Akses mesin virtual darurat (EVA)

  • Artikel

Layanan Emergency VM Access (EVA) memungkinkan pengguna untuk meminta bantuan dari operator dalam skenario di mana pengguna dikunci dari komputer virtual, dan operasi penyebaran ulang tidak membantu memulihkan akses melalui jaringan.

Catatan

EVA dirilis dengan ketersediaan umum yang dimulai dengan Azure Stack Hub 2301.

Fitur ini harus diaktifkan per langganan, dan operator perlu mengaktifkan akses Desktop Jauh agar pengguna cloudadmin dapat mengakses VM konsol pemulihan darurat (ERCS).

Langkah pertama bagi pengguna adalah meminta akses konsol VM melalui PowerShell. Permintaan tersebut memberikan persetujuan dan memungkinkan operator dengan informasi tambahan untuk terhubung ke mesin virtual melalui konsolnya. Akses konsol tidak bergantung pada konektivitas jaringan dan menggunakan saluran data hypervisor.

Operator hanya dapat mengautentikasi ke sistem operasi yang berjalan di dalam VM jika kredensial diketahui. Pada titik tersebut, operator juga dapat berbagi layar dengan pengguna dan menyelesaikan masalah bersama-sama untuk memulihkan konektivitas jaringan.

Penting

Untuk VM yang menjalankan Windows Server, fitur EVA terbatas pada komputer yang berjalan dengan antarmuka pengguna grafis (GUI). Untuk Windows Server, sistem operasi inti tidak mendukung fungsionalitas keyboard di layar. Karena tidak dapat mengirim kombinasi tombol Ctrl+Alt+Del sebagai input, Anda tidak dapat masuk ke server inti, meskipun dapat terhubung ke konsolnya. Jika Anda perlu mengatasi masalah dengan OS inti Windows, libatkan dukungan Microsoft untuk menyediakan akses konsol dari PEP yang tidak terkunci.

Operator mengaktifkan langganan pengguna untuk EVA

Dalam skenario ini, operator dapat memutuskan langganan mana yang akan dapat menggunakan fitur akses VM darurat.

Pertama, jalankan skrip PowerShell berikut. Untuk menjalankan skrip ini, Anda harus menginstal PowerShell Azure Stack Hub. Ikuti panduan tentang cara menginstal PowerShell Azure Stack Hub. Ganti placeholder variabel dengan nilai yang benar:

# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"

$tenantSubscriptionSettings = @{
    TenantSubscriptionId = [string]$tenantSubscriptionId
}

# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID

Invoke-AzureRmResourceAction `
    -ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
    -ResourceType "Microsoft.Compute.Admin/locations/features" `
    -Action "enableTenantSubscriptionFeature" `
    -Parameters $tenantSubscriptionSettings `
    -ApiVersion "2020-11-01" `
    -ErrorAction Stop `
    -Force

Pengguna meminta akses konsol VM

Sebagai pengguna, Anda memberikan persetujuan kepada operator untuk membuat akses konsol untuk VM tertentu.

  1. Sebagai pengguna, buka PowerShell, masuk ke langganan Anda, dan sambungkan ke Azure Stack Hub seperti yang dijelaskan di sini.

  2. Jalankan skrip berikut. Anda harus mengganti ID langganan, grup sumber daya, dan nama VM untuk membangun VMResourceID:

    $SubscriptionID = "your Azure subscription ID" 
$ResourceGroup = "your resource group name" 
$VMName = "your VM name" 
$vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" 

$enableVMAccessResponse = Invoke-AzureRMResourceAction `
    -ResourceId $vmResourceId `
    -Action "enableVmAccess" `
    -ApiVersion "2020-06-01" `
    -ErrorAction Stop `
    -Force

Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow
Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan
Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green
Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
  1. Skrip mengembalikan nama konsol pemulihan darurat (ERCS), yang disediakan penyewa kepada operator, bersama dengan VMResourceID.

Operator memungkinkan akses desktop jauh ke VM ERCS

Langkah selanjutnya untuk operator Azure Stack Hub adalah mengaktifkan akses Desktop Jauh ke VM Konsol Pemulihan Darurat (ERCS), yang menghosting titik akhir istimewa.

Jalankan perintah berikut di titik akhir istimewa (PEP) dari stasiun kerja operator yang Anda gunakan untuk menyambungkan ke ERCS. Perintah menambahkan IP stasiun kerja ke daftar aman jaringan. Ikuti panduan tentang cara menyambungkan ke PEP. Operator dapat menjadi anggota grup pengguna cloudadmin, atau cloudadmin sendiri:

Grant-RdpAccessToErcsVM

Untuk menonaktifkan akses desktop jauh ke VM Konsol Pemulihan Darurat (ERCS), jalankan perintah berikut di titik akhir istimewa (PEP):

Revoke-RdpAccessToErcsVM

Catatan

Salah satu VM ERCS akan diberi permintaan akses dari pengguna penyewa. Sebagai operator, Anda hanya dapat membuat sesi PEP ke VM ERCS yang diterima dari penyewa (output $enableVMAccessResponse).

  1. Operator menggunakan nama ERCS, dan menyambungkan ke nama tersebut menggunakan Klien Desktop Jauh (RDP); misalnya, dari stasiun kerja akses operator (OAW).

    Catatan

    Operator melakukan autentikasi menggunakan akun admin cloud yang sama dengan akun yang mengeksekusi Grant-RdpAccessToErcsVM.

  2. Setelah tersambung ke VM ERCS melalui RDP, luncurkan PowerShell.

  3. Sambungkan ke konsol mesin virtual penyewa menggunakan perintah berikut:

    ConnectTo-TenantVm -ResourceID

  4. Operator kini terhubung ke layar konsol mesin virtual penyewa yang perlu diautentikasi menggunakan kredensial cloudadmin lagi. Operator tidak memiliki kredensial untuk masuk ke sistem operasi tamu.

    Catatan

    Di layar masuk, menekan tombol Windows + U akan meluncurkan keyboard di layar, yang memungkinkan pengiriman CTRL + ALT + Delete. Anda harus dalam mode RDP layar penuh untuk menggunakan kombinasi tombol Windows + U.

  5. Operator sekarang dapat berbagi layar dengan penyewa untuk men-debug masalah apa pun yang mencegah koneksi ke VM melalui jaringan.

  6. Setelah selesai, operator dapat menjalankan perintah berikut untuk menghapus persetujuan pengguna:

    Delete-TenantVMSession -ResourceID

    Catatan

    Persetujuan pengguna berakhir secara otomatis setelah 8 jam, dan akan mencabut semua akses oleh operator.