Použití privilegovaného koncového bodu v Azure Stack Hub

Jako operátor Azure Stack Hub byste měli používat portál pro správu, PowerShell nebo Azure Resource Manager API pro většinu každodenních úloh správy. U některých méně běžných operací ale musíte použít privilegovaný koncový bod. Instalovaný síťový adaptér je předem nakonfigurovaná vzdálená konzola PowerShellu, která poskytuje jenom dostatek funkcí, které vám pomůžou provést požadovanou úlohu. Koncový bod používá PowerShell JEA (Just Enough Administration) ke zpřístupňuje pouze omezenou sadu rutin. Pro přístup k privilegovanému privilegovanému serveru a vyvolání omezené sady rutin se používá účet s nízkými oprávněními. Nejsou vyžadovány žádné účty správce. Kvůli dalšímu zabezpečení není skriptování povolené.

K provedení těchto úloh můžete použít náhonce:

  • Úlohy nízké úrovně, například shromažďování diagnostických protokolů.
  • Mnoho úloh integrace datacentra po nasazení pro integrované systémy, jako je například přidání služeb předávání DNS (Domain Name System) po nasazení, nastavení integrace služby Microsoft Graph, integrace Active Directory Federation Services (AD FS) (AD FS), rotace certifikátů atd.
  • Práce s podporou získání dočasného přístupu na vysoké úrovni pro podrobné řešení potíží s integrovaným systémem

Náhlý výkon protokoluje všechny akce (a odpovídající výstup), které provedete v relaci PowerShellu. To poskytuje úplnou transparentnost a úplné auditování operací. Tyto soubory protokolů můžete ponechat pro budoucí audity.

Poznámka

V Azure Stack Development Kit (ASDK) můžete spustit některé příkazy, které jsou k dispozici v SADĚ, přímo z relace PowerShellu na hostiteli vývojové sady. Některé operace ale můžete chtít otestovat pomocí hlavního hlavního operačního systému, například shromažďování protokolů, protože se jedná o jedinou dostupnou metodu pro provádění určitých operací v prostředí integrovaných systémů.

Poznámka

Pro přístup k privilegovaného koncového bodu Azure Stack Hub GitHub, portálu správce pro scénáře podpory a nástrojům můžete použít také pracovní stanici SAE (Operator Access Workstation). Další informace najdete v tématu Azure Stack Hub přístupová pracovní stanice operátora.

Přístup k privilegovaný koncový bod

K NN se přistupuje prostřednictvím vzdálené relace PowerShellu na virtuálním počítači, který je hostitelem nn. V ASDK má tento virtuální počítač název AzS-ERCS01. Pokudpoužíváte integrovaný systém, jsou na různých hostitelích kvůli odolnosti tři instance období obnovení, z nichž každá běží uvnitř virtuálního počítače (předpona-ERCS01, předpona-ERCS02 nebo předpona -ERCS03).

Než začnete s tímto postupem pro integrovaný systém, ujistěte se, že máte přístup k primárnímu přístupové adrese buď přes IP adresu, nebo přes DNS. Po počátečním nasazení služby Azure Stack Hub k zónové ip adrese přistupovat pouze podle IP adresy, protože integrace DNS ještě není nastavená. Dodavatel hardwaru OEM vám poskytne soubor JSON s názvem AzureStackStampDeploymentInfo, který obsahuje IP adresy automatického obnovení.

IP adresu můžete najít také na portálu Azure Stack Hub správce. Otevřete portál, například https://adminportal.local.azurestack.external . Vyberte Vlastnosti správyoblastí.

Při spuštění privilegovaného koncového bodu budete muset nastavit aktuální nastavení jazykové verze na , jinak rutiny jako Test-AzureStack nebo Get-AzureStackLog nebudou en-US fungovat podle očekávání.

Poznámka

Z bezpečnostních důvodů vyžadujeme, abyste se k privilegovanému privilegovaně připojování připojoval pouze z pevného virtuálního počítače spuštěného nad hostitelem životního cyklu hardwaru nebo z vyhrazeného a zabezpečeného počítače, jako je třeba pracovní stanice s privilegovaný přístupem. Původní konfigurace hostitele životního cyklu hardwaru nesmí být změněna z původní konfigurace (včetně instalace nového softwaru) ani nesmí být použita pro připojení k instalátoru.

