az networkcloud cluster bmckeyset를 사용하여 운영 체제 미설치 컴퓨터에 대한 긴급 액세스 관리
주의
이 프로세스는 Azure를 통한 다른 모든 문제 해결 옵션이 모두 소진된 경우 긴급 상황에서 사용됩니다. 이러한 운영 체제 미설치 컴퓨터에 대한 SSH 액세스는 지정된 점프 호스트 목록에서 이 방법을 통해 관리되는 사용자로 제한됩니다.
사용자가 운영 체제 미설치 컴퓨터와 관련된 문제를 조사하고 해결해야 하고 Azure를 사용하는 다른 모든 방법이 모두 소진되는 경우는 드뭅니다. Operator Nexus는 사용자가 BMC(운영 체제 미설치 컴퓨터)에 대한 SSH 액세스를 관리할 수 있도록 az networkcloud cluster bmckeyset 명령을 제공합니다. 키 집합을 만들 때 사용자에게 제공된 사용자 계정 이름을 제공된 Microsoft Entra ID --azure-group-id <Entra Group ID>와 상호 참조하여 적절한 권한 부여를 위해 사용자에 대한 Azure Group ID 유효성 검사가 수행됩니다.
키 집합의 사용자는 4시간마다 유효성을 검사하고 키 집합이 변경될 때도 유효성을 검사합니다. 그런 다음 각 사용자의 상태가 "활성" 또는 “유효하지 않음"으로 설정됩니다. 잘못된 사용자는 키 집합에 남아 있지만 해당 키는 모든 호스트에서 제거되어 액세스가 허용되지 않습니다. 사용자가 유효하지 않은 이유는 다음과 같습니다.
- 사용자의 사용자 계정 이름이 지정된 Entra 그룹의 멤버가 아닙니다(지정된 경우).
- 지정된 Entra 그룹(지정된 경우)이 존재하지 않습니다(이 경우 키 집합의 모든 사용자가 잘못됨).
- 키 집합이 만료되었습니다(이 경우 키 집합의 모든 사용자가 잘못됨).
참고 항목
현재는 사용자 계정 이름 지정이 선택 사항인 전환 기간 중입니다. 이후 릴리스에서 이는 필수가 되며 모든 사용자에 대해 Microsoft Entra ID 유효성 검사가 적용됩니다. 사용자는 키 집합이 무효화되지 않도록 전환 기간이 끝나기 전에(2024년 7월 예정) 키 집합에 사용자 계정 이름을 추가하는 것이 좋습니다. 사용자 계정 이름이 키 집합에 추가되는 경우 모든 사용자에 대해 추가되지 않더라도 Microsoft Entra ID 유효성 검사가 활성화되고 지정된 그룹 ID가 유효하지 않으면 전체 키 집합이 무효화됩니다.
키 집합 및 각 개별 사용자에게는 다른 정보를 전달하는 자세한 상태 메시지도 있습니다.
- 키 집합의 detailedStatusMessage는 키 집합이 만료되었는지 여부와 클러스터에서 키 집합을 업데이트하는 동안 발생한 문제에 대한 기타 정보를 알려줍니다.
- 사용자의 statusMessage는 사용자가 활성 상태인지 유효하지 않은 상태인지 알려주며, 사용자의 최신 활성/유효하지 않은 상태로 아직 업데이트되지 않은 컴퓨터의 목록을 보여줍니다. 각각의 경우 문제의 원인이 알려져있다면 포함됩니다.
명령이 실행되면 활성 Kubernetes 노드를 사용하여 클러스터의 각 운영 체제 미설치 컴퓨터에서 실행됩니다. 원래 명령 당시 사용할 수 없었던 운영 체제 미설치 컴퓨터에서 명령을 다시 시도하여 주기적으로 실행되는 조정 프로세스가 있습니다. 또한 az networkcloud baremetalmachine actionreimage 또는 az networkcloud baremetalmachine actionreplace 명령(BareMetal 함수 참조)을 통해 클러스터로 반환되는 모든 운영 체제 미설치 컴퓨터는 클러스터로 반환되는 즉시 활성 키 집합을 컴퓨터로 전송하는 신호를 보냅니다. 여러 명령은 수신된 순서대로 실행됩니다.
