Console serial do Azure para Linux
Aplica-se a: ✔️ VMs do Linux
Observação
O CentOS mencionado neste artigo é uma distribuição Linux e chegará ao fim da vida útil (EOL). Considere seu uso e planeje adequadamente. Para obter mais informações, consulte Diretrizes de fim da vida útil do CentOS.
O console serial no portal do Azure fornece acesso a um console baseado em texto para máquinas virtuais Linux (VMs) e instâncias de conjunto de dimensionamento de máquinas virtuais. Essa conexão serial se conecta à porta serial ttys0 da VM ou da instância do conjunto de escala de máquina virtual, fornecendo acesso a ela independentemente da rede ou do estado do sistema operacional. O console serial só pode ser acessado usando o portal do Azure e é permitido apenas para os usuários que têm uma função de acesso de Colaborador ou superior para a VM ou conjunto de dimensionamento de máquinas virtuais.
O console serial funciona da mesma maneira para VMs e instâncias de conjunto de dimensionamento de máquinas virtuais. Neste documento, todas as menções a VMs incluirão implicitamente instâncias do conjunto de dimensionamento de máquinas virtuais, salvo indicação em contrário.
O Console Serial está geralmente disponível em regiões globais do Azure e em visualização pública no Azure Governamental. Ainda não está disponível na nuvem Azure China.
Para obter a documentação do Console serial para Windows, consulte Console serial para Windows.
Observação
O console serial é compatível com uma conta de armazenamento de diagnóstico de inicialização gerenciada.
Pré-requisitos
Sua instância de conjunto de dimensionamento de VM ou máquina virtual deve usar o modelo de implantação de gerenciamento de recursos. As implantações clássicas não são compatíveis.
Sua conta que usa o console serial deve ter a função de colaborador de máquina virtual para a VM e a conta de armazenamento diagnóstico de inicialização
Sua instância de conjunto de dimensionamento de VM ou máquina virtual deve ter um usuário baseado em senha. Você pode criar uma com a função redefinir senha da extensão de acesso VM. Selecione Redefinir senha na seção Ajuda.
A instância do conjunto de dimensionamento de VM ou máquina virtual deve ter o diagnóstico de inicialização ativado.
Para configurações específicas para distribuições Linux, consulte Disponibilidade de distribuição Linux de console serial.
A instância do conjunto de dimensionamento de VM ou máquina virtual deve ser configurada para saída serial em
ttys0. Esse é o padrão para imagens do Azure, mas você deve verificar isso nas imagens personalizadas. Detalhes abaixo.
Observação
O console serial requer um usuário local com uma senha configurada. VMs ou conjuntos de dimensionamento de máquinas virtuais configurados apenas com uma chave pública SSH não poderão entrar no console serial. Para criar um usuário local com uma senha, use a VMAccess Extension, que está disponível no portal selecionando Redefinir senha no portal do Azure e crie um usuário local com uma senha. Você também pode redefinir a senha do administrador em sua conta usando o GRUB para inicializar no modo de usuário único.
Disponibilidade de distribuição do Serial Console Linux
Para que o console serial funcione corretamente, o sistema operacional convidado deve ser configurado para ler e gravar mensagens do console na porta serial. A maioria das distribuições Azure Linux endossadas tem o console serial configurado por padrão. Selecionar Console serial na seção Ajuda do portal do Azure fornece acesso ao console serial.
Observação
Se você não estiver vendo nada no console serial, certifique-se de que o diagnóstico de inicialização esteja ativado em sua VM. Pressionar Enter geralmente corrige problemas em que nada está aparecendo no console serial.
| Distribuição | Acesso ao console serial |
|---|---|
| Red Hat Enterprise Linux | Acesso ao console serial ativado por padrão. |
| CentOS | Acesso ao console serial ativado por padrão. |
| Debian | Acesso ao console serial ativado por padrão. |
| Ubuntu | Acesso ao console serial ativado por padrão. |
| CoreOS | Acesso ao console serial ativado por padrão. |
| SUSE | Imagens SLES mais recentes disponíveis no Azure têm acesso ao console serial habilitado por padrão. |
| Oracle Linux | Acesso ao console serial ativado por padrão. |
Imagens personalizadas do Linux
Para ativar o console serial para sua imagem de VM Linux personalizada, ative o acesso ao console no arquivo /etc/inittab para executar um terminal em ttyS0. Por exemplo: S0:12345:respawn:/sbin/agetty -L 115200 console vt102. Você também pode precisar gerar um getty em ttyS0. Isso pode ser feito com systemctl start serial-getty@ttyS0.service.
