Consola serie de Azure para Linux

  • Artículo

Nota:

CentOS al que se hace referencia en este artículo es una distribución de Linux y llegará al final de la vida útil (EOL). Considere su uso y planifique en consecuencia. Para obtener más información, consulte Guía de fin de vida de CentOS.

La consola serie de Azure Portal proporciona acceso a una consola basada en texto para las máquinas virtuales Linux y los conjuntos de escalado de máquinas virtuales. Esta conexión serie se conecta al puerto serie ttys0 de la máquina virtual o del conjunto de escalado de máquinas virtuales y ofrece acceso a ellos sin estar relacionada con el estado del sistema operativo o de la red. A la consola serie solo se puede acceder mediante Azure Portal; además, esta solo se permite a los usuarios que tienen un rol de acceso de colaborador o superior en el conjunto de escalado de máquinas virtuales o la máquina virtual.

La consola serie funciona de la misma manera para las máquinas virtuales y las instancias de conjunto de escalado de máquinas virtuales. En este documento, todas las menciones a las máquinas virtuales incluirán implícitamente las instancias de conjunto de escalado de máquinas virtuales, a menos que se indique lo contrario.

La consola serie está disponible con carácter general en regiones de Azure globales y en versión preliminar pública en Azure Government. Aún no está disponible en la nube de Azure en China.

Para la documentación sobre la consola serie para Windows, consulte Consola serie para Windows.

Nota:

La consola serie no es compatible con una cuenta de almacenamiento de diagnósticos de arranque administrado.

Requisitos previos

  • La máquina virtual o la instancia de conjunto de escalado de máquinas virtuales deben usar el modelo de implementación de Resource Manager. No se admiten las implementaciones clásicas.

  • La cuenta que usa una consola serie debe tener el rol Colaborador de la máquina virtual y la cuenta de almacenamiento de diagnósticos de arranque.

  • La máquina virtual o la instancia de conjunto de escalado de máquinas virtuales deben tener un usuario con contraseña. Puede crear una con la función para restablecer la contraseña de la extensión de acceso de máquina virtual. Seleccione Restablecer contraseña en la sección Ayuda.

  • La máquina virtual o el conjunto de escalado de máquinas virtuales deben tener el diagnóstico de arranque habilitado.

    Captura de pantalla de la página de configuración de Diagnóstico en Azure Portal. La opción de diagnóstico de arranque está habilitada.

  • Para conocer la configuración específica de las distribuciones de Linux, consulte Disponibilidad de distribuciones de Linux para la consola serie.

  • La máquina virtual o el conjunto de escalado de máquinas virtuales debe configurarse para la salida de serie en ttys0. Este es el valor predeterminado para las imágenes de Azure, pero querrá volver a comprobar esto en imágenes personalizadas. Más detalles a continuación.

Nota:

La consola serie requiere un usuario local con una contraseña configurada. Las máquinas virtuales o los conjuntos de escalado de máquinas virtuales configurados solo con una clave pública SSH no podrán iniciar sesión en la consola serie. Para crear un usuario local con contraseña, utilice la extensión VMAccess (también está disponible en el portal al seleccionar Restablecer contraseña) y cree un usuario local con una contraseña. También puede restablecer la contraseña de administrador en su cuenta si usa GRUB para iniciar el modo de usuario único.

Disponibilidad de la distribución de Linux para la consola serie

Para que la consola serie funcione correctamente, el sistema operativo invitado debe configurarse para leer y escribir mensajes de la consola en el puerto serie. La mayoría de distribuciones de Linux aprobadas por Azure tienen la consola serie configurada de manera predeterminada. Si selecciona la opción Consola serie en la sección Ayuda de Azure Portal, obtendrá acceso a la consola serie.

Nota:

Si no ve nada en la consola serie, asegúrese de que el diagnóstico de arranque está habilitado en la máquina virtual. Presionar Entrar a menudo soluciona los problemas en los que no aparece nada en la consola serie.

