Azure Stack Hub'de ayrıcalıklı uç noktayı kullanma

Yönetici Azure Stack Hub olarak, günlük yönetim görevlerinin çoğu için yönetici portalını, PowerShell'i veya Azure Resource Manager API'lerini kullanabilirsiniz. Ancak, daha az yaygın olan bazı işlemler için ayrıcalıklı uç noktayı (PEP ) kullanacağız. PEP, gerekli bir görevi yerine size yardımcı olmak için yeterli özellikleri sağlayan önceden yapılandırılmış bir uzak PowerShell konsoludur. Uç nokta, yalnızca kısıtlı bir cmdlet'leri göstermek için PowerShell JEA ( Yeterli Yönetim) kullanır. PEP'ye erişmek ve kısıtlı cmdlet'ler kümesi çağırmak için düşük ayrıcalıklı bir hesap kullanılır. Yönetici hesabı gerekmez. Ek güvenlik için betik çalıştırmaya izin verilmez.

Bu görevleri gerçekleştirmek için PEP kullanabilirsiniz:

  • Tanılama günlüklerini toplama gibi düşük düzeyli görevler.
  • Tümleşik sistemler için, dağıtımdan sonra Etki Alanı Adı Sistemi (DNS) ileticileri ekleme, Microsoft Graph tümleştirmesi, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) tümleştirmesi, sertifika döndürme gibi birçok dağıtım sonrası veri merkezi tümleştirme görevi.
  • Tümleşik bir sistemin ayrıntılı sorun giderme adımlarına geçici, üst düzey erişim elde etmek için destekle çalışmak.

PEP, PowerShell oturumunda gerçekleştirebilirsiniz her eylemi (ve buna karşılık gelen çıktıyı) günlüğe kaydeder. Bu, işlemlerin tam saydamlığını ve tam denetimini sağlar. Bu günlük dosyalarını gelecekteki denetimler için tutabilirsiniz.

Not

Bu Azure Stack Geliştirme Seti (ASDK), PEP'de bulunan komutlardan bazılarını doğrudan geliştirme seti ana bilgisayarının PowerShell oturumundan çalıştırabilirsiniz. Ancak, tümleştirilmiş bir sistem ortamında belirli işlemleri gerçekleştirmek için kullanılabilen tek yöntem bu olduğundan, PEP kullanarak bazı işlemleri test etmek için günlük toplama gibi bir yöntem kullanabilirsiniz.

Not

Ayrıca, ayrıcalıklı uç noktasına (PEP), destek senaryoları için Yönetici portalına ve Azure Stack Hub GitHub Tools'a erişmek için İş İstasyonu'Azure Stack Hub GitHub kullanabilirsiniz. Daha fazla bilgi için bkz. Azure Stack Hub İş İstasyonu.

Ayrıcalıklı uç noktaya erişme

PEP'ye PEP'yi barındıran sanal makinede (VM) uzak bir PowerShell oturumu aracılığıyla erişebilirsiniz. ASDK'de bu VM AzS-ERCS01 olarak adlandırılmıştır. Tümleşik bir sistem kullanıyorsanız, her biri farklı konaklarda bir VM içinde (Prefix-ERCS01, Prefix-ERCS02 veyaPrefix-ERCS03) çalışan üç PEP örneği vardır.

Tümleşik bir sistem için bu yordama başlamadan önce, PEP'ye IP adresi veya DNS üzerinden erişemeden emin olun. Etki alanı dağıtımının Azure Stack Hub DNS tümleştirmesi henüz ayarlanmadıktan sonra PEP'ye yalnızca IP adresiyle erişebilirsiniz. OEM donanım satıcınız size PEP IP adreslerini içeren AzureStackStampDeploymentInfo adlı bir JSON dosyası sağlar.

IP adresini yönetici portalında da Azure Stack Hub bulabilirsiniz. Portalı açın, örneğin . https://adminportal.local.azurestack.external Bölge YönetimiÖzözerlikler'i> seçin.

