Condividi tramite

azcmagent connect

  • Articolo

Connette il server ad Azure Arc creando una rappresentazione dei metadati del server in Azure e associando l'agente del computer connesso di Azure. Il comando richiede informazioni sul tenant, la sottoscrizione e il gruppo di risorse in cui si vuole rappresentare il server in Azure e credenziali valide con le autorizzazioni per creare risorse server abilitate per Azure Arc in tale posizione.

Utilizzo

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Esempi

Connettere un server usando il metodo di accesso predefinito (browser interattivo o codice del dispositivo).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Connettere un server usando un'entità servizio.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Connettere un server usando un endpoint privato e un metodo di accesso al codice del dispositivo.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Opzioni di autenticazione

Esistono quattro modi per fornire le credenziali di autenticazione all'agente del computer connesso di Azure. Scegliere un'opzione di autenticazione e sostituire la [authentication] sezione nella sintassi di utilizzo con i flag consigliati.

Accesso interattivo al browser (solo Windows)

Questa opzione è l'impostazione predefinita nei sistemi operativi Windows con un'esperienza desktop. Viene visualizzata la pagina di accesso nel Web browser predefinito. Questa opzione potrebbe essere necessaria se l'organizzazione ha configurato criteri di accesso condizionale che richiedono l'accesso da computer attendibili.

Non è necessario alcun flag per usare l'account di accesso interattivo del browser.

Accesso al codice del dispositivo

Questa opzione genera un codice che è possibile usare per accedere a un Web browser in un altro dispositivo. Questa è l'opzione predefinita nelle edizioni principali di Windows Server e in tutte le distribuzioni linux. Quando si esegue il comando connect, è necessario avere 5 minuti per aprire l'URL di accesso specificato in un dispositivo connesso a Internet e completare la procedura di accesso.

Per eseguire l'autenticazione con un codice del dispositivo, usare il --use-device-code flag . Se l'account con cui si esegue l'accesso e la sottoscrizione in cui si sta registrando il server non si trovano nello stesso tenant, è necessario specificare anche l'ID tenant per la sottoscrizione con --tenant-id [tenant].

Entità servizio con segreto

Le entità servizio consentono di autenticare in modo non interattivo e vengono spesso usate per le distribuzioni su larga scala in cui lo stesso script viene eseguito su più server. Microsoft consiglia di fornire informazioni sull'entità servizio tramite un file di configurazione (vedere --config) per evitare di esporre il segreto in tutti i log della console. L'entità servizio deve anche essere dedicata per l'onboarding di Arc e avere il minor numero possibile di autorizzazioni, per limitare l'impatto di una credenziale rubata.

Per eseguire l'autenticazione con un'entità servizio usando un segreto, specificare l'ID applicazione, il segreto e l'ID tenant dell'entità servizio: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Entità servizio con certificato

L'autenticazione basata su certificati è un modo più sicuro per eseguire l'autenticazione usando le entità servizio. L'agente accetta sia PCKS #12 (. File PFX) e file con codifica ASCII ,ad esempio . PEM) che contiene sia le chiavi private che pubbliche. Il certificato deve essere disponibile sul disco locale e l'utente che esegue il azcmagent comando richiede l'accesso in lettura al file. I file PFX protetti da password non sono supportati.

Per eseguire l'autenticazione con un'entità servizio usando un certificato, specificare l'ID applicazione, l'ID tenant e il percorso del file di certificato dell'entità servizio: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Per altre informazioni, vedere Creare un'entità servizio per il controllo degli accessi in base al ruolo con l'autenticazione basata su certificati.

Token di accesso

I token di accesso possono essere usati anche per l'autenticazione non interattiva, ma sono di breve durata e in genere usati dalle soluzioni di automazione che eseguono l'onboarding di più server in un breve periodo di tempo. È possibile ottenere un token di accesso con Get-AzAccessToken o qualsiasi altro client Microsoft Entra.

Per eseguire l'autenticazione con un token di accesso, usare il --access-token [token] flag . Se l'account con cui si esegue l'accesso e la sottoscrizione in cui si sta registrando il server non si trovano nello stesso tenant, è necessario specificare anche l'ID tenant per la sottoscrizione con --tenant-id [tenant].

Flag

--access-token

Specifica il token di accesso Microsoft Entra usato per creare la risorsa server abilitata per Azure Arc in Azure. Per ulteriori informazioni consultare Opzioni di autenticazione.

--automanage-profile

ID risorsa di un profilo delle procedure consigliate per la gestione automatica di Azure che verrà applicato al server dopo la connessione ad Azure.

Valore di esempio: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Specifica l'istanza cloud di Azure. Deve essere utilizzato con il --location flag . Se il computer è già connesso ad Azure Arc, il valore predefinito è il cloud a cui l'agente è già connesso. In caso contrario, il valore predefinito è "AzureCloud".

Valori supportati:

  • AzureCloud (aree pubbliche)
  • AzureUSGovernment (aree di Azure US Government)
  • AzureChinaCloud (Microsoft Azure gestito da 21 areeVianet)

--correlation-id

Identifica il meccanismo usato per connettere il server ad Azure Arc. Ad esempio, gli script generati nella portale di Azure includono un GUID che consente a Microsoft di tenere traccia dell'utilizzo di tale esperienza. Questo flag è facoltativo e usato solo per scopi di telemetria per migliorare l'esperienza.

