Поделиться через

azcmagent disconnect

  • Статья

Удаляет ресурс сервера с поддержкой Azure Arc в облаке и сбрасывает конфигурацию локального агента. Подробные сведения об удалении расширений и отключении и удалении агента см. в статье об удалении агента.

Внимание

При отключении агента от виртуальных машин с поддержкой Arc, работающих в локальной среде Azure, используйте только azcmagent disconnect --force-local-only команду. Использование команды без флага –force-local-only может привести к удалению виртуальной машины Arc в локальной среде Azure как из Azure, так и из локальной среды.

Использование

azcmagent disconnect [authentication] [flags]

Примеры

Отключите сервер с помощью метода входа по умолчанию (интерактивный браузер или код устройства).

azcmagent disconnect

Отключите сервер с помощью субъекта-службы.

azcmagent disconnect --service-principal-id "ID" --service-principal-secret "SECRET"

Отключите сервер, если соответствующий ресурс в Azure уже удален.

azcmagent disconnect --force-local-only

Варианты проверки подлинности

Существует четыре способа предоставления учетных данных проверки подлинности агенту подключенного компьютера Azure. Выберите один параметр проверки подлинности и замените [authentication] раздел в синтаксисе использования рекомендуемыми флагами.

Примечание.

Учетная запись, используемая для отключения сервера, должна быть от того же клиента, что и подписка, в которой зарегистрирован сервер.

Интерактивное имя входа в браузер (только для Windows)

Этот параметр используется по умолчанию в операционных системах Windows с классическим интерфейсом. Откроется страница входа в веб-браузере по умолчанию. Этот параметр может потребоваться, если ваша организация настроила политики условного доступа, требующие входа с доверенных компьютеров.

Для использования интерактивного входа в браузер не требуется флаг.

Имя входа в код устройства

Этот параметр создает код, который можно использовать для входа в веб-браузер на другом устройстве. Это параметр по умолчанию для основных выпусков Windows Server и всех дистрибутивов Linux. При выполнении команды подключения вы должны открыть указанный URL-адрес входа на подключенном к Интернету устройстве и завершить поток входа в течение 5 минут.

Для проверки подлинности с помощью кода устройства используйте --use-device-code флаг.

Субъект-служба с секретом

Субъекты-службы позволяют выполнять проверку подлинности неинтерактивно и часто используются для операций в масштабе, где один и тот же скрипт выполняется на нескольких серверах. Рекомендуется предоставить сведения о субъекте-службе с помощью файла конфигурации (см --config.), чтобы избежать предоставления секрета в журналах консоли. Субъект-служба также должен быть выделен для подключения Arc и иметь как можно меньше разрешений, чтобы ограничить влияние украденных учетных данных.

Чтобы пройти проверку подлинности с помощью секрета, укажите идентификатор приложения, секрет и идентификатор клиента субъекта-службы: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]

Субъект-служба с сертификатом

Проверка подлинности на основе сертификатов — это более безопасный способ проверки подлинности с помощью субъектов-служб. Агент принимает оба пакета PCKS #12 (). PFX- файлы и файлы в кодировке ASCII (например. PEM) с закрытыми и открытыми ключами. Сертификат должен быть доступен на локальном диске, и пользователь, выполняя azcmagent команду, должен иметь доступ на чтение к файлу. Защищенные паролем PFX-файлы не поддерживаются.

Чтобы пройти проверку подлинности с помощью сертификата, укажите идентификатор приложения субъекта-службы, идентификатор клиента и путь к файлу сертификата: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]

Дополнительные сведения см. в статье о создании субъекта-службы для RBAC с проверкой подлинности на основе сертификатов.

Маркер доступа

Маркеры доступа также можно использовать для неинтерактивной проверки подлинности, но обычно используются решениями автоматизации, работающими на нескольких серверах в течение короткого периода времени. Маркер доступа можно получить с помощью Get-AzAccessToken или любого другого клиента Microsoft Entra.

Чтобы пройти проверку подлинности с помощью маркера доступа, используйте --access-token [token] флаг.

Флаги

--access-token

Указывает маркер доступа Microsoft Entra, используемый для создания ресурса сервера с поддержкой Azure Arc в Azure. Дополнительные сведения см. в разделе "Параметры проверки подлинности".

-f, --force-local-only

Отключает сервер без удаления ресурса в Azure. В первую очередь используется, если ресурс Azure был удален, а конфигурация локального агента должна быть удалена.

-i, --service-principal-id

Указывает идентификатор приложения субъекта-службы, используемого для создания ресурса сервера с поддержкой Azure Arc в Azure. Необходимо использовать с --tenant-id флагами или флагами --service-principal-secret --service-principal-cert . Дополнительные сведения см. в разделе "Параметры проверки подлинности".

--service-principal-cert

Указывает путь к файлу сертификата субъекта-службы. Необходимо использовать с --service-principal-id флагами и --tenant-id флагами. Сертификат должен включать закрытый ключ и может находиться в PKCS #12 (). PFX) или текст в кодировке ASCII (). PEM, . Формат CRT. Защищенные паролем PFX-файлы не поддерживаются. Дополнительные сведения см. в разделе "Параметры проверки подлинности".

-p, --service-principal-secret

Указывает секрет субъекта-службы. Необходимо использовать с --service-principal-id флагами и --tenant-id флагами. Чтобы избежать предоставления секрета в журналах консоли, корпорация Майкрософт рекомендует предоставить секрет субъекта-службы в файле конфигурации. Дополнительные сведения см. в разделе "Параметры проверки подлинности".

--use-device-code

Создайте код входа устройства Microsoft Entra, который можно ввести в веб-браузере на другом компьютере для проверки подлинности агента в Azure. Дополнительные сведения см. в разделе "Параметры проверки подлинности".

--user-tenant-id

Идентификатор клиента для учетной записи, используемой для подключения сервера к Azure. Это поле требуется, если клиент учетной записи подключения не совпадает с требуемым клиентом для ресурса сервера с поддержкой Azure Arc.

Общие флаги, доступные для всех команд

--config

Получает путь к JSON-файлу или YAML, содержаму входные данные в команду. Файл конфигурации должен содержать ряд пар "ключ-значение", где ключ соответствует доступному параметру командной строки. Например, чтобы передать --verbose флаг, файл конфигурации будет выглядеть следующим образом:

{
    "verbose": true
}

Если параметр командной строки найден как в вызове команд, так и в файле конфигурации, значение, указанное в командной строке, будет иметь приоритет.

-h, --help

Получите справку по текущей команде, включая его синтаксис и параметры командной строки.

-j, --json

Выводит результат команды в формате JSON.

--log-stderr

Перенаправление ошибок и подробных сообщений в стандартный поток ошибок (stderr). По умолчанию все выходные данные отправляются в стандартный поток выходных данных (stdout).

--no-color

Отключите выходные данные цвета для терминалов, которые не поддерживают цвета ANSI.

-v, --verbose

Отображение более подробных сведений о ведении журнала во время выполнения команды. Полезно для устранения неполадок при выполнении команды.