Toegang tot nood-VM's (EVA)
De EMERGENCY VM Access Service (EVA) stelt een gebruiker in staat om hulp te vragen van de operator in scenario's waarin die gebruiker is vergrendeld van de virtuele machine en de herimplementatiebewerking helpt niet om de toegang via het netwerk te herstellen.
Notitie
EVA is uitgebracht met algemene beschikbaarheid vanaf Azure Stack Hub 2301.
Deze functie moet per abonnement worden ingeschakeld en de operator moet extern bureaublad-toegang inschakelen om ervoor te zorgen dat de cloudbeheerder toegang heeft tot de CONSOLE voor noodherstel (ERCS).
De eerste stap voor de gebruiker is het aanvragen van toegang tot de VM-console via PowerShell. De aanvraag biedt toestemming en biedt de operator aanvullende informatie om via de console verbinding te maken met de virtuele machine. Consoletoegang is niet afhankelijk van netwerkconnectiviteit en maakt gebruik van een gegevenskanaal van de hypervisor.
De operator kan alleen verifiëren bij het besturingssysteem dat wordt uitgevoerd in de VM als de referenties bekend zijn. Op dat moment kan de operator ook schermen delen met de gebruiker en het probleem samen oplossen om de netwerkverbinding te herstellen.
Belangrijk
Voor VM's met Windows Server is de EVA-functie beperkt tot computers met een grafische gebruikersinterface (GUI). Voor Windows Server biedt het kernbesturingssysteem geen ondersteuning voor toetsenbordfunctionaliteit op het scherm. Omdat u de toetsencombinatie Ctrl+Alt+Del niet als invoer kunt verzenden, kunt u zich niet aanmelden bij een kernserver, ook al kunt u verbinding maken met de console. Als u een probleem met het Windows Core-besturingssysteem wilt oplossen, neemt u contact op met microsoft-ondersteuning om consoletoegang te bieden vanuit een ontgrendeld PEP.
Operator schakelt een gebruikersabonnement in voor EVA
In dit scenario kan de operator bepalen welk abonnement de functie voor toegang tot nood-VM's moet kunnen gebruiken.
Voer eerst het volgende PowerShell-script uit. Als u dit script wilt uitvoeren, moet Azure Stack Hub PowerShell zijn geïnstalleerd. Volg de richtlijnen voor het installeren van Azure Stack Hub PowerShell. Vervang de tijdelijke aanduidingen voor variabelen door de juiste waarden:
# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"
$tenantSubscriptionSettings = @{
TenantSubscriptionId = [string]$tenantSubscriptionId
}
# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID
Invoke-AzureRmResourceAction `
-ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
-ResourceType "Microsoft.Compute.Admin/locations/features" `
-Action "enableTenantSubscriptionFeature" `
-Parameters $tenantSubscriptionSettings `
-ApiVersion "2020-11-01" `
-ErrorAction Stop `
-Force
Gebruiker om toegang tot de VM-console aan te vragen
Als gebruiker geeft u de operator toestemming om consoletoegang te maken voor een specifieke VM.
Als gebruiker opent u PowerShell, meldt u zich aan bij uw abonnement en maakt u verbinding met Azure Stack Hub, zoals hier wordt beschreven.
Voer het volgende script uit. U moet de abonnements-id, resourcegroep en VM-naam vervangen om de VMResourceID te maken:
$SubscriptionID = "your Azure subscription ID" $ResourceGroup = "your resource group name" $VMName = "your VM name" $vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" $enableVMAccessResponse = Invoke-AzureRMResourceAction ` -ResourceId $vmResourceId ` -Action "enableVmAccess" ` -ApiVersion "2020-06-01" ` -ErrorAction Stop ` -Force Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
- Het script retourneert de consolenaam voor noodherstel (ERCS), die de tenant aan de operator verstrekt, samen met de VMResourceID.
Operator maakt extern bureaublad-toegang tot ERCS-VM's mogelijk
De volgende stap voor de Azure Stack Hub-operator is het inschakelen van Extern bureaublad-toegang tot de NOOD-console-VM's (ERCS), die als host fungeren voor de bevoegde eindpunten.
Voer de volgende opdrachten uit in het bevoegde eindpunt (PEP) vanaf het operatorwerkstation dat u gebruikt om verbinding te maken met de ERCS. Met de opdracht wordt het IP-adres van het werkstation toegevoegd aan de lijst met veilige netwerken. Volg de richtlijnen voor het maken van verbinding met PEP. De operator kan lid zijn van de gebruikersgroep cloudadmin of cloudadmin zelf:
Grant-RdpAccessToErcsVM
Voer de volgende opdracht uit in het bevoegde eindpunt (PEP) om de externe bureaubladtoegang tot de NOOD-console-VM's (ERCS) uit te schakelen:
Revoke-RdpAccessToErcsVM
Notitie
Aan een van de ERCS-VM's wordt de toegangsaanvraag van de tenantgebruiker toegewezen. Als operator kunt u alleen een PEP-sessie maken op de ERCS-VM die is ontvangen van de tenant (de uitvoer van $enableVMAccessResponse
).
De operator gebruikt de ERCS-naam en maakt er verbinding mee via de Extern bureaublad-client (RDP); bijvoorbeeld vanaf het operator access workstation (OAW).
Notitie
De operator verifieert met hetzelfde cloudbeheerdersaccount dat Grant-RdpAccessToErcsVM heeft uitgevoerd.
Zodra u via RDP verbinding hebt gemaakt met de ERCS-VM, start u PowerShell.
Maak verbinding met de console van de virtuele tenantmachine met behulp van de volgende opdracht:
ConnectTo-TenantVm -ResourceID
De operator maakt nu verbinding met het consolescherm van de virtuele tenantmachine waarvoor de gebruiker zich opnieuw moet verifiëren met behulp van de cloudadmin-referenties . De operator heeft geen referenties waarmee u zich kunt aanmelden bij het gastbesturingssysteem.
Notitie
Als u in het aanmeldingsscherm op de Windows +U-toets drukt, wordt het schermtoetsenbord geopend, waarmee u Ctrl + Alt + Delete kunt verzenden. U moet zich in de RDP-modus volledig scherm bevinden om de windows- en U-toetscombinatie te kunnen gebruiken.
De operator kan nu een scherm delen met de tenant om eventuele problemen op te lossen die verhinderen dat er verbinding wordt gemaakt met de VM via het netwerk.
Wanneer u klaar bent, kan de operator de volgende opdracht uitvoeren om de gebruikerstoestemming te verwijderen:
Delete-TenantVMSession -ResourceID
Notitie
De toestemming van de gebruiker verloopt automatisch na 8 uur en trekt alle toegang door de operator in.