A kiemelt végpont használata az Azure Stack Hubban

  • Cikk

Azure Stack Hub-operátorként a legtöbb napi felügyeleti feladathoz a rendszergazdai portált, a PowerShellt vagy az Azure Resource Manager API-kat kell használnia. Néhány kevésbé gyakori művelet esetén azonban a kiemelt végpontot (PEP) kell használnia. A PEP egy előre konfigurált távoli PowerShell-konzol, amely elegendő képességet biztosít a szükséges feladatok elvégzéséhez. A végpont a PowerShell JEA (Just Enough Administration) használatával csak korlátozott parancsmagokat tesz elérhetővé. A PEP eléréséhez és a korlátozott parancsmagok meghívásához a rendszer alacsony jogosultságú fiókot használ. Nincs szükség rendszergazdai fiókokra. A további biztonság érdekében a szkriptelés nem engedélyezett.

A PEP használatával a következő feladatokat hajthatja végre:

  • Alacsony szintű feladatok, például diagnosztikai naplók gyűjtése.
  • Számos üzembe helyezés utáni adatközpont-integrációs feladat integrált rendszerekhez, például tartománynévrendszer-továbbítók hozzáadása az üzembe helyezés után, Microsoft Graph-integráció beállítása, Active Directory összevonási szolgáltatások (AD FS) (AD FS) integráció, tanúsítványrotáció stb.
  • Az integrált rendszer részletes hibaelhárítása érdekében a támogatással együttműködve ideiglenes, magas szintű hozzáféréshez juthat.

A PEP naplózza a PowerShell-munkamenetben végrehajtott összes műveletet (és annak kimenetét). Ez teljes átláthatóságot és a műveletek teljes naplózását biztosítja. Ezeket a naplófájlokat a jövőbeli naplózásokhoz is megtarthatja.

Megjegyzés

Az Azure Stack Development Kitben (ASDK) futtathatja a PEP-ben elérhető parancsok egy részét közvetlenül a fejlesztői készlet gazdagépén található PowerShell-munkamenetből. Előfordulhat azonban, hogy a PEP használatával szeretne tesztelni bizonyos műveleteket, például a naplógyűjtést, mert ez az egyetlen elérhető módszer bizonyos műveletek integrált rendszerkörnyezetben való végrehajtásához.

Megjegyzés

Az Operátori hozzáférési munkaállomás (OAW) segítségével is hozzáférhet a kiemelt végponthoz (PEP), a támogatási forgatókönyvek rendszergazdai portáljához és az Azure Stack Hub GitHub Toolshoz. További információ: Az Azure Stack Hub operátori hozzáférési munkaállomása.

Hozzáférés a kiemelt végponthoz

A PEP-et egy távoli PowerShell-munkameneten keresztül érheti el a PEP-t üzemeltető virtuális gépen (VM). Az ASDK-ban ez a virtuális gép neve AzS-ERCS01. Integrált rendszer használata esetén a PEP három példánya fut egy virtuális gépen (prefix-ERCS01, Prefix-ERCS02 vagy Prefix-ERCS03) a különböző gazdagépeken a rugalmasság érdekében.

Mielőtt elkezdené ezt az eljárást egy integrált rendszer esetében, győződjön meg arról, hogy IP-címmel vagy DNS-sel is hozzáférhet a PEP-hez. Az Azure Stack Hub kezdeti üzembe helyezése után csak IP-cím alapján férhet hozzá a PEP-hez, mert a DNS-integráció még nincs beállítva. Az OEM hardvergyártója egy AzureStackStampDeploymentInfo nevű JSON-fájlt biztosít Önnek, amely tartalmazza a PEP IP-címeket.

Az IP-címet az Azure Stack Hub felügyeleti portálján is megtalálhatja. Nyissa meg például a portált. https://adminportal.local.azurestack.external Válassza a Régiókezelés>tulajdonságai lehetőséget.

A kiemelt végpont futtatásakor be kell állítania a jelenlegi kulturális beállítást en-US , különben az olyan parancsmagok, mint a Test-AzureStack vagy a Get-AzureStackLog nem a várt módon működnek.

Megjegyzés

Biztonsági okokból a PEP-hez csak a hardveres életciklus-gazdagépen futó, megerősített virtuális gépről vagy egy dedikált és biztonságos számítógépről, például a Privileged Access-munkaállomásról kell csatlakoznia. A hardveres életciklus-gazdagép eredeti konfigurációja nem módosítható az eredeti konfigurációból (beleértve az új szoftverek telepítését) vagy a PEP-hez való csatlakozáshoz.