  1. Navázání vztahu důvěryhodnosti.

    • V integrovaném systému spusťte z relace Windows PowerShell se zvýšenými oprávněními následující příkaz, který přidá privilegovaný přístup jako důvěryhodného hostitele na pevném virtuálním počítači spuštěném na hostiteli životního cyklu hardwaru nebo na pracovní stanici s privilegovaný přístupem.

      Set-Item WSMan:\localhost\Client\TrustedHosts -Value '<IP Address of Privileged Endpoint>' -Concatenate
      
    • Pokud používáte ASDK, přihlaste se k hostiteli vývojové sady.

  2. Na pevném virtuálním počítači spuštěném na hostiteli životního cyklu hardwaru nebo pracovní stanici s privilegovaný přístupem otevřete Windows PowerShell počítače. Spuštěním následujících příkazů vytvořte vzdálenou relaci na virtuálním počítači, který je hostitelem uživatele:

    • V integrovaném systému:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName <IP_address_of_ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

      Parametrem může být BUĎ IP adresa, nebo název DNS jednoho z virtuálních počítačů, které ComputerName jsou hostiteli zónových ip adres.

      Poznámka

      Azure Stack Hub přihlašovacích údajů neověří vzdálené volání. K tomu spoléhá na místně uložený veřejný klíč RSA.

    • Pokud používáte ASDK:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName azs-ercs01 -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

    Po zobrazení výzvy použijte následující přihlašovací údaje:

    • Uživatelské jméno:Zadejte účet CloudAdmin ve formátu Azure Stack Hub \cloudadmin. (Pro ASDK je uživatelské jméno azurestack\cloudadmin)
    • Heslo:Zadejte stejné heslo, které jste za předpokladu instalace účtu správce domény AzureStackAdmin.

    Poznámka

    Pokud se nemůžete připojit ke koncovému bodu služby ERCS, zkuste kroky 1 a 2 zopakovat s jinou IP adresou virtuálního počítače se službou ERCS.

  3. Po připojení se výzva změní na [ IP adresa nebo název virtuálního počítače ERCS]: PS nebo na [azs-ercs01]: PS v závislosti na prostředí. Tady spusťte příkaz , Get-Command který zobrazí seznam dostupných rutin.

    Referenční informace o rutinách najdete v referenčních Azure Stack Hub privilegovaných koncových bodů.

    Mnohé z těchto rutin jsou určené pouze pro integrovaná systémová prostředí (například rutiny související s integrací datacentra). V ASDK se ověřily následující rutiny:

    • Clear-Host
    • Close-PrivilegedEndpoint
    • Exit-PSSession
    • Get-AzureStackLog
    • Get-AzureStackStampInformation
    • Get-Command
    • Get-FormatData
    • Get-Help
    • Get-ThirdPartyNotices
    • Measure-Object
    • New-CloudAdminUser
    • Out-Default
    • Remove-CloudAdminUser
    • Select-Object
    • Set-CloudAdminUserPassword
    • Test-AzureStack
    • Stop-AzureStack
    • Get-ClusterLog

Jak používat privilegovaný koncový bod

Jak je uvedeno výše, SLED JE koncový bod PowerShellu je koncový bod JEA. Při poskytování silné vrstvy zabezpečení koncový bod JEA snižuje některé základní funkce PowerShellu, jako je skriptování nebo dokončování karet. Pokud se pokusíte použít jakýkoli typ operace skriptu, operace selže s chybou ScriptsNotAllowed. Toto selhání je očekávané chování.

Pokud například chcete získat seznam parametrů pro danou rutinu, spusťte následující příkaz:

    Get-Command <cmdlet_name> -Syntax

Alternativně můžete použít rutinu Import-PSSession k importu všech rutin MÍSTNĚ do aktuální relace na místním počítači. Na místním počítači jsou teď k dispozici rutiny a funkce místně dostupné, navíc k dokončování tabulátoru a obecněji skriptování. Můžete také spustit modul Get-Help a zkontrolovat pokyny k rutině.