BMC는 최대 12명의 사용자를 지원합니다. 사용자는 클러스터별로 정의되고 각 운영 체제 미설치 머신에 적용됩니다. 12명이 넘는 사용자를 추가하려고 시도하면 오류가 발생합니다. 이미 12명이라면 다른 사용자를 추가하기 전에 사용자를 삭제합니다.
필수 조건
- 적절한 Azure CLI 확장의 최신 버전을 설치합니다.
- 온-프레미스 클러스터는 Azure에 연결되어 있어야 합니다.
Cluster리소스의 리소스 그룹 이름을 가져옵니다.- 이 프로세스는 실행 중인 모든 운영 체제 미설치 컴퓨터에 키 집합을 적용합니다.
- 추가된 사용자는 Microsoft Entra 그룹에 속해야 합니다. 자세한 내용은 그룹 관리 방법을 참조하세요.
- 키 집합 관리에 대한 액세스를 제한하려면 사용자 지정 역할을 만듭니다. 자세한 내용은 Azure 사용자 지정 역할을 참조하세요. 이 경우
Microsoft.NetworkCloud/clusters/bmcKeySets에 대한 권한을 추가 또는 제외합니다. 가능한 옵션은/read,/write,/delete입니다.
참고 항목
이 문서에 설명된 명령을 통해 BMC 액세스가 생성, 수정 또는 삭제되면 백그라운드 프로세스에서 이러한 변경 내용을 컴퓨터에 전달합니다. 이 프로세스는 Operator Nexus 소프트웨어 업그레이드 중에 일시 중지됩니다. 업그레이드가 진행 중인 것을 아는 경우 명령 프롬프트가 이 프로세스의 완료까지 기다리지 않도록 명령에서 --no-wait 옵션을 사용할 수 있습니다.
BMC 키 집합 만들기
bmckeyset create 명령은 사용자 그룹을 위해 클러스터의 운영 체제 미설치 컴퓨터에 대한 SSH 액세스 권한을 만듭니다.
명령 구문은 다음과 같습니다.
az networkcloud cluster bmckeyset create \
--name <BMC Keyset Name> \
--extended-location name=<Extended Location ARM ID> \
type="CustomLocation" \
--location <Azure Region> \
--azure-group-id <Azure AAD Group ID> \
--expiration <Expiration Timestamp> \
--privilege-level <"Administrator" or "ReadOnly"> \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1=<Key Value> key2=<Key Value> \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
만들기 인수
--azure-group-id [Required] : The object ID of Azure Active Directory
group that all users in the list must
be in for access to be granted. Users
that are not in the group do not have
access.
--bmc-key-set-name --name -n [Required] : The name of the BMC key set.
--cluster-name [Required] : The name of the cluster.
--expiration [Required] : The date and time after which the users
in this key set are removed from
the BMCs. The maximum expiration date is a
year from creation date. Format is
"YYYY-MM-DDTHH:MM:SS.000Z".
--extended-location [Required] : The extended location of the cluster
associated with the resource.
Usage: --extended-location name=XX type=XX
name: Required. The resource ID of the extended location on which the resource is created.
type: Required. The extended location type: "CustomLocation".
--privilege-level [Required] : The access level allowed for the users
in this key set. Allowed values:
"Administrator" or "ReadOnly".
--resource-group -g [Required] : Name of resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--user-list [Required] : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public ssh key of the user.
userPrincipalName: Optional. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--location -l : Azure Region. Values from: `az account
list-locations`. You can configure the
default location using `az configure
--defaults location=<location>`.
--no-wait : Do not wait for the long-running
operation to finish.
전역 Azure CLI 인수(모든 명령에 적용 가능)
--debug : Increase logging verbosity to show all
debug logs.
--help -h : Show this help message and exit.
--only-show-errors : Only show errors, suppressing warnings.
--output -o : Output format. Allowed values: json,
jsonc, none, table, tsv, yaml, yamlc.
Default: json.
--query : JMESPath query string. See
http://jmespath.org/ for more
information and examples.
