Console série Azure pour Linux

  • Article

Remarque

CentOS référencé dans cet article est une distribution Linux qui atteint la fin de vie (EOL). Tenez compte de votre utilisation et planifiez en conséquence. Pour plus d’informations, consultez Guide sur la fin de vie de CentOS.

La console série du Portail Azure permet aux machines virtuelles et aux instances de groupe de machines virtuelles identiques Linux d’accéder à une console texte. Cette connexion série s’effectue par le biais du port série ttys0 de la machine virtuelle ou de l’instance du groupe de machines virtuelles identiques. Elle fournit l’accès à la machine virtuelle ou à l’instance et n’est pas liée au réseau ni à l’état du système d’exploitation. La console série est accessible seulement avec le portail Azure et est autorisée seulement pour les utilisateurs disposant d’un rôle d’accès de contributeur ou supérieur à la machine virtuelle ou au groupe de machines virtuelles identiques.

La console série fonctionne de la même manière pour les machines virtuelles et les instances de groupe de machines virtuelles identiques. Dans ce document, toutes les mentions aux machines virtuelles incluent implicitement les instances de groupe de machines virtuelles identiques, sauf indication contraire.

La console série est généralement disponible dans les régions Azure mondiales et en préversion publique dans Azure Government. Elle n’est pas encore disponible dans le cloud Azure Chine.

Pour en savoir plus sur la console série Windows, consultez Console série Windows.

Remarque

La‧console‧série‧est‧actuellement‧incompatible‧avec‧un‧compte‧de‧stockage‧de‧diagnostics‧à‧démarrage‧géré.

Prerequisites

  • Votre machine virtuelle ou votre instance de groupe de machines virtuelles identiques doit utiliser le modèle de déploiement Resource Manager. Les déploiements classiques ne sont pas pris en charge.

  • Le compte qui utilise une console série doit disposer du rôle Contributeur de machine virtuelle pour la machine virtuelle et le compte de stockage des diagnostics de démarrage

  • Votre machine virtuelle ou instance de groupe de machines virtuelles identiques doit avoir une authentification de l’utilisateur par mot de passe. Vous pouvez en créer un avec la fonction Réinitialiser le mot de passe de l’extension d’accès aux machines virtuelles. Sélectionnez Réinitialiser le mot de passe dans la section Support + dépannage.

  • Les diagnostics de démarrage de votre machine virtuelle ou instance de groupe de machines virtuelles identiques doivent être activés.

    Capture d’écran de la page Paramètres de diagnostic dans le portail Azure. L’option Diagnostics de démarrage est activée.

  • Pour découvrir les paramètres spécifiques des distributions Linux, consultez Disponibilité de distributions Linux pour la console série.

  • Votre machine virtuelle ou instance de groupe de machines virtuelles identiques doit être configurée pour une sortie en série sur ttys0. Il s’agit de la valeur par défaut pour les images Azure, mais pensez à la vérifier pour les images personnalisées. Vous trouverez plus de détails ci-dessous.

Remarque

La console série nécessite la configuration d’un utilisateur local avec mot de passe. Les machines virtuelles ou groupes de machines virtuelles identiques configurés uniquement avec une clé publique SSH ne peuvent pas se connecter à la console série. Pour créer un utilisateur local avec mot de passe, utilisez Extension VMAccess, disponible dans le portail par le biais de l’option Réinitialiser le mot de passe du portail Azure, puis créez un utilisateur local avec mot de passe. Vous pouvez également réinitialiser le mot de passe administrateur de votre compte en utilisant le GRUB pour démarrer en mode mono-utilisateur.

Disponibilité de distributions Linux pour la console série

Afin de permettre le bon fonctionnement de la console série, le système d’exploitation invité doit être configuré pour la lecture et l’écriture des messages de console sur le port série. La plupart des distributions Azure Linux approuvées présentent la console série configurée par défaut. Sélectionnez Console série dans la section Support + dépannage du portail Azure pour accéder à la console série.

Remarque

Si vous ne voyez rien dans la console série, vérifiez que les diagnostics de démarrage sont activés sur votre machine virtuelle. Le fait de cliquer sur Entrée permet généralement de corriger les problèmes à cause desquels rien ne s’affiche dans la console série.