Ayrıcalıklı uç noktayı çalıştırarak en-US geçerli kültür ayarınızı olarak ayarlayabilirsiniz, aksi takdirde Test-AzureStack veya Get-AzureStackLog cmdlet'ler beklendiği gibi çalışmaz.

Not

Güvenlik nedeniyle PEP'ye yalnızca donanım yaşam döngüsü ana bilgisayarı üzerinde çalışan sağlamlaştırılmış bir VM'den veya Ayrıcalıklı Erişim İş İstasyonu gibi ayrılmış ve güvenli bir bilgisayardan bağlanmanız gerekir. Donanım yaşam döngüsü ana bilgisayarının özgün yapılandırması özgün yapılandırmasından (yeni yazılım yükleme dahil) değiştirilmemelidir veya PEP'ye bağlanmak için kullanılmamelidir.

  1. Güveni kurma.

    • Tümleşik bir sistemde, yükseltilmiş bir Windows PowerShell oturumundan aşağıdaki komutu çalıştırarak PEP'yi donanım yaşam döngüsü ana bilgisayarı veya Privileged Access İş İstasyonu üzerinde çalışan sağlamlaştırılmış VM'de güvenilir bir konak olarak ekleyin.

      Set-Item WSMan:\localhost\Client\TrustedHosts -Value '<IP Address of Privileged Endpoint>' -Concatenate
      
    • ASDK'yi çalıştırdıysanız geliştirme seti ana bilgisayarlarında oturum açma.

  2. Donanım yaşam döngüsü ana bilgisayarı veya Privileged Access İş İstasyonu üzerinde çalışan sağlamlaştırılmış VM'de bir Windows PowerShell açın. PEP'yi barındıran VM'de uzak oturum oluşturmak için aşağıdaki komutları çalıştırın:

    • Tümleşik bir sistemde:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName <IP_address_of_ERCS> -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

      parametresi ComputerName PEP'yi barındıran VM'lerden birinin IP adresi veya DNS adı olabilir.

      Not

      Azure Stack Hub, PEP kimlik bilgisi doğrulandıktan sonra uzaktan çağrı yapmaz. Bunu yapmak için yerel olarak depolanan bir RSA ortak anahtarına bağlı olur.

    • ASDK'sı çalıştırdıysanız:

      $cred = Get-Credential
      
      $pep = New-PSSession -ComputerName azs-ercs01 -ConfigurationName PrivilegedEndpoint -Credential $cred -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      Enter-PSSession $pep
      

    İstendiğinde aşağıdaki kimlik bilgilerini kullanın:

    • Kullanıcı adı: CloudAdmin hesabını etkialanı<\Azure Stack Hub> biçiminde belirtin. (ASDK için kullanıcı adı azurestack\cloudadmin'tir)
    • Parola: AzureStackAdmin etki alanı yönetici hesabı için yükleme sırasında sağlanan parolanın aynısını girin.

    Not

    ERCS uç noktasına bağlanamıyorsanız, bir ve iki adımlarını başka bir ERCS VM IP adresiyle yeniden deneyin.

    Uyarı

    Varsayılan olarak Azure Stack Hub tek bir CloudAdmin hesabıyla yapılandırılır. Hesap kimlik bilgileri kaybolur, tehlikeye girer veya kilitlenirse kurtarma seçeneği yoktur. Ayrıcalıklı uç nokta ve diğer kaynaklara erişimi kaybedersiniz.

    Damga pulun kendi giderlerinizi yeniden oluşturmaktan kaçınmak için ek CloudAdmin hesapları oluşturmanız kesinlikle önerilir. Bu kimlik bilgilerini, şirketinizin yönergelerine göre belgeleyenin.

