Dela via

Åtkomst till VM vid akutfall (EVA)

  • Artikel

Med tjänsten för åtkomst till virtuell nödsituationsdator (EVA) kan en användare begära hjälp från operatören i scenarier där användaren är utelåst från den virtuella datorn, och omdistributionsåtgärden hjälper inte till att återställa åtkomsten via nätverket.

Kommentar

EVA släpptes med allmän tillgänglighet från och med Azure Stack Hub 2301.

Den här funktionen måste vara aktiverad per prenumeration och operatören måste aktivera fjärrskrivbordsåtkomst för att cloudadmin-användaren ska få åtkomst till de virtuella datorerna för nödåterställningskonsolen (ERCS).

Det första steget för användaren är att begära åtkomst till den virtuella datorns konsol via PowerShell. Begäran ger medgivande och ger operatören ytterligare information för att ansluta till den virtuella datorn via dess konsol. Konsolåtkomst är inte beroende av nätverksanslutning och använder en datakanal i hypervisorn.

Operatorn kan bara autentisera till operativsystemet som körs på den virtuella datorn om autentiseringsuppgifterna är kända. Då kan operatorn också dela skärmar med användaren och lösa problemet tillsammans för att återställa nätverksanslutningen.

Viktigt!

För virtuella datorer som kör Windows Server är EVA-funktionen begränsad till datorer som körs med ett grafiskt användargränssnitt (GUI). För Windows Server stöder inte kärnoperativsystemet tangentbordsfunktioner på skärmen. Eftersom du inte kan skicka tangentkombinationen Ctrl+Alt+Del som indata kan du inte logga in på en kärnserver, även om du kan ansluta till dess konsol. Om du behöver åtgärda ett problem med Windows Core OS kan du kontakta Microsofts support för att ge konsolåtkomst från en olåst PEP.

Operatorn aktiverar en användarprenumeration för EVA

I det här scenariot kan operatören bestämma vilken prenumeration som ska kunna använda funktionen för åtkomst till den virtuella datorn för nödsituationer.

Kör först följande PowerShell-skript. Om du vill köra det här skriptet måste du ha Azure Stack Hub PowerShell installerat. Följ riktlinjerna för hur du installerar Azure Stack Hub PowerShell. Ersätt platshållarna för variabeln med rätt värden:

# Replace strings with your values before running the script
$FQDN = "External FQDN"
$RegionName = "Azure Stack Region Name"
# The value for "TenantID" should always be the tenant ID of home directory as it's only used for connecting to the admin resource manager endpoint.
$TenantID = "TenantID"
$TenantSubscriptionId = "Tenant Subscription ID"

$tenantSubscriptionSettings = @{
    TenantSubscriptionId = [string]$tenantSubscriptionId
}

# Add environment & authenticate
Add-AzureRmEnvironment -Name AzureStackAdmin -ARMEndpoint https://adminmanagement.$RegionName.$FQDN
Login-AzureRmAccount -Environment AzureStackAdmin -TenantId $TenantID

Invoke-AzureRmResourceAction `
    -ResourceName "$($RegionName)/Microsoft.Compute.EmergencyVMAccess" `
    -ResourceType "Microsoft.Compute.Admin/locations/features" `
    -Action "enableTenantSubscriptionFeature" `
    -Parameters $tenantSubscriptionSettings `
    -ApiVersion "2020-11-01" `
    -ErrorAction Stop `
    -Force

Användare för att begära åtkomst till VM-konsolen

Som användare ger du medgivande till operatören att skapa konsolåtkomst för en specifik virtuell dator.

  1. Som användare öppnar du PowerShell, loggar in på din prenumeration och ansluter till Azure Stack Hub enligt beskrivningen här.