Distribution Accès à la console série
Red Hat Enterprise Linux Accès à la console série activé par défaut.
CentOS Accès à la console série activé par défaut.
Debian Accès à la console série activé par défaut.
Ubuntu Accès à la console série activé par défaut.
CoreOS Accès à la console série activé par défaut.
SUSE Les images SLES disponibles sur Azure disposent de l’accès à la console série activé par défaut.
Oracle Linux Accès à la console série activé par défaut.

Images Linux personnalisées

Afin d’activer la console série pour votre image Linux personnalisée de machine virtuelle, activez l’accès à la console dans le fichier /etc/inittab pour exécuter un terminal sur ttyS0. Par exemple : S0:12345:respawn:/sbin/agetty -L 115200 console vt102. Vous devrez peut-être aussi générer un getty sur ttyS0. Pour ce faire, vous pouvez utiliser systemctl start serial-getty@ttyS0.service.

Vous devez également ajouter ttys0 comme destination de la sortie en série. Pour plus d’informations sur la configuration d’une image personnalisée pour que cette dernière fonctionne avec la console série, consultez les exigences générales du système sous Création et téléchargement d’un disque dur virtuel Linux dans Azure.

Si vous générez un noyau personnalisé, envisagez dʼactiver les indicateurs de noyau : CONFIG_SERIAL_8250=y et CONFIG_MAGIC_SYSRQ_SERIAL=y. Le fichier config se trouve généralement sous /boot/.

Scénarios courants d’accès à la console série

Scénario Actions à effectuer dans la console série
Fichier FSTAB endommagé Appuyez sur la touche Entrée pour continuer, puis utilisez un éditeur de texte pour réparer le fichier FSTAB. Vous devrez peut-être activer le mode mono-utilisateur pour ce faire. Pour en savoir plus, consultez les sections Résoudre les incidents fstab et Utiliser la console série pour accéder au GRUB et au mode mono-utilisateur de la console série.
Règles de pare-feu incorrectes Si vous avez configuré iptables pour bloquer la connectivité SSH, vous pouvez utiliser la console série pour interagir avec votre machine virtuelle sans avoir besoin de SSH. Vous trouverez plus d’informations sur la page du manuel des tables d’adresses IP.
De même, si votre pare-feu bloque l’accès SSH, vous pouvez accéder à la machine virtuelle via la console série et reconfigurer le pare-feu. Pour plus d’informations, consultez la documentation sur le pare-feu.
Contrôle de la corruption du système de fichiers Pour plus d’informations sur la résolution des problèmes liés aux systèmes de fichiers endommagés à l’aide de la console série, consultez la section relative à la console série dans l’article La machine virtuelle Azure Linux ne peut pas démarrer en raison d’erreurs du système de fichiers.
Problèmes de configuration SSH Accédez à la console série et modifiez les paramètres. La console série peut être utilisée quelle que soit la configuration SSH d’une machine virtuelle. La machine virtuelle ne nécessite pas de connectivité réseau pour fonctionner. Un guide de résolution des problèmes est disponible sous Dépannage d’une connexion SSH à une machine virtuelle Linux Azure défaillante, qui génère une erreur ou qui est refusée. Pour en savoir plus, consultez la page Étapes détaillées supplémentaires de résolution des problèmes SSH pour la connexion à une machine virtuelle Linux dans Azure
Interaction avec le chargeur de démarrage Redémarrez votre machine virtuelle à partir du panneau de la console série pour accéder au GRUB sur votre machine virtuelle Linux. Pour en savoir plus et obtenir des informations spécifiques sur la distribution, consultez Utiliser la console série pour accéder au GRUB et au mode mono-utilisateur.

Désactiver la console série

Par défaut, tous les abonnements ont accès à la console série. Vous pouvez désactiver la console série au niveau de l’abonnement ou de la machine virtuelle/du groupe de machines virtuelles identiques. Pour obtenir des instructions détaillées, consultez Activer et désactiver la console série Azure.

