Включение и отключение последовательной консоли Azure

  • Статья

Как и любой другой ресурс, последовательную консоль Azure можно включить и отключить. Последовательная консоль включена по умолчанию для всех подписок в глобальной среде Azure. В настоящее время при отключении последовательной консоли служба будет отключена для всей подписки. Для отключения или повторного включения последовательной консоли для подписки требуется доступ участник уровня или выше в подписке.

Вы также можете отключить последовательную консоль для отдельной виртуальной машины или экземпляра масштабируемого набора виртуальных машин, отключив диагностика загрузки. Вам потребуется доступ участник уровня или выше для масштабируемого набора виртуальных машин и учетной записи хранения диагностика загрузки.

Отключение на уровне виртуальной машины

Последовательную консоль можно отключить для определенной виртуальной машины или масштабируемого набора виртуальных машин, отключив параметр диагностика загрузки. Отключите диагностика загрузки из портал Azure, чтобы отключить последовательную консоль для виртуальной машины или масштабируемого набора виртуальных машин. Если вы используете последовательную консоль в масштабируемом наборе виртуальных машин, обязательно обновите экземпляры масштабируемого набора виртуальных машин до последней модели.

Включение и отключение на уровне подписки

Примечание.

Перед выполнением этой команды убедитесь, что вы находитесь в нужном облаке (общедоступное облако Azure, облако Azure для государственных организаций США и т. д.). Вы можете проверка с помощью az cloud list и задать для облака значение az cloud set -n <Name of cloud>.

Azure CLI

Последовательную консоль можно отключить и повторно включить для всей подписки с помощью следующих команд в Azure CLI (вы можете использовать кнопку "Попробовать", чтобы запустить экземпляр Cloud Shell Azure, в котором можно выполнять команды):

Чтобы отключить последовательную консоль для подписки, используйте следующие команды:

$subscriptionId=$(az account show --output=json | jq -r .id)

az resource invoke-action --action disableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2018-05-01"

Чтобы включить последовательную консоль для подписки, используйте следующие команды:

$subscriptionId=$(az account show --output=json | jq -r .id)

az resource invoke-action --action enableConsole --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --api-version="2018-05-01"

Чтобы получить текущее состояние включенной или отключенной последовательной консоли для подписки, используйте следующие команды:

$subscriptionId=$(az account show --output=json | jq -r .id)

az resource show --ids "/subscriptions/$subscriptionId/providers/Microsoft.SerialConsole/consoleServices/default" --output=json --api-version="2018-05-01" | jq .properties

PowerShell

Последовательную консоль также можно включить и отключить с помощью PowerShell.

Чтобы отключить последовательную консоль для подписки, используйте следующие команды:

$subscription=(Get-AzContext).Subscription.Id

Invoke-AzResourceAction -Action disableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2018-05-01

Чтобы включить последовательную консоль для подписки, используйте следующие команды:

$subscription=(Get-AzContext).Subscription.Id

Invoke-AzResourceAction -Action enableConsole -ResourceId /subscriptions/$subscription/providers/Microsoft.SerialConsole/consoleServices/default -ApiVersion 2018-05-01

Включение доступа с минимальными привилегиями к последовательной консоли с помощью RBAC

Чтобы предоставить доступ к последовательной консоли с минимальными привилегиями, необходимо создать роль Azure с необходимыми разрешениями, которые имеют права на группу ресурсов виртуальной машины (виртуальная машина, в которой необходимо получить доступ к последовательной консоли) или подписке, в которой находится виртуальная машина. Эту роль Azure можно назначить пользователям, которым требуется доступ к последовательной консоли.

Для создаваемой роли потребуются следующие разрешения Azure Actions:

"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.SerialConsole/serialPorts/connect/action"

В таблице ниже объясняется, что делает каждое действие Azure:

Действие Azure Описание
"Microsoft.Compute/virtualMachines/start/action" Запуск виртуальной машины
"Microsoft.Compute/virtualMachines/read" Получение свойств виртуальной машины
Microsoft.Compute/virtualMachines/write Создание виртуальной машины или обновление существующей виртуальной машины
"Microsoft.Resources/subscriptions/resourceGroups/read Возвращает или выводит список групп ресурсов
"Microsoft.Storage/storageAccounts/listKeys/action" Возвращает ключи доступа для указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/read Возвращает список учетных записей хранения или возвращает свойства для указанной учетной записи хранения.
Microsoft.SerialConsole/serialPorts/connect/action Подключение к последовательному порту

Приведенный ниже КОД JSON можно использовать для определения пользовательской роли с минимальным привилегированным доступом к виртуальным машинам в подписке и виртуальным машинам в группе ресурсов в подписке.

Если вы хотите назначить доступ только виртуальным машинам в группе ресурсов, удалите первое значение "/subscriptions/<subscriptionID>/" в свойстве assignableScopes ниже.

Если вы хотите назначить доступ виртуальным машинам в подписке, удалите второе значение "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>" в свойстве assignableScopes ниже.

"properties": {
    "roleName": "Azure Serial Console Access Role",
    "description": "Serial Console access with least privilege.",
    "assignableScopes": [
        "/subscriptions/<subscriptionID>/"
        "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
    ],
    "permissions": [
        {
            "actions": [
                "Microsoft.Compute/virtualMachines/start/action",
                "Microsoft.Compute/virtualMachines/read",
                "Microsoft.Compute/virtualMachines/write",
                "Microsoft.Resources/subscriptions/resourceGroups/read",
                "Microsoft.Storage/storageAccounts/listKeys/action",
                "Microsoft.Storage/storageAccounts/read",
                "Microsoft.SerialConsole/serialPorts/connect/action"
            ],
            "notActions": [],
            "dataActions": [],
            "notDataActions": []
        }
    ]
}

Инструкции по использованию портал Azure для создания настраиваемой роли для доступа к последовательной консоли с минимальными привилегиями см. в следующей документации Создание или обновление пользовательских ролей Azure с помощью портал Azure .

Для шага 1. Определение необходимых разрешений для роли — это действия Azure, показанные выше.

Для шага 5. Назначаемые области задайте область в качестве группы ресурсов виртуальной машины, если пользователь с ролью должен иметь доступ к последовательной консоли конкретной виртуальной машины. Вы также можете задать область в качестве подписки, если вы хотите, чтобы у пользователя была последовательная консоль доступа к любой виртуальной машине в подписке.

Инструкции по использованию портал Azure для назначения ролей см. в следующей документации Назначение ролей Azure с помощью портал Azure .

Дальнейшие действия

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.