Udostępnij za pośrednictwem


Dostęp awaryjny do maszyny wirtualnej (EVA)

Usługa dostępu maszyny wirtualnej awaryjnej (EVA) umożliwia użytkownikowi żądanie pomocy od operatora w scenariuszach, w których ten użytkownik jest zablokowany z maszyny wirtualnej, a operacja ponownego wdrażania nie pomaga odzyskać dostępu za pośrednictwem sieci.

Uwaga

Ewa została wydana z ogólną dostępnością, począwszy od usługi Azure Stack Hub 2301.

Ta funkcja musi być włączona na subskrypcję, a operator musi włączyć dostęp do pulpitu zdalnego, aby użytkownik chmury mógł uzyskać dostęp do maszyn wirtualnych konsoli odzyskiwania awaryjnego (ERCS).

Pierwszym krokiem dla użytkownika jest zażądanie dostępu do konsoli maszyny wirtualnej za pośrednictwem programu PowerShell. Żądanie wyraża zgodę i umożliwia operatorowi dodatkowe informacje umożliwiające nawiązanie połączenia z maszyną wirtualną za pośrednictwem konsoli. Dostęp do konsoli nie zależy od łączności sieciowej i używa kanału danych funkcji hypervisor.

Operator może uwierzytelniać się tylko w systemie operacyjnym uruchomionym na maszynie wirtualnej, jeśli są znane poświadczenia. W tym momencie operator może również udostępniać ekrany użytkownikowi i rozwiązywać ten problem razem, aby przywrócić łączność sieciową.

Ważne

W przypadku maszyn wirtualnych z systemem Windows Server funkcja EVA jest ograniczona do komputerów z graficznym interfejsem użytkownika (GUI). W przypadku systemu Windows Server podstawowy system operacyjny nie obsługuje funkcji klawiatury na ekranie. Ponieważ nie można wysłać kombinacji klawiszy Ctrl+Alt+Del jako danych wejściowych, nie można zalogować się do serwera podstawowego, mimo że można nawiązać połączenie z konsolą. Jeśli musisz rozwiązać problem z podstawowym systemem operacyjnym Windows, skontaktuj się z pomocą techniczną firmy Microsoft, aby zapewnić dostęp do konsoli z odblokowanego PEP.

Operator włącza subskrypcję użytkownika dla eva

W tym scenariuszu operator może zdecydować, która subskrypcja powinna mieć możliwość korzystania z funkcji dostępu awaryjnej maszyny wirtualnej.

Najpierw uruchom następujący skrypt programu PowerShell. Aby uruchomić ten skrypt, musisz mieć zainstalowany program PowerShell usługi Azure Stack Hub. Postępuj zgodnie ze wskazówkami dotyczącymi sposobu instalowania programu PowerShell w usłudze Azure Stack Hub. Zastąp symbole zastępcze zmiennych poprawnymi wartościami:

# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"

$tenantSubscriptionSettings = @{
    TenantSubscriptionId = [string]$tenantSubscriptionId
}

# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID

Invoke-AzureRmResourceAction `
    -ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
    -ResourceType "Microsoft.Compute.Admin/locations/features" `
    -Action "enableTenantSubscriptionFeature" `
    -Parameters $tenantSubscriptionSettings `
    -ApiVersion "2020-11-01" `
    -ErrorAction Stop `
    -Force

Użytkownik żąda dostępu do konsoli maszyny wirtualnej

Jako użytkownik udzielasz zgody operatorowi na tworzenie dostępu do konsoli dla określonej maszyny wirtualnej.

  1. Jako użytkownik otwórz program PowerShell, zaloguj się do subskrypcji i połącz się z usługą Azure Stack Hub zgodnie z opisem w tym miejscu.