Sécurité de la console série

Utiliser la console série quand le pare-feu de compte de stockage de diagnostic de démarrage personnalisé est activé

La console série utilise le compte de stockage configuré pour les diagnostics de démarrage dans son workflow de connexion. Quand un pare-feu est activé sur ce compte de stockage, les adresses IP de service de la console série doivent être ajoutées en tant qu’exclusions. Pour cela, procédez comme suit :

  1. Accédez aux paramètres du pare-feu de compte de stockage de diagnostic de démarrage personnalisé que vous avez activé.

    Remarque

    Pour déterminer le compte de stockage activé pour votre machine virtuelle, dans la section Support + dépannage, sélectionnez Diagnostics de démarrage>Paramètres.

  2. Ajoutez les adresses IP de service de la console série en tant qu’exclusions de pare-feu en fonction de la géographie de la machine virtuelle.

    Le tableau ci-dessous répertorie les adresses IP qui doivent être autorisées en tant qu’exclusions de pare-feu en fonction de la région ou de la géographie où se trouve la machine virtuelle. Il s’agit d’un sous-ensemble de la liste complète des adresses IP de la console série en cours de traitement pour inclusion dans les balises de service.

    Adresse IP Régions Géographie
    20.205.69.28 Asie de l’Est, Asie du Sud-Est Asie-Pacifique
    20.195.85.180 Asie de l’Est, Asie du Sud-Est Asie-Pacifique
    20.53.53.224 Australie Centre, Australie Centre 2, Australie Est, Australie Sud-Est Australie
    20.70.222.112 Australie Centre, Australie Centre 2, Australie Est, Australie Sud-Est Australie
    191234.136.63 Brésil Sud, Brésil Sud-Est Brésil
    20.206.0.194 Brésil Sud, Brésil Sud-Est Brésil
    52.228.86.177 Canada Centre, Canada Est Canada
    52.242.40.90 Canada Centre, Canada Est Canada
    20.45.242.18 Canaries (EUAP)
    20.51.21.252 Canaries (EUAP)
    52.146.139.220 Europe Nord, Europe Ouest Europe
    20105.209.72 Europe Nord, Europe Ouest Europe
    20.111.0.244 France Centre, France Sud France
    52.136.191.10 France Centre, France Sud France
    51.116.75.88 Allemagne Nord, Allemagne Centre-Ouest Allemagne
    20.52.95.48 Allemagne Nord, Allemagne Centre-Ouest Allemagne
    20.192.168.150 Inde Centre, Inde Sud, Inde Ouest Inde
    20.192.153.104 Inde Centre, Inde Sud, Inde Ouest Inde
    20.43.70.205 Japon Est, Japon Ouest Japon
    20.189.228.222 Japon Est, Japon Ouest Japon
    20.200.196.96 Corée Centre, Corée Sud Corée
    52.147.119.29 Corée Centre, Corée Sud Corée
    20.100.1.184 Norvège Ouest, Norvège Est Norvège
    51.13.138.76 Norvège Ouest, Norvège Est Norvège
    20.208.4.98 Suisse Nord, Suisse Ouest Suisse
    51.107.251.190 Suisse Nord, Suisse Ouest Suisse
    20.45.95.66 Émirats arabes unis Centre, Émirats arabes unis Nord Émirats arabes unis
    20.38.141.5 Émirats arabes unis Centre, Émirats arabes unis Nord Émirats arabes unis
    20.90.132.144 Royaume-Uni Sud, Royaume-Uni Ouest Royaume-Uni
    20.58.68.62 Royaume-Uni Sud, Royaume-Uni Ouest Royaume-Uni
    51.12.72.223 Suède Centre, Suède Sud Suède
    51.12.22.174 Suède Centre, Suède Sud Suède
    20.98.146.84 USA Centre, USA Est 2, USA Est, USA Centre Nord, USA Centre Sud, USA Ouest 2, USA Ouest 3, USA Centre Ouest, USA Ouest USA
    20.98.194.64 USA Centre, USA Est 2, USA Est, USA Centre Nord, USA Centre Sud, USA Ouest 2, USA Ouest 3, USA Centre Ouest, USA Ouest USA
    20.69.5.162 USA Centre, USA Est 2, USA Est, USA Centre Nord, USA Centre Sud, USA Ouest 2, USA Ouest 3, USA Centre Ouest, USA Ouest USA
    20.83.222.102 USA Centre, USA Est 2, USA Est, USA Centre Nord, USA Centre Sud, USA Ouest 2, USA Ouest 3, USA Centre Ouest, USA Ouest États-Unis
    20.83.222.100 USA Centre, USA Est 2, USA Est, USA Centre Nord, USA Centre Sud, USA Ouest 2, USA Ouest 3, USA Centre Ouest, USA Ouest États-Unis
    20.141.10.130 Toutes les régions de cloud du gouvernement américain UsGov
    52.127.55.131 Toutes les régions de cloud du gouvernement américain UsGov

