Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberenu aan te melden ofde directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen demappen te wijzigen.
Toegang tot een bare-metalmachine beheren met behulp van de
Waarschuwing
Houd er rekening mee dat dit proces wordt gebruikt in noodsituaties wanneer alle andere probleemoplossingsopties met behulp van Azure zijn uitgeput. Voor schrijf- of bewerkingsacties die worden uitgevoerd op de BMM-knooppunten, moeten gebruikers 'reimage' instellen om Microsoft-ondersteuning te herstellen naar de betrokken BMM-knooppunten. Houd er rekening mee dat SSH-toegang tot deze bare-metalmachines is beperkt tot gebruikers die via deze methode worden beheerd vanuit de opgegeven jumphostlijst.
Er zijn zeldzame situaties waarin een gebruiker problemen met een bare-metalcomputer moet onderzoeken en oplossen en alle andere manieren via Azure uitgeput zijn. Azure Operator Nexus biedt de az networkcloud cluster baremetalmachinekeyset opdracht zodat gebruikers SSH-toegang tot deze bare-metalcomputers kunnen beheren. Bij het maken van een sleutelset worden gebruikers gevalideerd op basis van Microsoft Entra ID voor de juiste autorisatie door kruislings te verwijzen naar de user Principal Name die is opgegeven voor een gebruiker op basis van de opgegeven Microsoft Entra-groeps-id --azure-group-id <Entra Group ID>.
Gebruikers in een sleutelset worden elke vier uur gevalideerd en ook wanneer er wijzigingen in een sleutelset worden aangebracht. De status van elke gebruiker wordt vervolgens ingesteld op 'Actief' of 'Ongeldig'. Ongeldige gebruikers blijven in de sleutelset, maar hun sleutels worden verwijderd van alle hosts en ze hebben geen toegang. Redenen waarom een gebruiker ongeldig is, zijn:
- De User Principal Name van de gebruiker is niet opgegeven
- De User Principal Name van de gebruiker is geen lid van de opgegeven Entra-groep
- De opgegeven Entra-groep bestaat niet (in dat geval zijn alle gebruikers in de sleutelset ongeldig)
- De sleutelset is verlopen (in dat geval zijn alle gebruikers in de sleutelset ongeldig)
Opmerking
De User Principal Name is nu vereist voor sleutelsets omdat validatie van Microsoft Entra-id wordt afgedwongen voor alle gebruikers. Huidige sleutelsets die geen User Principal Names voor alle gebruikers opgeven, blijven werken tot de vervaldatum. Als een sleutelset zonder User Principal Names verloopt, moet de sleutelset worden bijgewerkt met User Principal Names voor alle gebruikers om opnieuw geldig te worden. Sleutelsets die vóór december 2024 niet zijn bijgewerkt met de User Principal Names voor alle gebruikers, lopen het risico om te worden
Invalidgebruikt. Houd er rekening mee dat als een gebruiker geen User Principal Name opgeeft, dit resulteert in een ongeldige sleutelset.
De keyset en elke afzonderlijke gebruiker hebben ook gedetailleerde statusberichten met andere informatie:
- De gedetailleerdeStatusMessage van de keyset geeft aan of de sleutelset is verlopen en andere informatie over problemen die zijn opgetreden tijdens het bijwerken van de sleutelset in het cluster.
- De statusMessage van de gebruiker geeft aan of de gebruiker actief of ongeldig is en een lijst met computers die nog niet zijn bijgewerkt naar de meest recente actieve/ongeldige status van de gebruiker. In elk geval worden oorzaken van problemen opgenomen, indien bekend.
Wanneer de opdracht wordt uitgevoerd, wordt deze uitgevoerd op elke bare-metalcomputer in het cluster met een actief Kubernetes-knooppunt. Er is een afstemmingsproces dat periodiek wordt uitgevoerd om de opdracht opnieuw uit te voeren op een bare-metalcomputer die niet beschikbaar was op het moment van de oorspronkelijke opdracht. Elke bare-metalcomputer die via een az networkcloud baremetalmachine reimage of az networkcloud baremetalmachine replace opdracht naar het cluster terugkeert (zie BareMetal-functies) verzendt ook een signaal waardoor actieve sleutelsets naar de machine worden verzonden zodra deze terugkeert naar het cluster. Meerdere opdrachten worden uitgevoerd in de ontvangen volgorde.
Waarschuwing
Het gebruik van een Entra-groeps-id met meer dan 5000 gebruikers wordt niet aanbevolen. Het afstemmen van een groot aantal gebruikers kan leiden tot time-outs, het blokkeren van toegang en het veroorzaken van aanmeldingsproblemen.
