Aracılığıyla paylaş


Azure Stack Hub'da ayrıcalıklı uç noktayı kullanma

Azure Stack Hub operatörü olarak, günlük yönetim görevlerinin çoğu için yönetici portalını, PowerShell'i veya Azure Resource Manager API'lerini kullanmanız gerekir. Ancak, daha az yaygın bazı işlemler için ayrıcalıklı uç noktayı (PEP) kullanmanız gerekir. PEP, size gerekli bir görevi gerçekleştirmenize yardımcı olacak yeterli özellik sağlayan önceden yapılandırılmış bir uzak PowerShell konsoludur. Uç nokta, yalnızca kısıtlı bir cmdlet kümesini kullanıma açmak için PowerShell JEA'sını (Yeterli Yönetim) kullanır. PEP'ye erişmek ve kısıtlanmış cmdlet kümesini çağırmak için düşük ayrıcalıklı bir hesap kullanılır. Yönetici hesabı gerekmez. Ek güvenlik için betik oluşturma özelliğine izin verilmez.

PEP'yi kullanarak şu görevleri gerçekleştirebilirsiniz:

  • Tanılama günlüklerini toplama gibi düşük düzeyli görevler.
  • Dağıtımdan sonra Etki Alanı Adı Sistemi (DNS) ileticileri ekleme, Microsoft Graph tümleştirmesini ayarlama, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) tümleştirmesi, sertifika döndürme vb. gibi tümleşik sistemler için birçok dağıtım sonrası veri merkezi tümleştirme görevi.
  • Tümleşik bir sistemde ayrıntılı sorun giderme amacıyla geçici, üst düzey erişim elde etme desteğiyle çalışmak.

PEP, PowerShell oturumunda gerçekleştirdiğiniz her eylemi (ve buna karşılık gelen çıkışı) günlüğe kaydeder. Bu, işlemlerin tam saydamlığını ve tam denetimini sağlar. Bu günlük dosyalarını gelecekteki denetimler için saklayabilirsiniz.

Not

Azure Stack Geliştirme Seti'nde (ASDK), PEP'de bulunan komutlardan bazılarını doğrudan geliştirme seti konağındaki bir PowerShell oturumundan çalıştırabilirsiniz. Ancak, tümleşik sistemler ortamında belirli işlemleri gerçekleştirmek için kullanılabilen tek yöntem bu olduğundan, günlük toplama gibi PEP kullanarak bazı işlemleri test etmek isteyebilirsiniz.

Not

Ayrıca ayrıcalıklı uç noktaya (PEP), destek senaryoları için Yönetici portalına ve Azure Stack Hub GitHub Araçları'na erişmek için The Operator Access Workstation (OAW) kullanabilirsiniz. Daha fazla bilgi için bkz. Azure Stack Hub Operatör Erişimi İş İstasyonu.

Ayrıcalıklı uç noktaya erişme

PEP'yi barındıran sanal makinede (VM) uzak bir PowerShell oturumu aracılığıyla PEP'ye erişebilirsiniz. ASDK'de bu VM AzS-ERCS01 olarak adlandırılır. Tümleşik bir sistem kullanıyorsanız, dayanıklılık için her biri farklı konaklarda bir VM (Prefix-ERCS01, Prefix-ERCS02 veyaPrefix-ERCS03) içinde çalışan üç PEP örneği vardır.

Tümleşik bir sistem için bu yordama başlamadan önce PEP'ye IP adresiyle veya DNS üzerinden erişebildiğinizden emin olun. Azure Stack Hub'ın ilk dağıtımından sonra, HENÜZ DNS tümleştirmesi ayarlanmamış olduğundan PEP'ye yalnızca IP adresine göre erişebilirsiniz. OEM donanım satıcınız, PEP IP adreslerini içeren AzureStackStampDeploymentInfo adlı bir JSON dosyası sağlar.

IP adresini Azure Stack Hub yönetici portalında da bulabilirsiniz. Portalı açın, örneğin. https://adminportal.local.azurestack.external Bölge Yönetimi>Özellikleri'ni seçin.

Ayrıcalıklı uç noktayı çalıştırırken geçerli kültür ayarınızı en-US olarak ayarlamanız gerekir, aksi takdirde Test-AzureStack veya Get-AzureStackLog gibi cmdlet'ler beklendiği gibi çalışmaz.

Not

Güvenlik nedenleriyle PEP'ye yalnızca donanım yaşam döngüsü konağı üzerinde çalışan sağlamlaştırılmış bir VM'den veya Ayrıcalıklı Erişim İş İstasyonu gibi ayrılmış ve güvenli bir bilgisayardan bağlanmanızı gerektirir. Donanım yaşam döngüsü ana bilgisayarının özgün yapılandırması, özgün yapılandırmasından (yeni yazılım yükleme dahil) değiştirilmemeli veya PEP'ye bağlanmak için kullanılmamalıdır.