    Importante

    • Les adresses IP qui doivent être autorisées sont spécifiques de la région où la machine virtuelle est située. Par exemple, une machine virtuelle déployée dans la région Europe Nord doit ajouter les exclusions IP suivantes au pare-feu de compte de stockage pour la géographie Europe : 52.146.139.220 et 20.105.209.72. Consultez le tableau ci-dessus pour connaître les adresses IP correctes pour votre région et votre géographie.
    • Dans l’opération de console série actuelle, le socket web est ouvert sur un point de terminaison tel que <region>.gateway.serialconsole.azure.com. Assurez-vous que le point de terminaison serialconsole.azure.com est autorisé pour les clients de navigateur dans votre organisation. Dans le cloud du gouvernement américain (Fairfax), le suffixe du point de terminaison est serialconsole.azure.us.

    Pour plus d’informations sur l’ajout d’adresses IP au pare-feu du compte de stockage, consultez l’article Configurer des pare-feux et des réseaux virtuels dans Stockage Azure : Gestion des règles de réseau IP.

Une fois que les adresses IP ont été ajoutées au pare-feu du compte de stockage, réessayez d’établir la connexion de la console série à la machine virtuelle. Si vous rencontrez toujours des problèmes de connexion, vérifiez que les adresses IP correctes sont exclues du pare-feu du compte de stockage pour la région de la machine virtuelle.

Sécurité des accès

L’accès à la console série est limité aux utilisateurs disposant d’un rôle d’accès Contributeur de machine virtuelle ou d’un rôle supérieur vis-à-vis de la machine virtuelle. Si votre locataire Microsoft Entra nécessite une authentification multifacteur (MFA), l’accès à la console série nécessite également l’authentification MFA, car l’accès de la console série s’effectue par le biais du portail Azure.

Sécurité des canaux

Toutes les données envoyées sont chiffrées en transit avec TLS 1.2 ou une version ultérieure.

Stockage et chiffrement des données

La console série Azure n’examine, n’inspecte et ne stocke aucune donnée transmise à l’intérieur et à l’extérieur du port série de la machine virtuelle. Par conséquent, il n’y a pas de données à chiffrer au repos.

Pour vous assurer que toutes les données en mémoire, paginées sur les disques par des machines virtuelles exécutant la console série Azure, sont cryptées, utilisez le chiffrement basé sur l’hôte. Le chiffrement basé sur l’hôte est activé par défaut pour toutes les connexions avec la console série Azure.

Résidence de données

Le portail Azure ou Azure CLI agissent comme des terminaux distants du port série de la machine virtuelle. Comme ces terminaux ne peuvent pas se connecter directement aux serveurs qui hébergent la machine virtuelle sur le réseau, une passerelle de service intermédiaire est utilisée pour établir une liaison proxy avec le trafic du terminal. La console série Azure ne stocke ni ne traite ces données client. La passerelle de service intermédiaire qui transfère les données résidera dans la même région géographique que la machine virtuelle.

Journaux d’audit

Tous les accès à la console série sont journalisés dans les journaux d’activité Diagnostics de démarrage de la machine virtuelle. L’accès à ces journaux est détenu et contrôlé par l’administrateur de la machine virtuelle Azure.