Você também deseja adicionar ttys0 como o destino da saída serial. Para obter mais informações sobre como configurar uma imagem personalizada para funcionar com o console serial, consulte os requisitos gerais do sistema em Criar e carregar um Linux VHD no Azure.
Se você estiver construindo um kernel personalizado, considere habilitar estes sinalizadores de kernel: CONFIG_SERIAL_8250=y e CONFIG_MAGIC_SYSRQ_SERIAL=y. O arquivo de configuração geralmente está localizado no caminho /boot/.
Cenários comuns para acessar o console serial
| Cenário | Ações no console serial |
|---|---|
| Arquivo FSTAB quebrado | Pressione a tecla Enter para continuar e use um editor de texto para corrigir o arquivo FSTAB. Pode ser necessário estar no modo de usuário único para fazer isso. Para obter mais informações, consulte a seção do console serial em Como corrigir problemas do fstab e Usar o console serial para acessar o GRUB e o modo de usuário único. |
| Regras de firewall incorretas | Se você configurou o iptables para bloquear a conectividade SSH, pode usar o console serial para interagir com sua VM sem precisar de SSH. Mais detalhes podem ser encontrados na página de manual do iptables. Da mesma forma, se o firewalld estiver bloqueando o acesso SSH, você poderá acessar a VM por meio do console serial e reconfigurar o firewalld. Mais detalhes podem ser encontrados na documentação do firewall. |
| Corrupção/verificação do sistema de arquivos | Consulte a seção do console serial de A VM Linux do Azure não pode ser iniciada devido a erros do sistema de arquivos para obter mais detalhes sobre como solucionar problemas de sistemas de arquivos corrompidos usando o console serial. |
| Problemas de configuração SSH | Acesse o console serial e altere as configurações. O console serial pode ser usado independentemente da configuração SSH de uma VM, pois não exige que a VM tenha conectividade de rede para funcionar. Um guia de solução de problemas está disponível em Solucionar problemas de conexões SSH para uma VM Azure Linux que falha, apresenta erros ou é recusada. Mais detalhes estão disponíveis em Etapas detalhadas de solução de problemas SSH para problemas de conexão com uma VM Linux no Azure |
| Interagindo com o bootloader | Reinicie sua VM de dentro da lâmina do console serial para acessar o GRUB em sua VM Linux. Para obter mais detalhes e informações específicas da distribuição, consulte Usar o console serial para acessar o GRUB e o modo de usuário único. |
Desabilitar o console serial
Por padrão, todas as assinaturas têm acesso ao console serial ativado. Você pode desabilitar o console serial no nível de assinatura ou no nível de conjunto de dimensionamento de VM/máquina virtual. Para obter instruções detalhadas, visite Habilitar e desabilitar o console serial do Azure.
Segurança do console serial
Use o console serial com o firewall de conta de armazenamento de diagnóstico de inicialização personalizado ativado
O console serial usa a conta de armazenamento configurada para diagnóstico de inicialização em seu fluxo de trabalho de conexão. Quando um firewall é habilitado nesta conta de armazenamento, os IPs de serviço do console serial devem ser adicionados como exclusões. Para fazer isso, siga estas etapas:
Navegue até as configurações do firewall da conta de armazenamento de diagnóstico de inicialização personalizado que você habilitou.
Observação
Para determinar qual conta de armazenamento está habilitada para sua VM, na seção Suporte + solução de problemas, selecione Diagnóstico de inicialização>Configurações.
Adicione IPs de serviço do console serial como exclusões de firewall com base na geografia da VM.