Waarschuwing
Notities voor IP-adressen van jumphosts
- Met het sleutelsetproces voor maken/bijwerken worden de IP-adressen van de jumphost toegevoegd aan de IP-tabellen voor elke computer in het cluster. De update van IP-tabellen beperkt SSH-toegang tot alleen die jumphosts.
- Het is belangrijk om de IP-adressen voor het cluster op te geven voor de jumphosts. Deze IP-adressen kunnen afwijken van het openbare IP-adres dat wordt gebruikt voor toegang tot de jumphost.
- Hoewel ten minste één sleutelset is gedefinieerd, is ssh-toegang toegestaan vanaf elke jumphost in elke sleutelset. Als keyset A bijvoorbeeld jumphost A opgeeft en keyset B verwijst naar jumphost B, kunnen gebruikers in een sleutelset jumphost A of B gebruiken.
- Hoewel er geen sleutelsets zijn gedefinieerd, is ssh-toegang toegestaan vanaf elke jumphost met netwerkconnectiviteit met de computers.
Opmerking
Het bevoegdheidsniveau van een sleutelset kan niet worden gewijzigd via de updateopdracht. Als u het bevoegdheidsniveau van een sleutelset wilt wijzigen, moet u de sleutelset verwijderen en opnieuw maken met het nieuwe bevoegdheidsniveau.
Vereiste voorwaarden
- Installeer de nieuwste versie van de juiste CLI-extensies.
- Het on-premises cluster moet verbinding hebben met Azure.
- Haal de naam van de resourcegroep voor de
Clusterresource op. - Het proces past sleutelsets toe op alle actieve bare-metalmachines.
- De toegevoegde gebruikers moeten deel uitmaken van een Microsoft Entra-groep. Zie Groepen beheren voor meer informatie.
- Als u de toegang voor het beheren van sleutelsets wilt beperken, maakt u een aangepaste rol. Zie Aangepaste Azure-rollen voor meer informatie. In dit geval kunt u machtigingen toevoegen of uitsluiten voor
Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets. De opties zijn/read,/writeen/delete.
Opmerking
Wanneer bare-metalcomputertoegang wordt gemaakt, gewijzigd of verwijderd via de opdrachten die in dit artikel worden beschreven, levert een achtergrondproces deze wijzigingen aan de machines. Dit proces wordt onderbroken tijdens software-upgrades van Operator Nexus. Als een upgrade wordt uitgevoerd, kunt u de --no-wait optie met de opdracht gebruiken om te voorkomen dat de opdrachtprompt wacht tot het proces is voltooid.
Een keyset voor een bare-metalmachine maken
Met de baremetalmachinekeyset create opdracht maakt u SSH-toegang tot de bare-metalcomputer in een cluster voor een groep gebruikers.
De syntaxis van de opdracht is:
az networkcloud cluster baremetalmachinekeyset create \
--name "<bare metal machine Keyset Name>" \
--extended-location name="<Extended Location ARM ID>" \
type="CustomLocation" \
--location "<Azure Region>" \
--azure-group-id "<Azure Group ID>" \
--expiration "<Expiration Timestamp>" \
--jump-hosts-allowed "<List of jump server IP addresses>" \
--os-group-name "<Name of the Operating System Group>" \
--privilege-level "<"Standard", "Superuser" or "Other">" \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1="<Key Value>" key2="<Key Value>" \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumenten maken
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key
set.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of resource group. You can
configure the default group using `az
configure --defaults group=<name>`.
--if-match : The ETag of the transformation. Omit
this value to always overwrite the
current resource. Specify the last-seen
ETag value to prevent accidentally
overwriting concurrent changes.
--if-none-match : Set to '*' to allow a new record set to
be created, but to prevent updating an
existing resource. Other values will
result in error from server as they are
not supported.
--no-wait : Do not wait for the long-running
operation to finish. Allowed values:
0, 1, f, false, n, no, t, true, y, yes.
--extended-location [Required] : The extended location of the cluster
associated with the resource. Support
shorthand-syntax, json-file and yaml-
file. Try "??" to show more.
--location -l : The geo-location where the resource
lives When not specified, the location
of the resource group will be used.
--tags : Resource tags. Support shorthand-
syntax, json-file and yaml-file. Try
"??" to show more.
--azure-group-id [Required] : The object ID of Azure Active Directory
group that all users in the list must
be in for access to be granted. Users
that are not in the group will not have
access.
--expiration [Required] : The date and time after which the users
in this key set will be removed from
the bare metal machines.
