Delen via

Toegang tot nood-VM's (EVA)

  • Artikel

Met de NOOD-VM-toegangsservice (EVA) kan een gebruiker hulp vragen van de operator in scenario's waarin die gebruiker is vergrendeld van de virtuele machine, en de herploybewerking helpt niet om de toegang via het netwerk te herstellen.

Notitie

EVA is uitgebracht met algemene beschikbaarheid vanaf Azure Stack Hub 2301.

Deze functie moet per abonnement worden ingeschakeld en de operator moet extern bureaublad-toegang inschakelen om de cloudadmin-gebruiker toegang te geven tot de VM's voor noodherstelconsole (ERCS).

De eerste stap voor de gebruiker is het aanvragen van toegang tot de VM-console via PowerShell. De aanvraag geeft toestemming en stelt de operator in staat om via de console verbinding te maken met de virtuele machine. Consoletoegang is niet afhankelijk van de netwerkverbinding en maakt gebruik van een gegevenskanaal van de hypervisor.

De operator kan alleen worden geverifieerd bij het besturingssysteem dat wordt uitgevoerd in de VIRTUELE machine als de referenties bekend zijn. Op dat moment kan de operator ook schermen delen met de gebruiker en het probleem samen oplossen om de netwerkverbinding te herstellen.

Belangrijk

Voor VM's met Windows Server is de EVA-functie beperkt tot computers die worden uitgevoerd met een grafische gebruikersinterface (GUI). Voor Windows Server biedt het kernbesturingssysteem geen ondersteuning voor de functionaliteit van het schermtoetsenbord. Omdat u de toetsencombinatie Ctrl+Alt+Del niet als invoer kunt verzenden, kunt u zich niet aanmelden bij een kernserver, ook al kunt u verbinding maken met de console. Als u een probleem met het Windows Core-besturingssysteem wilt oplossen, neemt u contact op met Microsoft-ondersteuning om consoletoegang te bieden vanuit een ontgrendeld PEP.

Operator schakelt een gebruikersabonnement in voor EVA

In dit scenario kan de operator bepalen welk abonnement de toegangsfunctie voor nood-VM's moet kunnen gebruiken.

Voer eerst het volgende PowerShell-script uit. Als u dit script wilt uitvoeren, moet Azure Stack Hub PowerShell zijn geïnstalleerd. Volg de richtlijnen voor het installeren van Azure Stack Hub PowerShell. Vervang de tijdelijke aanduidingen voor variabelen door de juiste waarden:

# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"

$tenantSubscriptionSettings = @{
    TenantSubscriptionId = [string]$tenantSubscriptionId
}

# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID

Invoke-AzureRmResourceAction `
    -ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
    -ResourceType "Microsoft.Compute.Admin/locations/features" `
    -Action "enableTenantSubscriptionFeature" `
    -Parameters $tenantSubscriptionSettings `
    -ApiVersion "2020-11-01" `
    -ErrorAction Stop `
    -Force

Gebruiker om toegang tot de VM-console aan te vragen

Als gebruiker geeft u toestemming aan de operator om consoletoegang te maken voor een specifieke VIRTUELE machine.

  1. Als gebruiker opent u PowerShell, meldt u zich aan bij uw abonnement en maakt u verbinding met Azure Stack Hub, zoals hier wordt beschreven.

  2. Voer het volgende script uit. U moet de abonnements-id, resourcegroep en VM-naam vervangen om de VMResourceID samen te stellen:

    $SubscriptionID = "your Azure subscription ID" 
$ResourceGroup = "your resource group name" 
$VMName = "your VM name" 
$vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" 

$enableVMAccessResponse = Invoke-AzureRMResourceAction `
    -ResourceId $vmResourceId `
    -Action "enableVmAccess" `
    -ApiVersion "2020-06-01" `
    -ErrorAction Stop `
    -Force

Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow
Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan
Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green
Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
  1. Het script retourneert de naam van de noodherstelconsole (ERCS), die de tenant aan de operator biedt, samen met de VMResourceID.

Operator maakt extern bureaublad-toegang tot ERCS-VM's mogelijk

De volgende stap voor de Azure Stack Hub-operator is het inschakelen van extern bureaublad-toegang tot de VM's van de EMERGENCY Recovery Console (ERCS), die als host fungeren voor de bevoegde eindpunten.

Voer de volgende opdrachten uit in het bevoegde eindpunt (PEP) vanaf het operatorwerkstation dat u gebruikt om verbinding te maken met de ERCS. Met de opdracht wordt het IP-adres van het werkstation toegevoegd aan de lijst met veilige netwerken. Volg de richtlijnen voor het maken van verbinding met PEP. De operator kan lid zijn van de cloudadmin-gebruikersgroep of cloudadmin zelf:

Grant-RdpAccessToErcsVM

Voer de volgende opdracht uit in het bevoegde eindpunt (PEP) om de externe bureaubladtoegang tot de VM's van de EMERGENCY Recovery Console (ERCS) uit te schakelen:

Revoke-RdpAccessToErcsVM

Notitie

Aan een van de ERCS-VM's wordt de toegangsaanvraag van de tenantgebruiker toegewezen. Als operator kunt u alleen een PEP-sessie maken voor de ERCS-VM die is ontvangen van de tenant (de uitvoer van $enableVMAccessResponse).

  1. De operator gebruikt de ERCS-naam en maakt er verbinding mee met behulp van de Extern bureaublad-client (RDP); Bijvoorbeeld vanaf het operatortoegangswerkstation (OAW).

    Notitie

    De operator verifieert met hetzelfde cloudbeheerdersaccount dat Grant-RdpAccessToErcsVM heeft uitgevoerd.

  2. Nadat u via RDP verbinding hebt gemaakt met de ERCS-VM, start u PowerShell.

  3. Maak verbinding met de console van de virtuele tenantmachine met behulp van de volgende opdracht:

    ConnectTo-TenantVm -ResourceID

  4. De operator maakt nu verbinding met het consolescherm van de virtuele tenantmachine waarmee ze zich moeten verifiëren met behulp van de cloudadmin-referenties opnieuw. De operator heeft geen referenties waarmee u zich kunt aanmelden bij het gastbesturingssysteem.

    Notitie

    Druk in het aanmeldingsscherm op de Windows + U-toetsen om het schermtoetsenbord te openen, zodat u Ctrl + Alt + Delete kunt verzenden. U moet zich in de RDP-modus volledig scherm bevinden om de toetsencombinatie Windows + U te kunnen gebruiken.

  5. De operator kan nu een scherm delen met de tenant om eventuele problemen op te sporen die verbinding met de VIRTUELE machine via het netwerk voorkomen.

  6. Wanneer u klaar bent, kan de operator de volgende opdracht uitvoeren om de toestemming van de gebruiker te verwijderen:

    Delete-TenantVMSession -ResourceID

    Notitie

    De toestemming van de gebruiker verloopt na 8 uur automatisch en trekt alle toegang door de operator in.