--subscription [Required] : Name or ID of subscription. Optional if
configuring the default subscription
using `az account set -s NAME_OR_ID`.
--verbose : Increase logging verbosity. Use --debug
for full debug logs.
다음은 두 점프 호스트에서 표준 액세스 권한을 보유한 두 명의 사용자가 있는 새 키 집합을 만드는 예제입니다.
az networkcloud cluster bmckeyset create \
--name "bmcKeySetName" \
--extended-location name="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ExtendedLocation/customLocations/clusterExtendedLocationName" \
type="CustomLocation" \
--location "location" \
--azure-group-id "f110271b-XXXX-4163-9b99-214d91660f0e" \
--expiration "2023-12-31T23:59:59.008Z" \
--privilege-level "Standard" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userABC","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}},\
{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userXYZ","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}}]' \
--tags key1="myvalue1" key2="myvalue2" \
--cluster-name "clusterName" \
--resource-group "resourceGroupName"
--user-list 구조를 만드는 데 도움이 필요하면 Azure CLI 축약형을 참조하세요.
BMC 키 집합 삭제
bmckeyset delete 명령은 사용자 그룹의 BMC에 대한 SSH 액세스 권한을 제거합니다. 그룹의 모든 멤버는 클러스터의 모든 BMC에 대한 SSH 액세스 권한을 잃게 됩니다.
명령 구문은 다음과 같습니다.
az networkcloud cluster bmckeyset delete \
--name <BMC Keyset Name> \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name> \
삭제 인수
--bmc-key-set-name --name -n [Required] : The name of the BMC key set to be deleted.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of resource group. Optional if configuring the
default group using `az configure --defaults
group=<name>`.
--no-wait : Do not wait for the long-running operation to finish.
--yes -y : Do not prompt for confirmation.
이 예제에서는 "clusterName" 클러스터에서 "bmcKeysetName" 키 집합을 제거합니다.
az networkcloud cluster bmckeyset delete \
--name "bmcKeySetName" \
--cluster-name "clusterName" \
--resource-group "resourceGroupName" \
BMC 키 집합 업데이트
bmckeyset update 명령을 사용하면 사용자가 기존 키 집합 그룹을 변경할 수 있습니다.
명령 구문은 다음과 같습니다.
az networkcloud cluster bmckeyset update \
--name <BMC Keyset Name> \
--privilege-level <"Standard" or "Superuser"> \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1=<Key Value> key2=<Key Value> \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
업데이트 인수
--bmc-key-set-name --name -n [Required] : The name of the BMC key set.
--cluster-name [Required] : The name of the cluster.
--expiration [Required] : The date and time after which the users
in this key set are removed from
the BMCs. The maximum expiration date is a
year from creation date. Format is
"YYYY-MM-DDTHH:MM:SS.000Z".
--privilege-level : The access level allowed for the users
in this key set. Allowed values:
"Administrator" or "ReadOnly".
--user-list : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public SSH key of the user.
userPrincipalName: Optional. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--resource-group -g [Required] : Name of resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--no-wait : Do not wait for the long-running
operation to finish.
이 예제에서는 "bmcKeySetName" 그룹에 새 사용자를 추가하고 그룹의 만료 시간을 변경합니다.
az networkcloud cluster bmckeyset update \
--name "bmcKeySetName" \
--expiration "2023-12-31T23:59:59.008Z" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userDEF", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"}] \
--cluster-name "clusterName" \
--resource-group "resourceGroupName"
BMC 키 집합 나열
bmckeyset list 명령을 사용하면 사용자가 클러스터의 기존 키 집합 그룹을 볼 수 있습니다.
명령 구문은 다음과 같습니다.
az networkcloud cluster bmckeyset list \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
나열 인수
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
BMC 키 집합 세부 정보 표시
bmckeyset show 명령을 사용하면 사용자가 클러스터에서 기존 키 집합 그룹의 세부 정보를 볼 수 있습니다.
명령 구문은 다음과 같습니다.
az networkcloud cluster bmckeyset show \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
표시 인수
--bmc-key-set-name --name -n [Required] : The name of the BMC key set.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of resource group. You can
configure the default group using `az
configure --defaults group=<name>`.