  1. Güveni sağlayın.

    • Tümleşik bir sistemde, yükseltilmiş bir Windows PowerShell oturumundan aşağıdaki komutu çalıştırarak PEP'yi donanım yaşam döngüsü ana bilgisayarında veya Privileged Access İş İstasyonu'nda çalışan sağlamlaştırılmış VM'ye güvenilir bir konak olarak ekleyin.

      Set-Item WSMan:\localhost\Client\TrustedHosts -Value '<IP Address of Privileged Endpoint>' -Concatenate
      
    • ASDK'yi çalıştırıyorsanız geliştirme seti ana bilgisayarında oturum açın.

  2. Donanım yaşam döngüsü ana bilgisayarında veya Privileged Access workstation'da çalışan sağlamlaştırılmış VM'de bir Windows PowerShell oturumu açın. PEP'yi barındıran VM'de uzak oturum oluşturmak için aşağıdaki komutları çalıştırın:

    • Tümleşik bir sistemde:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName <IP_address_of_ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

      Parametre, PEP'yi ComputerName barındıran VM'lerden birinin IP adresi veya DNS adı olabilir.

      Not

      Azure Stack Hub, PEP kimlik bilgileri doğrulanırken uzaktan çağrı yapmaz. Bunu yapmak için yerel olarak depolanan bir RSA ortak anahtarına dayanır.

    • ASDK çalıştırıyorsanız:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName azs-ercs01 -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

    İstendiğinde aşağıdaki kimlik bilgilerini kullanın:

    • Kullanıcı adı: CloudAdmin hesabını Azure Stack Hub domain>\cloudadmin biçiminde< belirtin. (ASDK için kullanıcı adı azurestack\cloudadmin şeklindedir)
    • Parola: AzureStackAdmin etki alanı yönetici hesabı için yükleme sırasında sağlanan parolanın aynısını girin.

    Not

    ERCS uç noktasına bağlanamıyorsanız, bir ve iki adımı başka bir ERCS VM IP adresiyle yeniden deneyin.

    Uyarı

    Varsayılan olarak Azure Stack Hub damganız yalnızca bir CloudAdmin hesabıyla yapılandırılır. Hesap kimlik bilgileri kaybolur, tehlikeye girer veya kilitlenirse kurtarma seçeneği yoktur. Ayrıcalıklı uç noktaya ve diğer kaynaklara erişimi kaybedeceksiniz.

    Damga pulunuzun kendi masrafınıza göre yeniden dağıtılmasını önlemek için ek CloudAdmin hesapları oluşturmanızkesinlikle önerilir. Bu kimlik bilgilerini şirketinizin yönergelerine göre belgelediğinizden emin olun.

  3. Bağlandıktan sonra, istem ortama bağlı olarak [IP adresi veya ERCS VM adı]: PS> veya [azs-ercs01]: PS> olarak değişir. Buradan komutunu çalıştırarak Get-Command kullanılabilir cmdlet'lerin listesini görüntüleyin.

    Cmdlet'ler için başvuruya Azure Stack Hub ayrıcalıklı uç nokta başvurusu bölümünden ulaşabilirsiniz

    Bu cmdlet'lerin çoğu yalnızca tümleşik sistem ortamları (veri merkezi tümleştirmesi ile ilgili cmdlet'ler gibi) için tasarlanmıştır. ASDK'de aşağıdaki cmdlet'ler doğrulanmıştır:

    • Clear-Host
    • Close-PrivilegedEndpoint
    • Exit-PSSession
    • Get-AzureStackLog
    • Get-AzureStackStampInformation
    • Get-Command
    • Get-FormatData
    • Get-Help
    • Get-ThirdPartyNotices
    • Measure-Object
    • New-CloudAdminUser
    • Out-Default
    • Remove-CloudAdminUser
    • Select-Object
    • Set-CloudAdminUserPassword
    • Test-AzureStack
    • Stop-AzureStack
    • Get-ClusterLog

Ayrıcalıklı uç noktayı kullanma

Yukarıda belirtildiği gibi PEP bir PowerShell JEA uç noktasıdır. JeA uç noktası güçlü bir güvenlik katmanı sağlarken betik oluşturma veya sekme tamamlama gibi bazı temel PowerShell özelliklerini azaltır. Herhangi bir betik işlemi türü denerseniz, işlem ScriptsNotAllowed hatasıyla başarısız olur. Bu hata beklenen bir davranıştır.