  2. Kör följande skript. Du måste ersätta prenumerations-ID, resursgrupp och VM-namn för att kunna skapa VMResourceID:

    $SubscriptionID = "your Azure subscription ID" 
$ResourceGroup = "your resource group name" 
$VMName = "your VM name" 
$vmResourceId = "/subscriptions/$SubscriptionID/resourceGroups/$ResourceGroup/providers/Microsoft.Compute/virtualMachines/$VMName" 

$enableVMAccessResponse = Invoke-AzureRMResourceAction `
    -ResourceId $vmResourceId `
    -Action "enableVmAccess" `
    -ApiVersion "2020-06-01" `
    -ErrorAction Stop `
    -Force

Write-Host "Please provide the following output to operator`n" -ForegroundColor Yellow
Write-Host "ERCS Name:`t$(($enableVMAccessResponse).ERCSName)" -ForegroundColor Cyan
Write-Host "ConnectTo-TenantVm -ResourceID $($vmResourceId)" -ForegroundColor Green
Write-Host "Delete-TenantVMSession -ResourceID $($vmResourceId)" -ForegroundColor Green
  1. Skriptet returnerar namnet på nödåterställningskonsolen (ERCS), som klientorganisationen tillhandahåller operatorn, tillsammans med VMResourceID.

Operatorn aktiverar fjärrskrivbordsåtkomst till virtuella ERCS-datorer

Nästa steg för Azure Stack Hub-operatorn är att aktivera fjärrskrivbordsåtkomst till de virtuella datorerna för nödåterställningskonsolen (ERCS), som är värd för de privilegierade slutpunkterna.

Kör följande kommandon i den privilegierade slutpunkten (PEP) från den operatörsarbetsstation som du använder för att ansluta till ERCS. Kommandot lägger till arbetsstationens IP-adress i nätverkssäkerhetslistan. Följ riktlinjerna för hur du ansluter till PEP. Operatorn kan vara medlem i cloudadmin-användargruppen eller cloudadmin själv:

Grant-RdpAccessToErcsVM

Om du vill inaktivera fjärrskrivbordsåtkomsten till de virtuella datorerna för nödåterställningskonsolen (ERCS) kör du följande kommando i den privilegierade slutpunkten (PEP):

Revoke-RdpAccessToErcsVM

Kommentar

En av de virtuella ERCS-datorerna tilldelas klientanvändarens åtkomstbegäran. Som operatör kan du bara skapa en PEP-session till den virtuella ERCS-dator som tagits emot från klientorganisationen (utdata $enableVMAccessResponsefrån ).

  1. Operatören använder ERCS-namnet och ansluter till det med fjärrskrivbordsklienten (RDP); till exempel från operatorns åtkomstarbetsstation (OAW).

    Kommentar

    Operatören autentiserar med samma molnadministratörskonto som körde Grant-RdpAccessToErcsVM.

  2. När du har anslutit till den virtuella ERCS-datorn via RDP startar du PowerShell.

  3. Anslut till konsolen för den virtuella klientdatorn med följande kommando:

    ConnectTo-TenantVm -ResourceID

  4. Operatorn ansluter nu till konsolskärmen på den virtuella klientdator som de behöver autentisera med cloudadmin-autentiseringsuppgifterna igen. Operatorn har inga autentiseringsuppgifter för att logga in på gästoperativsystemet.

    Kommentar

    På inloggningsskärmen startar du skärmtangentbordet genom att trycka på Windows + U-tangenterna, vilket gör att CTRL + ALT + Ta bort kan skickas. Du måste vara i rdp-läge i helskärmsläge för att kunna använda tangentkombinationen Windows + U.

  5. Operatorn kan nu skärmresursen med klientorganisationen för att felsöka eventuella problem som förhindrar anslutning till den virtuella datorn via nätverket.

  6. När du är klar kan operatorn köra följande kommando för att ta bort användarens medgivande:

    Delete-TenantVMSession -ResourceID

    Kommentar

    Användarens medgivande upphör att gälla automatiskt efter 8 timmar och återkallar all åtkomst från operatören.