azcmagent connect

Подключает сервер к Azure Arc, создав представление метаданных сервера в Azure и связав с ним агент подключенного компьютера Azure. Для выполнения команды требуются сведения о клиенте, подписке и группе ресурсов, где требуется представить сервер в Azure и допустимые учетные данные с разрешениями на создание ресурсов сервера с поддержкой Azure Arc в этом расположении.

Использование

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Примеры

Подключите сервер с помощью метода входа по умолчанию (интерактивный браузер или код устройства).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Подключите сервер с помощью субъекта-службы.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Подключите сервер с помощью частной конечной точки и метода входа кода устройства.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Варианты проверки подлинности

Существует четыре способа предоставления учетных данных проверки подлинности агенту подключенного компьютера Azure. Выберите один параметр проверки подлинности и замените [authentication] раздел в синтаксисе использования рекомендуемыми флагами.

Интерактивное имя входа в браузер (только для Windows)

Этот параметр используется по умолчанию в операционных системах Windows с классическим интерфейсом. Откроется страница входа в веб-браузере по умолчанию. Этот параметр может потребоваться, если ваша организация настроила политики условного доступа, требующие входа с доверенных компьютеров.

Для использования интерактивного входа в браузер не требуется флаг.

Имя входа в код устройства

Этот параметр создает код, который можно использовать для входа в веб-браузер на другом устройстве. Это параметр по умолчанию для основных выпусков Windows Server и всех дистрибутивов Linux. При выполнении команды подключения вы должны открыть указанный URL-адрес входа на подключенном к Интернету устройстве и завершить поток входа в течение 5 минут.

Для проверки подлинности с помощью кода устройства используйте --use-device-code флаг. Если учетная запись, в которой выполняется вход, и подписка, в которой вы регистрируете сервер, не в том же клиенте, необходимо также указать идентификатор клиента для подписки --tenant-id [tenant].

Субъект-служба с секретом

Субъекты-службы позволяют выполнять проверку подлинности неинтерактивно и часто используются для масштабируемых развертываний, где один и тот же сценарий выполняется на нескольких серверах. Корпорация Майкрософт рекомендует предоставлять сведения о субъекте-службе через файл конфигурации (см --config.), чтобы избежать предоставления секрета в журналах консоли. Субъект-служба также должен быть выделен для подключения Arc и иметь как можно меньше разрешений, чтобы ограничить влияние украденных учетных данных.

Чтобы пройти проверку подлинности с помощью секрета, укажите идентификатор приложения, секрет и идентификатор клиента субъекта-службы: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Субъект-служба с сертификатом

Проверка подлинности на основе сертификатов — это более безопасный способ проверки подлинности с помощью субъектов-служб. Агент принимает оба пакета PCKS #12 (). PFX- файлы и файлы в кодировке ASCII (например. PEM) с закрытыми и открытыми ключами. Сертификат должен быть доступен на локальном диске, и пользователь, выполняя azcmagent команду, должен иметь доступ на чтение к файлу. Защищенные паролем PFX-файлы не поддерживаются.

Чтобы пройти проверку подлинности с помощью сертификата, укажите идентификатор приложения субъекта-службы, идентификатор клиента и путь к файлу сертификата: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Дополнительные сведения см. в статье о создании субъекта-службы для RBAC с проверкой подлинности на основе сертификатов.

Маркер доступа

Маркеры доступа также можно использовать для неинтерактивной проверки подлинности, но обычно используются решениями автоматизации, подключенными к нескольким серверам в течение короткого периода времени. Маркер доступа можно получить с помощью Get-AzAccessToken или любого другого клиента Microsoft Entra.

Чтобы пройти проверку подлинности с помощью маркера доступа, используйте --access-token [token] флаг. Если учетная запись, в которой выполняется вход, и подписка, в которой вы регистрируете сервер, не в том же клиенте, необходимо также указать идентификатор клиента для подписки --tenant-id [tenant].

Флаги

--access-token

Указывает маркер доступа Microsoft Entra, используемый для создания ресурса сервера с поддержкой Azure Arc в Azure. Дополнительные сведения см. в разделе "Параметры проверки подлинности".

--automanage-profile

Идентификатор ресурса профиля рекомендаций для автоматического управления Azure, который будет применен к серверу после подключения к Azure.

Пример значения: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Указывает экземпляр облака Azure. Необходимо использовать с флагом --location . Если компьютер уже подключен к Azure Arc, значение по умолчанию — это облако, к которому агент уже подключен. В противном случае значение по умолчанию — AzureCloud.

Поддерживаемые значения:

  • AzureCloud (общедоступные регионы)
  • AzureUSGovernment (регионы Azure для государственных организаций США)
  • AzureChinaCloud (Microsoft Azure, обслуживаемая регионами 21Vianet)

--correlation-id

Определяет механизм, используемый для подключения сервера к Azure Arc. Например, скрипты, созданные в портал Azure, включают GUID, который помогает Майкрософт отслеживать использование этого интерфейса. Этот флаг является необязательным и используется только для целей телеметрии для улучшения работы.