  2. Uruchom poniższy skrypt. Należy zastąpić identyfikator subskrypcji, grupę zasobów i nazwę maszyny wirtualnej, aby utworzyć identyfikator VMResourceID:

    $SubscriptionID = "your Azure subscription ID" 
    $ResourceGroup = "your resource group name" 
    $VMName = "your VM name" 
    $vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" 
    
    $enableVMAccessResponse = Invoke-AzureRMResourceAction `
        -ResourceId $vmResourceId `
        -Action "enableVmAccess" `
        -ApiVersion "2020-06-01" `
        -ErrorAction Stop `
        -Force
    
    Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow
    Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan
    Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green
    Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
    

  1. Skrypt zwraca nazwę konsoli odzyskiwania awaryjnego (ERCS), którą dzierżawa udostępnia operatorowi wraz z identyfikatorem VMResourceID.

Operator umożliwia dostęp pulpitu zdalnego do maszyn wirtualnych ERCS

Następnym krokiem operatora usługi Azure Stack Hub jest włączenie dostępu pulpitu zdalnego do maszyn wirtualnych konsoli odzyskiwania awaryjnego (ERCS), które hostuje uprzywilejowane punkty końcowe.

Uruchom następujące polecenia w uprzywilejowanym punkcie końcowym (PEP) ze stacji roboczej operatora używanej do nawiązywania połączenia z usługą ERCS. Polecenie dodaje adres IP stacji roboczej do listy bezpiecznych sieci. Postępuj zgodnie ze wskazówkami dotyczącymi nawiązywania połączenia z pep. Operator może być członkiem grupy użytkowników administratorów chmury lub administratorem chmury :

Grant-RdpAccessToErcsVM

Aby wyłączyć dostęp pulpitu zdalnego do maszyn wirtualnych konsoli odzyskiwania awaryjnego (ERCS), uruchom następujące polecenie w uprzywilejowanym punkcie końcowym (PEP):

Revoke-RdpAccessToErcsVM

Uwaga

Do każdego z maszyn wirtualnych ERCS zostanie przypisane żądanie dostępu użytkownika dzierżawy. Jako operator możesz utworzyć sesję PEP tylko do maszyny wirtualnej ERCS otrzymanej z dzierżawy (dane wyjściowe polecenia $enableVMAccessResponse).

  1. Operator używa nazwy ERCS i łączy się z nią przy użyciu klienta pulpitu zdalnego (RDP); na przykład z stacji roboczej dostępu operatora (OAW).

    Uwaga

    Operator uwierzytelnia się przy użyciu tego samego konta administratora chmury, które wykonało polecenie Grant-RdpAccessToErcsVM.

  2. Po nawiązaniu połączenia z maszyną wirtualną ERCS za pośrednictwem protokołu RDP uruchom program PowerShell.

  3. Połącz się z konsolą maszyny wirtualnej dzierżawy przy użyciu następującego polecenia:

    ConnectTo-TenantVm -ResourceID
    
  4. Operator łączy się teraz z ekranem konsoli maszyny wirtualnej dzierżawy, z którą muszą ponownie uwierzytelnić się przy użyciu poświadczeń administratora chmury . Operator nie ma żadnych poświadczeń, za pomocą których należy zalogować się do systemu operacyjnego gościa.

    Uwaga

    Na ekranie logowania naciśnięcie klawiszy Windows + U powoduje uruchomienie klawiatury na ekranie, która umożliwia wysyłanie klawiszy CTRL + ALT + Delete. Aby używać kombinacji klawiszy Windows + U, musisz być w trybie pełnoekranowym protokołu RDP.

  5. Operator może teraz wyświetlać udostępnianie ekranu dzierżawie, aby debugować wszelkie problemy, które uniemożliwiają nawiązanie połączenia z maszyną wirtualną za pośrednictwem sieci.

  6. Po zakończeniu operator może uruchomić następujące polecenie, aby usunąć zgodę użytkownika:

    Delete-TenantVMSession -ResourceID
    

    Uwaga

    Zgoda użytkownika wygaśnie automatycznie po upływie 8 godzin i odwoła cały dostęp operatora.