Distribución Acceso a la consola serie
Red Hat Enterprise Linux El acceso a la consola serie está habilitado de forma predeterminada.
CentOS El acceso a la consola serie está habilitado de forma predeterminada.
Debian El acceso a la consola serie está habilitado de forma predeterminada.
Ubuntu El acceso a la consola serie está habilitado de forma predeterminada.
CoreOS El acceso a la consola serie está habilitado de forma predeterminada.
SUSE Las imágenes de SLES disponibles en Azure tienen habilitado el acceso a la consola serie de forma predeterminada.
Oracle Linux El acceso a la consola serie está habilitado de forma predeterminada.

Imágenes personalizadas de Linux

Para habilitar la consola serie para la imagen de VM de Linux personalizada, habilite el acceso de la consola en el archivo /etc/inittab a fin de ejecutar un terminal en ttyS0. Por ejemplo: S0:12345:respawn:/sbin/agetty -L 115200 console vt102. También puede ser necesario generar un getty en ttyS0. Esto se puede hacer con systemctl start serial-getty@ttyS0.service.

También deberá agregar ttys0 como destino para la salida de serie. Para más información sobre cómo configurar una imagen personalizada para trabajar con la consola serie, consulte los requisitos generales del sistema en el artículo de Creación y carga de un disco duro virtual Linux en Azure.

Si está compilando un kernel personalizado, tenga en cuenta que puede habilitar las siguientes marcas de kernel: CONFIG_SERIAL_8250=y y CONFIG_MAGIC_SYSRQ_SERIAL=y. El archivo de configuración se encuentra normalmente en la ruta de acceso /boot/.

Escenarios habituales de acceso a la consola serie

Escenario Acciones en la consola serie
Archivo FSTAB dañado Presione la tecla Entrar para continuar y usar un editor de texto a fin de corregir el archivo FSTAB. Para ello, es posible que deba estar en modo de usuario único. Para más información, consulte la sección de la consola serie sobre cómo solucionar problemas de fstab y Use serial console to access GRUB and single user mode (Uso de la consola serie para acceder a GRUB y al modo de usuario único).
Reglas de firewall incorrectas Si ha configurado iptables para bloquear la conectividad SSH, puede usar la consola serie para interactuar con la máquina virtual sin necesidad de SSH. Más detalles en la página del manual de iptables.
De forma similar, si su firewalld bloquea el acceso SSH, puede acceder a la máquina virtual mediante la consola serie y volver a configurar el firewalld. Se puede encontrar más información en la documentación del firewalld.
Comprobación o daños en el sistema de archivos Consulte la sección de la consola serie de Azure VM Linux no se puede iniciar debido a errores de sistema de archivos para más detalles sobre cómo solucionar sistemas de archivos dañados mediante la consola serie.
Problemas de configuración de SSH Acceda a la consola serie y cambie la configuración. La consola serie puede usarse independientemente de la configuración de SSH de una máquina virtual, ya que no requiere que la máquina virtual tenga conectividad de red para que funcione. Hay una guía de solución de problemas disponible en Troubleshoot SSH connections to an Azure Linux VM that fails, errors out, or is refused (Solución de problemas de conexión SSH a una máquina virtual Linux de Azure que producen error o se rechazan). Más detalles disponibles en Detailed SSH troubleshooting steps for issues connecting to a Linux VM in Azure (Pasos detallados de solución de problemas de SSH para los problemas de conexión a una máquina virtual Linux en Azure).
Interacción con el cargador de arranque Reinicie la máquina virtual desde dentro de la hoja de la consola serie para acceder a GRUB en la máquina virtual Linux. Para más detalles e información específica de la distribución, consulte Use serial console to access GRUB and single user mode (Uso de la consola serie para acceder a GRUB y al modo de usuario único).

Deshabilitación de la consola serie

De forma predeterminada, todas las suscripciones tienen el acceso a la consola serie habilitado. Puede deshabilitar la consola serie a nivel de la suscripción o de la máquina virtual o del conjunto de escalado de máquinas virtuales. Para obtener instrucciones detalladas, visite Habilitación y deshabilitación de la consola serie de Azure.