Örneğin, belirli bir cmdlet'in parametrelerinin listesini almak için aşağıdaki komutu çalıştırın:

    Get-Command <cmdlet_name> -Syntax

Alternatif olarak, import-PSSession cmdlet'ini kullanarak tüm PEP cmdlet'lerini yerel makinenizdeki geçerli oturuma aktarabilirsiniz. PEP cmdlet'leri ve işlevleri artık yerel makinenizde, sekme tamamlama ve genel olarak betik oluşturma ile birlikte kullanılabilir. Cmdlet yönergelerini gözden geçirmek için Get-Help modülünü de çalıştırabilirsiniz.

PEP oturumunu yerel makinenize aktarmak için aşağıdaki adımları uygulayın:

  1. Güveni sağlayın.

    • Tümleşik bir sistemde, yükseltilmiş bir Windows PowerShell oturumundan aşağıdaki komutu çalıştırarak PEP'yi donanım yaşam döngüsü ana bilgisayarında veya Privileged Access İş İstasyonu'nda çalışan sağlamlaştırılmış VM'ye güvenilir bir konak olarak ekleyin.

      winrm s winrm/config/client '@{TrustedHosts="<IP Address of Privileged Endpoint>"}'
      
    • ASDK'yi çalıştırıyorsanız geliştirme seti ana bilgisayarında oturum açın.

  2. Donanım yaşam döngüsü ana bilgisayarında veya Privileged Access workstation'da çalışan sağlamlaştırılmış VM'de bir Windows PowerShell oturumu açın. PEP'yi barındıran sanal makinede uzak oturum oluşturmak için aşağıdaki komutları çalıştırın:

    • Tümleşik bir sistemde:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName <IP_address_of_ERCS> `
         -ConfigurationName PrivilegedEndpoint -Credential $cred `
         -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      

      Parametre, PEP'yi ComputerName barındıran VM'lerden birinin IP adresi veya DNS adı olabilir.

    • ASDK çalıştırıyorsanız:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName azs-ercs01 `
         -ConfigurationName PrivilegedEndpoint -Credential $cred `
         -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      

    İstendiğinde aşağıdaki kimlik bilgilerini kullanın:

    • Kullanıcı adı: CloudAdmin hesabını Azure Stack Hub domain>\cloudadmin biçiminde< belirtin. (ASDK için kullanıcı adı azurestack\cloudadmin şeklindedir.)

    • Parola: AzureStackAdmin etki alanı yönetici hesabı için yükleme sırasında sağlanan parolanın aynısını girin.

  3. PEP oturumunu yerel makinenize aktarın:

    Import-PSSession $session
    
  4. Artık Azure Stack Hub'ın güvenlik duruşunu azaltmadan, pep'nin tüm işlevleri ve cmdlet'leriyle yerel PowerShell oturumunuzda her zamanki gibi sekme tamamlama özelliğini kullanabilir ve betik oluşturabilirsiniz. Keyfini çıkarın!

Ayrıcalıklı uç nokta oturumunu kapatma

Daha önce belirtildiği gibi PEP, PowerShell oturumunda yaptığınız her eylemi (ve buna karşılık gelen çıkışı) günlüğe kaydeder. Cmdlet'ini kullanarak Close-PrivilegedEndpoint oturumu kapatmanız gerekir. Bu cmdlet uç noktayı doğru bir şekilde kapatır ve günlük dosyalarını saklama için bir dış dosya paylaşımına aktarır.

Uç nokta oturumunu kapatmak için:

  1. PEP tarafından erişilebilen bir dış dosya paylaşımı oluşturun. Geliştirme seti ortamında, geliştirme seti ana bilgisayarında bir dosya paylaşımı oluşturabilirsiniz.

  2. Aşağıdaki cmdlet'i çalıştırın:

    Close-PrivilegedEndpoint -TranscriptsPathDestination "\\fileshareIP\SharedFolder" -Credential Get-Credential
    

    cmdlet'i aşağıdaki tabloda yer alan parametreleri kullanır:

    Parametre Açıklama Tür Gerekli
    TranscriptsPathDestination "fileshareIP\sharefoldername" olarak tanımlanan dış dosya paylaşımının yolu Dize Yes
    Kimlik Bilgisi Dosya paylaşımına erişmek için kimlik bilgileri Securestring Yes

Transkript günlük dosyaları dosya paylaşımına başarıyla aktarıldıktan sonra PEP'den otomatik olarak silinir.

Not

PEP oturumunu cmdlet'lerini Exit-PSSession veya Exitkullanarak kapatırsanız veya yalnızca PowerShell konsolunu kapatırsanız, transkript günlükleri dosya paylaşımına aktarılamaz. Pep'de kalırlar. Bir sonraki çalıştırmanızda Close-PrivilegedEndpoint ve bir dosya paylaşımı eklediğinizde, önceki oturumların döküm günlükleri de aktarılır. PEP oturumunu kapatmak için veya Exit kullanmayınExit-PSSession; bunun yerine kullanınClose-PrivilegedEndpoint.

