Bagikan melalui

azcmagent connect

  • Artikel

Menyambungkan server ke Azure Arc dengan membuat representasi metadata server di Azure dan mengaitkan agen komputer yang terhubung dengan Azure. Perintah ini memerlukan informasi tentang penyewa, langganan, dan grup sumber daya tempat Anda ingin mewakili server di Azure dan kredensial yang valid dengan izin untuk membuat sumber daya server dengan dukungan Azure Arc di lokasi tersebut.

Penggunaan

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Contoh

Sambungkan server menggunakan metode masuk default (browser interaktif atau kode perangkat).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Menyambungkan server menggunakan perwakilan layanan.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Sambungkan server menggunakan titik akhir privat dan metode masuk kode perangkat.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Opsi autentikasi

Ada empat cara untuk memberikan kredensial autentikasi ke agen komputer yang terhubung dengan Azure. Pilih satu opsi autentikasi dan ganti bagian [authentication] dalam sintaks penggunaan dengan bendera yang direkomendasikan.

Login browser interaktif (khusus Windows)

Opsi ini adalah default pada sistem operasi Windows dengan pengalaman desktop. Halaman masuk akan terbuka di browser web default Anda. Opsi ini mungkin diperlukan jika organisasi Anda mengonfigurasi kebijakan akses bersyarat yang mengharuskan Anda masuk dari komputer tepercaya.

Tidak ada bendera yang diperlukan untuk menggunakan login browser interaktif.

Login kode perangkat

Opsi ini menghasilkan kode yang dapat Anda gunakan untuk masuk ke browser web di perangkat lain. Ini adalah opsi default pada edisi inti Windows Server dan semua distribusi Linux. Saat menjalankan perintah sambungkan, Anda memiliki waktu 5 menit untuk membuka URL masuk yang ditentukan pada perangkat yang terhubung ke internet dan menyelesaikan alur masuk.

Untuk mengautentikasi dengan kode perangkat, gunakan --use-device-code bendera . Jika akun yang Anda gunakan untuk masuk dan langganan tempat Anda mendaftarkan server tidak berada di penyewa yang sama, Anda juga harus memberikan ID penyewa untuk langganan dengan --tenant-id [tenant].

Perwakilan layanan dengan rahasia

Perwakilan layanan memungkinkan Anda mengautentikasi secara non-interaktif dan sering digunakan untuk penyebaran dalam skala besar di mana skrip yang sama dijalankan di beberapa server. Microsoft merekomendasikan untuk memberikan informasi perwakilan layanan melalui file konfigurasi (lihat --config) untuk menghindari mengekspos rahasia di log konsol apa pun. Perwakilan layanan juga harus didedikasikan untuk orientasi Arc dan memiliki izin sesedikit mungkin, untuk membatasi dampak kredensial yang dicuri.

Untuk mengautentikasi dengan perwakilan layanan menggunakan rahasia, berikan ID aplikasi, rahasia, dan ID penyewa perwakilan layanan: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Perwakilan layanan dengan sertifikat

Autentikasi berbasis sertifikat adalah cara yang lebih aman untuk mengautentikasi menggunakan perwakilan layanan. Agen menerima kedua PCKS #12 (. File PFX) dan file yang dikodekan ASCII (seperti . PEM) yang berisi kunci privat dan publik. Sertifikat harus tersedia pada disk lokal dan pengguna yang menjalankan azcmagent perintah memerlukan akses baca ke file. File PFX yang dilindungi kata sandi tidak didukung.

Untuk mengautentikasi dengan perwakilan layanan menggunakan sertifikat, berikan ID aplikasi, ID penyewa, dan jalur perwakilan layanan ke file sertifikat: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Untuk informasi selengkapnya, lihat membuat perwakilan layanan untuk RBAC dengan autentikasi berbasis sertifikat.