Seguridad de la consola serie

Usar la consola serie con el firewall de la cuenta de almacenamiento de diagnóstico de arranque personalizado habilitado

La consola serie utiliza la cuenta de almacenamiento configurada para diagnósticos de arranque en su flujo de trabajo de conexión. Cuando se habilita un firewall en esta cuenta de almacenamiento, las IP de servicio de la consola serie se deben añadir como exclusiones. Para ello, siga estos pasos:

  1. Vaya a la configuración del firewall de la cuenta de almacenamiento de diagnóstico de arranque personalizado que ha habilitado.

    Nota:

    Para determinar qué cuenta de almacenamiento se habilita para su VM, desde la sección Soporte + Solución de problemas, seleccione diagnóstico de arranque>Configuración.

  2. Añadir las IP de servicio de la consola serie como exclusiones del firewall basadas en la geografía de la VM.

    La siguiente tabla enumera las IP que deben permitirse como exclusiones del firewall en función de la región o la geografía donde se encuentra la VM. Este es un subconjunto de la lista completa de direcciones IP de la consola serie que se están procesando para su inclusión en las etiquetas de servicio.

    Dirección IP Regiones Geografía
    20.205.69.28 Asia oriental, sudeste asiático Asia Pacífico
    20.195.85.180 Asia oriental, sudeste asiático Asia Pacífico
    20.53.53.224 Centro de Australia, Centro de Australia 2, Este de Australia, Sudeste de Australia Australia
    20.70.222.112 Centro de Australia, Centro de Australia 2, Este de Australia, Sudeste de Australia Australia
    191.234.136.63 Sur de Brasil, Sudeste de Brasil Brasil
    20.206.0.194 Sur de Brasil, Sudeste de Brasil Brasil
    52.228.86.177 Centro de Canadá, Este de Canadá Canada
    52.242.40.90 Centro de Canadá, Este de Canadá Canada
    20.45.242.18 Islas Canarias (EUAP)
    20.51.21.252 Islas Canarias (EUAP)
    52.146.139.220 Norte de Europa, Europa Occidental Europa
    20.105.209.72 Norte de Europa, Europa Occidental Europa
    20.111.0.244 Centro de Francia, Sur de Francia Francia
    52.136.191.10 Centro de Francia, Sur de Francia Francia
    51.116.75.88 Norte de Alemania, Centro-oeste de Alemania Alemania
    20.52.95.48 Norte de Alemania, Centro-oeste de Alemania Alemania
    20.192.168.150 Centro de India, Sur de la India, Oeste de la India India
    20.192.153.104 Centro de India, Sur de la India, Oeste de la India India
    20.43.70.205 Este de Japón, Japón Occidental Japón
    20.189.228.222 Este de Japón, Japón Occidental Japón
    20.200.196.96 Centro de Corea, Corea del Sur Corea
    52.147.119.29 Centro de Corea, Corea del Sur Corea
    20.100.1.184 Oeste de Noruega, Este de Noruega Noruega
    51.13.138.76 Oeste de Noruega, Este de Noruega Noruega
    20.208.4.98 Norte de Suiza, Oeste de Suiza Suiza
    51.107.251.190 Norte de Suiza, Oeste de Suiza Suiza
    20.45.95.66 Centro de Emiratos Árabes Unidos, Norte de Emiratos Árabes Unidos Emiratos Árabes Unidos
    20.38.141.5 Centro de Emiratos Árabes Unidos, Norte de Emiratos Árabes Unidos Emiratos Árabes Unidos
    20.90.132.144 Sur de Reino Unido, Oeste del Reino Unido Reino Unido
    20.58.68.62 Sur de Reino Unido, Oeste del Reino Unido Reino Unido
    51.12.72.223 Centro de Suecia, Sur de Suecia Suecia
    51.12.22.174 Centro de Suecia, Sur de Suecia Suecia
    20.98.146.84 Centro de EE. UU., Este de EE. UU. 2, Este de EE. UU., Centro-norte de EE. UU., Centro-sur de EE. UU., Oeste de EE. UU. 2, Oeste de EE. UU. 3, Centro-oeste de EE. UU., Oeste de EE. UU. Estados Unidos
    20.98.194.64 Centro de EE. UU., Este de EE. UU. 2, Este de EE. UU., Centro-norte de EE. UU., Centro-sur de EE. UU., Oeste de EE. UU. 2, Oeste de EE. UU. 3, Centro-oeste de EE. UU., Oeste de EE. UU. Estados Unidos
    20.69.5.162 Centro de EE. UU., Este de EE. UU. 2, Este de EE. UU., Centro-norte de EE. UU., Centro-sur de EE. UU., Oeste de EE. UU. 2, Oeste de EE. UU. 3, Centro-oeste de EE. UU., Oeste de EE. UU. Estados Unidos
    20.83.222.102 Centro de EE. UU., Este de EE. UU. 2, Este de EE. UU., Centro-norte de EE. UU., Centro-sur de EE. UU., Oeste de EE. UU. 2, Oeste de EE. UU. 3, Centro-oeste de EE. UU., Oeste de EE. UU. Estados Unidos
    20.83.222.100 Centro de EE. UU., Este de EE. UU. 2, Este de EE. UU., Centro-norte de EE. UU., Centro-sur de EE. UU., Oeste de EE. UU. 2, Oeste de EE. UU. 3, Centro-oeste de EE. UU., Oeste de EE. UU. Estados Unidos
    20.141.10.130 Todas las regiones de la nube del gobierno de EE. UU. UsGov
    52.127.55.131 Todas las regiones de la nube del gobierno de EE. UU. UsGov