Attention

Aucun mot de passe d’accès pour la console n’est journalisé. Toutefois, si des commandes exécutées dans la console contiennent ou affichent des mots de passe, des secrets, des noms d’utilisateur ou toute autre forme d’informations d’identification personnelle (PII), ces derniers sont écrits dans les journaux d’activité Diagnostics de démarrage de la machine virtuelle. Ils sont accompagnés de tout autre texte visible dans le cadre de l’implémentation de la fonctionnalité de scrollback de la console série. Ces journaux sont circulaires et seules les personnes disposant d’autorisations de lecture pour le compte de stockage de diagnostic peuvent y accéder. Si vous entrez des données ou des commandes qui contiennent des secrets ou des informations d’identification personnelle, il est recommandé d’utiliser SSH, à moins que la console série ne soit absolument nécessaire.

Utilisation simultanée

Si un utilisateur est connecté à la console série alors qu’un autre utilisateur demande l’accès à la même machine virtuelle, le premier utilisateur est déconnecté pendant que le second utilisateur est connecté.

Attention

Cela signifie quʼun utilisateur déconnecté ne verra pas sa session clôturée. La possibilité dʼimposer une fermeture de session lors de la déconnexion (en utilisant SIGHUP ou un mécanisme similaire) est toujours inscrit sur la feuille de route. Pour Windows, un délai d’expiration automatique est activé dans la console SAC (Special Administrative Console). Mais pour Linux, vous pouvez configurer le délai d’expiration terminal. Pour ce faire, ajoutez export TMOUT=600 dans votre fichier .bash_profile ou .profile pour l’utilisateur avec lequel vous vous connectez habituellement à la console. Ce paramètre met fin à la session au bout de 10 minutes.

Accessibilité

L’accessibilité est un point central de la console série Azure. C’est pourquoi nous avons veillé à ce que la console série soit entièrement accessible.

Navigation au clavier

Utilisez la touche Tabulation du clavier pour naviguer dans l’interface de la console série à partir du portail Azure. Votre emplacement est mis en surbrillance à l’écran. Pour quitter la fenêtre de la console série, appuyez sur les touches Ctrl+F6 de votre clavier.

Utiliser la console série avec un lecteur d’écran

La console série comprend une prise en charge intégrée des lecteurs d’écran. Quand le lecteur d’écran est activé, le texte de remplacement du bouton sélectionné est lu à voix haute.

Problèmes connus

Nous sommes conscients de certains problèmes liés à la console série et au système d’exploitation de machine virtuelle. Voici une liste de ces problèmes et la procédure d’atténuation associée pour les machines virtuelles Linux. Ces problèmes et atténuations s’appliquent aux machines virtuelles et aux instances de groupe de machines virtuelles identiques. S’ils ne correspondent pas à l’erreur que vous voyez, consultez l’article sur les erreurs de service courantes avec la console série.

Problème Limitation des risques
L’utilisation de la touche Entrée après la bannière de connexion n’entraîne pas l’affichage d’une invite de connexion. GRUB n’est peut-être pas correctement configuré. Exécutez les commandes suivantes : grub2-mkconfig -o /etc/grub2-efi.cfg et/ou grub2-mkconfig -o /etc/grub2.cfg. Cela peut se produire si vous exécutez une machine virtuelle personnalisée, une appliance à sécurité renforcée ou une configuration de GRUB qui empêche Linux de se connecter au port série.
Le texte de la console série n’occupe l’écran que partiellement (souvent après l’utilisation d’un éditeur de texte). Les consoles série ne gèrent pas la négociation sur la taille de fenêtre (RFC 1073), ce qui signifie qu’aucun signal SIGWINCH ne sera envoyé pour mettre à jour la taille de l’écran et la machine virtuelle ne connaîtra pas la taille de votre terminal. Installez xterm ou un utilitaire similaire pour disposer de la commande resize puis exécutez resize.
Le collage de chaînes longues ne fonctionne pas. La console série limite la longueur des chaînes collées dans le terminal à 2 048 caractères afin d’empêcher toute surcharge de la bande passante du port série.
Entrée de clavier erratique dans les images SLES BYOS. L’entrée de clavier n’est reconnue que de manière sporadique. Il s’agit d’un problème avec le package Plymouth. Plymouth ne doit pas être exécuté dans Azure tant que vous n’avez pas besoin d’un écran de démarrage. Plymouth interfère avec la capacité de la plateforme à utiliser la console série. Supprimez Plymouth avec sudo zypper remove plymouth puis redémarrez. Vous pouvez également modifier la ligne du noyau de votre configuration GRUB en ajoutant plymouth.enable=0 à la fin de la ligne. Pour ce faire, modifiez l’entrée de démarrage au moment du démarrage ou modifiez la ligne GRUB_CMDLINE_LINUX dans /etc/default/grub, regénérez GRUB avec grub2-mkconfig -o /boot/grub2/grub.cfg, puis redémarrez la machine.

