Compartilhar via

conexão do azcmagent

  • Artigo

Conecta o servidor ao Azure Arc criando uma representação de metadados do servidor no Azure e associando o agente do computador conectado do Azure a ele. O comando requer informações sobre o locatário, a assinatura e o grupo de recursos em que você deseja representar o servidor no Azure e credenciais válidas com permissões para criar recursos de servidor habilitados para Azure Arc nesse local.

Uso

azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]

Exemplos

Conecte um servidor usando o método de login padrão (navegador interativo ou código do dispositivo).

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code

Conecte um servidor usando uma entidade de serviço.

azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"

Conecte um servidor usando um ponto de extremidade privado e um método de login de código de dispositivo.

azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"

Opções de autenticação

Há quatro maneiras de fornecer credenciais de autenticação para o agente do computador conectado do Azure. Escolha uma opção de autenticação e substitua a [authentication] seção na sintaxe de uso pelos sinalizadores recomendados.

Login interativo do navegador (somente Windows)

Essa opção é o padrão em sistemas operacionais Windows com uma experiência de desktop. A página de login é aberta em seu navegador padrão. Essa opção poderá ser necessária se sua organização tiver configurado políticas de acesso condicional que exigem que você faça logon de computadores confiáveis.

Nenhum sinalizador é necessário para usar o login interativo do navegador.

Login do código do dispositivo

Essa opção gera um código que pode ser usado para fazer login em um navegador da Web em outro dispositivo. Essa é a opção padrão nas edições principais do Windows Server e em todas as distribuições do Linux. Depois de executar o comando connect, você terá 5 minutos para abrir a URL de login especificada em um dispositivo conectado à Internet e concluir o fluxo de login.

Para autenticar com um código de dispositivo, use o --use-device-code sinalizador. Se a conta com a qual você está fazendo logon e a assinatura em que você está registrando o servidor não estiverem no mesmo locatário, você também deverá fornecer a ID do locatário para a assinatura com --tenant-id [tenant].

Entidade de serviço com segredo

As entidades de serviço permitem que você se autentique de forma não interativa e geralmente são usadas para implantações em escala em que o mesmo script é executado em vários servidores. A Microsoft recomenda fornecer informações da entidade de serviço por meio de um arquivo de configuração (consulte --config) para evitar expor o segredo em qualquer log do console. A entidade de serviço também deve ser dedicada à integração do Arc e ter o mínimo de permissões possível, para limitar o impacto de uma credencial roubada.

Para autenticar com uma entidade de serviço usando um segredo, forneça a ID do aplicativo, o segredo e a ID do locatário da entidade de serviço: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Entidade de serviço com certificado

A autenticação baseada em certificado é uma maneira mais segura de autenticar usando entidades de serviço. O agente aceita ambos os arquivos PCKS #12 (. PFX) e arquivos codificados em ASCII (como arquivos . PEM) que contêm as chaves privadas e públicas. O certificado deve estar disponível no disco local e o usuário que executa o azcmagent comando precisa de acesso de leitura ao arquivo. Não há suporte para arquivos PFX protegidos por senha.

Para autenticar com uma entidade de serviço usando um certificado, forneça a ID do aplicativo, a ID do locatário e o caminho para o arquivo de certificado da entidade de serviço: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Para obter mais informações, consulte criar uma entidade de serviço para RBAC com autenticação baseada em certificado.

Token de acesso

Os tokens de acesso também podem ser usados para autenticação não interativa, mas são de curta duração e normalmente usados por soluções de automação que integram vários servidores em um curto período de tempo. Você pode obter um token de acesso com Get-AzAccessToken ou qualquer outro cliente do Microsoft Entra.

Para autenticar com um token de acesso, use o --access-token [token] sinalizador. Se a conta com a qual você está fazendo logon e a assinatura em que você está registrando o servidor não estiverem no mesmo locatário, você também deverá fornecer a ID do locatário para a assinatura com --tenant-id [tenant].

Sinalizadores

--access-token

Especifica o token de acesso do Microsoft Entra usado para criar o recurso de servidor habilitado para Azure Arc no Azure. Para mais informações, consulte opções de autenticação.

--automanage-profile

ID do recurso de um perfil de práticas recomendadas do Gerenciamento Automatizado do Azure que será aplicado ao servidor depois que ele estiver conectado ao Azure.

Valor de exemplo: /providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction

--cloud

Especifica a instância de nuvem do Azure. Deve ser usado com a --location bandeira. Se o computador já estiver conectado ao Azure Arc, o valor padrão será a nuvem à qual o agente já está conectado. Caso contrário, o valor padrão será "AzureCloud".

Valores com suporte:

  • AzureCloud (regiões públicas)
  • AzureUSGovernment (regiões do Azure US Government)
  • AzureChinaCloud (Microsoft Azure operado por regiões da 21Vianet)

--correlation-id

Identifica o mecanismo que está sendo usado para conectar o servidor ao Azure Arc. Por exemplo, os scripts gerados no portal do Azure incluem um GUID que ajuda a Microsoft a rastrear o uso dessa experiência. Esse sinalizador é opcional e usado apenas para fins de telemetria para melhorar sua experiência.