    Importante

    • Las IP que deben permitirse son específicas de la región donde se encuentra la VM. Por ejemplo, una máquina virtual implementada en la región Norte de Europa debe añadir las siguientes exclusiones de IP al firewall de la cuenta de almacenamiento para la geografía de Europa: 52.146.139.220 y 20.105.209.72. Vea la tabla anterior para encontrar las IP correctas para su región y geografía.
    • En la operación actual de la consola serie, el socket web se abre a un punto de conexión como <region>.gateway.serialconsole.azure.com. Asegúrese de que el punto de conexión serialconsole.azure.com esté permitido para los clientes de navegador de su organización. En la nube del Gobierno de EE.UU. (Fairfax), el sufijo del punto final es serialconsole.azure.us.

    Para obtener más información sobre cómo añadir IP al firewall de la cuenta de almacenamiento, consulte Configurar firewalls de Azure Storage y redes virtuales: Administrar las reglas de redes de las IP.

Después de añadir correctamente las direcciones IP al firewall de la cuenta de almacenamiento, vuelva a intentar conectar la consola serie a la VM. Si sigue teniendo problemas de conexión, compruebe que se excluyen las direcciones IP correctas del firewall de la cuenta de almacenamiento para la región de la VM.

Seguridad de acceso

El acceso a la consola serie está limitado a los usuarios que tienen un rol de acceso de Colaborador de la máquina Virtual o superior. Si su inquilino de Microsoft Entra requiere la autenticación multifactor (MFA), el acceso a la consola serie también requerirá MFA porque el acceso a la consola serie se realiza con Azure Portal.

Seguridad del canal

Todos los datos que se envían de ida y vuelta se cifran en tránsito con TLS 1.2 o una versión posterior.

Almacenamiento y cifrado de datos

La consola serie de Azure no revisa, inspecciona ni almacena los datos que se transmiten dentro y fuera del puerto serie de la máquina virtual. Por lo tanto, no hay datos para cifrar en reposo.

Para asegurarse de que los datos en memoria que las máquinas virtuales que ejecutan la consola serie de Azure envían a los discos estén cifrados, utilice el cifrado basado en host. El cifrado basado en host está habilitado de forma predeterminada para todas las conexiones de la consola serie de Azure.

