Toegang tot een bare-metalmachine beheren met behulp van de az networkcloud cluster baremetalmachinekeyset
Let op
Houd er rekening mee dat dit proces wordt gebruikt in noodsituaties wanneer alle andere probleemoplossingsopties met behulp van Azure zijn uitgeput. Voor schrijf- of bewerkingsacties die worden uitgevoerd op de BMM-knooppunten, moeten gebruikers 'reimage' instellen om Microsoft-ondersteuning te herstellen naar de betrokken BMM-knooppunten. Houd er rekening mee dat SSH-toegang tot deze bare-metalmachines is beperkt tot gebruikers die via deze methode worden beheerd vanuit de opgegeven jumphostlijst.
Er zijn zeldzame situaties waarin een gebruiker problemen met een bare-metalcomputer moet onderzoeken en oplossen en alle andere manieren via Azure uitgeput zijn. Azure Operator Nexus biedt de az networkcloud cluster baremetalmachinekeyset opdracht zodat gebruikers SSH-toegang tot deze bare-metalcomputers kunnen beheren. Bij het maken van een sleutelset worden gebruikers gevalideerd op basis van Microsoft Entra ID voor de juiste autorisatie door kruislings te verwijzen naar de user Principal Name die is opgegeven voor een gebruiker op basis van de opgegeven Microsoft Entra-groeps-id --azure-group-id <Entra Group ID>.
Gebruikers in een sleutelset worden elke vier uur gevalideerd en ook wanneer er wijzigingen in een sleutelset worden aangebracht. De status van elke gebruiker wordt vervolgens ingesteld op 'Actief' of 'Ongeldig'. Ongeldige gebruikers blijven in de sleutelset, maar hun sleutels worden verwijderd van alle hosts en ze hebben geen toegang. Redenen waarom een gebruiker ongeldig is, zijn:
- De User Principal Name van de gebruiker is geen lid van de opgegeven Entra-groep (indien opgegeven)
- De opgegeven Entra-groep (indien opgegeven) bestaat niet (in dat geval zijn alle gebruikers in de sleutelset ongeldig)
- De sleutelset is verlopen (in dat geval zijn alle gebruikers in de sleutelset ongeldig)
Notitie
Er is momenteel een overgangsperiode waarin het opgeven van User Principal Names optioneel is. In een toekomstige release wordt deze verplicht en wordt validatie van Microsoft Entra ID afgedwongen voor alle gebruikers. Gebruikers worden aangemoedigd om User Principal Names toe te voegen aan hun sleutelsets voordat de overgangsperiode eindigt (gepland voor juli 2024) om te voorkomen dat sleutelsets ongeldig worden gemaakt. Houd er rekening mee dat als gebruikersprincipalnamen worden toegevoegd aan een sleutelset, zelfs als ze niet worden toegevoegd voor alle gebruikers, de Validatie van Microsoft Entra-id is ingeschakeld en dit resulteert in een ongeldige sleutelset als de opgegeven groeps-id ongeldig is.
De keyset en elke afzonderlijke gebruiker hebben ook gedetailleerde statusberichten met andere informatie:
- De gedetailleerdeStatusMessage van de keyset geeft aan of de sleutelset is verlopen en andere informatie over problemen die zijn opgetreden tijdens het bijwerken van de sleutelset in het cluster.
- De statusMessage van de gebruiker geeft aan of de gebruiker actief of ongeldig is en een lijst met computers die nog niet zijn bijgewerkt naar de meest recente actieve/ongeldige status van de gebruiker. In elk geval worden oorzaken van problemen opgenomen, indien bekend.
Wanneer de opdracht wordt uitgevoerd, wordt deze uitgevoerd op elke bare-metalcomputer in het cluster met een actief Kubernetes-knooppunt. Er is een afstemmingsproces dat periodiek wordt uitgevoerd om de opdracht opnieuw uit te voeren op een bare-metalcomputer die niet beschikbaar was op het moment van de oorspronkelijke opdracht. Elke bare-metalcomputer die via een az networkcloud baremetalmachine reimage of az networkcloud baremetalmachine replace opdracht naar het cluster terugkeert (zie BareMetal-functies) verzendt ook een signaal waardoor actieve sleutelsets naar de machine worden verzonden zodra deze terugkeert naar het cluster. Meerdere opdrachten worden uitgevoerd in de ontvangen volgorde.
Er is geen limiet voor het aantal gebruikers in een groep.
Let op
Notities voor IP-adressen van jumphosts
- Met het sleutelsetproces voor maken/bijwerken worden de IP-adressen van de jumphost toegevoegd aan de IP-tabellen voor elke computer in het cluster. De update van IP-tabellen beperkt SSH-toegang tot alleen die jumphosts.
