Dela via

azcmagent connect

  • Artikel

Anslut servern till Azure Arc genom att skapa en metadatarepresentation av servern i Azure och associera Den Azure-anslutna datoragenten med den. Kommandot kräver information om klientorganisationen, prenumerationen och resursgruppen där du vill representera servern i Azure och giltiga autentiseringsuppgifter med behörighet att skapa Azure Arc-aktiverade serverresurser på den platsen.

Användning

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Exempel

Anslut en server med standardinloggningsmetoden (interaktiv webbläsare eller enhetskod).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Anslut en server med hjälp av tjänstens huvudnamn.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Anslut en server med hjälp av en inloggningsmetod för privat slutpunkt och enhetskod.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Autentiseringsalternativ

Det finns fyra sätt att ange autentiseringsuppgifter för den Azure-anslutna datoragenten. Välj ett autentiseringsalternativ och ersätt [authentication] avsnittet i användningssyntaxen med de rekommenderade flaggorna.

Interaktiv webbläsarinloggning (endast Windows)

Det här alternativet är standardinställningen för Windows-operativsystem med skrivbordsmiljö. Inloggningssidan öppnas i standardwebbläsaren. Det här alternativet kan krävas om din organisation har konfigurerat principer för villkorlig åtkomst som kräver att du loggar in från betrodda datorer.

Ingen flagga krävs för att använda den interaktiva webbläsarinloggningen.

Inloggning med enhetskod

Det här alternativet genererar en kod som du kan använda för att logga in på en webbläsare på en annan enhet. Det här är standardalternativet för Windows Server Core-utgåvor och alla Linux-distributioner. När du kör anslutningskommandot har du 5 minuter på dig att öppna den angivna inloggnings-URL:en på en Internetansluten enhet och slutföra inloggningsflödet.

Om du vill autentisera med en enhetskod använder du --use-device-code flaggan. Om kontot du loggar in med och prenumerationen där du registrerar servern inte finns i samma klientorganisation måste du även ange klientorganisations-ID:t för prenumerationen med --tenant-id [tenant].

Tjänstens huvudnamn med hemlighet

Med tjänstens huvudnamn kan du autentisera icke-interaktivt och används ofta för distributioner i stor skala där samma skript körs på flera servrar. Microsoft rekommenderar att du tillhandahåller information om tjänstens huvudnamn via en konfigurationsfil (se --config) för att undvika att exponera hemligheten i konsolloggar. Tjänstens huvudnamn bör också vara dedikerat för Arc-registrering och ha så få behörigheter som möjligt för att begränsa effekten av en stulen autentiseringsuppgift.

Om du vill autentisera med ett huvudnamn för tjänsten med hjälp av en hemlighet anger du tjänstens huvudnamns program-ID, hemlighet och klient-ID: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Tjänstens huvudnamn med certifikat

Certifikatbaserad autentisering är ett säkrare sätt att autentisera med hjälp av tjänstens huvudnamn. Agenten accepterar båda PCKS #12 (. PFX-filer och ASCII-kodade filer (till exempel . PEM) som innehåller både privata och offentliga nycklar. Certifikatet måste vara tillgängligt på den lokala disken och användaren som kör azcmagent kommandot måste ha läsbehörighet till filen. Lösenordsskyddade PFX-filer stöds inte.

Om du vill autentisera med ett huvudnamn för tjänsten med hjälp av ett certifikat anger du tjänstens huvudnamns program-ID, klient-ID och sökväg till certifikatfilen: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Mer information finns i skapa ett huvudnamn för tjänsten för RBAC med certifikatbaserad autentisering.

Åtkomsttoken

Åtkomsttoken kan också användas för icke-interaktiv autentisering, men är kortvariga och används vanligtvis av automationslösningar som registrerar flera servrar under en kort tidsperiod. Du kan hämta en åtkomsttoken med Get-AzAccessToken eller någon annan Microsoft Entra-klient.

Om du vill autentisera med en åtkomsttoken använder du --access-token [token] flaggan. Om kontot du loggar in med och prenumerationen där du registrerar servern inte finns i samma klientorganisation måste du även ange klientorganisations-ID:t för prenumerationen med --tenant-id [tenant].

Flaggor

--access-token

Anger den Microsoft Entra-åtkomsttoken som används för att skapa den Azure Arc-aktiverade serverresursen i Azure. Mer information finns i autentiseringsalternativ.

--automanage-profile

Resurs-ID för en profil för metodtips för Azure Automanage som ska tillämpas på servern när den är ansluten till Azure.

Exempelvärde: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Anger Azure-molninstansen. Måste användas med --location flaggan. Om datorn redan är ansluten till Azure Arc är standardvärdet det moln som agenten redan är ansluten till. Annars är standardvärdet "AzureCloud".

Värden som stöds:

  • AzureCloud (offentliga regioner)
  • AzureUSGovernment (Azure US Government-regioner)
  • AzureChinaCloud (Microsoft Azure drivs av 21Vianet-regioner)

--correlation-id

Identifierar den mekanism som används för att ansluta servern till Azure Arc. Skript som genereras i Azure-portalen innehåller till exempel ett GUID som hjälper Microsoft att spåra användningen av den upplevelsen. Den här flaggan är valfri och används endast i telemetrisyfte för att förbättra din upplevelse.