--ignore-network-check

Instrui o agente a continuar a integração mesmo se a verificação de rede para pontos de extremidade necessários falhar. Você só deve usar essa opção se tiver certeza de que os resultados da verificação de rede estão incorretos. Na maioria dos casos, uma verificação de rede com falha indica que o agente do Azure Connected Machine não funcionará corretamente no servidor.

-l, --location

A região do Azure com a qual verificar a conectividade. Se o computador já estiver conectado ao Azure Arc, a região atual será selecionada como padrão.

Valor da amostra: westeurope

--private-link-scope

Especifica a ID do recurso do escopo do link privado do Azure Arc a ser associado ao servidor. Esse sinalizador será necessário se você estiver usando pontos de extremidade privados para conectar o servidor ao Azure.

-g, --resource-group

Nome do grupo de recursos do Azure em que você deseja criar o recurso de servidor habilitado para Azure Arc.

Valor de exemplo: HybridServers

-n, --resource-name

Nome do recurso de servidor habilitado para Azure Arc. Por padrão, o nome do recurso é:

  • O ID da instância da AWS, se o servidor estiver na AWS
  • O nome do host para todas as outras máquinas

Você pode substituir o nome padrão por um nome de sua escolha para evitar conflitos de nomenclatura. Depois de escolhido, o nome do recurso do Azure não pode ser alterado sem desconectar e reconectar o agente.

Se você quiser forçar os servidores da AWS a usar o nome do host em vez do ID da instância, passe $(hostname) para que o shell avalie o nome do host atual e passe-o como o novo nome do recurso.

Valor de exemplo: FileServer01

-i, --service-principal-id

Especifica a ID do aplicativo da entidade de serviço usada para criar o recurso de servidor habilitado para Azure Arc no Azure. Deve ser usado com os --tenant-id sinalizadores e ou --service-principal-cert or--service-principal-secret. Para mais informações, consulte opções de autenticação.

--service-principal-cert

Especifica o caminho para um arquivo de certificado de entidade de serviço. Deve ser usado com os --service-principal-id sinalizadores e --tenant-id . O certificado deve incluir uma chave privada e pode estar em um PKCS #12 (. PFX) ou texto codificado em ASCII (. PEM. CRT). Não há suporte para arquivos PFX protegidos por senha. Para mais informações, consulte opções de autenticação.

-p, --service-principal-secret

Especifica o segredo da entidade de serviço. Deve ser usado com os --service-principal-id sinalizadores e --tenant-id . Para evitar expor o segredo nos logs do console, a Microsoft recomendou fornecer o segredo da entidade de serviço em um arquivo de configuração. Para mais informações, consulte opções de autenticação.

-s, --subscription-id

O nome ou a ID da assinatura em que você deseja criar o recurso de servidor habilitado para Azure Arc.

Valores de amostra: Produção, aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee

--tags

Lista delimitada por vírgulas de marcas a serem aplicadas ao recurso de servidor habilitado para Azure Arc. Cada tag deve ser especificada no formato: TagName=TagValue. Se o nome ou valor da tag contiver um espaço, use aspas simples ao redor do nome ou valor.

Valor de exemplo: Datacenter=NY3,Application=SharePoint,Owner='Serviços de Infraestrutura Compartilhada'

-t, --tenant-id

A ID do locatário da assinatura em que você deseja criar o recurso de servidor habilitado para Azure Arc. Esse sinalizador é necessário ao autenticar com uma entidade de serviço. Para todos os outros métodos de autenticação, o locatário inicial da conta usada para autenticar com o Azure também é usado para o recurso. Se os locatários da conta e da assinatura forem diferentes (contas de convidado, Lighthouse), você deverá especificar a ID do locatário para esclarecer o locatário em que a assinatura está localizada.

--use-device-code

Gere um código de logon do dispositivo Microsoft Entra que pode ser inserido em um navegador da Web em outro computador para autenticar o agente com o Azure. Para mais informações, consulte opções de autenticação.

--user-tenant-id

A ID do locatário da conta usada para conectar o servidor ao Azure. Esse campo é necessário quando o locatário da conta de integração não é o mesmo que o locatário desejado para o recurso de servidor habilitado para Azure Arc.

Sinalizadores comuns disponíveis para todos os comandos

--config

Usa um caminho para um arquivo JSON ou YAML que contém entradas para o comando. O arquivo de configuração deve conter uma série de pares de chave-valor em que a chave corresponde a uma opção de linha de comando disponível. Por exemplo, para passar o --verbose sinalizador, o arquivo de configuração ficaria assim:

{
    "verbose": true
}

Se uma opção de linha de comando for encontrada na chamada de comando e em um arquivo de configuração, o valor especificado na linha de comando terá precedência.

-h, --help

Obtenha ajuda para o comando atual, incluindo sua sintaxe e opções de linha de comando.

-j, --json

Imprima o resultado do comando no formato JSON.

--log-stderr

Redirecione mensagens de erro e detalhadas para o fluxo de erro padrão (stderr). Por padrão, toda a saída é enviada para o fluxo de saída padrão (stdout).

--no-color

Desative a saída de cores para terminais que não suportam cores ANSI.

-v, --verbose

Mostre informações de log mais detalhadas enquanto o comando é executado. Útil para solucionar problemas ao executar um comando.