--ignore-network-check

Указывает агенту продолжить подключение, даже если проверка сети на наличие необходимых конечных точек завершается ошибкой. Этот параметр следует использовать только в том случае, если вы уверены, что результаты проверки сети неверны. В большинстве случаев сбой проверки сети указывает, что агент подключенного компьютера Azure не работает правильно на сервере.

-l, --location

Регион Azure для проверки подключения. Если компьютер уже подключен к Azure Arc, текущий регион выбран в качестве значения по умолчанию.

Пример значения: westeurope

--private-link-scope

Указывает идентификатор ресурса области приватного канала Azure Arc для связи с сервером. Этот флаг необходим, если вы используете частные конечные точки для подключения сервера к Azure.

-g, --resource-group

Имя группы ресурсов Azure, в которой требуется создать ресурс сервера с поддержкой Azure Arc.

Пример значения: HybridServers

-n, --resource-name

Имя ресурса сервера с поддержкой Azure Arc. По умолчанию имя ресурса:

  • Идентификатор экземпляра AWS, если сервер находится на AWS
  • Имя узла для всех остальных компьютеров

Вы можете переопределить имя по умолчанию с именем собственного выбора, чтобы избежать конфликтов именования. После выбора имя ресурса Azure нельзя изменить без отключения и повторного подключения агента.

Если вы хотите принудительно использовать имя узла, а не идентификатор экземпляра, $(hostname) передайте оболочку текущее имя узла и передайте его в качестве нового имени ресурса.

Пример значения: FileServer01

-i, --service-principal-id

Указывает идентификатор приложения субъекта-службы, используемого для создания ресурса сервера с поддержкой Azure Arc в Azure. Необходимо использовать с --tenant-id флагами или флагами --service-principal-secret --service-principal-cert . Дополнительные сведения см. в разделе "Параметры проверки подлинности".

--service-principal-cert

Указывает путь к файлу сертификата субъекта-службы. Необходимо использовать с --service-principal-id флагами и --tenant-id флагами. Сертификат должен включать закрытый ключ и может находиться в PKCS #12 (). PFX) или текст в кодировке ASCII (). PEM, . Формат CRT. Защищенные паролем PFX-файлы не поддерживаются. Дополнительные сведения см. в разделе "Параметры проверки подлинности".

-p, --service-principal-secret

Указывает секрет субъекта-службы. Необходимо использовать с --service-principal-id флагами и --tenant-id флагами. Чтобы избежать предоставления секрета в журналах консоли, корпорация Майкрософт рекомендует предоставить секрет субъекта-службы в файле конфигурации. Дополнительные сведения см. в разделе "Параметры проверки подлинности".

-s, --subscription-id

Имя или идентификатор подписки, в которой требуется создать ресурс сервера с поддержкой Azure Arc.

Пример значений: Production, aaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee

--tags

Список тегов с разделителями-запятыми для применения к ресурсу сервера с поддержкой Azure Arc. Каждый тег должен быть указан в формате: TagName=TagValue. Если имя или значение тега содержит пробел, используйте одинарные кавычки вокруг имени или значения.

Пример значения: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'

-t, --tenant-id

Идентификатор клиента для подписки, в которой требуется создать ресурс сервера с поддержкой Azure Arc. Этот флаг требуется при проверке подлинности с помощью субъекта-службы. Для всех других методов проверки подлинности домашний клиент учетной записи, используемой для проверки подлинности в Azure, также используется для ресурса. Если клиенты для учетной записи и подписки отличаются (гостевые учетные записи, Lighthouse), необходимо указать идентификатор клиента, чтобы уточнить клиент, где находится подписка.

--use-device-code

Создайте код входа устройства Microsoft Entra, который можно ввести в веб-браузере на другом компьютере для проверки подлинности агента в Azure. Дополнительные сведения см. в разделе "Параметры проверки подлинности".

--user-tenant-id

Идентификатор клиента для учетной записи, используемой для подключения сервера к Azure. Это поле требуется, если клиент учетной записи подключения не совпадает с требуемым клиентом для ресурса сервера с поддержкой Azure Arc.

Общие флаги, доступные для всех команд

--config

Получает путь к JSON-файлу или YAML, содержаму входные данные в команду. Файл конфигурации должен содержать ряд пар "ключ-значение", где ключ соответствует доступному параметру командной строки. Например, чтобы передать --verbose флаг, файл конфигурации будет выглядеть следующим образом:

{
    "verbose": true
}

Если параметр командной строки найден как в вызове команд, так и в файле конфигурации, значение, указанное в командной строке, будет иметь приоритет.

-h, --help

Получите справку по текущей команде, включая его синтаксис и параметры командной строки.

-j, --json

Выводит результат команды в формате JSON.

--log-stderr

Перенаправление ошибок и подробных сообщений в стандартный поток ошибок (stderr). По умолчанию все выходные данные отправляются в стандартный поток выходных данных (stdout).

--no-color

Отключите выходные данные цвета для терминалов, которые не поддерживают цвета ANSI.

-v, --verbose

Отображение более подробных сведений о ведении журнала во время выполнения команды. Полезно для устранения неполадок при выполнении команды.