Azure Arc 対応サーバーでコマンドを実行する (プレビュー)

次の例では、Azure PowerShell 用 Az.ConnectedMachine モジュール を使用して、Arc 対応サーバーでスクリプトまたはコマンドを実行します。

コンピューターでスクリプトを実行する

このコマンドは、スクリプトをマシンに送信して実行し、キャプチャされた出力を返します。

New-AzConnectedMachineRunCommand -ResourceGroupName "myRG" -MachineName "myMachine" -Location "eastus" -RunCommandName "RunCommandName" –SourceScript "echo Hello World!"

ストレージ内のスクリプト ファイルを使用してコンピューターでスクリプトを実行する

このコマンドは、スクリプトがアップロードされたストレージ BLOB の Shared Access Signature (SAS) URI に Connected Machine エージェントを誘導します。 次に、エージェントにスクリプトの実行を指示し、キャプチャされた出力を返します。

New-AzConnectedMachineRunCommand -ResourceGroupName "MyRG0" -MachineName "MyMachine" -RunCommandName "MyRunCommand" -Location "eastus" -SourceScriptUri “< SAS URI of a storage blob with read access or public URI>”

マシンにデプロイされたすべての実行コマンド リソースを一覧表示する

このコマンドからは、以前にデプロイされた実行コマンドと、それらのプロパティの完全な一覧が返されます。

Get-AzConnectedMachineRunCommand -ResourceGroupName "myRG" -MachineName "myMachine"

実行の状態と結果を取得する

このコマンドは、実行コマンドの現在の実行の進行状況 (最新の出力、開始時刻と終了時刻、終了コード、実行の終了状態など) を取得します。

Get-AzConnectedMachineRunCommand -ResourceGroupName "myRG" -MachineName "myMachine" -RunCommandName "RunCommandName"

インスタンス ビューを使用して実行コマンドの状態情報を取得する

このコマンドは、インスタンス ビューを持つマシン上の実行コマンドの状態情報を取得します。 インスタンス ビューには、実行コマンドの実行状態 (成功、失敗など)、終了コード、標準出力、およびスクリプトの実行によって生成された標準エラーが含まれます。 0 以外の終了コードは、実行が失敗したことを示します。

Get-AzConnectedMachineRunCommand -ResourceGroupName "MyRG" -MachineName "MyMachine" -RunCommandName "MyRunCommand"

他の情報と共に、応答は次のフィールドを返します。

• InstanceViewExecutionState: スクリプトが成功したかどうかを示します。
• ProvisioningState: 拡張機能プラットフォームが Run コマンド スクリプトをトリガーできたかどうかを示します。

マシンで実行コマンドを作成または更新する

このコマンドは、マシン上で Run コマンドを作成または更新し、標準出力および標準エラーメッセージを出力とエラーの AppendBlobs にストリーミングします。

New-AzConnectedMachineRunCommand -ResourceGroupName "MyRG0" -MachineName "MyMachine" -RunCommandName "MyRunCommand3" -Location "eastus" -SourceScript "id; echo HelloWorld" -OutputBlobUri <OutPutBlobUrI> -ErrorBlobUri <ErrorBlobUri>

別のユーザーとしてマシンで実行コマンドを作成または更新する

このコマンドは、 RunAsUser パラメーターと RunAsPassword パラメーターを使用して、コンピューター上の Run コマンドを別のユーザーとして作成または更新します。

このコマンドを使用する前に、次の操作を行います。

• コンピューターの管理者に連絡し、ユーザーがマシンにアクセスできることを確認します。
• ユーザーが、ディレクトリ、ファイル、ネットワーク リソースなど、Run コマンドによってアクセスされるリソースにアクセスできることを確認します。
• Windows コンピューターで、"セカンダリ ログオン" が実行されていることを確認します。

New-AzConnectedMachineRunCommand -ResourceGroupName "MyRG0" -MachineName "MyMachine" -RunCommandName "MyRunCommand" -Location "eastus" -SourceScript "id; echo HelloWorld" -RunAsUser myusername -RunAsPassword mypassword

ローカル スクリプト ファイルを使用してマシンで Run コマンドを作成または更新する

このコマンドは、 cmdlet が実行されているクライアント コンピューター上のローカル スクリプト ファイルを使用して、コンピューターで実行コマンドを作成または更新します。

New-AzConnectedMachineRunCommand -ResourceGroupName "MyRG0" -MachineName "MyMachine" -RunCommandName "MyRunCommand" -Location "eastus" -ScriptLocalPath "C:\MyScriptsDir\MyScript.ps1"

スクリプトに機密性の高い入力を渡しながら、コンピューターで Run コマンドを作成または更新する

このコマンドは、パスワードやキーなどの機密性の高い入力をスクリプトに渡すように指定された ProtectedParameter を使用して Run コマンドを作成または更新します。

