共用方式為

azcmagent connect

  • 發行項

連線 伺服器到 Azure Arc,方法是在 Azure 中建立伺服器的元數據表示法,並將 Azure 連線的電腦代理程式與其產生關聯。 命令需要租使用者、訂用帳戶和資源群組的相關信息,您可以在其中代表 Azure 中的伺服器,以及具有許可權在該位置中建立已啟用 Azure Arc 的伺服器資源的有效認證。

使用方式

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

範例

使用預設登入方法 連線 伺服器(互動式瀏覽器或裝置程式代碼)。

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

使用服務主體 連線 伺服器。

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

連線 使用私人端點和裝置程式代碼登入方法的伺服器。

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

驗證選項

有四種方式可將驗證認證提供給 Azure 連線的機器代理程式。 選擇一個驗證選項,並將使用語法中的 區段取代 [authentication] 為建議的旗標。

互動式瀏覽器登入 (僅限 Windows)

此選項是 Windows 作業系統上具有桌面體驗的預設值。 它會在預設網頁瀏覽器中開啟登入頁面。 如果您的組織已設定條件式存取原則,要求您從信任的計算機登入,則可能需要此選項。

使用互動式瀏覽器登入不需要旗標。

裝置程式代碼登入

此選項會產生一個程式碼,可用來在另一部裝置上的網頁瀏覽器登入。 這是 Windows Server 核心版本和所有 Linux 發行版的預設選項。 當您執行 connect 命令時,您有 5 分鐘的時間在 Internet 連線的裝置上開啟指定的登入網址,並完成登入流程。

若要使用裝置程式代碼進行驗證,請使用 --use-device-code 旗標。 如果您要登入的帳戶,以及您要註冊伺服器的訂用帳戶不在相同的租使用者中,您也必須使用 --tenant-id [tenant]提供訂用帳戶的租用戶標識符。

具備密碼的服務主體

服務主體可讓您以非互動方式進行驗證,而且通常用於跨多部伺服器執行相同腳本的大規模部署。 Microsoft 建議透過組態檔提供服務主體資訊(請參閱 --config),以避免在任何控制台記錄中公開秘密。 服務主體也應該專用於 Arc 上線,並盡可能擁有較少的許可權,以限制遭竊認證的影響。

若要使用秘密向服務主體進行驗證,請提供服務主體的應用程式識別碼、秘密和租使用者標識碼: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

具有憑證的服務主體

憑證式驗證是使用服務主體進行驗證更安全的方式。 代理程式接受 PCKS #12 (。PFX) 檔案與 ASCII 編碼的檔案(例如 。包含私鑰和公鑰的 PEM。 憑證必須可在本機磁碟上使用,而且執行 azcmagent 命令的使用者需要檔案的讀取許可權。 不支援受密碼保護的 PFX 檔案。

若要使用憑證向服務主體進行驗證,請提供服務主體的應用程式標識碼、租用戶標識元,以及憑證檔案的路徑: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

如需詳細資訊,請參閱 使用憑證式驗證建立 RBAC 的服務主體。

存取權杖

存取令牌也可用於非互動式驗證,但短期使用,通常由自動化解決方案在短時間內將數部伺服器上線使用。 您可以使用 Get-AzAccessToken 或任何其他 Microsoft Entra 用戶端來取得存取令牌

若要使用存取令牌進行驗證,請使用 --access-token [token] 旗標。 如果您要登入的帳戶,以及您要註冊伺服器的訂用帳戶不在相同的租使用者中,您也必須使用 --tenant-id [tenant]提供訂用帳戶的租用戶標識符。

旗標

--access-token

指定用來在 Azure 中建立已啟用 Azure Arc 的伺服器資源的 Microsoft Entra 存取令牌。 如需詳細資訊,請參閱驗證選項

--automanage-profile

Azure Automanage 最佳做法配置檔的資源標識符,一旦連線到 Azure,就會套用至伺服器。

範例值:/providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

指定 Azure 雲端實例。 必須與旗標搭配 --location 使用。 如果機器已經連線到 Azure Arc,預設值就是代理程式已連線的雲端。 否則,預設值為 “AzureCloud”。

支援的值:

  • AzureCloud (公用區域)
  • AzureUSGovernment (Azure 美國政府區域)
  • AzureChinaCloud (由 21Vianet 區域營運的 Microsoft Azure)

--correlation-id

識別用來將伺服器連線到 Azure Arc 的機制。例如,Azure 入口網站 中產生的腳本包含 GUID,可協助 Microsoft 追蹤該體驗的使用方式。 此旗標是選擇性的,僅用於遙測用途,以改善您的體驗。