--jump-hosts-allowed [Required] : The list of IP addresses of jump hosts
with management network access from
which a login will be allowed for the
users. Support shorthand-syntax, json-
file and yaml-file. Try "??" to show
more.
--privilege-level [Required] : The access level allowed for the users
in this key set. Allowed values:
Other, Standard, Superuser.
--user-list [Required] : The unique list of permitted users.
Support shorthand-syntax, json-file and
yaml-file. Try "??" to show more.
--os-group-name : The name of the group that users will
be assigned to on the operating system
of the machines.
--privilege-level-name : The name of the access level to apply
when the privilege level is set to
Other.
Algemene Azure CLI-argumenten (van toepassing op alle opdrachten)
--debug : Increase logging verbosity to show all
debug logs.
--help -h : Show this help message and exit.
--only-show-errors : Only show errors, suppressing warnings.
--output -o : Output format. Allowed values: json,
jsonc, none, table, tsv, yaml, yamlc.
Default: json.
--query : JMESPath query string. See
http://jmespath.org/ for more
information and examples.
--subscription : Name or ID of subscription. You can
configure the default subscription
using `az account set -s NAME_OR_ID`.
--verbose : Increase logging verbosity. Use --debug
for full debug logs.
In dit voorbeeld wordt een nieuwe sleutelset gemaakt met twee gebruikers die standaardtoegang hebben vanaf twee jumphosts.
az networkcloud cluster baremetalmachinekeyset create \
--name "bareMetalMachineKeySetName" \
--extended-location name="/subscriptions/subscriptionId/resourceGroups/cluster_RG/providers/Microsoft.ExtendedLocation/customLocations/clusterExtendedLocationName" \
type="CustomLocation" \
--location "eastus" \
--azure-group-id "f110271b-XXXX-4163-9b99-214d91660f0e" \
--expiration "2022-12-31T23:59:59.008Z" \
--jump-hosts-allowed "192.0.2.1" "192.0.2.5" \
--os-group-name "standardAccessGroup" \
--privilege-level "Standard" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team","azureUserName":"userABC", "sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"},"userPrincipalName":"example@contoso.com"},\
{"description":"Needs access for troubleshooting as a part of the support team","azureUserName":"userXYZ","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, "userPrincipalName":"example@contoso.com"}]' \
--tags key1="myvalue1" key2="myvalue2" \
--cluster-name "clusterName"
--resource-group "cluster_RG"
In dit voorbeeld wordt een nieuwe sleutelset gemaakt met twee gebruikers die andere toegang hebben vanaf twee jumphosts. Op bevoegdheidsniveau Overige is de versie v20250701preview van de Network Cloud-API vereist.
az networkcloud cluster baremetalmachinekeyset create \
--name "bareMetalMachineKeySetName" \
--extended-location name="/subscriptions/subscriptionId/resourceGroups/cluster_RG/providers/Microsoft.ExtendedLocation/customLocations/clusterExtendedLocationName" \
type="CustomLocation" \
--location "eastus" \
--azure-group-id "f110271b-XXXX-4163-9b99-214d91660f0e" \
--expiration "2022-12-31T23:59:59.008Z" \
--jump-hosts-allowed "192.0.2.1" "192.0.2.5" \
--os-group-name "standardAccessGroup" \
--privilege-level "Other" \
--privilege-level-name "SecurityScanner" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team","azureUserName":"userABC", "sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"},"userPrincipalName":"example@contoso.com"},\
{"description":"Needs access for troubleshooting as a part of the support team","azureUserName":"userXYZ","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, "userPrincipalName":"example@contoso.com"}]' \
--tags key1="myvalue1" key2="myvalue2" \
--cluster-name "clusterName"
--resource-group "cluster_RG"
Zie --user-list voor hulp bij het maken van de structuur.
Een bare-metalmachinesleutelset verwijderen
Met baremetalmachinekeyset delete de opdracht wordt SSH-toegang tot de bare-metalcomputer verwijderd voor een groep gebruikers. Alle leden van de groep hebben geen SSH-toegang meer tot een van de bare-metalcomputers in het cluster.
De syntaxis van de opdracht is:
az networkcloud cluster baremetalmachinekeyset delete \
--name "<bare metal machine Keyset Name>" \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumenten verwijderen
--if-match : The ETag of the transformation. Omit this value to
always overwrite the current resource. Specify the
last-seen ETag value to prevent accidentally
overwriting concurrent changes.
--if-none-match : Set to '*' to allow a new record set to be
created, but to prevent updating an existing
resource. Other values will result in error from
server as they are not supported.
--no-wait : Do not wait for the long-running operation to
finish. Allowed values: 0, 1, f, false, n, no, t,
true, y, yes.