$privateParametersArray = @{name='inputText';value='privateParam1value'}

New-AzConnectedMachineRunCommand -MachineName "MyMachine" -ResourceGroupName "MyRG0" -RunCommandName "MyRunCommand" -Location "eastus" -SourceScriptUri <SourceScriptUri> -ProtectedParameter $privateParametersArray 

inputText をキャプチャするためのサンプル スクリプト:

param ([string]$inputText)
Write-Output $inputText

Parameterを使用して、同様の方法でパブリック パラメーターを渡すこともできます。

• Windows の場合: パラメーターと ProtectedParameter は、次の例のようなスクリプトに渡されます。 myscript.ps1 -publicParam1 publicParam1value -publicParam2 publicParam2value -secret1 secret1value -secret2 secret2value

• Linux の場合: 名前付き Parameter とその値は、PowerShell スクリプト内でアクセスできる環境構成に設定されます。 名前のない引数の場合は、空の文字列を渡して入力に名前を付けます。 名前のない引数は、次の例のようなスクリプトに渡されます。 myscript.sh publicParam1value publicParam2value secret1value secret2value

マシンから実行コマンド リソースを削除する

このコマンドは、以前にマシンにデプロイされた Run コマンド リソースを削除します。 スクリプトの実行がまだ進行中の場合、実行は終了します。

Remove-AzConnectedMachineRunCommand -ResourceGroupName "myRG" -MachineName "myMachine" -RunCommandName "RunCommandName"

次の例では、 az connectedmachine run-command を使用して、Arc 対応サーバーでシェル スクリプトを実行します。

コンピューターでスクリプトを実行する

このコマンドは、スクリプトをマシンに送信して実行し、キャプチャされた出力を返します。

az connectedmachine run-command create --name "myRunCommand" --machine-name "myMachine" --resource-group "myRG" --script "Write-Host Hello World!"

マシンにデプロイされたすべての実行コマンド リソースを一覧表示する

このコマンドは、以前にデプロイされた実行コマンドとそのプロパティの完全な一覧を返します。

az connectedmachine run-command list --machine-name "myMachine" --resource-group "myRG"

実行の状態と結果を取得する

このコマンドは、実行コマンドの現在の実行の進行状況 (最新の出力、開始時刻と終了時刻、終了コード、実行の終了状態など) を取得します。

az connectedmachine run-command show --name "myRunCommand" --machine-name "myMachine" --resource-group "myRG"

マシンから Run コマンド リソースを削除する

このコマンドは、以前にマシンにデプロイされた Run コマンド リソースを削除します。 スクリプトがまだ実行処理中の場合は、実行が終了されます。

az connectedmachine run-command delete --name "myRunCommand" --machine-name "myMachine" --resource-group "myRG"

このセクションのコマンド例では、 REST API を使用して、エンドポイント www.microsoft.com/pkiops/certsへのアクセスを許可するファイアウォール規則をリモートで構成する方法を示します。 このシナリオ例では、使用可能な各 REST 操作と次の値を使用します。

• サブスクリプション ID - aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e
• Arc 対応サーバー名 - 2012DatacenterServer1
• リソース グループ - ContosoRG
• サーバーのオペレーティング システム - Windows Server 2012/R2 サーバー

実行コマンドを使用してエンドポイント アクセスを作成する

最初に、PUT 操作を使用してターゲット Arc 対応サーバー上の www.microsoft.com/pkiops/certs エンドポイントへのアクセスを提供する実行コマンド スクリプトを作成します。

スクリプトをインラインで指定することも、スクリプト ファイルにリンクすることもできます。

スクリプトをインラインで提供するには:

PUT https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoRG/providers/Microsoft.HybridCompute/machines/2012DatacenterServer1/runCommands/EndpointAccessCommand?api-version=2024-11-10-preview

{
  "location": "eastus2",
  "properties": {
    "source": {
      "script": "New-NetFirewallRule -DisplayName $ruleName -Direction Outbound -Action Allow -RemoteAddress $endpoint -RemotePort $port -Protocol $protocol"
    },
    "parameters": [
      {
        "name": "ruleName",
        "value": "Allow access to www.microsoft.com/pkiops/certs"
      },
      {
        "name": "endpoint",
        "value": "www.microsoft.com/pkiops/certs"
      },
      {
        "name": "port",
      "value": 443
      },
      {
        "name": "protocol",
        "value": "TCP"
      }
    ],
    "asyncExecution": false,
    "runAsUser": "contoso-user1",
    "runAsPassword": "Contoso123!",
    "timeoutInSeconds": 3600,
    "outputBlobUri": "https://mystorageaccount.blob.core.windows.net/myscriptoutputcontainer/MyScriptoutput.txt",
    "errorBlobUri": "https://mystorageaccount.blob.core.windows.net/mycontainer/MyScriptError.txt"
  }
}