Token akses

Token akses juga dapat digunakan untuk autentikasi non-interaktif, tetapi berumur pendek dan biasanya digunakan oleh solusi otomatisasi onboarding beberapa server dalam waktu singkat. Anda bisa mendapatkan token akses dengan Get-AzAccessToken atau klien Microsoft Entra lainnya.

Untuk mengautentikasi dengan token akses, gunakan --access-token [token] bendera . Jika akun yang Anda gunakan untuk masuk dan langganan tempat Anda mendaftarkan server tidak berada di penyewa yang sama, Anda juga harus memberikan ID penyewa untuk langganan dengan --tenant-id [tenant].

Bendera

--access-token

Menentukan token akses Microsoft Entra yang digunakan untuk membuat sumber daya server dengan dukungan Azure Arc di Azure. Untuk informasi selengkapnya, lihat opsi autentikasi.

--automanage-profile

ID sumber daya profil praktik terbaik Azure Automanage yang akan diterapkan ke server setelah tersambung ke Azure.

Nilai sampel: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Menentukan instans cloud Azure. Harus digunakan dengan --location bendera . Jika komputer sudah tersambung ke Azure Arc, nilai defaultnya adalah cloud tempat agen sudah tersambung. Jika tidak, nilai defaultnya adalah "AzureCloud".

Nilai yang didukung:

  • AzureCloud (wilayah publik)
  • AzureUSGovernment (wilayah Azure Pemerintah AS)
  • AzureChinaCloud (Microsoft Azure yang dioperasikan oleh wilayah 21Vianet)

--correlation-id

Mengidentifikasi mekanisme yang digunakan untuk menyambungkan server ke Azure Arc. Misalnya, skrip yang dihasilkan dalam portal Azure menyertakan GUID yang membantu Microsoft melacak penggunaan pengalaman tersebut. Bendera ini bersifat opsional dan hanya digunakan untuk tujuan telemetri untuk meningkatkan pengalaman Anda.

--ignore-network-check

Menginstruksikan agen untuk terus onboarding meskipun pemeriksaan jaringan untuk titik akhir yang diperlukan gagal. Anda seharusnya hanya menggunakan opsi ini jika Anda yakin bahwa hasil pemeriksaan jaringan salah. Dalam kebanyakan kasus, pemeriksaan jaringan yang gagal menunjukkan bahwa agen Azure Connected Machine tidak akan berfungsi dengan benar di server.

-l, --location

Wilayah Azure untuk memeriksa konektivitas. Jika komputer sudah tersambung ke Azure Arc, wilayah saat ini dipilih sebagai default.

Nilai sampel: westeurope

--private-link-scope

Menentukan ID sumber daya cakupan tautan privat Azure Arc untuk dikaitkan dengan server. Bendera ini diperlukan jika Anda menggunakan titik akhir privat untuk menyambungkan server ke Azure.

-g, --resource-group

Nama grup sumber daya Azure tempat Anda ingin membuat sumber daya server dengan dukungan Azure Arc.

Nilai sampel: HybridServers

-n, --resource-name

Nama untuk sumber daya server dengan dukungan Azure Arc. Secara default, nama sumber dayanya adalah:

  • ID instans AWS, jika server berada di AWS
  • Nama host untuk semua komputer lainnya

Anda dapat mengganti nama default dengan nama pilihan Anda sendiri untuk menghindari konflik penamaan. Setelah dipilih, nama sumber daya Azure tidak dapat diubah tanpa memutuskan sambungan dan menyambungkan kembali agen.

Jika Anda ingin memaksa server AWS untuk menggunakan nama host alih-alih ID instans, teruskan $(hostname) untuk meminta shell mengevaluasi nama host saat ini dan meneruskannya sebagai nama sumber daya baru.

Nilai sampel: FileServer01

-i, --service-principal-id

Menentukan ID aplikasi perwakilan layanan yang digunakan untuk membuat sumber daya server dengan dukungan Azure Arc di Azure. Harus digunakan dengan --tenant-id dan bendera --service-principal-secret atau --service-principal-cert . Untuk informasi selengkapnya, lihat opsi autentikasi.

