azcmagent disconnect
Usuwa zasób serwera z obsługą usługi Azure Arc w chmurze i resetuje konfigurację agenta lokalnego. Aby uzyskać szczegółowe informacje na temat usuwania rozszerzeń i odłączania i odinstalowywania agenta, zobacz odinstalowywanie agenta.
Uwaga
Podczas odłączania agenta od maszyn wirtualnych z obsługą usługi Arc działających na platformie Azure Lokalnie azcmagent disconnect --force-local-only
użyj tylko polecenia . Użycie polecenia bez –force-local-only
flagi może spowodować, że maszyna wirtualna usługi Arc na platformie Azure lokalnie zostanie usunięta zarówno z platformy Azure, jak i ze środowiska lokalnego.
Użycie
azcmagent disconnect [authentication] [flags]
Przykłady
Odłącz serwer przy użyciu domyślnej metody logowania (interaktywnej przeglądarki lub kodu urządzenia).
azcmagent disconnect
Odłącz serwer przy użyciu jednostki usługi.
azcmagent disconnect --service-principal-id "ID" --service-principal-secret "SECRET"
Odłącz serwer, jeśli odpowiedni zasób na platformie Azure został już usunięty.
azcmagent disconnect --force-local-only
Opcje uwierzytelniania
Istnieją cztery sposoby dostarczania poświadczeń uwierzytelniania agentowi połączonej maszyny platformy Azure. Wybierz jedną opcję uwierzytelniania i zastąp sekcję [authentication]
w składni użycia zalecanymi flagami.
Uwaga
Konto używane do odłączenia serwera musi pochodzić z tej samej dzierżawy co subskrypcja, w której jest zarejestrowany serwer.
Logowanie interakcyjne przeglądarki (tylko system Windows)
Ta opcja jest domyślna w systemach operacyjnych Windows ze środowiskiem pulpitu. Strona logowania zostanie otwarta w domyślnej przeglądarce internetowej. Ta opcja może być wymagana, jeśli organizacja skonfigurowała zasady dostępu warunkowego, które wymagają zalogowania się z zaufanych maszyn.
Nie jest wymagana flaga do korzystania z logowania przeglądarki interakcyjnej.
Logowanie za pomocą kodu urządzenia
Ta opcja generuje kod, którego można użyć do logowania się w przeglądarce internetowej na innym urządzeniu. Jest to domyślna opcja w wersjach podstawowych systemu Windows Server i wszystkich dystrybucji systemu Linux. Po wykonaniu polecenia connect masz 5 minut, aby otworzyć określony adres URL logowania na urządzeniu połączonym z Internetem i ukończyć przepływ logowania.
Aby uwierzytelnić się przy użyciu kodu urządzenia, użyj flagi --use-device-code
.
Jednostka usługi z wpisem tajnym
Jednostki usługi umożliwiają uwierzytelnianie nieinterakcyjne i są często używane na potrzeby operacji na dużą skalę, w których ten sam skrypt jest uruchamiany na wielu serwerach. Zaleca się podanie informacji o jednostce usługi za pośrednictwem pliku konfiguracji (zobacz --config
), aby uniknąć uwidaczniania wpisu tajnego w dziennikach konsoli. Jednostka usługi powinna być również przeznaczona dla dołączania do usługi Arc i mieć jak najwięcej uprawnień, aby ograniczyć wpływ skradzionego poświadczenia.
Aby uwierzytelnić się za pomocą jednostki usługi przy użyciu wpisu tajnego, podaj identyfikator aplikacji, wpis tajny i identyfikator dzierżawy jednostki usługi: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]
Jednostka usługi z certyfikatem
Uwierzytelnianie oparte na certyfikatach to bezpieczniejszy sposób uwierzytelniania przy użyciu jednostek usługi. Agent akceptuje oba pcKS #12 (. Pliki PFX i pliki zakodowane w formacie ASCII (takie jak . PEM), które zawierają zarówno klucze prywatne, jak i publiczne. Certyfikat musi być dostępny na dysku lokalnym, a użytkownik, na którym uruchomiono azcmagent
polecenie, musi mieć dostęp do odczytu do pliku. Pliki PFX chronione hasłem nie są obsługiwane.