スクリプト ファイルにリンクするには:

PUT https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoRG/providers/Microsoft.HybridCompute/machines/2012DatacenterServer1/runCommands/EndpointAccessCommand?api-version=2024-11-10-preview

{
  "location": "eastus2",
  "properties": {
    "source": {
      "scriptUri": "https://mystorageaccount.blob.core.windows.net/myscriptoutputcontainer/newnetfirewallrule.ps1"
    },
    "parameters": [
      {
        "name": "ruleName",
        "value": " Allow access to www.microsoft.com/pkiops/certs"
      },
      {
        "name": "endpoint",
        "value": "www.microsoft.com/pkiops/certs"
      },
      {
        "name": "port",
        "value": 443
      },
      {
        "name": "protocol",
        "value": "TCP"
      }
    ],
    "asyncExecution": false,
    "runAsUser": "contoso-user1",
    "runAsPassword": "Contoso123!",
    "timeoutInSeconds": 3600,
    "outputBlobUri": "https://mystorageaccount.blob.core.windows.net/myscriptoutputcontainer/MyScriptoutput.txt",
    "errorBlobUri": "https://mystorageaccount.blob.core.windows.net/mycontainer/MyScriptError.txt"
  }
}

scriptUriはストレージ BLOB の Shared Access Signature (SAS) URI であり、BLOB への読み取りアクセスを提供する必要があります。 SAS URI には 24 時間の有効期限が推奨されます。 BLOB オプションを使用して Azure portal で SAS URI を生成したり、 New-AzStorageBlobSASTokenを使用して SAS トークンを生成したりできます。 New-AzStorageBlobSASTokenを使用して SAS トークンを生成する場合、SAS URI 形式は base blob URL + "?" + New-AzStorageBlobSASToken からの SAS トークンです。

出力 BLOB とエラー BLOB は AppendBlob 型である必要があり、SAS URI は BLOB への読み取り、追加、作成、および書き込みアクセスを提供する必要があります。 SAS URI には 24 時間の有効期限が推奨されます。 AZURE portal で BLOB のオプションを使用して SAS URI を生成したり、 New-AzStorageBlobSASTokenを使用して SAS トークンを生成したりできます。

Shared Access Signature の詳細については、「Shared Access Signature (SAS) を使用して Azure Storage リソースへの制限付きアクセスを許可する」を参照してください。

実行コマンドの詳細を確認する

GET 操作を使用して Run コマンドが正しくプロビジョニングされたことを確認します。

GET https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoRG/providers/Microsoft.HybridCompute/machines/2012DatacenterServer1/runCommands/EndpointAccessCommand?api-version=2024-11-10-preview

[実行] コマンドを更新する

PATCH 操作を使用して、既存の実行コマンドを新しいパラメーターで更新できます。 次の例では、Windows Admin Center への接続のために、別のエンドポイント ( *.waconazure.com) へのアクセスを追加します。

PATCH https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoRG/providers/Microsoft.HybridCompute/machines/2012DatacenterServer1/runCommands/EndpointAccessCommand?api-version=2024-11-10-preview

{
  "location": "eastus2",
  "properties": {
    "source": {
      "script": "New-NetFirewallRule -DisplayName $ruleName -Direction Outbound -Action Allow -RemoteAddress $endpoint -RemotePort $port -Protocol $protocol"
    },
    "parameters": [
      {
        "name": "ruleName",
        "value": "Allow access to WAC endpoint"
      },
      {
        "name": "endpoint",
        "value": "*.waconazure.com"
      },
      {
        "name": "port",
        "value": 443
      },
      {
        "name": "protocol",
        "value": "TCP"
      }
    ],
    "asyncExecution": false,
    "runAsUser": "contoso-user1",
    "runAsPassword": "Contoso123!",
    "timeoutInSeconds": 3600,
    "outputBlobUri": "https://mystorageaccount.blob.core.windows.net/myscriptoutputcontainer/MyScriptoutput.txt",
    "errorBlobUri": "https://mystorageaccount.blob.core.windows.net/mycontainer/MyScriptError.txt"
  }
}

実行コマンドの一覧表示

エンドポイント アクセスの [実行] コマンドを削除する前に、Arc 対応サーバーに他の実行コマンドがないことを確認します。 LIST 操作を使用して、Arc 対応サーバー上のすべての実行コマンドを取得します。

LIST https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoRG/providers/Microsoft.HybridCompute/machines/2012DatacenterServer1/runCommands?api-version=2024-11-10-preview

実行コマンドを削除する

実行コマンド拡張機能が不要になったら、次の DELETE 操作を使用して削除します。

DELETE https://management.azure.com/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoRG/providers/Microsoft.HybridCompute/machines/2012DatacenterServer1/runCommands/EndpointAccessCommand?api-version=2024-11-10-preview