- Het is belangrijk om de IP-adressen voor het cluster op te geven voor de jumphosts. Deze IP-adressen kunnen afwijken van het openbare IP-adres dat wordt gebruikt voor toegang tot de jumphost.
- Hoewel ten minste één sleutelset is gedefinieerd, is ssh-toegang toegestaan vanaf elke jumphost in elke sleutelset. Als keyset A bijvoorbeeld jumphost A opgeeft en keyset B verwijst naar jumphost B, kunnen gebruikers in een sleutelset jumphost A of B gebruiken.
- Hoewel er geen sleutelsets zijn gedefinieerd, is ssh-toegang toegestaan vanaf elke jumphost met netwerkconnectiviteit met de computers.
Vereisten
- Installeer de nieuwste versie van de juiste CLI-extensies.
- Het on-premises cluster moet verbinding hebben met Azure.
- Haal de naam van de resourcegroep voor de
Clusterresource op. - Het proces past sleutelsets toe op alle actieve bare-metalmachines.
- De toegevoegde gebruikers moeten deel uitmaken van een Microsoft Entra-groep. Zie Groepen beheren voor meer informatie.
- Als u de toegang voor het beheren van sleutelsets wilt beperken, maakt u een aangepaste rol. Zie Aangepaste Azure-rollen voor meer informatie. In dit geval kunt u machtigingen toevoegen of uitsluiten voor
Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets. De opties zijn/read,/writeen/delete.
Notitie
Wanneer bare-metalcomputertoegang wordt gemaakt, gewijzigd of verwijderd via de opdrachten die in dit artikel worden beschreven, levert een achtergrondproces deze wijzigingen aan de machines. Dit proces wordt onderbroken tijdens software-upgrades van Operator Nexus. Als een upgrade wordt uitgevoerd, kunt u de --no-wait optie met de opdracht gebruiken om te voorkomen dat de opdrachtprompt wacht tot het proces is voltooid.
Een keyset voor een bare-metalmachine maken
Met de baremetalmachinekeyset create opdracht maakt u SSH-toegang tot de bare-metalcomputer in een cluster voor een groep gebruikers.
De syntaxis van de opdracht is:
az networkcloud cluster baremetalmachinekeyset create \
--name "<bare metal machine Keyset Name>" \
--extended-location name="<Extended Location ARM ID>" \
type="CustomLocation" \
--location "<Azure Region>" \
--azure-group-id "<Azure Group ID>" \
--expiration "<Expiration Timestamp>" \
--jump-hosts-allowed "<List of jump server IP addresses>" \
--os-group-name "<Name of the Operating System Group>" \
--privilege-level "<"Standard" or "Superuser">" \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1="<Key Value>" key2="<Key Value>" \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumenten maken
--azure-group-id [Required] : The object ID of Azure Active Directory
group that all users in the list must
be in for access to be granted. Users
that are not in the group do not have
access.
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key
set.
--cluster-name [Required] : The name of the cluster.
--expiration [Required] : The date and time after which the users
in this key set are removed from
the bare metal machines. The maximum
expiration date is a year from creation
date. Format is: "YYYY-MM-DDTHH:MM:SS.000Z".
--extended-location [Required] : The extended location of the cluster
associated with the resource.
Usage: --extended-location name=XX type=XX
name: Required. The resource ID of the extended location on which the resource is created.
type: Required. The extended location type: "CustomLocation".
--jump-hosts-allowed [Required] : The list of IP addresses of jump hosts
with management network access from
which a login is be allowed for the
users. Supports IPv4 or IPv6 addresses.
--privilege-level [Required] : The access level allowed for the users
in this key set. Allowed values:
"Standard" or "Superuser".
--resource-group -g [Required] : Name of cluster resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--user-list [Required] : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public ssh key of the user.
userPrincipalName: Optional. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--os-group-name : The name of the group that users are assigned
to on the operating system of the machines.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--location -l : Azure Region. Values from: `az account
list-locations`. You can configure the
default location using `az configure
--defaults location=<location>`.
--no-wait : Do not wait for the long-running
operation to finish.
Algemene Azure CLI-argumenten (van toepassing op alle opdrachten)
--debug : Increase logging verbosity to show all
debug logs.
--help -h : Show this help message and exit.
--only-show-errors : Only show errors, suppressing warnings.
--output -o : Output format. Allowed values: json,
jsonc, none, table, tsv, yaml, yamlc.
Default: json.
--query : JMESPath query string. See
http://jmespath.org/ for more
information and examples.
--subscription [Required] : Name or ID of subscription. Optional if
configuring the default subscription
using `az account set -s NAME_OR_ID`.
--verbose : Increase logging verbosity. Use --debug
for full debug logs.
