Accès à la machine virtuelle d’urgence (EVA)
Le service d’accès aux machines virtuelles d’urgence (EVA) permet à un utilisateur de demander de l’aide à l’opérateur dans les scénarios dans lesquels cet utilisateur est verrouillé de la machine virtuelle, et l’opération de redéploiement n’aide pas à récupérer l’accès via le réseau.
Notes
EVA a été publié en disponibilité générale à compter d’Azure Stack Hub 2301.
Cette fonctionnalité doit être activée par abonnement, et l’opérateur doit activer l’accès bureau à distance pour que l’utilisateur cloudadmin puisse accéder aux machines virtuelles de la console de récupération d’urgence (ERCS).
La première étape de l’utilisateur consiste à demander l’accès à la console VM via PowerShell. La demande fournit le consentement et permet à l’opérateur, avec des informations supplémentaires, de se connecter à la machine virtuelle via sa console. L’accès à la console ne dépend pas de la connectivité réseau et utilise un canal de données de l’hyperviseur.
L’opérateur ne peut s’authentifier auprès du système d’exploitation s’exécutant à l’intérieur de la machine virtuelle que si les informations d’identification sont connues. À ce stade, l’opérateur peut également partager des écrans avec l’utilisateur et résoudre le problème avec lui afin de restaurer la connectivité réseau.
Important
Pour les machines virtuelles exécutant Windows Server, la fonctionnalité EVA est limitée aux ordinateurs exécutant une interface utilisateur graphique (GUI). Pour Windows Server, le système d’exploitation principal ne prend pas en charge les fonctionnalités clavier à l’écran. Comme vous ne pouvez pas utiliser la combinaison de touches Ctrl+Alt+Suppr, vous ne pouvez pas vous connecter à un serveur principal, même si vous pouvez vous connecter à sa console. Si vous devez résoudre un problème avec le système d’exploitation principal Windows, contactez le support Microsoft pour fournir un accès à la console à partir d’un PEP déverrouillé.
L’opérateur active un abonnement utilisateur pour EVA
Dans ce scénario, l’opérateur peut choisir l’abonnement pouvant utiliser la fonctionnalité d’accès VM d’urgence.
Tout d’abord, exécutez le script PowerShell suivant. Pour exécuter ce script, vous devez avoir installé Azure Stack Hub PowerShell. Suivez les instructions pour installer Azure Stack Hub PowerShell. Remplacez les espaces réservés variables par les valeurs correctes :
# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"
$tenantSubscriptionSettings = @{
TenantSubscriptionId = [string]$tenantSubscriptionId
}
# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID
Invoke-AzureRmResourceAction `
-ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
-ResourceType "Microsoft.Compute.Admin/locations/features" `
-Action "enableTenantSubscriptionFeature" `
-Parameters $tenantSubscriptionSettings `
-ApiVersion "2020-11-01" `
-ErrorAction Stop `
-Force
L’utilisateur demande l’accès à la console VM
En tant qu’utilisateur, vous fournissez votre consentement à l’opérateur pour créer l’accès à la console sur une machine virtuelle spécifique.
En tant qu’utilisateur, ouvrez PowerShell, connectez-vous à votre abonnement puis à Azure Stack Hub, comme décrit ici.
Exécutez le script suivant. Vous devez remplacer l’ID d’abonnement, le groupe de ressources et le nom VM pour construire le VMResourceID :
$SubscriptionID = "your Azure subscription ID" $ResourceGroup = "your resource group name" $VMName = "your VM name" $vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" $enableVMAccessResponse = Invoke-AzureRMResourceAction ` -ResourceId $vmResourceId ` -Action "enableVmAccess" ` -ApiVersion "2020-06-01" ` -ErrorAction Stop ` -Force Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
- Le script renvoie le nom de la console de récupération d’urgence (ERCS), que le locataire fournit à l’opérateur, avec le VMResourceID.
L’opérateur active l’accès Bureau à distance sur les machines virtuelles ERCS
La prochaine étape de l’opérateur Azure Stack Hub consiste à activer l’accès Bureau à distance sur les machines virtuelles de la console de récupération d’urgence (ERCS), qui hébergent les points de terminaison privilégiés.
Exécutez les commandes suivantes dans le point de terminaison privilégié (PEP) à partir de la station de travail de l’opérateur que vous utilisez pour vous connecter à l’ERCS. La commande ajoute l’adresse IP de la station de travail à la liste de sécurité réseau. Suivez les instructions pour vous connecter à un PEP. L’opérateur peut être membre du groupe d’utilisateurs cloudadmin ou être cloudadmin lui-même :
Grant-RdpAccessToErcsVM
Pour désactiver l’accès Bureau à distance sur les machines virtuelles de la console de récupération d’urgence (ERCS), exécutez la commande suivante dans le point de terminaison privilégié (PEP) :
Revoke-RdpAccessToErcsVM
Notes
La demande d’accès de l’utilisateur locataire sera affectée à l’une des machines virtuelles ERCS. En tant qu’opérateur, vous pouvez créer une session PEP uniquement sur la machine virtuelle ERCS reçue du locataire (sortie de $enableVMAccessResponse
).
L’opérateur utilise le nom ERCS et s’y connecte avec le client Bureau à distance (RDP). Par exemple, à partir de la station de travail d’accès de l’opérateur.
Notes
L’opérateur s’authentifie à l’aide du même compte administrateur cloud qui a exécuté Grant-RdpAccessToErcsVM.
Une fois connecté à la machine virtuelle ERCS via RDP, lancez PowerShell.
Connectez-vous à la console de la machine virtuelle du locataire avec la commande suivante :
ConnectTo-TenantVm -ResourceID
L’opérateur se connecte maintenant à l’écran de la console de la machine virtuelle du locataire sur laquelle il doit s’authentifier en utilisant à nouveau les informations d’identification cloudadmin. L’opérateur n’a pas d’informations d’identification avec lesquelles se connecter au système d’exploitation invité.
Notes
Dans l’écran de connexion, si vous appuyez sur les touches Windows + U, le clavier visuel s’ouvre, ce qui permet d’envoyer CTRL + ALT + Suppr. Vous devez être en mode RDP plein écran pour utiliser la combinaison de touches Windows + U.
L’opérateur peut désormais partager l’écran avec le locataire pour déboguer tous les problèmes qui empêchent la connexion à la machine virtuelle via le réseau.
Quand vous avez terminé, l’opérateur peut exécuter la commande suivante pour supprimer le consentement de l’utilisateur :
Delete-TenantVMSession -ResourceID
Notes
Le consentement de l’utilisateur expire automatiquement au bout de 8 heures et révoque tous les accès de l’opérateur.