Foire aux questions

Q : Comment puis-je envoyer des commentaires ?

R. Envoyez vos commentaires en créant un problème GitHub sur https://aka.ms/serialconsolefeedback. Vous pouvez également envoyer des commentaires par le biais de azserialhelp@microsoft.com ou dans la catégorie Machine virtuelle de la page https://feedback.azure.com.

Q : Est-ce que la console série prend en charge l’opération Copier/Coller ?

R. Oui. Utilisez les combinaisons de touches Ctrl+Maj+C et Ctrl+Maj+V pour copier et coller du texte dans le terminal.

Q : Puis-je utiliser une console série à la place d’une connexion SSH ?

A. Même si cela est techniquement possible, la console série est principalement utilisée comme outil de résolution des problèmes, lorsque la connectivité par le biais du protocole SSH n’est pas possible. Nous déconseillons l’utilisation de la console série en remplacement du SSH, et ce, pour les raisons suivantes :

  • La console série ne dispose pas d’autant de bande passante que le protocole SSH. Étant donné qu’il s’agit d’une connexion qui convient au texte uniquement, les interactions sollicitant beaucoup l’interface graphique utilisateur seront difficiles.
  • L’accès à la console série n’est actuellement possible que par l’utilisation d’un nom d’utilisateur et d’un mot de passe. Comme les clés SSH sont beaucoup plus sécurisées que les combinaisons nom d’utilisateur/mot de passe, il est recommandé, pour des raisons de sécurité, d’utiliser le protocole SSH plutôt que la console série.

Q : Qui peut activer ou désactiver la console série pour mon abonnement ?

A. Pour activer ou désactiver la console série au niveau d’un abonnement, vous devez disposer des autorisations en écriture sur l’abonnement. Les rôles ayant une autorisation en écriture incluent notamment les rôles administrateur et propriétaire. Des rôles personnalisés peuvent aussi disposer d’autorisations en écriture.

Q : Qui peut accéder à la console série pour ma machine virtuelle/mon groupe de machines virtuelles identiques ?

A. Vous devez disposer du rôle Contributeur de machine virtuelle ou d’un rôle supérieur vis-à-vis d’une machine virtuelle ou d’un groupe de machines virtuelles identiques pour accéder à la console série.

Q : Ma console série n’affiche rien. Que dois-je faire ?

A. Votre image est probablement mal configurée pour l’accès à la console série. Pour plus d’informations sur la configuration de votre image afin d’activer la console série, consultez Disponibilité de distributions Linux pour la console série.

Q : La console série est-elle disponible pour les groupes de machines virtuelles identiques ?

A. Oui, c’est le cas. Consultez la section Démarrer avec la console série.

Q : Si je configure ma machine virtuelle ou mon groupe de machines virtuelles identiques en utilisant uniquement une authentification par clé SSH, puis-je toujours utiliser la console série pour me connecter à ma machine virtuelle/à mon groupe de machines virtuelles identiques ?

R. Oui. Comme la console série ne nécessite pas de clés SSH, il vous suffit de configurer une combinaison nom d’utilisateur/mot de passe. Vous pouvez le faire en sélectionnant Réinitialiser le mot de passe dans le portail Azure et en utilisant ces informations d’identification pour vous connecter à la console série.

Prochaines étapes

Contactez-nous pour obtenir de l’aide

Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.