--service-principal-cert

Menentukan jalur ke file sertifikat perwakilan layanan. Harus digunakan dengan --service-principal-id bendera dan --tenant-id . Sertifikat harus menyertakan kunci privat dan dapat berada dalam PKCS #12 (. Teks yang dikodekan PFX) atau ASCII (. PEM. Format CRT). File PFX yang dilindungi kata sandi tidak didukung. Untuk informasi selengkapnya, lihat opsi autentikasi.

-p, --service-principal-secret

Menentukan rahasia perwakilan layanan. Harus digunakan dengan --service-principal-id bendera dan --tenant-id . Untuk menghindari mengekspos rahasia dalam log konsol, Microsoft merekomendasikan untuk memberikan rahasia perwakilan layanan dalam file konfigurasi. Untuk informasi selengkapnya, lihat opsi autentikasi.

-s, --subscription-id

Nama langganan atau ID tempat Anda ingin membuat sumber daya server dengan dukungan Azure Arc.

Nilai sampel: Production, aaaaaaaaaa-bbbb-cc-dddd-eeeeeeeeeeee

--tags

Daftar tag yang dibatasi koma untuk diterapkan ke sumber daya server dengan dukungan Azure Arc. Setiap tag harus ditentukan dalam format: TagName=TagValue. Jika nama atau nilai tag berisi spasi, gunakan tanda kutip tunggal di sekitar nama atau nilai.

Nilai sampel: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'

-t, --tenant-id

ID penyewa untuk langganan tempat Anda ingin membuat sumber daya server dengan dukungan Azure Arc. Bendera ini diperlukan saat mengautentikasi dengan perwakilan layanan. Untuk semua metode autentikasi lainnya, penyewa beranda akun yang digunakan untuk mengautentikasi dengan Azure juga digunakan untuk sumber daya. Jika penyewa untuk akun dan langganan berbeda (akun tamu, Lighthouse), Anda harus menentukan ID penyewa untuk mengklarifikasi penyewa tempat langganan berada.

--use-device-code

Buat kode masuk perangkat Microsoft Entra yang dapat dimasukkan di browser web di komputer lain untuk mengautentikasi agen dengan Azure. Untuk informasi selengkapnya, lihat opsi autentikasi.

--user-tenant-id

ID penyewa untuk akun yang digunakan untuk menyambungkan server ke Azure. Bidang ini diperlukan ketika penyewa akun onboarding tidak sama dengan penyewa yang diinginkan untuk sumber daya server dengan dukungan Azure Arc.

Bendera umum tersedia untuk semua perintah

--config

Mengambil jalur ke file JSON atau YAML yang berisi input ke perintah . File konfigurasi harus berisi serangkaian pasangan kunci-nilai di mana kunci cocok dengan opsi baris perintah yang tersedia. Misalnya, untuk meneruskan --verbose bendera, file konfigurasi akan terlihat seperti:

{
    "verbose": true
}

Jika opsi baris perintah ditemukan dalam pemanggilan perintah dan file konfigurasi, nilai yang ditentukan pada baris perintah akan diutamakan.

-h, --help

Dapatkan bantuan untuk perintah saat ini, termasuk sintaksis dan opsi baris perintahnya.

-j, --json

Output perintah menghasilkan format JSON.

--log-stderr

Alihkan kesalahan dan pesan verbose ke aliran kesalahan standar (stderr). Secara default, semua output dikirim ke aliran output standar (stdout).

--no-color

Nonaktifkan output warna untuk terminal yang tidak mendukung warna ANSI.

-v, --verbose

Tampilkan informasi pengelogan yang lebih rinci saat perintah dijalankan. Berguna untuk memecahkan masalah saat menjalankan perintah.