Toegang tot nood-VM (EVA) - Openbare preview

  • Artikel
  • 5 minuten om te lezen

Belangrijk

Toegang tot nood-VM's voor Azure Stack Hub is in openbare preview en is alleen van toepassing op versie 2108.

Met de EMERGENCY VM Access Service (EVA) kan een gebruiker hulp vragen van de operator in scenario's waarin die gebruiker is vergrendeld van de virtuele machine, en de herimplementatiebewerking helpt niet om de toegang via het netwerk te herstellen.

Deze functie moet per abonnement worden ingeschakeld en de operator moet extern bureaublad-toegang inschakelen om de cloudadmin-gebruiker toegang te geven tot de VM's voor noodherstelconsole (ERCS).

De eerste stap voor de gebruiker is het aanvragen van toegang tot de VM-console via PowerShell. De aanvraag biedt toestemming en stelt de operator in staat om via de console verbinding te maken met de virtuele machine. Consoletoegang is niet afhankelijk van de netwerkverbinding en maakt gebruik van een gegevenskanaal van de hypervisor.

Het is belangrijk te weten dat de operator alleen kan verifiëren bij het besturingssysteem dat wordt uitgevoerd in de VM als de referenties bekend zijn. Op dat moment kan de operator ook schermen delen met de gebruiker en het probleem samen oplossen om de netwerkverbinding te herstellen.

Belangrijk

De EVA-functie is beperkt tot Windows Server-computers die worden uitgevoerd met een GUI, omdat het kernbesturingssysteem geen ondersteuning biedt voor functionaliteit op het schermtoetsenbord. Omdat u de toetsencombinatie Ctrl+Alt+Del niet als invoer kunt verzenden, kunt u zich niet aanmelden bij een kernserver, ook al kunt u verbinding maken met de console. Als u een probleem wilt oplossen met het Windows core-besturingssysteem, neemt u contact op met microsoft-ondersteuning om consoletoegang te bieden via een ontgrendeld PEP.

Operator schakelt een gebruikersabonnement voor EVA in

In dit scenario kan de operator bepalen welk abonnement de toegangsfunctie voor nood-VM's moet kunnen gebruiken.

Voer eerst het volgende PowerShell-script uit. Als u dit script wilt uitvoeren, moet Azure Stack Hub PowerShell zijn geïnstalleerd. Volg de richtlijnen voor het installeren van Azure Stack Hub PowerShell. Vervang de tijdelijke aanduidingen voor variabelen door de juiste waarden:

# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"

$tenantSubscriptionSettings = @{
    TenantSubscriptionId = $tenantSubscriptionId
}

# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID

Invoke-AzureRmResourceAction `
    -ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
    -ResourceType "Microsoft.Compute.Admin/locations/features" `
    -Action "enableTenantSubscriptionFeature" `
    -Parameters $tenantSubscriptionSettings `
    -ApiVersion "2020-11-01" `
    -ErrorAction Stop `
    -Force

Gebruiker om toegang tot de VM-console aan te vragen

Als gebruiker geeft u toestemming aan de operator om consoletoegang te maken voor een specifieke VM.

  1. Als gebruiker opent u PowerShell, meldt u zich aan bij uw abonnement en maakt u verbinding met Azure Stack Hub, zoals hier wordt beschreven.

  2. Voer het volgende script uit. U moet de abonnements-id, resourcegroep en VM-naam vervangen om de VMResourceID te maken:

    $SubscriptionID = "your Azure subscription ID" 
$ResourceGroup = "your resource group name" 
$VMName = "your VM name" 
$vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" 

$enableVMAccessResponse = Invoke-AzureRMResourceAction `
    -ResourceId $vmResourceId `
    -Action "enableVmAccess" `
    -ApiVersion "2020-06-01" `
    -ErrorAction Stop `
    -Force

Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow
Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan
Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green
Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
  1. Het script retourneert de naam van de noodherstelconsole (ERCS), die de tenant aan de operator levert, samen met de VMResourceID.

Operator maakt externe bureaubladtoegang tot ERCS-VM's mogelijk

De volgende stap voor de Azure Stack Hub-operator is het inschakelen van extern bureaublad-toegang tot de VM's van de Emergency Recovery Console (ERCS), die als host fungeren voor de bevoegde eindpunten.

Voer de volgende opdrachten uit in het bevoegde eindpunt (PEP) van het operatorwerkstation dat wordt gebruikt om verbinding te maken met de ERCS. Met de opdracht wordt het IP-adres van het werkstation toegevoegd aan de veilige lijst met netwerken. Volg de richtlijnen voor het maken van verbinding met PEP. De operator kan lid zijn van de cloudadmin-gebruikersgroep of cloudadmin zelf:

Grant-RdpAccessToErcsVM

Voer de volgende opdracht uit in het bevoegde eindpunt (PEP) om de externe bureaubladtoegang tot de VM's van de Emergency Recovery Console (ERCS) uit te schakelen:

Revoke-RdpAccessToErcsVM

Notitie

Aan een van de ERCS-VM's wordt de toegangsaanvraag van de tenantgebruiker toegewezen. Als operator kunt u alleen een PEP-sessie maken naar de ERCS-VM die is ontvangen van de tenant (de uitvoer van $enableVMAccessResponse).

  1. De operator gebruikt de ERCS-naam en maakt er verbinding mee met behulp van de Extern bureaublad-client (RDP); Bijvoorbeeld vanaf het operatortoegangswerkstation (OAW).

    Notitie

    De operator verifieert met hetzelfde cloudbeheerdersaccount dat Grant-RdpAccessToErcsVM heeft uitgevoerd.

  2. Nadat u via RDP verbinding hebt gemaakt met de ERCS-VM, start u PowerShell.

  3. Importeer de module Voor toegang tot nood-VM's door de volgende opdracht uit te voeren:

    Import-module Microsoft.AzureStack.Compute.EmergencyVmAccess.PowerShellModule

  4. Verbinding maken naar de console van de virtuele tenantmachine met behulp van de volgende opdracht:

    ConnectTo-TenantVm -ResourceID

  5. De operator maakt nu verbinding met het consolescherm van de virtuele tenantmachine waarmee ze zich opnieuw moeten verifiëren met behulp van de cloudadmin-referenties . De operator heeft geen referenties waarmee u zich kunt aanmelden bij het gastbesturingssysteem.

    Notitie

    Druk in het aanmeldingsscherm op de toets Windows + U om het schermtoetsenbord te openen, waardoor Ctrl + Alt + Delete kan worden verzonden. U moet de RDP-modus volledig scherm hebben om de toetsencombinatie Windows + U te kunnen gebruiken.

  6. De operator kan nu schermshares met de tenant uitvoeren om eventuele problemen op te sporen die verbinding met de VIRTUELE machine voorkomen via het netwerk.

  7. Wanneer u klaar bent, kan de operator de volgende opdracht uitvoeren om de toestemming van de gebruiker te verwijderen:

    Delete-TenantVMSession -ResourceID

    Notitie

    De gebruikerstoestemming verloopt automatisch na 8 uur en trekt alle toegang door de operator in.