernment (регионы Azure для государственных организаций США)
- AzureChinaCloud (Microsoft Azure, обслуживаемая регионами 21Vianet)
--correlation-id
Определяет механизм, используемый для подключения сервера к Azure Arc. Например, скрипты, созданные в портал Azure, включают GUID, который помогает Майкрософт отслеживать использование этого интерфейса. Этот флаг является необязательным и используется только для целей телеметрии для улучшения работы.
--ignore-network-check
Указывает агенту продолжить подключение, даже если сеть проверка для необходимых конечных точек завершается сбоем. Этот параметр следует использовать только в том случае, если вы уверены, что результаты проверка сети неверны. В большинстве случаев сбой сети проверка указывает, что агент Подключение компьютера Azure не работает правильно на сервере.
-l, --location
Регион Azure для проверка подключения. Если компьютер уже подключен к Azure Arc, текущий регион выбран в качестве значения по умолчанию.
Пример значения: westeurope
--private-link-scope
Указывает идентификатор ресурса приватного канала Azure Arc область для связи с сервером. Этот флаг необходим, если вы используете частные конечные точки для подключения сервера к Azure.
-g, --resource-group
Имя группы ресурсов Azure, в которой требуется создать ресурс сервера с поддержкой Azure Arc.
Пример значения: HybridServers
-n, --resource-name
Имя ресурса сервера с поддержкой Azure Arc. По умолчанию имя ресурса:
- Идентификатор экземпляра AWS, если сервер находится на AWS
- Имя узла для всех остальных компьютеров
Вы можете переопределить имя по умолчанию с именем собственного выбора, чтобы избежать конфликтов именования. После выбора имя ресурса Azure нельзя изменить без отключения и повторного подключения агента.
Если вы хотите принудительно использовать имя узла, а не идентификатор экземпляра, $(hostname) передайте оболочку текущее имя узла и передайте его в качестве нового имени ресурса.
Пример значения: FileServer01
-i, --service-principal-id
Указывает идентификатор приложения субъекта-службы, используемого для создания ресурса сервера с поддержкой Azure Arc в Azure. Необходимо использовать с --tenant-id флагами или флагами --service-principal-secret--service-principal-cert . Дополнительные сведения см. в разделе "Параметры проверки подлинности".
--service-principal-cert
Указывает путь к файлу сертификата субъекта-службы. Необходимо использовать с --service-principal-id флагами и --tenant-id флагами. Сертификат должен включать закрытый ключ и может находиться в PKCS #12 (). PFX) или текст в кодировке ASCII (). PEM. Формат CRT. Защищенные паролем PFX-файлы не поддерживаются. Дополнительные сведения см. в разделе "Параметры проверки подлинности".
-p, --service-principal-secret
Указывает секрет субъекта-службы. Необходимо использовать с --service-principal-id флагами и --tenant-id флагами. Чтобы избежать предоставления секрета в журналах консоли, корпорация Майкрософт рекомендует предоставить секрет субъекта-службы в файле конфигурации. Дополнительные сведения см. в разделе "Параметры проверки подлинности".
-s, --subscription-id
Имя или идентификатор подписки, в которой требуется создать ресурс сервера с поддержкой Azure Arc.
Пример значений: Production, aaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee
--tags
Список тегов с разделителями-запятыми для применения к ресурсу сервера с поддержкой Azure Arc. Каждый тег должен быть указан в формате: TagName=TagValue. Если имя или значение тега содержит пробел, используйте одинарные кавычки вокруг имени или значения.
Пример значения: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'
-t, --tenant-id
Идентификатор клиента для подписки, в которой требуется создать ресурс сервера с поддержкой Azure Arc. Этот флаг требуется при проверке подлинности с помощью субъекта-службы. Для всех других методов проверки подлинности домашний клиент учетной записи, используемой для проверки подлинности в Azure, также используется для ресурса. Если клиенты для учетной записи и подписки отличаются (гостевые учетные записи, Lighthouse), необходимо указать идентификатор клиента, чтобы уточнить клиент, где находится подписка.
--use-device-code
Создайте код входа устройства Microsoft Entra, который можно ввести в веб-браузере на другом компьютере для проверки подлинности агента в Azure. Дополнительные сведения см. в разделе "Параметры проверки подлинности".
--user-tenant-id
Идентификатор клиента для учетной записи, используемой для подключения сервера к Azure. Это поле требуется, если клиент учетной записи подключения не совпадает с требуемым клиентом для ресурса сервера с поддержкой Azure Arc.
Общие флаги, доступные для всех команд
--config
Получает путь к JSON-файлу или YAML, содержаму входные данные в команду. Файл конфигурации должен содержать ряд пар "ключ-значение", где ключ соответствует доступному параметру командной строки. Например, чтобы передать --verbose флаг, файл конфигурации будет выглядеть следующим образом:
{
"verbose": true
}
Если параметр командной строки найден как в вызове команд, так и в файле конфигурации, значение, указанное в командной строке, будет иметь приоритет.
-h, --help
Получите справку по текущей команде, включая его синтаксис и параметры командной строки.
-j, --json
Выводит результат команды в формате JSON.
--log-stderr
Перенаправление ошибок и подробных сообщений в стандартный поток ошибок (stderr). По умолчанию все выходные данные отправляются в стандартный поток выходных данных (stdout).
--no-color
Отключите выходные данные цвета для терминалов, которые не поддерживают цвета ANSI.
-v, --verbose
Отображение более подробных сведений о ведении журнала во время выполнения команды. Полезно для устранения неполадок при выполнении команды.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по