  1. Hozza létre a megbízhatósági kapcsolatot.

    • Integrált rendszeren futtassa a következő parancsot egy emelt szintű Windows PowerShell munkamenetből, és adja hozzá a PEP-t megbízható gazdagépként a hardveres életciklus-gazdagépen vagy a Privileged Access-munkaállomáson futó, megerősített virtuális gépen.

      Set-Item WSMan:\localhost\Client\TrustedHosts -Value '<IP Address of Privileged Endpoint>' -Concatenate

    • Ha az ASDK-t futtatja, jelentkezzen be a fejlesztői készlet gazdagépére.

  2. A hardveres életciklus-gazdagépen vagy a Privileged Access-munkaállomáson futó, edzett virtuális gépen nyisson meg egy Windows PowerShell munkamenetet. Futtassa a következő parancsokat egy távoli munkamenet létrehozásához a PEP-t üzemeltető virtuális gépen:

    • Integrált rendszeren:

      $cred = Get-Credential

$pep = New-PSSession -ComputerName <IP_address_of_ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
Enter-PSSession $pep

      A ComputerName paraméter lehet a PEP-t üzemeltető virtuális gépek IP-címe vagy DNS-neve.

      Megjegyzés

      Az Azure Stack Hub nem kezdeményez távoli hívást a PEP-hitelesítő adatok érvényesítésekor. Ehhez egy helyileg tárolt RSA nyilvános kulcsra támaszkodik.

    • Ha az ASDK-t futtatja:

      $cred = Get-Credential

$pep = New-PSSession -ComputerName azs-ercs01 -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
Enter-PSSession $pep

    Amikor a rendszer kéri, használja a következő hitelesítő adatokat:

    • Felhasználónév: Adja meg a CloudAdmin-fiókot Azure Stack Hub-tartomány>\cloudadmin formátumban<. (ASDK esetén a felhasználónév azurestack\cloudadmin)
    • Jelszó: Adja meg ugyanazt a jelszót, amelyet az AzureStackAdmin tartományi rendszergazdai fiók telepítése során adott meg.

    Megjegyzés

    Ha nem tud csatlakozni az ERCS-végponthoz, próbálkozzon újra az első és a második lépéssel egy másik ERCS virtuális gép IP-címével.

    Figyelmeztetés

    Alapértelmezés szerint az Azure Stack Hub-bélyeg csak egy CloudAdmin-fiókkal van konfigurálva. Nincsenek helyreállítási lehetőségek, ha a fiók hitelesítő adatai elvesznek, sérülnek vagy zárolva vannak. Elveszíti a hozzáférést a kiemelt végponthoz és más erőforrásokhoz.

    Javasoljuk, hogy hozzon létre további CloudAdmin-fiókokat, hogy elkerülje a bélyeg újbóli üzembe helyezését a saját költségén. Győződjön meg arról, hogy ezeket a hitelesítő adatokat a vállalat irányelvei alapján dokumentálja.

  3. A csatlakozás után a parancssor a környezettől függően [IP-cím vagy ERCS virtuális gép neve]: PS> vagy [azs-ercs01]: PS> értékre változik. Innen futtassa a parancsot Get-Command az elérhető parancsmagok listájának megtekintéséhez.

    A parancsmagok hivatkozását az Azure Stack Hub emelt szintű végpontreferenciájában találja

    Ezek közül a parancsmagok közül sok csak integrált rendszerkörnyezetekhez készült (például az adatközpont-integrációhoz kapcsolódó parancsmagok). Az ASDK-ban a következő parancsmagok lettek érvényesítve:

    • Clear-Host
    • Close-PrivilegedEndpoint
    • Exit-PSSession
    • Get-AzureStackLog
    • Get-AzureStackStampInformation
    • Get-Command
    • Get-FormatData
    • Get-Help
    • Get-ThirdPartyNotices
    • Measure-Object
    • New-CloudAdminUser
    • Out-Default
    • Remove-CloudAdminUser
    • Select-Object
    • Set-CloudAdminUserPassword
    • Test-AzureStack
    • Stop-AzureStack
    • Get-ClusterLog

A kiemelt végpont használata

Ahogy fent említettük, a PEP egy PowerShell JEA-végpont . Erős biztonsági réteg biztosítása mellett a JEA-végpontok csökkentik az alapvető PowerShell-képességeket, például a szkriptelést vagy a lapkiegészítést. Ha bármilyen típusú szkriptműveletet próbál meg, a művelet a ScriptsNotAllowed hibával hiúsul meg. Ez a hiba a várt viselkedés.

Ha például le szeretné kapni egy adott parancsmag paramétereinek listáját, futtassa a következő parancsot:

    Get-Command <cmdlet_name> -Syntax

Másik lehetőségként az Import-PSSession parancsmaggal importálhatja az összes PEP-parancsmagot a helyi gép aktuális munkamenetébe. A PEP parancsmagjai és funkciói mostantól elérhetők a helyi gépen, a lapkiegészítéssel és általában a szkriptkészítéssel együtt. A Get-Help modult a parancsmag utasításainak áttekintéséhez is futtathatja.

