Dela via

Åtkomst till VM vid akutfall (EVA)

  • Artikel

Med hjälp av eva (Emergency VM Access Service) kan en användare begära hjälp från operatören i scenarier där användaren är utelåst från den virtuella datorn, och omdistributionsåtgärden hjälper inte till att återställa åtkomsten via nätverket.

Anteckning

EVA släpptes med allmän tillgänglighet från och med Azure Stack Hub 2301.

Den här funktionen måste vara aktiverad per prenumeration och operatören måste aktivera fjärrskrivbordsåtkomst för att cloudadmin-användaren ska få åtkomst till de virtuella datorerna för nödåterställningskonsolen (ERCS).

Det första steget för användaren är att begära åtkomst till VM-konsolen via PowerShell. Begäran ger medgivande och ger operatören ytterligare information för att ansluta till den virtuella datorn via konsolen. Konsolåtkomsten är inte beroende av nätverksanslutningen och använder en datakanal i hypervisor-programmet.

Operatorn kan bara autentisera till operativsystemet som körs i den virtuella datorn om autentiseringsuppgifterna är kända. Då kan operatorn också dela skärmar med användaren och lösa problemet tillsammans för att återställa nätverksanslutningen.

Viktigt

För virtuella datorer som kör Windows Server är EVA-funktionen begränsad till datorer som körs med ett grafiskt användargränssnitt (GUI). För Windows Server har kärnoperativsystemet inte stöd för tangentbordsfunktioner på skärmen. Eftersom du inte kan skicka tangentkombinationen Ctrl+Alt+Del som indata kan du inte logga in på en kärnserver, även om du kan ansluta till dess konsol. Om du behöver åtgärda ett problem med Windows Core OS kan du kontakta Microsofts support för att ge konsolåtkomst från en olåst PEP.

Operatorn aktiverar en användarprenumeration för EVA

I det här scenariot kan operatören bestämma vilken prenumeration som ska kunna använda funktionen för åtkomst till virtuella datorer i nödfall.

Kör först följande PowerShell-skript. Om du vill köra det här skriptet måste du ha Azure Stack Hub PowerShell installerat. Följ vägledningen om hur du installerar Azure Stack Hub PowerShell. Ersätt platshållarna för variabeln med rätt värden:

# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"

$tenantSubscriptionSettings = @{
    TenantSubscriptionId = [string]$tenantSubscriptionId
}

# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID

Invoke-AzureRmResourceAction `
    -ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
    -ResourceType "Microsoft.Compute.Admin/locations/features" `
    -Action "enableTenantSubscriptionFeature" `
    -Parameters $tenantSubscriptionSettings `
    -ApiVersion "2020-11-01" `
    -ErrorAction Stop `
    -Force

Användare begär åtkomst till VM-konsolen

Som användare ger du medgivande till operatören för att skapa konsolåtkomst för en specifik virtuell dator.

  1. Som användare öppnar du PowerShell, loggar in på din prenumeration och ansluter till Azure Stack Hub enligt beskrivningen här.

  2. Kör följande skript. Du måste ersätta prenumerations-ID, resursgrupp och VM-namn för att kunna skapa VMResourceID:

    $SubscriptionID = "your Azure subscription ID" 
$ResourceGroup = "your resource group name" 
$VMName = "your VM name" 
$vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" 

$enableVMAccessResponse = Invoke-AzureRMResourceAction `
    -ResourceId $vmResourceId `
    -Action "enableVmAccess" `
    -ApiVersion "2020-06-01" `
    -ErrorAction Stop `
    -Force

Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow
Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan
Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green
Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
  1. Skriptet returnerar namnet på nödåterställningskonsolen (ERCS), som klientorganisationen tillhandahåller operatorn, tillsammans med VMResourceID.

Operatorn aktiverar fjärrskrivbordsåtkomst till virtuella ERCS-datorer

Nästa steg för Azure Stack Hub-operatorn är att aktivera fjärrskrivbordsåtkomst till de virtuella datorerna för nödåterställningskonsolen (ERCS), som är värd för de privilegierade slutpunkterna.

Kör följande kommandon i den privilegierade slutpunkten (PEP) från den operatörsarbetsstation som du använder för att ansluta till ERCS. Kommandot lägger till arbetsstationens IP-adress i nätverkssäkerhetslistan. Följ vägledningen om hur du ansluter till PEP. Operatorn kan vara medlem i cloudadmin-användargruppen eller cloudadmin själv:

Grant-RdpAccessToErcsVM

Om du vill inaktivera fjärrskrivbordsåtkomsten till de virtuella datorerna för nödåterställningskonsolen (ERCS) kör du följande kommando i den privilegierade slutpunkten (PEP):

Revoke-RdpAccessToErcsVM

Anteckning

En av de virtuella ERCS-datorerna tilldelas klientanvändarens åtkomstbegäran. Som operatör kan du bara skapa en PEP-session till den virtuella ERCS-dator som tagits emot från klientorganisationen (utdata $enableVMAccessResponsefrån ).

  1. Operatorn använder ERCS-namnet och ansluter till det med fjärrskrivbordsklienten (RDP); till exempel från operatörens arbetsstation (OAW).

    Anteckning

    Operatören autentiserar med samma molnadministratörskonto som körde Grant-RdpAccessToErcsVM.

  2. När du har anslutit till den virtuella ERCS-datorn via RDP startar du PowerShell.

  3. Anslut till konsolen för den virtuella klientdatorn med följande kommando:

    ConnectTo-TenantVm -ResourceID

  4. Operatorn ansluter nu till konsolskärmen på den virtuella klientdatorn som de behöver autentisera med cloudadmin-autentiseringsuppgifterna igen. Operatorn har inga autentiseringsuppgifter för att logga in på gästoperativsystemet.

    Anteckning

    När du trycker på Windows + U-tangenterna på inloggningsskärmen startas skärmtangentbordet, vilket gör att du kan skicka CTRL + ALT + Ta bort. Du måste vara i helskärmsläge för RDP för att kunna använda tangentkombinationen Windows + U.

  5. Operatorn kan nu skärma delning med klientorganisationen för att felsöka eventuella problem som förhindrar anslutning till den virtuella datorn via nätverket.

  6. När du är klar kan operatorn köra följande kommando för att ta bort användarens medgivande:

    Delete-TenantVMSession -ResourceID

    Anteckning

    Användarens medgivande upphör att gälla automatiskt efter 8 timmar och återkallar all åtkomst av operatorn.