A tabela a seguir lista os IPs que precisam ser permitidos como exclusões de firewall com base na região ou geografia onde a VM está localizada. Este é um subconjunto da lista completa de endereços IP do Console Serial usados na marca de serviço SerialConsole . Você pode limitar o acesso a contas de armazenamento de diagnóstico de inicialização por meio da marca de serviço SerialConsole . A etiqueta de serviço não é separada regionalmente. O tráfego na etiqueta de serviço é somente de entrada e o Console Serial não gera tráfego para Destinos Controláveis pelo Cliente. Embora os firewalls da conta de armazenamento do Azure atualmente não deem suporte a marcas de serviço, a marca de serviço SerialConsole pode ser consumida programaticamente para determinar a lista de IP. Para obter mais informações sobre etiquetas de serviço, veja Etiquetas de serviço de rede virtual.
Observação
Não há suporte para firewalls de conta de armazenamento para o Console Serial para VMs em regiões geográficas com apenas uma região, como Norte da Itália na Itália.
painel Geografia do app's selecionado Regiões Endereços IP Ásia Leste da Ásia, Sudeste da Ásia 4.145.74.168, 20.195.85.180, 20.195.85.181, 20.205.68.106, 20.205.68.107, 20.205.69.28, 23.97.88.117, 23.98.106.151 Austrália Austrália Central, Austrália Central 2, Leste da Austrália, Sudeste da Austrália 4.198.45.55, 4.200.251.224, 20.167.131.228, 20.53.52.250, 20.53.53.224, 20.53.55.174, 20.70.222.112, 20.70.222.113, 68.218.123.133 Brasil Sul do Brasil, Sudeste do Brasil 20.206.0.192, 20.206.0.193, 20.206.0.194, 20.226.211.157, 108.140.5.172, 191.234.136.63, 191.238.77.232, 191.238.77.233 Canadá Canadá Central, Leste do Canadá 20.175.7.183, 20.48.201.78, 20.48.201.79, 20.220.7.246, 52.139.106.74, 52.139.106.75, 52.228.86.177, 52.242.40.90 Canário (EUAP) Canário 20.45.242.18, 20.51.21.252 China Norte da China 3, Leste da China 3 163.228.102.122, 163.228.102.123, 52.131.192.182, 52.131.192.183, 159.27.255.76, 159.27.253.236, 163.228.102.122, 163.228.102.123, 52.131.192.182, 52.131.192.183 Europa Norte da Europa, Europa Ocidental 4.210.131.60, 20.105.209.72, 20.105.209.73, 40.113.178.49, 52.146.137.65, 52.146.139.220, 52.146.139.221, 98.71.107.78 França França Central, Sul da França 20.111.0.244, 40.80.103.247, 51.138.215.126, 51.138.215.127, 52.136.191.8, 52.136.191.9, 52.136.191.10, 98.66.128.35 Alemanha Norte da Alemanha, Centro-Oeste da Alemanha 20.52.94.114, 20.52.94.115, 20.52.95.48, 20.113.251.155, 51.116.75.88, 51.116.75.89, 51.116.75.90, 98.67.183.186 Índia Índia Central, Sul da Índia, Oeste da Índia 4.187.107.68, 20.192.47.134, 20.192.47.135, 20.192.152.150, 20.192.152.151, 20.192.153.104, 20.207.175.96, 52.172.82.199, 98.70.20.180 Japão Leste do Japão, Oeste do Japão 20.18.7.188, 20.43.70.205, 20.89.12.192, 20.89.12.193, 20.189.194.100, 20.189.228.222, 20.189.228.223, 20.210.144.254 Coreia do Sul Coreia Central, Coreia do Sul 20.200.166.136, 20.200.194.238, 20.200.194.239, 20.200.196.96, 20.214.133.81, 52.147.119.28, 52.147.119.29, 52.147.119.30 Noruega Leste da Noruega, Oeste da Noruega 20.100.1.154, 20.100.1.155, 20.100.1.184, 20.100.21.182, 51.13.138.76, 51.13.138.77, 51.13.138.78, 51.120.183.54 África do Sul Norte da África do Sul, Oeste da África do Sul 20.87.80.28, 20.87.86.207, 40.117.27.221, 102.37.86.192, 102.37.86.193, 102.37.86.194, 102.37.166.222, 102.37.166.223 Suécia Suécia Central, Suécia Sul 20.91.100.236, 51.12.22.174, 51.12.22.175, 51.12.22.204, 