A PEP-munkamenet helyi gépen való importálásához hajtsa végre az alábbi lépéseket:

  1. Hozza létre a megbízhatósági kapcsolatot.

    • Integrált rendszeren futtassa a következő parancsot egy emelt szintű Windows PowerShell munkamenetből, és adja hozzá a PEP-t megbízható gazdagépként a hardveres életciklus-gazdagépen vagy a Privileged Access-munkaállomáson futó, megerősített virtuális gépen.

      winrm s winrm/config/client '@{TrustedHosts="<IP Address of Privileged Endpoint>"}'

    • Ha az ASDK-t futtatja, jelentkezzen be a fejlesztői készlet gazdagépére.

  2. A hardveres életciklus-gazdagépen vagy a Privileged Access-munkaállomáson futó, edzett virtuális gépen nyisson meg egy Windows PowerShell munkamenetet. Futtassa a következő parancsokat egy távoli munkamenet létrehozásához a PEP-t üzemeltető virtuális gépen:

    • Integrált rendszeren:

      $cred = Get-Credential

$session = New-PSSession -ComputerName <IP_address_of_ERCS> `
   -ConfigurationName PrivilegedEndpoint -Credential $cred `
   -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

      A ComputerName paraméter lehet a PEP-t üzemeltető virtuális gépek IP-címe vagy DNS-neve.

    • Ha az ASDK-t futtatja:

      $cred = Get-Credential

$session = New-PSSession -ComputerName azs-ercs01 `
   -ConfigurationName PrivilegedEndpoint -Credential $cred `
   -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)

    Amikor a rendszer kéri, használja a következő hitelesítő adatokat:

    • Felhasználónév: Adja meg a CloudAdmin-fiókot Azure Stack Hub-tartomány>\cloudadmin formátumban<. (ASDK esetén a felhasználónév azurestack\cloudadmin.)

    • Jelszó: Adja meg ugyanazt a jelszót, amelyet az AzureStackAdmin tartományi rendszergazdai fiók telepítése során adott meg.

  3. Importálja a PEP-munkamenetet a helyi gépre:

    Import-PSSession $session

  4. Most már használhatja a tabulátorkiegészítést, és a szokásos módon végezhet szkriptelést a helyi PowerShell-munkamenetben a PEP összes funkciójával és parancsmagjával anélkül, hogy csökkentenék az Azure Stack Hub biztonsági állapotát. Jó munkát!

A kiemelt végpont munkamenetének bezárása

Ahogy korábban említettük, a PEP naplózza a PowerShell-munkamenetben végzett összes műveletet (és annak kimenetét). A munkamenetet a parancsmaggal Close-PrivilegedEndpoint kell bezárnia. Ez a parancsmag megfelelően zárja be a végpontot, és megőrzés céljából egy külső fájlmegosztásba továbbítja a naplófájlokat.

A végponti munkamenet bezárása:

  1. Hozzon létre egy külső fájlmegosztást, amely elérhető a PEP által. Fejlesztői készlet környezetében egyszerűen létrehozhat egy fájlmegosztást a fejlesztői készlet gazdagépén.

  2. Futtassa a következő parancsmagot:

    Close-PrivilegedEndpoint -TranscriptsPathDestination "\\fileshareIP\SharedFolder" -Credential Get-Credential

    A parancsmag a következő táblázatban szereplő paramétereket használja:

    Paraméter Leírás Típus Kötelező
    TranscriptsPathDestination A "fileshareIP\sharefoldername" néven definiált külső fájlmegosztás elérési útja Sztring Yes
    Hitelesítő adat Hitelesítő adatok a fájlmegosztás eléréséhez SecureString Yes

Miután az átirat naplófájljai sikeresen átkerültek a fájlmegosztásba, a rendszer automatikusan törli őket a PEP-ből.

Megjegyzés

Ha a vagy parancsmagokkal Exit-PSSessionExitzárja be a PEP-munkamenetet, vagy csak bezárja a PowerShell-konzolt, az átiratnaplók nem lesznek fájlmegosztásba továbbítva. A PEP-ben maradnak. Amikor legközelebb futtat Close-PrivilegedEndpoint egy fájlmegosztást, és belefoglal egy fájlmegosztást, az előző munkamenet(ek) átiratnaplói is át lesznek osztva. Ne használja Exit-PSSession a vagy Exit a parancsot a PEP-munkamenet bezárásához, hanem használja Close-PrivilegedEndpoint .