--ignore-network-check

指示代理程式繼續上線,即使網路檢查所需的端點失敗也一樣。 如果您確定網路檢查結果不正確,您應該只使用此選項。 在大部分情況下,網路檢查失敗表示 Azure 連線 計算機代理程式無法在伺服器上正常運作。

-l, --location

用來檢查連線的 Azure 區域。 如果機器已連線到 Azure Arc,則會選取目前的區域作為預設值。

範例值:westeurope

--private-link-scope

指定要與伺服器建立關聯的 Azure Arc 私人連結範圍資源識別碼。 如果您使用私人端點將伺服器連線到 Azure,則需要此旗標。

-g, --resource-group

您想要在其中建立已啟用 Azure Arc 的伺服器資源的 Azure 資源群組名稱。

範例值:HybridServers

-n, --resource-name

已啟用 Azure Arc 的伺服器資源名稱。 根據預設,資源名稱為:

  • 如果伺服器位於 AWS 上,則 AWS 實例識別碼
  • 所有其他電腦的主機名

您可以使用自己選擇的名稱來覆寫預設名稱,以避免命名衝突。 選擇之後,在中斷連線並重新連線代理程序的情況下,就無法變更 Azure 資源的名稱。

如果您想要強制 AWS 伺服器使用主機名而非實例識別碼,請傳入 $(hostname) ,讓殼層評估目前的主機名,並將該名稱傳遞為新的資源名稱。

範例值:FileServer01

-i, --service-principal-id

指定用來在 Azure 中建立已啟用 Azure Arc 的伺服器資源之服務主體的應用程式識別碼。 必須與和 --service-principal-secret--service-principal-cert 旗標搭配--tenant-id使用。 如需詳細資訊,請參閱驗證選項

--service-principal-cert

指定服務主體憑證檔案的路徑。 必須與和 --tenant-id 旗標搭配--service-principal-id使用。 憑證必須包含私鑰,而且可以位於 PKCS #12 (。PFX) 或 ASCII 編碼的文字 (.Pem。CRT) 格式。 不支援受密碼保護的 PFX 檔案。 如需詳細資訊,請參閱驗證選項

-p, --service-principal-secret

指定服務主體秘密。 必須與和 --tenant-id 旗標搭配--service-principal-id使用。 為了避免在控制台記錄中公開秘密,Microsoft 建議在組態檔中提供服務主體密碼。 如需詳細資訊,請參閱驗證選項

-s, --subscription-id

您想要在其中建立已啟用 Azure Arc 的伺服器資源的訂用帳戶名稱或識別碼。

範例值:Production、aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeeeeee

--tags

要套用至已啟用 Azure Arc 的伺服器資源的標籤逗號分隔清單。 每個標記都應該以下列格式指定:TagName=TagValue。 如果標籤名稱或值包含空格,請使用名稱或值周圍的單引號。

範例值:Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'

-t, --tenant-id

您想要在其中建立已啟用 Azure Arc 的伺服器資源的訂用帳戶租用戶識別碼。 使用服務主體進行驗證時,需要此旗標。 對於所有其他驗證方法,用來向 Azure 進行驗證之帳戶的主租使用者也用於資源。 如果帳戶和訂用帳戶的租使用者不同(來賓帳戶,Lighthouse),您必須指定租使用者標識符,以釐清訂用帳戶所在的租使用者。

--use-device-code

產生可在另一部計算機上的網頁瀏覽器中輸入的 Microsoft Entra 裝置登入代碼,以向 Azure 驗證代理程式。 如需詳細資訊,請參閱驗證選項

--user-tenant-id

用來將伺服器連線到 Azure 之帳戶的租用戶識別碼。 當上線帳戶的租使用者與已啟用 Azure Arc 的伺服器資源所需的租用戶不同時,需要此字段。

適用於所有命令的通用旗標

--config

接受 JSON 或 YAML 檔案的路徑,其中包含命令的輸入。 組態檔應該包含一系列索引鍵/值組,其中索引鍵符合可用的命令行選項。 例如,若要傳入 --verbose 旗標,組態檔看起來會像這樣:

{
    "verbose": true
}

如果在命令調用和組態檔中找到命令行選項,命令行上指定的值會優先。

-h, --help

取得目前命令的說明,包括其語法和命令行選項。

-j, --json

以 JSON 格式輸出命令結果。

--log-stderr

將錯誤和詳細資訊訊息重新導向至標準錯誤 (stderr) 數據流。 根據預設,所有輸出都會傳送至標準輸出 (stdout) 數據流。

--no-color

停用不支援 ANSI 色彩之終端機的色彩輸出。

-v, --verbose

在命令執行時顯示更詳細的記錄資訊。 適用於針對執行命令時的問題進行疑難解答。