Pokud chcete importovat relaci místně na místním počítači, proveďte následující kroky:

  1. Navázání vztahu důvěryhodnosti.

    • V integrovaném systému spusťte z relace Windows PowerShell se zvýšenými oprávněními následující příkaz, který přidá privilegovaný přístup jako důvěryhodného hostitele na pevném virtuálním počítači spuštěném na hostiteli životního cyklu hardwaru nebo na pracovní stanici s privilegovaný přístupem.

      winrm s winrm/config/client '@{TrustedHosts="<IP Address of Privileged Endpoint>"}'
      
    • Pokud používáte ASDK, přihlaste se k hostiteli vývojové sady.

  2. Na pevném virtuálním počítači spuštěném na hostiteli životního cyklu hardwaru nebo pracovní stanici s privilegovaný přístupem otevřete Windows PowerShell počítače. Spuštěním následujících příkazů vytvořte vzdálenou relaci na virtuálním počítači, který je hostitelem uživatele:

    • V integrovaném systému:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName <IP_address_of_ERCS> `
         -ConfigurationName PrivilegedEndpoint -Credential $cred `
         -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      

      Parametrem může být BUĎ IP adresa, nebo název DNS jednoho z virtuálních počítačů, které ComputerName jsou hostiteli zónových ip adres.

    • Pokud používáte ASDK:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName azs-ercs01 `
         -ConfigurationName PrivilegedEndpoint -Credential $cred `
         -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      

    Po zobrazení výzvy použijte následující přihlašovací údaje:

    • Uživatelské jméno:Zadejte účet CloudAdmin ve formátu Azure Stack Hub \cloudadmin. (Pro ASDK je uživatelské jméno azurestack\cloudadmin.)

    • Heslo:Zadejte stejné heslo, které jste za předpokladu instalace účtu správce domény AzureStackAdmin.

  3. Naimportujte relaci místně na místní počítač:

    Import-PSSession $session
    
  4. Nyní můžete použít dokončování karet a provádět skriptování jako obvykle na místní relaci PowerShellu se všemi funkcemi a rutinami PEP, aniž by došlo ke snížení stav zabezpečení centra Azure Stack. Užijte si ji!

Zavřít privilegovanou relaci koncového bodu

Jak bylo zmíněno dříve, PEP protokoluje každou akci (a odpovídající výstup), kterou provedete v relaci PowerShellu. Relaci musíte uzavřít pomocí Close-PrivilegedEndpoint rutiny. Tato rutina správně ukončí koncový bod a přenáší soubory protokolu do externí sdílené složky pro uchování.

Ukončení relace koncového bodu:

  1. Vytvořte externí sdílení souborů, které je přístupné pro PEP. V prostředí vývojové sady můžete pouze vytvořit sdílenou složku na hostiteli vývojové sady.

  2. Spusťte následující rutinu:

    Close-PrivilegedEndpoint -TranscriptsPathDestination "\\fileshareIP\SharedFolder" -Credential Get-Credential
    

    Rutina používá parametry v následující tabulce:

    Parametr Popis Typ Vyžadováno
    TranscriptsPathDestination Cesta k externímu sdílení souborů definovaná jako "fileshareIP\sharefoldername" Řetězec Yes
    Přihlašovací údaj Přihlašovací údaje pro přístup ke sdílené složce souborů SecureString Yes

Po úspěšném přenosu souborů protokolu přepisu do sdílené složky se automaticky odstraní z PEP.

Poznámka

Pokud zavřete relaci PEP pomocí rutin Exit-PSSession nebo Exit nebo pouze zavřete konzolu PowerShellu, protokoly přepisu se nepřenášejí do sdílené složky. Zůstávají v PEP. Při příštím spuštění Close-PrivilegedEndpoint a zahrnutí sdílené složky se také přenesou protokoly přepisu z předchozích relací. Nepoužívejte Exit-PSSession nebo Exit k ukončení relace PEP použijte Close-PrivilegedEndpoint místo toho.