--ignore-network-check

Instruerar agenten att fortsätta registreringen även om nätverkskontrollen efter nödvändiga slutpunkter misslyckas. Du bör bara använda det här alternativet om du är säker på att resultaten för nätverkskontrollen är felaktiga. I de flesta fall indikerar en misslyckad nätverkskontroll att Azure Anslut ed Machine-agenten inte fungerar korrekt på servern.

-l, --location

Azure-regionen att kontrollera anslutningen med. Om datorn redan är ansluten till Azure Arc väljs den aktuella regionen som standard.

Exempelvärde: westeurope

--private-link-scope

Anger resurs-ID för det privata Azure Arc-länkomfånget som ska associeras med servern. Den här flaggan krävs om du använder privata slutpunkter för att ansluta servern till Azure.

-g, --resource-group

Namnet på den Azure-resursgrupp där du vill skapa den Azure Arc-aktiverade serverresursen.

Exempelvärde: HybridServers

-n, --resource-name

Namn på den Azure Arc-aktiverade serverresursen. Som standard är resursnamnet:

  • AWS-instans-ID om servern finns på AWS
  • Värdnamnet för alla andra datorer

Du kan åsidosätta standardnamnet med ett eget namn som du väljer för att undvika namngivningskonflikter. När du har valt det går det inte att ändra namnet på Azure-resursen utan att koppla från och ansluta agenten igen.

Om du vill tvinga AWS-servrar att använda värdnamnet i stället för instans-ID:t skickar du in $(hostname) för att låta gränssnittet utvärdera det aktuella värdnamnet och skicka in det som det nya resursnamnet.

Exempelvärde: FileServer01

-i, --service-principal-id

Anger program-ID för tjänstens huvudnamn som används för att skapa den Azure Arc-aktiverade serverresursen i Azure. Måste användas med flaggorna --tenant-id--service-principal-secret och eller --service-principal-cert . Mer information finns i autentiseringsalternativ.

--service-principal-cert

Anger sökvägen till en certifikatfil för tjänstens huvudnamn. Måste användas med flaggorna --service-principal-id och --tenant-id . Certifikatet måste innehålla en privat nyckel och kan finnas i en PKCS #12 (. PFX) eller ASCII-kodad text (. PEM. CRT)-format. Lösenordsskyddade PFX-filer stöds inte. Mer information finns i autentiseringsalternativ.

-p, --service-principal-secret

Anger tjänstens huvudnamnshemlighet. Måste användas med flaggorna --service-principal-id och --tenant-id . För att undvika att exponera hemligheten i konsolloggar rekommenderar Microsoft att du tillhandahåller tjänstens huvudnamnshemlighet i en konfigurationsfil. Mer information finns i autentiseringsalternativ.

-s, --subscription-id

Prenumerationsnamnet eller ID:t där du vill skapa den Azure Arc-aktiverade serverresursen.

Exempelvärden: Produktion, aaaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee

--tags

Kommaavgränsad lista över taggar som ska tillämpas på den Azure Arc-aktiverade serverresursen. Varje tagg ska anges i formatet: TagName=TagValue. Om taggnamnet eller värdet innehåller ett blanksteg använder du enkla citattecken runt namnet eller värdet.

Exempelvärde: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'

-t, --tenant-id

Klientorganisations-ID:t för prenumerationen där du vill skapa den Azure Arc-aktiverade serverresursen. Den här flaggan krävs när du autentiserar med tjänstens huvudnamn. För alla andra autentiseringsmetoder används även hemklientorganisationen för det konto som används för att autentisera med Azure för resursen. Om klientorganisationen för kontot och prenumerationen skiljer sig (gästkonton, Lighthouse) måste du ange klientorganisations-ID:t för att klargöra klientorganisationen där prenumerationen finns.

--use-device-code

Generera en Inloggningskod för Microsoft Entra-enheter som kan anges i en webbläsare på en annan dator för att autentisera agenten med Azure. Mer information finns i autentiseringsalternativ.

--user-tenant-id

Klientorganisations-ID:t för det konto som används för att ansluta servern till Azure. Det här fältet krävs när klientorganisationen för registreringskontot inte är samma som den önskade klientorganisationen för den Azure Arc-aktiverade serverresursen.

Vanliga flaggor som är tillgängliga för alla kommandon

--config

Tar in en sökväg till en JSON- eller YAML-fil som innehåller indata till kommandot. Konfigurationsfilen ska innehålla en serie nyckel/värde-par där nyckeln matchar ett tillgängligt kommandoradsalternativ. Om du till exempel vill skicka in --verbose flaggan ser konfigurationsfilen ut så här:

{
    "verbose": true
}

Om ett kommandoradsalternativ finns i både kommandoanropet och en konfigurationsfil har det värde som anges på kommandoraden företräde.

-h, --help

Få hjälp för det aktuella kommandot, inklusive dess syntax och kommandoradsalternativ.

-j, --json

Mata ut kommandoresultatet i JSON-format.

--log-stderr

Omdirigeringsfel och utförliga meddelanden till standardfelströmmen (stderr). Som standard skickas alla utdata till standardutdataströmmen (stdout).

--no-color

Inaktivera färgutdata för terminaler som inte stöder ANSI-färger.

-v, --verbose

Visa mer detaljerad loggningsinformation medan kommandot körs. Användbart för felsökning av problem när du kör ett kommando.