51.12.72.222, 51.12.72.223, 51.12.73.92, 172.160.216.6 Suíça Norte da Suíça, Oeste da Suíça 20.199.207.188, 20.208.4.98, 20.208.4.99, 20.208.4.120, 20.208.149.229, 51.107.251.190, 51.107.251.191, 51.107.255.176 EAU EAU Central, Norte dos EAU 20.38.141.5, 20.45.95.64, 20.45.95.65, 20.45.95.66, 20.203.93.198, 20.233.132.205, 40.120.87.50, 40.120.87.51 Reino Unido Sul do Reino Unido, Oeste do Reino Unido 20.58.68.62, 20.58.68.63, 20.90.32.180, 20.90.132.144, 20.90.132.145, 51.104.30.169, 172.187.0.26, 172.187.65.53 Estados Unidos Centro-EUA, Leste dos EUA, Leste dos EUA 2, Leste dos EUA 2 EUAP, Norte dos EUA, Sul dos EUA, Oeste dos EUA, Oeste dos EUA 2, Oeste dos EUA 3 4.149.249.197, 4.150.239.210, 20.14.127.175, 20.40.200.175, 20.45.242.18, 20.45.242.19, 20.45.242.20, 20.47.232.186, 20.51.21.252, 20.69.5.160, 20.69.5.161, 20.69.5.162, 20.83.222.100, 20.83.222.101, 20.83.222.102, 20.98.146.84, 20.98.146.85, 20.98.194.64, 20.98.194.65, 20.98.194.66, 20.168.188.34, 20.241.116.153, 52.159.214.194, 57.152.124.244, 68.220.123.194, 74.249.127.175, 74.249.142.218, 157.55.93.0, 168.61.232.59, 172.183.234.204, 172.191.219.35 USGov Todas as regiões da Nuvem do Governo dos EUA 20.140.104.48, 20.140.105.3, 20.140.144.58, 20.140.144.59, 20.140.147.168, 20.140.53.121, 20.141.10.130, 20.141.10.131, 20.141.13.121, 20.141.15.104, 52.127.55.131, 52.235.252.252, 52.235.252.253, 52.243.247.124, 52.245.155.139, 52.245.156.185, 62.10.196.24, 62.10.196.25, 62.10.84.240, 62.11.6.64, 62.11.6.65 Importante
- Os IPs que precisam ser permitidos são específicos da região onde a VM está localizada. Por exemplo, uma máquina virtual implantada na região Norte da Europa precisa adicionar as seguintes exclusões de IP ao firewall da conta de armazenamento para a geografia da Europa: 52.146.139.220 e 20.105.209.72. Veja a tabela acima para encontrar os IPs corretos para sua região e geografia.
- Na operação atual do console serial, o soquete da web é aberto para um ponto de extremidade como
<region>.gateway.serialconsole.azure.com. Certifique-se de que o ponto de extremidadeserialconsole.azure.comseja permitido para clientes de navegador em sua organização. Na nuvem do governo dos EUA (Fairfax), o sufixo do ponto de extremidade éserialconsole.azure.us.
Para obter mais informações sobre como adicionar IPs ao firewall da conta de armazenamento, consulte Configurar firewalls de armazenamento do Azure e redes virtuais: Gerenciando regras de rede IP.
Depois que os endereços IP forem adicionados com êxito ao firewall da conta de armazenamento, tente novamente a conexão do console serial com a VM. Se você ainda tiver problemas de conexão, verifique se os endereços IP corretos foram excluídos do firewall da conta de armazenamento para a região da VM.
Segurança de acesso
O acesso ao console serial é limitado a usuários que tenham uma função de acesso de Virtual Machine Contributor ou superior para a máquina virtual. Se seu locatário do Microsoft Entra exigir MFA (autenticação multifator), o acesso ao console serial também precisará de MFA porque o acesso do console serial é por meio do portal do Azure.
Segurança do canal
Todos os dados enviados e recebidos são criptografados em trânsito com TLS 1.2 ou uma versão posterior.
Armazenamento e criptografia de dados
O console serial do Azure não revisa, inspeciona ou armazena dados transmitidos para dentro e para fora da porta serial da máquina virtual. Portanto, não há dados para criptografar em repouso.