--yes -y : Do not prompt for confirmation.
--bare-metal-machine-key-set-name --name -n : The name of the bare metal machine key set.
--cluster-name : The name of the cluster.
--ids : One or more resource IDs (space-delimited). It
should be a complete resource ID containing all
information of 'Resource Id' arguments. You should
provide either --ids or other 'Resource Id'
arguments.
--resource-group -g : Name of resource group. You can configure the
default group using `az configure --defaults
group=<name>`.
--subscription : Name or ID of subscription. You can configure the
default subscription using `az account set -s
NAME_OR_ID`.
In dit voorbeeld wordt de sleutelsetgroep 'bareMetalMachineKeysetName' in het clusternaam verwijderd.
az networkcloud cluster baremetalmachinekeyset delete \
--name "bareMetalMachineKeySetName" \
--cluster-name "clusterName" \
--resource-group "cluster_RG"
Een Bare Metal Machine Keyset bijwerken
Met de baremetalmachinekeyset update opdracht kunnen gebruikers wijzigingen aanbrengen in een bestaande keysetgroep.
De syntaxis van de opdracht is:
az networkcloud cluster baremetalmachinekeyset update \
--name "<bare metal machine Keyset Name>" \
--jump-hosts-allowed "<List of jump server IP addresses>" \
--expiration "2022-12-31T23:59:59.008Z" \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1="<Key Value>" key2="<Key Value> "\
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumenten bijwerken
--if-match : The ETag of the transformation. Omit this value to
always overwrite the current resource. Specify the
last-seen ETag value to prevent accidentally
overwriting concurrent changes.
--if-none-match : Set to '*' to allow a new record set to be
created, but to prevent updating an existing
resource. Other values will result in error from
server as they are not supported.
--no-wait : Do not wait for the long-running operation to
finish. Allowed values: 0, 1, f, false, n, no, t,
true, y, yes.
--tags : The Azure resource tags that will replace the
existing ones. Support shorthand-syntax, json-
file and yaml-file. Try "??" to show more.
--bare-metal-machine-key-set-name --name -n : The name of the bare metal machine key set.
--cluster-name : The name of the cluster.
--ids : One or more resource IDs (space-delimited). It
should be a complete resource ID containing all
information of 'Resource Id' arguments. You should
provide either --ids or other 'Resource Id'
arguments.
--resource-group -g : Name of resource group. You can configure the
default group using `az configure --defaults
group=<name>`.
--subscription : Name or ID of subscription. You can configure the
default subscription using `az account set -s
NAME_OR_ID`.
--expiration : The date and time after which the users in this
key set will be removed from the bare metal
machines.
--jump-hosts-allowed : The list of IP addresses of jump hosts with
management network access from which a login will
be allowed for the users. Support shorthand-
syntax, json-file and yaml-file. Try "??" to show
more.
--user-list : The unique list of permitted users. Support
shorthand-syntax, json-file and yaml-file. Try
"??" to show more.
In dit voorbeeld worden twee nieuwe gebruikers toegevoegd aan de groep baremetalMachineKeySetName en wordt de verlooptijd voor de groep gewijzigd.
az networkcloud cluster baremetalmachinekeyset update \
--name "bareMetalMachineKeySetName" \
--expiration "2023-12-31T23:59:59.008Z" \
--jump-hosts-allowed "192.0.2.1" "192.0.2.5"
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userABC", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"},\
{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userXYZ", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"}]' \
--cluster-name "clusterName" \
--resource-group "cluster_RG"
Opmerking
Wanneer u een gebruiker verwijdert uit een Bare Metal Machine Keyset via een updateopdracht, kan het opdrachtantwoord nog steeds de verwijderde gebruiker weergeven. Dit gedrag treedt op omdat de opdracht asynchroon wordt uitgevoerd en de gebruiker op de back-end mogelijk nog steeds bezig is. Volgende ophaalt, lijsten of wordt weergegeven op de sleutelset moet de juiste lijst met gebruikers hebben.
Bare Metal Machine Keysets weergeven
Met de baremetalmachinekeyset list opdracht kunnen gebruikers de bestaande sleutelsetgroepen in een cluster zien.
De syntaxis van de opdracht is:
az networkcloud cluster baremetalmachinekeyset list \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Lijstargumenten
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
Details van keyset van bare metalcomputer weergeven
Met de baremetalmachinekeyset show opdracht kunnen gebruikers de details van een bestaande keysetgroep in een cluster bekijken.
De syntaxis van de opdracht is:
az networkcloud cluster baremetalmachinekeyset show \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumenten weergeven
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key
set.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. You can
configure the default group using `az
configure --defaults group=<name>`.