Emelt szintű végpont zárolásának feloldása támogatási forgatókönyvekhez

Támogatási forgatókönyv esetén előfordulhat, hogy a Microsoft támogatási szakemberének megemelnie kell a kiemelt végponti PowerShell-munkamenetet az Azure Stack Hub-infrastruktúra belső elemeinek eléréséhez. Ezt a folyamatot néha informálisan "üvegtörésnek" vagy "a PEP feloldásának" is nevezik. A PEP-munkamenet jogosultságszint-emelési folyamata két lépés, két személy, két szervezet hitelesítési folyamata. A feloldási eljárást az Azure Stack Hub-operátor kezdeményezi, aki mindig fenntartja a környezete feletti irányítást. Az operátor hozzáfér a PEP-hez, és végrehajtja ezt a parancsmagot:

     Get-SupportSessionToken

A parancsmag a támogatási munkamenet-kérelem jogkivonatát adja vissza, amely egy nagyon hosszú alfanumerikus sztring. Az operátor ezután egy tetszőleges adathordozón (például csevegésen, e-mailben) továbbítja a microsoftos támogatási szakembernek a kérelem jogkivonatát. A Microsoft támogatási mérnöke a kérési jogkivonatot használja egy támogatási munkamenet engedélyezési jogkivonatának létrehozására, és visszaküldi azt az Azure Stack Hub-operátornak. Ugyanebben a PEP PowerShell-munkamenetben az operátor ezt követően átadja az engedélyezési jogkivonatot bemenetként a parancsmagnak:

      unlock-supportsession
      cmdlet Unlock-SupportSession at command pipeline position 1
      Supply values for the following parameters:
      ResponseToken:

Ha az engedélyezési jogkivonat érvényes, a PEP PowerShell-munkamenet emelt szintűvé vált, és teljes körű rendszergazdai képességeket és teljes körű elérhetőséget biztosít az infrastruktúrában.

Megjegyzés

Az emelt szintű PEP-munkamenetben végrehajtott összes műveletet és parancsmagot a Microsoft támogatási szakemberének szigorú felügyelete mellett kell végrehajtani. Ennek elmulasztása súlyos állásidőt, adatvesztést okozhat, és az Azure Stack Hub-környezet teljes újbóli üzembe helyezését igényelheti.

A támogatási munkamenet leállása után nagyon fontos, hogy a fenti szakaszban ismertetett Close-PrivilegedEndpoint parancsmaggal zárja be az emelt szintű PEP-munkamenetet. A PEP-munkamenet egyik leállt, a feloldási jogkivonat már nem érvényes, és nem használható újra a PEP-munkamenet újbóli feloldásához. Az emelt szintű PEP-munkamenet érvényessége 8 óra, amely után, ha nem fejeződik be, az emelt szintű PEP-munkamenet automatikusan visszazáródik egy normál PEP-munkamenetbe.

A kiemelt végponti jogkivonatok tartalma

A PEP támogatási munkamenet-kérelmei és engedélyezési jogkivonatai titkosítással védik a hozzáférést, és biztosítják, hogy csak az engedélyezett jogkivonatok oldják fel a PEP-munkamenet zárolását. A tokenek kriptográfiailag garantálják, hogy a választokeneket csak a kérési jogkivonatot létrehozó PEP-munkamenet fogadja el. A PEP-jogkivonatok nem tartalmaznak olyan információt, amely egyedileg azonosíthatná az Azure Stack Hub-környezetet vagy az ügyfelet. Teljesen névtelenek. Az egyes tokenek tartalmának részleteit alább találja.

Támogatási munkamenet-kérelem jogkivonata

A PEP támogatási munkamenet-kérelem jogkivonata három objektumból áll:

  • Véletlenszerűen generált munkamenet-azonosító.
  • Önaláírt tanúsítvány, amely egy egyszeri nyilvános/titkos kulcspár létrehozása céljából jön létre. A tanúsítvány nem tartalmaz semmilyen információt a környezetről.
  • A kérelem jogkivonatának lejáratát jelző időbélyeg.

A kérés jogkivonata ezután annak az Azure-felhőnek a nyilvános kulcsával lesz titkosítva, amelyhez az Azure Stack Hub-környezet regisztrálva van.

Munkamenet-engedélyezési válasz jogkivonatának támogatása

A PEP-támogatás engedélyezési válasz jogkivonata két objektumból áll:

  • A kérelem jogkivonatából kinyert véletlenszerűen létrehozott munkamenet-azonosító.
  • A választoken lejáratát jelző időbélyeg.

A választoken ezután a kérés jogkivonatában található önaláírt tanúsítvánnyal lesz titkosítva. Az önaláírt tanúsítvány vissza lett fejtve azzal az Azure-felhőhöz társított titkos kulccsal, amelyhez az Azure Stack Hub-környezet regisztrálva van.

Következő lépések