Para garantir que todos os dados na memória que são paginados para discos por máquinas virtuais que executam o Console Serial do Azure sejam criptografados, use a criptografia baseada em host. A criptografia baseada em host é habilitada por padrão para todas as conexões do console serial do Azure.
Residência de dados
O portal do Azure ou Azure CLI atua como terminais remotos para a porta serial da máquina virtual. Como esses terminais não podem se conectar diretamente aos servidores que hospedam a máquina virtual na rede, um gateway de serviço intermediário é usado para fazer proxy do tráfego do terminal. O Console Serial do Azure não armazena nem processa esses dados do cliente. O gateway de serviço intermediário que transfere os dados residirá na geografia da máquina virtual.
Logs de auditoria
Todo o acesso ao console serial está atualmente registrado nos logs de diagnóstico de inicialização da máquina virtual. O acesso a esses logs pertence e é controlado pelo administrador da máquina virtual do Azure.
Cuidado
Nenhuma senha de acesso para o console é registrada. No entanto, se os comandos executados no console contiverem ou gerarem senhas, segredos, nomes de usuário ou qualquer outra forma de informações de identificação pessoal (PII), eles serão gravados nos logs de diagnóstico de inicialização da VM. Eles serão escritos junto com todos os outros textos visíveis como parte da implementação da função de rolagem para trás do console serial. Esses logs são circulares e somente indivíduos com permissões de leitura para a conta de armazenamento de diagnósticos têm acesso a eles. Se você estiver inserindo quaisquer dados ou comandos que contenham segredos ou PII, recomendamos o uso de SSH, a menos que o console serial seja absolutamente necessário.
Uso simultâneo
Se um usuário estiver conectado ao console serial e outro usuário solicitar com sucesso acesso a essa mesma máquina virtual, o primeiro usuário será desconectado e o segundo usuário conectado à mesma sessão.
Cuidado
Isso significa que um usuário desconectado não será desconectado. A capacidade de impor um logout após a desconexão (usando SIGHUP ou um mecanismo semelhante) ainda está no roteiro. Para Windows, há um tempo limite automático habilitado no Console Administrativo Especial (SAC); no entanto, para Linux, você pode definir a configuração de tempo limite do terminal. Para fazer isso, adicione export TMOUT=600 em seu arquivo .bash_profile ou .profile para o usuário que você usa para entrar no console. Essa configuração encerrará a sessão após 10 minutos.
Acessibilidade
A acessibilidade é um dos principais focos do Console Serial do Azure. Para isso, garantimos que o console serial esteja totalmente acessível.
Navegação pelo teclado
Use a tecla Tab em seu teclado para navegar até a interface do console serial no portal do Azure. Sua localização será destacada na tela. Para deixar o foco da janela do console serial, pressione Ctrl+F6 em seu teclado.
Use o console serial com um leitor de tela
O console serial possui suporte integrado ao leitor de tela. Navegar com um leitor de tela ativado permitirá que o texto alternativo do botão atualmente selecionado seja lido em voz alta pelo leitor de tela.
Problemas conhecidos
Estamos cientes de alguns problemas com o console serial e o sistema operacional da VM. Aqui está uma lista desses problemas e etapas para mitigação para VMs do Linux. Esses problemas e mitigações se aplicam a VMs e instâncias de conjunto de dimensionamento de máquinas virtuais. Se eles não corresponderem ao erro que você está vendo, consulte os erros comuns do serviço do console serial em Erros comuns do console serial.