Residencia de datos

El portal de Azure o la CLI de Azure actúan como terminales remotos para el puerto serie de la máquina virtual. Como estos terminales no pueden conectarse directamente a los servidores que alojan la máquina virtual a través de la red, se utiliza una puerta de enlace de servicio intermedio para representar el tráfico del terminal. La consola serie de Azure no almacena ni procesa estos datos del cliente. La pasarela de servicio intermedio que transfiere los datos residirá en la geografía de la máquina virtual.

Registros de auditoría

Todo el acceso a la consola serie queda registrado en los registros de los diagnósticos de arranque de la máquina virtual. El administrador de la máquina virtual de Azure es el propietario y el que controla los accesos a estos registros.

Precaución

Las contraseñas de acceso de la consola no se registran. Sin embargo, si los comandos ejecutados en la consola contienen o generan contraseñas, secretos, nombres de usuario o cualquier otra forma de información de identificación personal, se escribirán en los registros de diagnóstico de arranque de la máquina virtual. Se escribirán junto con el resto del texto visible como parte de la implementación de la función de desplazamiento de la consola serie. Estos registros son circulares y solo tienen acceso a ellos aquellas personas con permisos de lectura a la cuenta de almacenamiento de diagnósticos. Si va a incluir datos o comandos que contengan secretos o información de identificación personal, se recomienda usar SSH a menos que la consola serie sea absolutamente necesaria.

Uso simultáneo

Si un usuario se conecta a la consola serie y otro usuario solicita correctamente acceso a esa misma máquina virtual, se desconectará el primer usuario y se conectará el segundo a la misma sesión.

Precaución

Esto significa que no se cerrará la sesión de un usuario desconectado. La capacidad de forzar un cierre de sesión tras la desconexión (mediante SIGHUP o un mecanismo similar) todavía está en la hoja de ruta. En Windows hay un tiempo de espera automático habilitado en la consola administrativa especial (SAC); sin embargo, en Linux puede configurar el valor de tiempo de espera del terminal. Para ello, agregue export TMOUT=600 en su archivo .bash_profile o .profile para el usuario que use para iniciar sesión en la consola. Esta configuración agotará el tiempo de espera de la sesión en 10 minutos.

Accesibilidad

La accesibilidad es un factor clave de la consola serie de Azure. Por este motivo, hemos garantizado que la consola serie sea totalmente accesible.

Navegación con el teclado

Use la tecla Tabulador del teclado para navegar hacia la interfaz de la consola serie en Azure Portal. La ubicación se resaltará en la pantalla. Para salir del enfoque de la ventana de la consola serie, presione Control+F6 en el teclado.

Uso de la consola serie con un lector de pantalla

La consola serie tiene integrada la compatibilidad con el lector de pantalla. Si navega con el lector de pantalla activado, el lector de pantalla podrá leer en voz alta el texto alternativo del botón seleccionado actualmente.

Problemas conocidos

Somos conscientes de que hay algunos problemas con la consola serie y el sistema operativo de la máquina virtual. Esta es una lista de dichos problemas y los pasos que puede realizar para corregirlos en máquinas virtuales Linux. Estos problemas y mitigaciones se aplican tanto a las máquinas virtuales como a las instancias de conjunto de escalado de máquinas virtuales. Si no coinciden con el error que observa, consulte los errores comunes de servicio de la consola serie en Errores comunes en la consola serie.

