azcmagent connect
藉由在 Azure 中建立伺服器的元數據表示法,並將 Azure 連線的電腦代理程式與其產生關聯,將伺服器連線到 Azure Arc。 命令需要租使用者、訂用帳戶和資源群組的相關信息,您可以在其中代表 Azure 中的伺服器,以及具有許可權在該位置中建立已啟用 Azure Arc 的伺服器資源的有效認證。
使用方式
azcmagent connect [authentication] --subscription-id [subscription] --resource-group [resourcegroup] --location [region] [flags]
範例
使用預設登入方法連接伺服器(互動式瀏覽器或裝置程式代碼)。
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus"
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "eastus" --use-device-code
使用服務主體連接伺服器。
azcmagent connect --subscription-id "aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee" --resource-group "HybridServers" --location "australiaeast" --service-principal-id "ID" --service-principal-secret "SECRET" --tenant-id "TENANT"
使用私人端點和裝置程式代碼登入方法連接伺服器。
azcmagent connect --subscription-id "Production" --resource-group "HybridServers" --location "koreacentral" --use-device-code --private-link-scope "/subscriptions/.../Microsoft.HybridCompute/privateLinkScopes/ScopeName"
驗證選項
有四種方式可將驗證認證提供給 Azure 連線的機器代理程式。 選擇一個驗證選項,並將使用語法中的 區段取代 [authentication]
為建議的旗標。
互動式瀏覽器登入 (僅限 Windows)
此選項是 Windows 作業系統上具有桌面體驗的預設值。 它會在預設網頁瀏覽器中開啟登入頁面。 如果您的組織已設定條件式存取原則,要求您從信任的計算機登入,則可能需要此選項。
使用互動式瀏覽器登入不需要旗標。
裝置程式代碼登入
此選項會產生一個程式碼,可用來在另一部裝置上的網頁瀏覽器登入。 這是 Windows Server 核心版本和所有 Linux 發行版的預設選項。 當您執行 connect 命令時,您有 5 分鐘的時間在 Internet 連線的裝置上開啟指定的登入網址,並完成登入流程。
若要使用裝置程式代碼進行驗證,請使用 --use-device-code
旗標。 如果您要登入的帳戶,以及您要註冊伺服器的訂用帳戶不在相同的租使用者中,您也必須使用 --tenant-id [tenant]
提供訂用帳戶的租用戶標識符。
具備密碼的服務主體
服務主體可讓您以非互動方式進行驗證,而且通常用於跨多部伺服器執行相同腳本的大規模部署。 Microsoft建議透過組態檔提供服務主體資訊(請參閱 --config
),以避免在任何控制台記錄中公開秘密。 服務主體也應該專用於 Arc 上線,並盡可能擁有較少的許可權,以限制遭竊認證的影響。
若要使用秘密向服務主體進行驗證,請提供服務主體的應用程式識別碼、秘密和租使用者標識碼: --service-principal-id [appid] --service-principal-secret [secret] --tenant-id [tenantid]
具有憑證的服務主體
憑證式驗證是使用服務主體進行驗證更安全的方式。 代理程式接受 PCKS #12 (。PFX) 檔案與 ASCII 編碼的檔案(例如 。包含私鑰和公鑰的 PEM。 憑證必須可在本機磁碟上使用,而且執行 azcmagent
命令的使用者需要檔案的讀取許可權。 不支援受密碼保護的 PFX 檔案。
若要使用憑證向服務主體進行驗證,請提供服務主體的應用程式標識碼、租用戶標識元,以及憑證檔案的路徑: --service-principal-id [appId] --service-principal-cert [pathToPEMorPFXfile] --tenant-id [tenantid]
如需詳細資訊,請參閱 使用憑證式驗證建立 RBAC 的服務主體。
存取權杖
存取令牌也可用於非互動式驗證,但短期使用,通常由自動化解決方案在短時間內將數部伺服器上線使用。 您可以使用 Get-AzAccessToken 或任何其他Microsoft Entra 用戶端來取得存取令牌。
若要使用存取令牌進行驗證,請使用 --access-token [token]
旗標。 如果您要登入的帳戶,以及您要註冊伺服器的訂用帳戶不在相同的租使用者中,您也必須使用 --tenant-id [tenant]
提供訂用帳戶的租用戶標識符。
旗標
--access-token
指定用來在 Azure 中建立已啟用 Azure Arc 的伺服器資源的Microsoft Entra 存取令牌。 如需詳細資訊,請參閱驗證選項。
--automanage-profile
Azure Automanage 最佳做法配置檔的資源標識符,一旦連線到 Azure,就會套用至伺服器。
範例值:/providers/Microsoft.Automanage/bestPractices/AzureBestPracticesProduction
--cloud