Destek senaryoları için ayrıcalıklı uç noktanın kilidini açma

Bir destek senaryosu sırasında, Microsoft destek mühendisinin Azure Stack Hub altyapısının iç bileşenlerine erişmek için ayrıcalıklı uç nokta PowerShell oturumunu yükseltmesi gerekebilir. Bu işlem bazen "camı kırın" veya "PEP'nin kilidini açın" olarak adlandırılır. PEP oturumu yükseltme işlemi iki adım, iki kişi, iki kuruluş kimlik doğrulama işlemidir. Kilit açma yordamı, ortamlarının denetimini her zaman koruyan Azure Stack Hub operatörü tarafından başlatılır. işleci PEP'ye erişir ve şu cmdlet'i yürütür:

     Get-SupportSessionToken

Cmdlet, çok uzun bir alfasayısal dize olan destek oturumu istek belirtecini döndürür. Operatör daha sonra istek belirtecini tercih ettikleri bir ortam (ör. sohbet, e-posta) aracılığıyla Microsoft destek mühendisine geçirir. Microsoft destek mühendisi istek belirtecini kullanarak geçerliyse bir destek oturumu yetkilendirme belirteci oluşturur ve bunu Azure Stack Hub operatörüne geri gönderir. Aynı PEP PowerShell oturumunda, işleç yetkilendirme belirtecini bu cmdlet'e giriş olarak geçirir:

      unlock-supportsession
      cmdlet Unlock-SupportSession at command pipeline position 1
      Supply values for the following parameters:
      ResponseToken:

Yetkilendirme belirteci geçerliyse, PEP PowerShell oturumu altyapıya tam yönetici özellikleri ve tam ulaşılabilirlik sağlayarak yükseltilir.

Not

Yükseltilmiş bir PEP oturumunda yürütülen tüm işlemler ve cmdlet'ler, Microsoft destek mühendisinin sıkı gözetimi altında gerçekleştirilmelidir. Bunun yapılmaması ciddi kapalı kalma süresine, veri kaybına neden olabilir ve Azure Stack Hub ortamının tam olarak yeniden dağıtılmasını gerektirebilir.

Destek oturumu sonlandırıldıktan sonra, yukarıdaki bölümde açıklandığı gibi Close-PrivilegedEndpoint cmdlet'ini kullanarak yükseltilmiş PEP oturumunu kapatmak çok önemlidir. PEP oturumu sonlandırılır, kilit açma belirteci artık geçerli değildir ve PEP oturumunun kilidini yeniden açmak için yeniden kullanılamaz. Yükseltilmiş bir PEP oturumunun geçerlilik süresi 8 saattir, bundan sonra sonlandırılmazsa, yükseltilmiş PEP oturumu otomatik olarak normal bir PEP oturumuna geri kilitlenir.

Ayrıcalıklı uç nokta belirteçlerinin içeriği

PEP destek oturumu isteği ve yetkilendirme belirteçleri, erişimi korumak ve YALNıZCA yetkili belirteçlerin PEP oturumunun kilidini açabilmesini sağlamak için şifrelemeden yararlanıyor. Belirteçler, yanıt belirtecinin yalnızca istek belirtecini oluşturan PEP oturumu tarafından kabul edilebileceğini şifreleme açısından garanti edecek şekilde tasarlanmıştır. PEP belirteçleri, Bir Azure Stack Hub ortamını veya müşteriyi benzersiz olarak tanımlayacak herhangi bir bilgi içermez. Tamamen anonimdirler. Her belirtecin içeriğinin ayrıntıları aşağıda verilmiştir.

Destek oturumu isteği belirteci

PEP destek oturumu istek belirteci üç nesneden oluşur:

  • Rastgele oluşturulan oturum kimliği.
  • Bir kerelik ortak/özel anahtar çifti olması amacıyla oluşturulan otomatik olarak imzalanan sertifika. Sertifika, ortamla ilgili herhangi bir bilgi içermiyor.
  • İstek belirtecinin süre sonunu gösteren zaman damgası.

İstek belirteci daha sonra Azure Stack Hub ortamının kayıtlı olduğu Azure bulutunun ortak anahtarıyla şifrelenir.

Destek oturumu yetkilendirme yanıt belirteci

PEP desteği yetkilendirme yanıt belirteci iki nesneden oluşur:

  • İstek belirtecinden ayıklanan rastgele oluşturulan oturum kimliği.
  • Yanıt belirtecinin süre sonunu gösteren zaman damgası.

Yanıt belirteci daha sonra istek belirtecinde bulunan otomatik olarak imzalanan sertifikayla şifrelenir. Otomatik olarak imzalanan sertifikanın şifresi, Azure Stack Hub ortamının kayıtlı olduğu Azure bulutuyla ilişkilendirilmiş özel anahtarla çözülmüş.

Sonraki adımlar