Incidencia Mitigación
Al presionar Entrar después del banner de conexión no se muestra ninguna solicitud de inicio de sesión. GRUB puede no estar configurado correctamente. Ejecute los comandos siguientes: grub2-mkconfig -o /etc/grub2-efi.cfg o grub2-mkconfig -o /etc/grub2.cfg. Este problema puede ocurrir si está ejecutando una máquina virtual personalizada, un dispositivo protegido o una configuración de GRUB que hace que Linux no pueda conectarse al puerto serie.
El texto de la consola serie solo ocupa una parte de la pantalla (a menudo después de usar un editor de texto). Las consolas serie no admiten operaciones para cambiar el tamaño de la ventana (RFC 1073), lo que significa que no se enviará ninguna señal SIGWINCH para actualizar el tamaño de la pantalla y la máquina virtual no tendrá conocimiento del tamaño del terminal. Instale xterm o una utilidad similar que le proporcione el comando resize y, a continuación, ejecute resize.
El hecho de pegar cadenas largas no funciona. La consola serie limita la longitud de las cadenas pegadas en el terminal a 2048 caracteres a fin de impedir que el ancho de banda del puerto serie se sobrecargue.
Entradas de teclado erráticas en las imágenes de SLES BYOS. La entrada mediante el teclado solo se reconoce esporádicamente. Se trata de un problema con el paquete de Plymouth. No se debe ejecutar Plymouth en Azure, ya que no necesita una pantalla de presentación y Plymouth afecta la capacidad de la plataforma para usar la consola serie. Quite Plymouth con sudo zypper remove plymouth y reinicie el equipo. Como alternativa, modifique la línea de kernel de la configuración GRUB anexando plymouth.enable=0 al final de esta. Puede hacerlo editando la entrada de arranque en el momento de arrancar, o editando la línea GRUB_CMDLINE_LINUX en /etc/default/grub, reconstruyendo GRUB con grub2-mkconfig -o /boot/grub2/grub.cfg, y luego reiniciando.

Preguntas más frecuentes

P: ¿Cómo puedo enviar comentarios?

A. Proporcione comentarios mediante la creación de un problema de GitHub en https://aka.ms/serialconsolefeedback. También tiene la posibilidad (aunque no es tan recomendable) de enviar comentarios a través de azserialhelp@microsoft.com o en la categoría de la máquina virtual de https://feedback.azure.com.

P: ¿La consola serie admite las operaciones de copiar y pegar?

R. Sí. Use Control+Mayús+C y Control+Mayús+V para copiar y pegar contenido en el terminal.

P: ¿Puedo usar la consola serie en lugar de una conexión SSH?

A. Aunque este uso puede parecer técnicamente posible, la consola serie está pensada para usarse principalmente como una herramienta de solución de problemas en situaciones donde no es posible la conectividad a través de SSH. Se recomienda no usar la consola serie como un reemplazo de SSH por los motivos siguientes:

  • La consola serie no tiene el ancho de banda que tiene SSH. Dado que es una conexión de solo texto, las interacciones de GUI más intensivas son complicadas.
  • Actualmente, solo se puede acceder a la consola serie con el nombre de usuario y la contraseña. Las claves SSH son mucho más seguras que las combinaciones de nombre de usuario y contraseña; así que, desde una perspectiva de seguridad de inicio de sesión, SSH es más recomendable que la consola serie.

P: ¿Quién puede habilitar o deshabilitar la consola serie en mi suscripción?

A. Para habilitar o deshabilitar la consola serie en toda una suscripción, es preciso tener permisos de escritura en la suscripción. Los roles que tienen permiso de escritura son, entre otros, los roles de administrador o propietario. Los roles personalizados también pueden tener permisos de escritura.

P: ¿Quién puede acceder a la consola serie de mi VM/conjunto de escalado de máquinas virtuales?

A. Para acceder a la consola serie, debe tener el rol Colaborador o superior para una máquina virtual o conjunto de escalado de máquinas virtuales.

P: La consola serie no muestra nada, ¿Qué hago?

A. Es probable que la imagen esté mal configurada para el acceso a la consola serie. Consulte Disponibilidad de distribuciones de Linux para la consola serie para obtener información sobre la configuración de la imagen a fin de habilitar la consola serie.

P: ¿Está disponible la consola serie en los conjuntos de escalado de máquinas virtuales?

A. Sí. Consulte Introducción a la consola serie.

P: Si configuro mi VM o conjunto de escalado de máquinas virtuales usando solo la autenticación de clave SSH, ¿puedo seguir usando la consola serie para conectarme a mi VM/conjunto de escalado de máquinas virtuales?

R. Sí. La consola serie no requiere claves SSH, por lo que lo único que debe hacer es configurar una combinación de nombre de usuario y contraseña. Para ello, seleccione la opción Restablecer contraseña en Azure Portal y use esas credenciales para iniciar sesión en la consola serie.

Pasos siguientes

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.