  3. Bağlandıktan sonra, ortama bağlı olarak istemi [IP adresi veya ERCS VM adı]: PS> veya [azs-ercs01]: PS> olarak değişir. Burada, kullanılabilir Get-Command cmdlet'ler listesini görüntülemek için çalıştırın.

    Cmdlet'ler için bir başvuru, ayrıcalıklı uç Azure Stack Hub konumunda bulabilirsiniz

    Bu cmdlet'lerin çoğu yalnızca tümleşik sistem ortamları (veri merkezi tümleştirmesi ile ilgili cmdlet'ler gibi) için tasarlanmıştır. ASDK'de aşağıdaki cmdlet'ler doğrulandı:

    • Clear-Host
    • Close-PrivilegedEndpoint
    • Exit-PSSession
    • Get-AzureStackLog
    • Get-AzureStackStampInformation
    • Get-Command
    • Get-FormatData
    • Get-Help
    • Get-ThirdPartyNotices
    • Measure-Object
    • New-CloudAdminUser
    • Out-Default
    • Remove-CloudAdminUser
    • Select-Object
    • Set-CloudAdminUserPassword
    • Test-AzureStack
    • Stop-AzureStack
    • Get-ClusterLog

Ayrıcalıklı uç noktayı kullanma

Yukarıda belirtildiği gibi PEP bir PowerShell JEA uç noktasıdır . Güçlü bir güvenlik katmanı sağlarken, JEA uç noktası betik veya sekme tamamlama gibi bazı temel PowerShell özelliklerini azaltır. Herhangi bir tür betik işlemi denersiniz, işlem ScriptsNotAllowed hatasıyla başarısız olur. Bu hata beklenen bir davranıştır.

Örneğin, verilen bir cmdlet'in parametrelerinin listesini almak için aşağıdaki komutu çalıştırın:

    Get-Command <cmdlet_name> -Syntax

Alternatif olarak Import-PSSession cmdlet'ini kullanarak tüm PEP cmdlet'lerini yerel makinenizin geçerli oturumuna aktarabilirsiniz. PEP cmdlet'leri ve işlevleri artık sekme tamamlama ve daha genel olarak betik ile yerel makineniz üzerinde kullanılabilir. Cmdlet yönergelerini gözden geçirmek için Get-Help modülünü de çalıştırabilirsiniz.

Yerel makinenize PEP oturumunu içeri aktarın, aşağıdaki adımları uygulayın:

  1. Güveni kurma.

    • Tümleşik bir sistemde, yükseltilmiş bir Windows PowerShell oturumundan aşağıdaki komutu çalıştırarak PEP'yi donanım yaşam döngüsü ana bilgisayarı veya Privileged Access İş İstasyonu üzerinde çalışan sağlamlaştırılmış VM'de güvenilir bir konak olarak ekleyin.

      winrm s winrm/config/client '@{TrustedHosts="<IP Address of Privileged Endpoint>"}'
      
    • ASDK'yi çalıştırdıysanız geliştirme seti ana bilgisayarlarında oturum açma.

  2. Donanım yaşam döngüsü ana bilgisayarı veya Privileged Access İş İstasyonu üzerinde çalışan sağlamlaştırılmış VM'de bir Windows PowerShell açın. PEP'yi barındıran sanal makinede uzak oturum oluşturmak için aşağıdaki komutları çalıştırın:

    • Tümleşik bir sistemde:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName <IP_address_of_ERCS> `
         -ConfigurationName PrivilegedEndpoint -Credential $cred `
         -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      

      parametresi ComputerName PEP'yi barındıran VM'lerden birinin IP adresi veya DNS adı olabilir.

    • ASDK çalıştırıyorsanız:

      $cred = Get-Credential
      
      $session = New-PSSession -ComputerName azs-ercs01 `
         -ConfigurationName PrivilegedEndpoint -Credential $cred `
         -SessionOption (New-PSSessionOption -Culture en-US -UICulture en-US)
      

    İstendiğinde, aşağıdaki kimlik bilgilerini kullanın:

    • Kullanıcı adı: Azure Stack hub etki alanı> \cloudadmin biçiminde <CloudAdmin hesabını belirtin. (ASDK için, Kullanıcı adı azurestack\cloudadmin.)