Aby uwierzytelnić się przy użyciu jednostki usługi przy użyciu certyfikatu, podaj identyfikator aplikacji jednostki usługi, identyfikator dzierżawy i ścieżkę do pliku certyfikatu: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]
Aby uzyskać więcej informacji, zobacz create a service principal for RBAC with certificate-based authentication (Tworzenie jednostki usługi dla kontroli dostępu opartej na rolach przy użyciu uwierzytelniania opartego na certyfikatach).
Token dostępu
Tokeny dostępu mogą być również używane do uwierzytelniania nieinterakcyjnego, ale są krótkotrwałe i zwykle używane przez rozwiązania automatyzacji działające na kilku serwerach w krótkim czasie. Token dostępu można uzyskać za pomocą polecenia Get-AzAccessToken lub dowolnego innego klienta firmy Microsoft Entra.
Aby uwierzytelnić się przy użyciu tokenu dostępu, użyj flagi --access-token [token]
.
Flagi
--access-token
Określa token dostępu firmy Microsoft używany do tworzenia zasobu serwera z obsługą usługi Azure Arc na platformie Azure. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
-f
, --force-local-only
Rozłącza serwer bez usuwania zasobu na platformie Azure. Używane głównie wtedy, gdy zasób platformy Azure został usunięty, a konfiguracja agenta lokalnego musi zostać wyczyszczona.
-i
, --service-principal-id
Określa identyfikator aplikacji jednostki usługi używanej do tworzenia zasobu serwera z obsługą usługi Azure Arc na platformie Azure. Należy używać z flagami --tenant-id
i lub --service-principal-secret
--service-principal-cert
. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
--service-principal-cert
Określa ścieżkę do pliku certyfikatu jednostki usługi. Należy używać z flagami --service-principal-id
i --tenant-id
. Certyfikat musi zawierać klucz prywatny i może znajdować się w PKCS #12 (. PLIK PFX) lub tekst zakodowany w formacie ASCII (. PEM. Format CRT). Pliki PFX chronione hasłem nie są obsługiwane. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
-p
, --service-principal-secret
Określa klucz tajny jednostki usługi. Należy używać z flagami --service-principal-id
i --tenant-id
. Aby uniknąć uwidaczniania wpisu tajnego w dziennikach konsoli, firma Microsoft zaleca podanie wpisu tajnego jednostki usługi w pliku konfiguracji. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
--use-device-code
Wygeneruj kod logowania urządzenia Firmy Microsoft Entra, który można wprowadzić w przeglądarce internetowej na innym komputerze w celu uwierzytelnienia agenta na platformie Azure. Aby uzyskać więcej informacji, zobacz opcje uwierzytelniania.
--user-tenant-id
Identyfikator dzierżawy konta używanego do łączenia serwera z platformą Azure. To pole jest wymagane, gdy dzierżawa konta dołączania nie jest taka sama jak żądana dzierżawa zasobu serwera z obsługą usługi Azure Arc.
Typowe flagi dostępne dla wszystkich poleceń
--config
Pobiera ścieżkę do pliku JSON lub YAML zawierającego dane wejściowe do polecenia. Plik konfiguracji powinien zawierać serię par klucz-wartość, w których klucz jest zgodny z dostępną opcją wiersza polecenia. Na przykład aby przekazać flagę --verbose
, plik konfiguracji będzie wyglądać następująco:
{
"verbose": true
}
Jeśli opcja wiersza polecenia zostanie znaleziona zarówno w wywołaniu polecenia, jak i w pliku konfiguracji, wartość określona w wierszu polecenia będzie mieć pierwszeństwo.
-h
, --help
Uzyskaj pomoc dotyczącą bieżącego polecenia, w tym jego składni i opcji wiersza polecenia.
-j
, --json
Wyprowadź polecenie w formacie JSON.
--log-stderr
Przekierowywanie błędów i pełnych komunikatów do strumienia błędu standardowego (stderr). Domyślnie wszystkie dane wyjściowe są wysyłane do standardowego strumienia wyjściowego (stdout).
--no-color
Wyłącz dane wyjściowe kolorów dla terminali, które nie obsługują kolorów ANSI.
-v
, --verbose
Pokaż bardziej szczegółowe informacje rejestrowania podczas wykonywania polecenia. Przydatne do rozwiązywania problemów podczas uruchamiania polecenia.