In dit voorbeeld wordt een nieuwe sleutelset gemaakt met twee gebruikers die standaardtoegang hebben vanaf twee jumphosts.
az networkcloud cluster baremetalmachinekeyset create \
--name "bareMetalMachineKeySetName" \
--extended-location name="/subscriptions/subscriptionId/resourceGroups/cluster_RG/providers/Microsoft.ExtendedLocation/customLocations/clusterExtendedLocationName" \
type="CustomLocation" \
--location "eastus" \
--azure-group-id "f110271b-XXXX-4163-9b99-214d91660f0e" \
--expiration "2022-12-31T23:59:59.008Z" \
--jump-hosts-allowed "192.0.2.1" "192.0.2.5" \
--os-group-name "standardAccessGroup" \
--privilege-level "Standard" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team","azureUserName":"userABC", "sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"},"userPrincipalName":"example@contoso.com"},\
{"description":"Needs access for troubleshooting as a part of the support team","azureUserName":"userXYZ","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, "userPrincipalName":"example@contoso.com"}]' \
--tags key1="myvalue1" key2="myvalue2" \
--cluster-name "clusterName"
--resource-group "cluster_RG"
Zie Azure CLI Shorthand voor hulp bij het maken van de --user-list structuur.
Een bare-metalmachinesleutelset verwijderen
Met baremetalmachinekeyset delete de opdracht wordt SSH-toegang tot de bare-metalcomputer verwijderd voor een groep gebruikers. Alle leden van de groep hebben geen SSH-toegang meer tot een van de bare-metalcomputers in het cluster.
De syntaxis van de opdracht is:
az networkcloud cluster baremetalmachinekeyset delete \
--name "<bare metal machine Keyset Name>" \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumenten verwijderen
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key set to be
deleted.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. Optional if configuring the
default group using `az configure --defaults
group=<name>`.
--no-wait : Do not wait for the long-running operation to
finish.
--yes -y : Do not prompt for confirmation.
In dit voorbeeld wordt de sleutelsetgroep 'bareMetalMachineKeysetName' in het clusternaam verwijderd.
az networkcloud cluster baremetalmachinekeyset delete \
--name "bareMetalMachineKeySetName" \
--cluster-name "clusterName" \
--resource-group "cluster_RG"
Een Bare Metal Machine Keyset bijwerken
Met de baremetalmachinekeyset update opdracht kunnen gebruikers wijzigingen aanbrengen in een bestaande keysetgroep.
De syntaxis van de opdracht is:
az networkcloud cluster baremetalmachinekeyset update \
--name "<bare metal machine Keyset Name>" \
--jump-hosts-allowed "<List of jump server IP addresses>" \
--privilege-level "<"Standard" or "Superuser">" \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1="<Key Value>" key2="<Key Value> "\
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumenten bijwerken
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key set.
--cluster-name [Required] : The name of the cluster.
--expiration : The date and time after which the users
in this key set are removed from
the bare metal machines. The maximum
expiration date is a year from creation
date. Format is: "YYYY-MM-DDTHH:MM:SS.000Z".
--jump-hosts-allowed : The list of IP addresses of jump hosts
with management network access from
which a login is allowed for the
users. Supports IPv4 or IPv6 addresses.
--privilege-level : The access level allowed for the users
in this key set. Allowed values:
"Standard" or "Superuser".
--user-list : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public SSH key of the user.
userPrincipalName: Optional. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--resource-group -g [Required] : Name of cluster resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--no-wait : Do not wait for the long-running
operation to finish.
In dit voorbeeld worden twee nieuwe gebruikers toegevoegd aan de groep baremetalMachineKeySetName en wordt de verlooptijd voor de groep gewijzigd.
az networkcloud cluster baremetalmachinekeyset update \
--name "bareMetalMachineKeySetName" \
--expiration "2023-12-31T23:59:59.008Z" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userABC", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"},\
{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userXYZ", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"}]' \
--cluster-name "clusterName" \
--resource-group "cluster_RG"
Bare Metal Machine Keysets weergeven
Met de baremetalmachinekeyset list opdracht kunnen gebruikers de bestaande sleutelsetgroepen in een cluster zien.
De syntaxis van de opdracht is:
az networkcloud cluster baremetalmachinekeyset list \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Lijstargumenten
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
Details van keyset van bare metalcomputer weergeven
Met de baremetalmachinekeyset show opdracht kunnen gebruikers de details van een bestaande keysetgroep in een cluster bekijken.
De syntaxis van de opdracht is:
az networkcloud cluster baremetalmachinekeyset show \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumenten weergeven
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key
set.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. You can
configure the default group using `az
configure --defaults group=<name>`.