    • Parola: AzureStackAdmin etki alanı yönetici hesabı için yükleme sırasında girilen parolayı girin.

  3. PEP oturumunu yerel makinenize aktarın:

    Import-PSSession $session
    
  4. Şimdi, Azure Stack hub 'ın güvenlik duruşunu azaltmadan, tüm işlevleri ve PEP cmdlet 'leri ile yerel PowerShell oturumunuzda her zamanki gibi sekme tamamlama ve komut dosyası oluşturma 'yı kullanabilirsiniz. Keyfini çıkarın!

Ayrıcalıklı uç nokta oturumunu kapatma

Daha önce belirtildiği gibi, PEP, PowerShell oturumunda yaptığınız her eylemi (ve ilgili çıktıyı) günlüğe kaydeder. Cmdlet 'ini kullanarak Close-PrivilegedEndpoint oturumu kapatmanız gerekir. Bu cmdlet, uç noktayı doğru bir şekilde kapatır ve bekletme için günlük dosyalarını bir dış dosya paylaşımında aktarır.

Uç nokta oturumunu kapatmak için:

  1. PEP tarafından erişilebilen bir dış dosya paylaşma oluşturun. Bir geliştirme seti ortamında, yalnızca geliştirme seti ana bilgisayarında bir dosya paylaşma oluşturabilirsiniz.

  2. Aşağıdaki cmdlet'i çalıştırın:

    Close-PrivilegedEndpoint -TranscriptsPathDestination "\\fileshareIP\SharedFolder" -Credential Get-Credential
    

    Cmdlet 'i aşağıdaki tablodaki parametreleri kullanır:

    Parametre Açıklama Tür Gerekli
    TranscriptsPathDestination "Fileshareıp\shareklasöradı" olarak tanımlanan dış dosya paylaşımının yolu Dize Yes
    Kimlik Bilgisi Dosya paylaşımıyla erişim için kimlik bilgileri SecureString Yes

Döküm dosyası günlük dosyaları başarıyla dosya paylaşımında aktarıldıktan sonra, PEP 'den otomatik olarak silinir.

Not

Cmdlet 'lerini Exit-PSSessionExit kullanarak Pep oturumunu kapatır veya yalnızca PowerShell konsolunu kapatırsanız, döküm günlükleri bir dosya paylaşımında aktarılmaz. Bunlar PEP içinde kalır. Bir sonraki çalıştırışınızda Close-PrivilegedEndpoint ve bir dosya paylaşımının dahil olması halinde, önceki oturumlardan gelen döküm günlükleri de aktarılır. PEP oturumunu kapatmak için veya Exit kullanmayın Exit-PSSession ; bunun yerine kullanın Close-PrivilegedEndpoint .

Destek senaryoları için ayrıcalıklı uç noktanın kilidini açma

Destek senaryosu sırasında, Microsoft destek mühendisinin, Azure Stack hub altyapısının iç içine erişmek için ayrıcalıklı uç nokta PowerShell oturumunu yükseltmesine ihtiyacı vardır. Bu işlem bazen "camı kes" veya "PEP kilidini aç" olarak adlandırılır. PEP oturum yükseltme işlemi iki adımla iki kişi, iki kuruluş kimlik doğrulama işlemidir. Kilit açma yordamı, her zaman ortamının denetimini koruyan Azure Stack hub işleci tarafından başlatılır. İşleci PEP 'ye erişir ve bu cmdlet 'i yürütür:

