Nouzový přístup k virtuálnímu počítači (EVA)

  • Článek

Služba eva (Emergency VM Access Service) umožňuje uživateli požádat operátora o pomoc ve scénářích, kdy je tento uživatel uzamčený z virtuálního počítače a operace opětovného nasazení nepomůže obnovit přístup přes síť.

Poznámka

Eva byla vydána s obecnou dostupností od verze Azure Stack Hub 2301.

Tato funkce musí být povolená pro každé předplatné a operátor musí povolit přístup ke vzdálené ploše, aby měl uživatel s rolí správce cloudu přístup k virtuálním počítačům konzoly pro nouzové obnovení (ERCS).

Prvním krokem uživatele je požádat o přístup ke konzole virtuálního počítače prostřednictvím PowerShellu. Žádost poskytuje souhlas a umožňuje operátorovi s dalšími informacemi připojit se k virtuálnímu počítači přes jeho konzolu. Přístup ke konzole nezávisí na připojení k síti a používá datový kanál hypervisoru.

Operátor se může ověřit vůči operačnímu systému spuštěnému na virtuálním počítači pouze v případě, že jsou přihlašovací údaje známé. V tomto okamžiku může operátor také sdílet obrazovky s uživatelem a společně problém vyřešit, aby obnovil připojení k síti.

Důležité

U virtuálních počítačů s Windows Serverem je funkce EVA omezená na počítače s grafickým uživatelským rozhraním (GUI). Pro Windows Server základní operační systém nepodporuje funkci klávesnice na obrazovce. Vzhledem k tomu, že kombinaci kláves Ctrl+Alt+Del nemůžete odeslat jako vstup, nemůžete se přihlásit k serveru jádra, i když se můžete připojit k jeho konzole. Pokud potřebujete vyřešit problém se základním operačním systémem Windows, obraťte se na podporu Microsoftu a poskytněte přístup ke konzole z odemčeného privilegovaného koncového bodu.

Operátor povolí předplatné uživatele pro EVA.

V tomto scénáři může operátor rozhodnout, které předplatné by mělo mít možnost používat funkci nouzového přístupu k virtuálním počítačům.

Nejprve spusťte následující skript PowerShellu. Abyste mohli tento skript spustit, musíte mít nainstalovaný Azure Stack Hub PowerShell. Postupujte podle pokynů k instalaci Azure Stack Hub PowerShellu. Nahraďte zástupné symboly proměnných správnými hodnotami:

# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"

$tenantSubscriptionSettings = @{
    TenantSubscriptionId = [string]$tenantSubscriptionId
}

# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID

Invoke-AzureRmResourceAction `
    -ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
    -ResourceType "Microsoft.Compute.Admin/locations/features" `
    -Action "enableTenantSubscriptionFeature" `
    -Parameters $tenantSubscriptionSettings `
    -ApiVersion "2020-11-01" `
    -ErrorAction Stop `
    -Force

Uživatel, který požádá o přístup ke konzole virtuálního počítače

Jako uživatel poskytnete operátorovi souhlas s vytvořením přístupu ke konzole pro konkrétní virtuální počítač.

  1. Jako uživatel otevřete PowerShell, přihlaste se ke svému předplatnému a připojte se ke službě Azure Stack Hub, jak je popsáno tady.

  2. Spusťte následující skript. Abyste mohli vytvořit ID prostředku VMResourceID, musíte nahradit ID předplatného, skupinu prostředků a název virtuálního počítače:

    $SubscriptionID = "your Azure subscription ID" 
$ResourceGroup = "your resource group name" 
$VMName = "your VM name" 
$vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" 

$enableVMAccessResponse = Invoke-AzureRMResourceAction `
    -ResourceId $vmResourceId `
    -Action "enableVmAccess" `
    -ApiVersion "2020-06-01" `
    -ErrorAction Stop `
    -Force

Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow
Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan
Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green
Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
  1. Skript vrátí název konzoly pro nouzové obnovení (ERCS), který tenant poskytne operátorovi spolu s ID prostředku VMResource.

Operátor umožňuje přístup vzdálené plochy k virtuálním počítačům ERCS.

Dalším krokem operátora služby Azure Stack Hub je povolení přístupu ke vzdálené ploše virtuálním počítačům konzoly pro nouzové zotavení (ERCS), které hostují privilegované koncové body.

V privilegovaném koncovém bodu spusťte následující příkazy z pracovní stanice operátora, kterou používáte pro připojení k ERCS. Příkaz přidá IP adresu pracovní stanice na seznam bezpečných adres sítě. Postupujte podle pokynů k připojení k pep. Operátor může být členem skupiny uživatelů cloudadmin nebo sám cloudadmin :

Grant-RdpAccessToErcsVM

Pokud chcete zakázat přístup vzdálené plochy k virtuálním počítačům konzoly pro nouzové zotavení (ERCS), spusťte v privilegovaném koncovém bodu (PEP) následující příkaz:

Revoke-RdpAccessToErcsVM

Poznámka

Kterémukoli z virtuálních počítačů ERCS se přiřadí žádost uživatele tenanta o přístup. Jako operátor můžete vytvořit relaci PEP pouze pro virtuální počítač ERCS přijatý z tenanta (výstup ).$enableVMAccessResponse

  1. Operátor používá název ERCS a připojuje se k němu pomocí klienta vzdálené plochy (RDP); například z pracovní stanice pro přístup operátora (OAW).

    Poznámka

    Operátor se ověřuje pomocí stejného účtu správce cloudu, který spustil Grant-RdpAccessToErcsVM.

  2. Po připojení k virtuálnímu počítači ERCS přes protokol RDP spusťte PowerShell.

  3. Pomocí následujícího příkazu se připojte ke konzole virtuálního počítače tenanta:

    ConnectTo-TenantVm -ResourceID

  4. Operátor se teď připojí k obrazovce konzoly virtuálního počítače tenanta, ke kterému se musí znovu ověřit pomocí přihlašovacích údajů správce cloudu . Operátor nemá žádné přihlašovací údaje pro přihlášení k hostovanému operačnímu systému.

    Poznámka

    Na přihlašovací obrazovce se stisknutím kláves Windows + U spustí klávesnice na obrazovce, která umožňuje odesílání kláves CTRL + ALT + Delete. Abyste mohli používat kombinaci kláves Windows + U, musíte být v režimu RDP na celou obrazovku.

  5. Operátor teď může sdílet obrazovku s tenantem a ladit případné problémy, které brání připojení k virtuálnímu počítači přes síť.

  6. Po dokončení může operátor odebrat souhlas uživatele spuštěním následujícího příkazu:

    Delete-TenantVMSession -ResourceID

    Poznámka

    Platnost souhlasu uživatele automaticky vyprší po 8 hodinách a odvolá veškerý přístup operátora.