指定 Azure 雲端實例。 必須與旗標搭配 --location
使用。 如果機器已經連線到 Azure Arc,預設值就是代理程式已連線的雲端。 否則,預設值為 “AzureCloud”。
支援的值:
- AzureCloud (公用區域)
- AzureUSGovernment (Azure 美國政府區域)
- AzureChinaCloud (Microsoft由 21Vianet 區域運作的 Azure)
--correlation-id
識別用來將伺服器連線到 Azure Arc 的機制。例如,Azure 入口網站 中產生的腳本包含 GUID,可協助Microsoft追蹤該體驗的使用方式。 此旗標是選擇性的,僅用於遙測用途,以改善您的體驗。
--ignore-network-check
指示代理程式繼續上線,即使網路檢查所需的端點失敗也一樣。 如果您確定網路檢查結果不正確,您應該只使用此選項。 在大部分情況下,網路檢查失敗表示 Azure 連線機器代理程式無法在伺服器上正常運作。
-l
, --location
用來檢查連線的 Azure 區域。 如果機器已連線到 Azure Arc,則會選取目前的區域作為預設值。
範例值:westeurope
--private-link-scope
指定要與伺服器建立關聯的 Azure Arc 私人連結範圍資源識別碼。 如果您使用私人端點將伺服器連線到 Azure,則需要此旗標。
-g
, --resource-group
您想要在其中建立已啟用 Azure Arc 的伺服器資源的 Azure 資源群組名稱。
範例值:HybridServers
-n
, --resource-name
已啟用 Azure Arc 的伺服器資源名稱。 根據預設,資源名稱為:
- 如果伺服器位於 AWS 上,則 AWS 實例識別碼
- 所有其他電腦的主機名
您可以使用自己選擇的名稱來覆寫預設名稱,以避免命名衝突。 選擇之後,在中斷連線並重新連線代理程序的情況下,就無法變更 Azure 資源的名稱。
如果您想要強制 AWS 伺服器使用主機名而非實例識別碼,請傳入 $(hostname)
,讓殼層評估目前的主機名,並將該名稱傳遞為新的資源名稱。
範例值:FileServer01
-i
, --service-principal-id
指定用來在 Azure 中建立已啟用 Azure Arc 的伺服器資源之服務主體的應用程式識別碼。 必須與和 --service-principal-secret
或 --service-principal-cert
旗標搭配--tenant-id
使用。 如需詳細資訊,請參閱驗證選項。
--service-principal-cert
指定服務主體憑證檔案的路徑。 必須與和 --tenant-id
旗標搭配--service-principal-id
使用。 憑證必須包含私鑰,而且可以位於 PKCS #12 (。PFX) 或 ASCII 編碼的文字 (.PEM、。CRT) 格式。 不支援受密碼保護的 PFX 檔案。 如需詳細資訊,請參閱驗證選項。
-p
, --service-principal-secret
指定服務主體秘密。 必須與和 --tenant-id
旗標搭配--service-principal-id
使用。 若要避免在控制台記錄中公開秘密,Microsoft建議在組態檔中提供服務主體密碼。 如需詳細資訊,請參閱驗證選項。
-s
, --subscription-id
您想要在其中建立已啟用 Azure Arc 的伺服器資源的訂用帳戶名稱或識別碼。
範例值:Production、aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeeeeee
--tags
要套用至已啟用 Azure Arc 的伺服器資源的標籤逗號分隔清單。 每個標記都應該以下列格式指定:TagName=TagValue。 如果標籤名稱或值包含空格,請使用名稱或值周圍的單引號。
範例值:Datacenter=NY3,Application=SharePoint,Owner='Shared Infrastructure Services'
-t
, --tenant-id
您想要在其中建立已啟用 Azure Arc 的伺服器資源的訂用帳戶租用戶識別碼。 使用服務主體進行驗證時,需要此旗標。 對於所有其他驗證方法,用來向 Azure 進行驗證之帳戶的主租使用者也用於資源。 如果帳戶和訂用帳戶的租使用者不同(來賓帳戶,Lighthouse),您必須指定租使用者標識符,以釐清訂用帳戶所在的租使用者。
--use-device-code
產生Microsoft Entra 裝置登入碼,可在另一部計算機上的網頁瀏覽器中輸入,以向 Azure 驗證代理程式。 如需詳細資訊,請參閱驗證選項。
--user-tenant-id
用來將伺服器連線到 Azure 之帳戶的租用戶識別碼。 當上線帳戶的租使用者與已啟用 Azure Arc 的伺服器資源所需的租用戶不同時,需要此字段。
適用於所有命令的通用旗標
--config
接受 JSON 或 YAML 檔案的路徑,其中包含命令的輸入。 組態檔應該包含一系列索引鍵/值組,其中索引鍵符合可用的命令行選項。 例如,若要傳入 --verbose
旗標,組態檔看起來會像這樣:
{
"verbose": true
}
如果在命令調用和組態檔中找到命令行選項,命令行上指定的值會優先。
-h
, --help
取得目前命令的說明,包括其語法和命令行選項。
-j
, --json
以 JSON 格式輸出命令結果。
--log-stderr
將錯誤和詳細資訊訊息重新導向至標準錯誤 (stderr) 數據流。 根據預設,所有輸出都會傳送至標準輸出 (stdout) 數據流。
--no-color
停用不支援 ANSI 色彩之終端機的色彩輸出。
-v
, --verbose
在命令執行時顯示更詳細的記錄資訊。 適用於針對執行命令時的問題進行疑難解答。