Sdílet prostřednictvím

Nouzový přístup k virtuálnímu počítači (EVA)

  • Článek

Služba eva (Emergency VM Access Service) umožňuje uživateli požádat o pomoc operátora ve scénářích, ve kterých je tento uživatel uzamčen z virtuálního počítače, a operace opětovného nasazení nepomůže obnovit přístup přes síť.

Poznámka:

Eva byla vydána s obecnou dostupností počínaje službou Azure Stack Hub 2301.

Tato funkce musí být povolená pro každé předplatné a operátor musí povolit přístup ke vzdálené ploše, aby měl uživatel cloudadmin přístup k virtuálním počítačům konzoly ERCS (Emergency Recovery Console).

Prvním krokem uživatele je vyžádání přístupu ke konzole virtuálního počítače přes PowerShell. Žádost poskytuje souhlas a umožňuje operátorovi s dalšími informacemi připojit se k virtuálnímu počítači přes jeho konzolu. Přístup ke konzole nezávisí na síťovém připojení a používá datový kanál hypervisoru.

Operátor se může ověřit pouze v operačním systému spuštěném na virtuálním počítači, pokud jsou přihlašovací údaje známé. V tomto okamžiku může operátor také sdílet obrazovky s uživatelem a vyřešit problém společně za účelem obnovení síťového připojení.

Důležité

U virtuálních počítačů s Windows Serverem je funkce EVA omezena na počítače s grafickým uživatelským rozhraním (GUI). Pro Windows Server základní operační systém nepodporuje funkce klávesnice na obrazovce. Protože kombinaci kláves Ctrl+Alt+Del nejde odeslat jako vstup, nemůžete se přihlásit k základnímu serveru, i když se můžete připojit ke své konzole. Pokud potřebujete vyřešit problém s základním operačním systémem Windows, obraťte se na podporu Microsoftu a poskytněte přístup ke konzole z odemknutého privilegovaného koncového bodu.

Operátor povolí předplatné uživatele pro EVA.

V tomto scénáři může operátor rozhodnout, které předplatné by mělo mít možnost používat funkci přístupu k virtuálním počítačům tísňového volání.

Nejprve spusťte následující skript PowerShellu. Pokud chcete tento skript spustit, musíte mít nainstalovaný PowerShell služby Azure Stack Hub. Postupujte podle pokynů k instalaci Azure Stack Hub PowerShellu. Zástupné symboly proměnných nahraďte správnými hodnotami:

# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"

$tenantSubscriptionSettings = @{
    TenantSubscriptionId = [string]$tenantSubscriptionId
}

# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID

Invoke-AzureRmResourceAction `
    -ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
    -ResourceType "Microsoft.Compute.Admin/locations/features" `
    -Action "enableTenantSubscriptionFeature" `
    -Parameters $tenantSubscriptionSettings `
    -ApiVersion "2020-11-01" `
    -ErrorAction Stop `
    -Force

Uživatel, který požádá o přístup ke konzole virtuálního počítače

Jako uživatel udělujete souhlas operátorovi s vytvořením přístupu ke konzole pro konkrétní virtuální počítač.

  1. Jako uživatel otevřete PowerShell, přihlaste se ke svému předplatnému a připojte se ke službě Azure Stack Hub, jak je popsáno tady.

  2. Spusťte následující skript. Abyste mohli sestavit VMResourceID, musíte nahradit ID předplatného, skupinu prostředků a název virtuálního počítače:

    $SubscriptionID = "your Azure subscription ID" 
$ResourceGroup = "your resource group name" 
$VMName = "your VM name" 
$vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" 

$enableVMAccessResponse = Invoke-AzureRMResourceAction `
    -ResourceId $vmResourceId `
    -Action "enableVmAccess" `
    -ApiVersion "2020-06-01" `
    -ErrorAction Stop `
    -Force

Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow
Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan
Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green
Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
  1. Skript vrátí název konzoly pro zotavení TÍSŇového volání (ERCS), který tenant poskytuje operátoru spolu s VMResourceID.

Operátor umožňuje vzdálené ploše přístup k virtuálním počítačům ERCS.

Dalším krokem operátora služby Azure Stack Hub je povolení přístupu ke vzdálené ploše k virtuálním počítačům konzoly ERCS (Emergency Recovery Console), které hostují privilegované koncové body.

Na pracovní stanici operátora, kterou používáte pro připojení k ERCS, spusťte v privilegovaném koncovém bodu následující příkazy. Příkaz přidá IP adresu pracovní stanice do seznamu bezpečných adres sítě. Postupujte podle pokynů k připojení k PEP. Operátor může být členem skupiny uživatelů cloudadmin nebo samotným správcem cloudu:

Grant-RdpAccessToErcsVM

Pokud chcete zakázat přístup ke vzdálené ploše virtuálním počítačům konzoly ERCS (Emergency Recovery Console), spusťte v privilegovaném koncovém bodu následující příkaz:

Revoke-RdpAccessToErcsVM

Poznámka:

Každému z virtuálních počítačů ERCS se přiřadí žádost o přístup uživatele tenanta. Jako operátor můžete vytvořit relaci PEP pouze na virtuální počítač ERCS přijatý z tenanta (výstup ).$enableVMAccessResponse

  1. Operátor používá název ERCS a připojuje se k němu pomocí klienta vzdálené plochy (RDP); Například z pracovní stanice pro přístup operátora (OAW).

    Poznámka:

    Operátor se ověřuje pomocí stejného účtu správce cloudu, který spustil Grant-RdpAccessToErcsVM.

  2. Po připojení k virtuálnímu počítači ERCS přes protokol RDP spusťte PowerShell.

  3. Připojte se ke konzole virtuálního počítače tenanta pomocí následujícího příkazu:

    ConnectTo-TenantVm -ResourceID

  4. Operátor se teď připojí na obrazovku konzoly virtuálního počítače tenanta, ke kterému se musí znovu ověřit pomocí přihlašovacích údajů správce cloudu . Operátor nemá žádné přihlašovací údaje, pomocí kterých se chcete přihlásit k hostovanému operačnímu systému.

    Poznámka:

    Na přihlašovací obrazovce se stisknutím kláves Windows + U spustí klávesnice na obrazovce, která umožňuje odesílání ctrl + ALT + Delete. Pokud chcete použít kombinaci kláves Windows + U, musíte být v režimu RDP na celé obrazovce.

  5. Operátor teď může sdílet s tenantem a ladit všechny problémy, které brání připojení k virtuálnímu počítači přes síť.

  6. Po dokončení může operátor spustit následující příkaz, který odebere souhlas uživatele:

    Delete-TenantVMSession -ResourceID

    Poznámka:

    Platnost souhlasu uživatele vyprší automaticky po 8 hodinách a odvolá veškerý přístup operátorem.