--ignore-network-check

Indica all'agente di continuare l'onboarding anche se il controllo di rete per gli endpoint necessari ha esito negativo. È consigliabile usare questa opzione solo se si è certi che i risultati del controllo di rete non siano corretti. Nella maggior parte dei casi, un controllo di rete non riuscito indica che l'agente di Azure Connected Machine non funzionerà correttamente nel server.

-l, --location

Area di Azure con cui verificare la connettività. Se il computer è già connesso ad Azure Arc, l'area corrente viene selezionata come predefinita.

Valore di esempio: westeurope

--private-link-scope

Specifica l'ID risorsa dell'ambito del collegamento privato di Azure Arc da associare al server. Questo flag è obbligatorio se si usano endpoint privati per connettere il server ad Azure.

-g, --resource-group

Nome del gruppo di risorse di Azure in cui si vuole creare la risorsa server abilitata per Azure Arc.

Valore di esempio: HybridServers

-n, --resource-name

Nome della risorsa server abilitata per Azure Arc. Per impostazione predefinita, il nome della risorsa è:

  • ID dell'istanza di AWS, se il server si trova in AWS
  • Nome host per tutti gli altri computer

È possibile sostituire il nome predefinito con un nome personalizzato per evitare conflitti di denominazione. Dopo aver scelto, il nome della risorsa di Azure non può essere modificato senza disconnettersi e riconnettere l'agente.

Se si vuole forzare i server AWS a usare il nome host anziché l'ID istanza, passare $(hostname) per fare in modo che la shell valuti il nome host corrente e lo passi come nuovo nome di risorsa.

Valore di esempio: FileServer01

-i, --service-principal-id

Specifica l'ID applicazione dell'entità servizio usata per creare la risorsa server abilitata per Azure Arc. Deve essere utilizzato con --tenant-id e i --service-principal-secret flag o --service-principal-cert . Per ulteriori informazioni consultare Opzioni di autenticazione.

--service-principal-cert

Specifica il percorso di un file di certificato dell'entità servizio. Deve essere utilizzato con i --service-principal-id flag e --tenant-id . Il certificato deve includere una chiave privata e può trovarsi in un pkCS #12 (. PFX) o testo con codifica ASCII (. PEM. Formato CRT). I file PFX protetti da password non sono supportati. Per ulteriori informazioni consultare Opzioni di autenticazione.

-p, --service-principal-secret

Specifica il segreto dell'entità servizio. Deve essere utilizzato con i --service-principal-id flag e --tenant-id . Per evitare di esporre il segreto nei log della console, Microsoft consiglia di fornire il segreto dell'entità servizio in un file di configurazione. Per ulteriori informazioni consultare Opzioni di autenticazione.

-s, --subscription-id

Nome o ID della sottoscrizione in cui si vuole creare la risorsa server abilitata per Azure Arc.

Valori di esempio: Production, aaaaa-bbbb-cccc-dddd-eeeeee

--tags

Elenco delimitato da virgole di tag da applicare alla risorsa server abilitata per Azure Arc. Ogni tag deve essere specificato nel formato TagName=TagValue. Se il nome o il valore del tag contiene uno spazio, usare virgolette singole intorno al nome o al valore.

Valore di esempio: Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'

-t, --tenant-id

ID tenant per la sottoscrizione in cui si vuole creare la risorsa server abilitata per Azure Arc. Questo flag è obbligatorio quando si esegue l'autenticazione con un'entità servizio. Per tutti gli altri metodi di autenticazione, viene usato anche il tenant principale dell'account usato per l'autenticazione con Azure per la risorsa. Se i tenant per l'account e la sottoscrizione sono diversi (account guest, Lighthouse), è necessario specificare l'ID tenant per chiarire il tenant in cui si trova la sottoscrizione.

--use-device-code

Generare un codice di accesso al dispositivo Microsoft Entra che può essere immesso in un Web browser in un altro computer per autenticare l'agente con Azure. Per ulteriori informazioni consultare Opzioni di autenticazione.

--user-tenant-id

ID tenant per l'account usato per connettere il server ad Azure. Questo campo è obbligatorio quando il tenant dell'account di onboarding non corrisponde al tenant desiderato per la risorsa server abilitata per Azure Arc.

Flag comuni disponibili per tutti i comandi

--config

Accetta un percorso di un file JSON o YAML contenente input al comando. Il file di configurazione deve contenere una serie di coppie chiave-valore in cui la chiave corrisponde a un'opzione della riga di comando disponibile. Ad esempio, per passare il --verbose flag, il file di configurazione sarà simile al seguente:

{
    "verbose": true
}

Se viene trovata un'opzione della riga di comando sia nella chiamata al comando che in un file di configurazione, il valore specificato nella riga di comando avrà la precedenza.

-h, --help

Ottenere la Guida per il comando corrente, inclusa la sintassi e le opzioni della riga di comando.

-j, --json

Restituire il risultato del comando nel formato JSON.

--log-stderr

Reindirizzare i messaggi di errore e dettagliati al flusso di errore standard (stderr). Per impostazione predefinita, tutto l'output viene inviato al flusso di output standard (stdout).

--no-color

Disabilitare l'output dei colori per i terminali che non supportano i colori ANSI.

-v, --verbose

Visualizzare informazioni di registrazione più dettagliate durante l'esecuzione del comando. Utile per la risoluzione dei problemi durante l'esecuzione di un comando.