     Get-SupportSessionToken

Cmdlet 'i çok uzun alfasayısal bir dize olan destek oturumu istek belirtecini döndürür. Daha sonra operatör, istek belirtecini Microsoft destek mühendisine (örn. sohbet, e-posta) bir ortam aracılığıyla geçirir. Microsoft Destek Mühendisi, geçerli bir destek oturumu yetkilendirme belirteci oluşturmak için istek belirtecini kullanır ve onu Azure Stack hub işlecine geri gönderir. Aynı PEP PowerShell oturumunda operatör, bu cmdlet 'e giriş olarak yetkilendirme belirtecini geçirir:

      unlock-supportsession
      cmdlet Unlock-SupportSession at command pipeline position 1
      Supply values for the following parameters:
      ResponseToken:

Yetkilendirme belirteci geçerliyse PEP PowerShell oturumu, altyapıda tam yönetici özellikleri ve tam erişilebilirlik sağlayarak yükseltilir.

Not

Yükseltilmiş bir PEP oturumunda yürütülen tüm işlemler ve cmdlet 'lerin Microsoft destek mühendisinin katı gözetiminin altında gerçekleştirilmesi gerekir. Bunun yapılmaması, ciddi kapalı kalma süresine ve veri kaybına neden olabilir ve Azure Stack hub ortamının tam yeniden dağıtımı gerektirebilir.

Destek oturumu sonlandırıldıktan sonra, yukarıdaki bölümde açıklandığı gibi Close-PrivilegedEndpoint cmdlet 'ini kullanarak yükseltilmiş Pep oturumunun geri kapatılması çok önemlidir. Bir PEP oturumunun sonlandırılması, kilit açma belirteci artık geçerli değil ve PEP oturumunun kilidini tekrar açmak için yeniden kullanılamaz. Yükseltilmiş bir PEP oturumunun geçerlilik süresi 8 saat, sonra sonlandırılmadığında, yükseltilmiş PEP oturumu otomatik olarak normal bir PEP oturumuna kilitlenir.

Ayrıcalıklı uç nokta belirteçlerinin içeriği

PEP desteği oturum isteği ve yetkilendirme belirteçleri, erişimi korumak ve yalnızca yetkili belirteçlerin PEP oturumunun kilidini açabildiğinden emin olmak için şifrelemeyi destekler. Belirteçler, yanıt belirtecinin yalnızca istek belirtecini oluşturan PEP oturumu tarafından kabul edilebilir olmasını sağlamak için tasarlanmıştır. PEP belirteçleri Azure Stack hub ortamını veya müşteriyi benzersiz bir şekilde tanımlayan herhangi bir tür bilgi içermez. Bunlar tamamen anonimdir. Her belirtecin içeriğinin ayrıntıları aşağıda verilmiştir.

Destek oturumu istek belirteci

PEP destek oturumu istek belirteci üç nesneden oluşur:

  • Rastgele oluşturulmuş bir oturum KIMLIĞI.
  • Bir kerelik ortak/özel anahtar çiftiyle ilgili amaç için oluşturulan kendinden imzalı bir sertifika. Sertifika, ortamda herhangi bir bilgi içermiyor.
  • İstek belirtecinin süre sonunu gösteren bir zaman damgası.

İstek belirteci daha sonra Azure Stack hub ortamının kaydedildiği Azure bulutunun ortak anahtarıyla şifrelenir.

Destek oturumu yetkilendirme yanıt belirteci

PEP desteği yetkilendirme yanıt belirteci iki nesneden oluşur:

  • İstek belirtecinden ayıklanan rastgele oluşturulan oturum KIMLIĞI.
  • Yanıt belirtecinin süre sonunu gösteren bir zaman damgası.

Yanıt belirteci daha sonra istek belirtecinde bulunan otomatik olarak imzalanan sertifikayla şifrelenir. Otomatik olarak imzalanan sertifikanın, Azure Stack hub ortamının kaydedildiği Azure bulutuyla ilişkili özel anahtarla şifresi çözülür.

Sonraki adımlar