| Problema | Atenuação |
|---|---|
| Pressionar Enter após o banner de conexão não faz com que um prompt de login seja exibido. | O GRUB pode não estar configurado corretamente. Execute os seguintes comandos: grub2-mkconfig -o /etc/grub2-efi.cfg e/ou grub2-mkconfig -o /etc/grub2.cfg. Esse problema pode ocorrer se você estiver executando uma VM personalizada, dispositivo reforçado ou configuração GRUB que faz com que o Linux falhe ao se conectar à porta serial. |
| O texto do console serial ocupa apenas uma parte do tamanho da tela (geralmente após o uso de um editor de texto). | Os consoles seriais não suportam a negociação sobre o tamanho da janela (RFC 1073), o que significa que não haverá sinal SIGWINCH enviado para atualizar o tamanho da tela e a VM não terá conhecimento do tamanho do seu terminal. Instale o xterm ou um utilitário semelhante para fornecer o comando resize e, em seguida, execute resize. |
| Colar strings longas não funciona. | O console serial limita o comprimento das strings coladas no terminal a 2.048 caracteres para evitar a sobrecarga da largura de banda da porta serial. |
| Entrada de teclado errática em imagens SLES BYOS. A entrada do teclado é reconhecida apenas esporadicamente. | Este é um problema com o pacote Plymouth. O Plymouth não deve ser executado no Azure, pois você não precisa de uma tela inicial, e o Plymouth interfere na capacidade da plataforma de usar o Console serial. Remova o Plymouth com sudo zypper remove plymouth e reinicie. Como alternativa, modifique a linha do kernel de sua configuração do GRUB anexando plymouth.enable=0 ao final da linha. Você pode fazer isso editando a entrada de inicialização no momento da inicialização ou editando a linha GRUB_CMDLINE_LINUX em /etc/default/grub, reconstruindo o GRUB com grub2-mkconfig -o /boot/grub2/grub.cfg e, em seguida, reinicializando. |
Perguntas frequentes
P. Como posso enviar comentários?
R. Forneça feedback criando um problema no GitHub em https://aka.ms/serialconsolefeedback. Alternativamente (menos preferido), você pode enviar feedback via azserialhelp@microsoft.com ou na categoria de máquina virtual de https://feedback.azure.com.
P. O console serial suporta copiar/colar?
A. Sim. Use Ctrl+Shift+C e Ctrl+Shift+V para copiar e colar no ponto de extremidade.
P. Posso usar o console serial em vez de uma conexão SSH?
R. Embora esse uso possa parecer tecnicamente possível, o console serial deve ser usado principalmente como uma ferramenta de solução de problemas em situações em que a conectividade via SSH não é possível. Recomendamos não usar o console serial como substituto do SSH pelos seguintes motivos:
- O console serial não tem tanta largura de banda quanto o SSH. Como é uma conexão somente de texto, as interações mais pesadas da GUI são difíceis.
- Atualmente, o acesso ao console serial só é possível usando um nome de usuário e senha. Como as chaves SSH são muito mais seguras do que as combinações de nome de usuário/senha, do ponto de vista da segurança de login, recomendamos o SSH em vez do console serial.
P. Quem pode habilitar ou desabilitar o console serial para minha assinatura?
R. Para habilitar ou desabilitar o console serial em um nível de assinatura, você deve ter permissões de gravação para a assinatura. As funções que têm permissão de gravação incluem funções de administrador ou proprietário. As funções personalizadas também podem ter permissões de gravação.
P. Quem pode acessar o console serial para meu conjunto de dimensionamento de VM/máquina virtual?
R. Você deve ter a função de Colaborador de Máquina Virtual ou superior para uma VM ou escala de máquina virtual definida para acessar o console serial.
P. Meu console serial não está exibindo nada, o que eu faço?
R. Sua imagem provavelmente está mal configurada para acesso ao console serial. Para obter informações sobre como configurar sua imagem para ativar o console serial, consulte Disponibilidade de distribuição Linux do console serial.
P. O console serial está disponível para conjuntos de dimensionamento de máquinas virtuais?
R. É sim! Consulte Introdução ao console serial.
P. Se eu configurar minha VM ou conjunto de dimensionamento de máquina virtual usando apenas a autenticação de chave SSH, ainda posso usar o console serial para conectar-me à minha instância de conjunto de dimensionamento de VM/máquina virtual?
R. Sim. Como o console serial não requer chaves SSH, você só precisa configurar uma combinação de nome de usuário/senha. Você pode fazer isso selecionando Redefinir senha no portal do Azure e usando essas credenciais para entrar no console serial.
Próximas etapas
- Use o console serial para acessar o GRUB e o modo de usuário único.
- Use o console serial para chamadas NMI e SysRq.
- Aprenda a usar o console serial para ativar o GRUB em várias distros
- O console serial também está disponível para VMs do Windows.
- Saiba mais sobre diagnóstico de inicialização.
Entre em contato conosco para obter ajuda
Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.