EVA(응급 VM 액세스) - 공개 미리 보기

중요

Azure Stack Hub에 대한 긴급 VM 액세스는 공개 미리 보기로 제공되며 버전 2108 이상에만 적용됩니다.

EVA(응급 VM 액세스 서비스)를 사용하면 사용자가 가상 머신에서 잠긴 시나리오에서 운영자에게 도움을 요청할 수 있으며 다시 배포 작업은 네트워크를 통해 액세스를 복구하는 데 도움이 되지 않습니다.

이 기능은 작동하려면 구독별로 사용하도록 설정해야 하며, 운영자는 cloudadmin 사용자가 ERCS(응급 복구 콘솔 VM)에 액세스하기 위해 원격 데스크톱 액세스를 사용하도록 설정해야 합니다.

사용자의 첫 번째 단계는 PowerShell을 통해 VM 콘솔 액세스를 요청하는 것입니다. 요청은 동의를 제공하고 운영자에게 추가 정보를 제공하여 콘솔을 통해 가상 머신에 연결할 수 있도록 합니다. 콘솔 액세스는 네트워크 연결에 의존하지 않으며 하이퍼바이저의 데이터 채널을 사용합니다.

운영자는 자격 증명이 알려진 경우에만 VM 내에서 실행되는 운영 체제에 인증할 수 있습니다. 이 시점에서 운영자는 사용자와 화면을 공유하고 문제를 함께 해결하여 네트워크 연결을 복원할 수도 있습니다.

중요

EVA 기능은 핵심 운영 체제가 화상 키보드 기능을 지원하지 않으므로 GUI를 사용하여 실행되는 Windows Server 컴퓨터로 제한됩니다. Ctrl+Alt+Del 키 조합을 입력으로 보낼 수 없으므로 콘솔에 연결할 수 있더라도 핵심 서버에 로그인할 수 없습니다. Windows 코어 OS 문제를 해결해야 하는 경우 잠금 해제된 PEP에서 콘솔 액세스를 제공하기 위해 Microsoft 지원에 참여하세요.

운영자는 EVA에 대한 사용자 구독을 사용하도록 설정합니다.

이 시나리오에서 운영자는 긴급 VM 액세스 기능을 사용할 수 있는 구독을 결정할 수 있습니다.

먼저 다음 PowerShell 스크립트를 실행합니다. 이 스크립트를 실행하려면 Azure Stack Hub PowerShell이 설치되어 있어야 합니다. Azure Stack Hub PowerShell을 설치하는 방법에 대한 지침을 따릅니다. 변수 자리 표시자를 올바른 값으로 바꿉다.

# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"

$tenantSubscriptionSettings = @{
    TenantSubscriptionId = [string]$tenantSubscriptionId
}

# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID

Invoke-AzureRmResourceAction `
    -ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
    -ResourceType "Microsoft.Compute.Admin/locations/features" `
    -Action "enableTenantSubscriptionFeature" `
    -Parameters $tenantSubscriptionSettings `
    -ApiVersion "2020-11-01" `
    -ErrorAction Stop `
    -Force

VM 콘솔 액세스를 요청하는 사용자

사용자는 운영자에게 특정 VM에 대한 콘솔 액세스를 만드는 데 동의합니다.

  1. 사용자로서 PowerShell을 열고, 구독에 로그인하고, 여기에 설명된 대로 Azure Stack Hub에 연결합니다.

  2. 다음 스크립트를 실행합니다. VMResourceID를 생성하려면 구독 ID, 리소스 그룹 및 VM 이름을 바꿔야 합니다.

    $SubscriptionID = "your Azure subscription ID" 
    $ResourceGroup = "your resource group name" 
    $VMName = "your VM name" 
    $vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" 
    
    $enableVMAccessResponse = Invoke-AzureRMResourceAction `
        -ResourceId $vmResourceId `
        -Action "enableVmAccess" `
        -ApiVersion "2020-06-01" `
        -ErrorAction Stop `
        -Force
    
    Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow
    Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan
    Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green
    Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
    

  1. 스크립트는 VMResourceID와 함께 테넌트가 운영자에게 제공하는 ERCS(응급 복구 콘솔 이름)를 반환합니다.

운영자는 ERCS VM에 대한 원격 데스크톱 액세스를 사용하도록 설정합니다.

Azure Stack Hub 운영자의 다음 단계는 권한 있는 엔드포인트를 호스트하는 ERCS(응급 복구 콘솔 VM)에 원격 데스크톱 액세스를 사용하도록 설정하는 것입니다.

ERCS에 연결하는 데 사용할 운영자 워크스테이션의 PEP(권한 있는 엔드포인트)에서 다음 명령을 실행합니다. 이 명령은 워크스테이션의 IP를 네트워크 안전 목록에 추가합니다. PEP에 연결하는 방법에 대한 지침을 따릅니다. 운영자는 cloudadmin 사용자 그룹의 멤버이거나 cloudadmin 자체일 수 있습니다.

Grant-RdpAccessToErcsVM

ERCS(응급 복구 콘솔 VM)에 대한 원격 데스크톱 액세스를 사용하지 않도록 설정하려면 PEP(권한 있는 엔드포인트)에서 다음 명령을 실행합니다.

Revoke-RdpAccessToErcsVM

참고

ERCS VM 중 하나에 테넌트 사용자의 액세스 요청이 할당됩니다. 운영자는 테넌트에서 받은 ERCS VM(출력 $enableVMAccessResponse)에 대해서만 PEP 세션을 만들 수 있습니다.

  1. 연산자는 ERCS 이름을 사용하고 RDP(원격 데스크톱 클라이언트)를 사용하여 연결합니다. 예를 들어 연산자 액세스 워크스테이션(OAW)에서

    참고

    운영자는 Grant-RdpAccessToErcsVM을 실행한 동일한 클라우드 관리자 계정을 사용하여 인증합니다.

  2. RDP를 통해 ERCS VM에 연결되면 PowerShell을 시작합니다.

  3. 다음 명령을 실행하여 응급 VM 액세스 모듈을 가져옵니다.

    Import-module Microsoft.AzureStack.Compute.EmergencyVmAccess.PowerShellModule
    
  4. 다음 명령을 사용하여 테넌트 가상 머신의 콘솔에 연결합니다.

    ConnectTo-TenantVm -ResourceID
    
  5. 이제 운영자는 cloudadmin 자격 증명을 사용하여 다시 인증해야 하는 테넌트 가상 머신의 콘솔 화면에 연결합니다. 운영자는 게스트 운영 체제에 로그인할 자격 증명이 없습니다.

    참고

    로그인 화면에서 Windows + U 키를 누르면 화상 키보드가 시작되므로 Ctrl + Alt + Delete를 보낼 수 있습니다. Windows + U 키 조합을 사용하려면 전체 화면 RDP 모드여야 합니다.

  6. 이제 운영자는 테넌트와의 공유를 차단하여 네트워크를 통해 VM에 연결할 수 없는 문제를 디버그할 수 있습니다.

  7. 완료되면 운영자는 다음 명령을 실행하여 사용자 동의를 제거할 수 있습니다.

    Delete-TenantVMSession -ResourceID
    

    참고

    사용자 동의는 8시간 후에 자동으로 만료되며 운영자가 모든 액세스를 취소합니다.