Odemknutí privilegovaného koncového bodu pro scénáře podpory

Během scénáře podpory může pracovník podpory společnosti Microsoft potřebovat zvýšit relaci prostředí PowerShell privilegovaného koncového bodu, aby mohl získat přístup k interním údajům infrastruktury centra Azure Stack. Tento proces je někdy neformálně označován jako "rozbití skla" nebo "Unlock The PEP". Proces zvýšení úrovně relace PEP je dvěma kroky, dvou, dvou a dvou procesů ověřování organizace. Postup odemknutí je iniciován operátorem centra Azure Stack, který neustále uchovává kontrolu nad prostředím. Operátor přistupuje k PEP a provede tuto rutinu:

     Get-SupportSessionToken

Rutina vrátí token žádosti o relaci podpory, velmi dlouhý alfanumerický řetězec. Operátor pak předá pracovníkovi technické podpory společnosti Microsoft prostřednictvím konkrétního výběru (např. chat, e-mail). Pracovník podpory společnosti Microsoft používá token žádosti pro vygenerování, pokud je platný, token pro autorizaci relace podpory a pošle ho zpět do operátoru centra Azure Stack. Ve stejné relaci PowerShellu PEP operátor pak předá do této rutiny autorizační token jako vstup:

      unlock-supportsession
      cmdlet Unlock-SupportSession at command pipeline position 1
      Supply values for the following parameters:
      ResponseToken:

Pokud je autorizační token platný, relace PowerShellu PEP se zvýší na vyšší úroveň tím, že poskytuje úplné možnosti správy a úplný přístup k infrastruktuře.

Poznámka

Všechny operace a rutiny spouštěné v relaci PEP se zvýšenými oprávněními se musí provádět v rámci striktního dozoru technické podpory společnosti Microsoft. Tato chyba by mohla vést k vážným výpadkům, ztrátě dat a může vyžadovat úplné opětovné nasazení prostředí Azure Stack hub.

Po ukončení relace podpory je velmi důležité zavřít zpátky relaci PEP s vyššími oprávněními pomocí rutiny Close-PrivilegedEndpoint , jak je vysvětleno v části výše. Jedna relace PEP je ukončena, token odemčení již není platný a nelze jej znovu použít k odemčení relace PEP. Relace PEP se zvýšenými oprávněními má platnost 8 hodin, po které se v případě neukončení ukončí relace PEP se zvýšenými oprávněními automaticky znovu na běžnou relaci PEP.

Obsah tokenů privilegovaných koncových bodů

PEP podporuje požadavek relace a tokeny autorizace k ochraně přístupu a zajištění, aby relace PEP mohla odemknout pouze autorizované tokeny. Tokeny jsou navržené tak, aby kryptograficky zaručují, že token odpovědi může přijmout jenom relace PEP, která vygenerovala token žádosti. Tokeny PEP neobsahují žádný druh informací, které by mohly jednoznačně identifikovat Azure Stackho centra nebo zákazníka. Jsou zcela anonymní. Jsou uvedené podrobnosti o obsahu jednotlivých tokenů.

Token žádosti o relaci podpory

Token žádosti o relaci podpory PEP se skládá ze tří objektů:

  • Náhodně generované ID relace.
  • Certifikát podepsaný svým držitelem generovaný za účelem použití páru veřejného a privátního klíče s jednou dobou. Certifikát neobsahuje žádné informace o daném prostředí.
  • Časové razítko, které indikuje vypršení platnosti tokenu žádosti.

Token žádosti je pak zašifrovaný pomocí veřejného klíče cloudu Azure, ke kterému je prostředí centra Azure Stack zaregistrované.

Token odpovědi na autorizaci relace podpory

Token odpovědi na ověření PEP support se skládá ze dvou objektů:

  • Náhodně generované ID relace extrahované z tokenu žádosti
  • Časové razítko, které indikuje vypršení platnosti tokenu odpovědi.

Token odpovědi je pak zašifrovaný pomocí certifikátu podepsaného svým držitelem, který je obsažený v tokenu žádosti. Certifikát podepsaný svým držitelem byl dešifrován pomocí privátního klíče přidruženého ke cloudu Azure, proti kterému je prostředí centra Azure Stack registrované.

Další kroky