Az operációs rendszer nélküli gép vészhozzáférésének kezelése a az networkcloud cluster bmckeyset
Figyelemfelhívás
Vegye figyelembe, hogy ezt a folyamatot vészhelyzetekben használják, amikor az Azure-on keresztüli összes többi hibaelhárítási lehetőség kimerült. Az ilyen operációs rendszer nélküli gépekhez való SSH-hozzáférés a megadott ugró gazdagéplistából ezen a módszerrel felügyelt felhasználókra korlátozódik.
Vannak olyan ritka helyzetek, amikor a felhasználónak ki kell vizsgálnia a operációs rendszer nélküli gépekkel kapcsolatos problémákat, és az Azure minden egyéb módja kimerült. A Nexus operátor biztosítja a parancsot, így a az networkcloud cluster bmckeyset felhasználók kezelhetik az alaplapi felügyeleti vezérlőhöz (BMC) való SSH-hozzáférést ezeken a operációs rendszer nélküli gépeken. A kulcskészletek létrehozásakor a rendszer ellenőrzi a felhasználókat a Microsoft Entra-azonosítóval a megfelelő engedélyezéshez, ha kereszthivatkozást ad a felhasználónak a megadott Azure-csoportazonosítóra --azure-group-id <Entra Group ID>.
A kulcskészletben lévő felhasználókat négy óránként ellenőrzi a rendszer, és azt is, hogy a rendszer mikor módosítja a kulcskészleteket. Ezután minden felhasználó állapota "Aktív" vagy "Érvénytelen" értékre van állítva. Érvénytelen felhasználók maradnak a kulcskészletben, de a kulcsuk el lesz távolítva az összes gazdagépről, és nem férnek hozzá. A felhasználó érvénytelenségének okai a következők:
- A felhasználó egyszerű felhasználóneve nincs megadva
- A felhasználó egyszerű neve nem tagja az adott Entra-csoportnak
- Az adott Entra-csoport nem létezik (ebben az esetben a kulcskészlet összes felhasználója érvénytelen)
- A kulcskészlet lejárt (ebben az esetben a kulcskészlet összes felhasználója érvénytelen)
Feljegyzés
A kulcskészletekhez most már szükség van a felhasználónévre, mivel a Microsoft Entra-azonosító érvényesítése minden felhasználóra érvényes. Az aktuális kulcskészletek, amelyek nem adják meg az összes felhasználó egyszerű nevét, a lejárati dátumig továbbra is működni fognak. Ha egy felhasználónév nélküli kulcskészlet lejár, a kulcskészletet az összes felhasználó számára frissíteni kell a felhasználónévvel, hogy újra érvényes legyen. Azok a kulcskészletek, amelyek 2024 decembere előtt nem lettek frissítve az egyszerű felhasználónévvel az összes felhasználónál, fennáll a veszélye annak, hogy a kulcskészletek nem frissültek Invalid. Vegye figyelembe, hogy ha egy felhasználó nem tud felhasználónevet megadni, akkor a teljes kulcskészlet érvénytelen lesz.
A kulcskészlet és minden egyes felhasználó részletes állapotüzenetekkel is rendelkezik, amelyek más információkat közölnek:
- A kulcskészlet részletesStatusMessage szolgáltatása megmutatja, hogy a kulcskészlet lejárt-e, és a kulcskészlet fürtre vonatkozó frissítése során felmerülő problémákra vonatkozó egyéb információk.
- A felhasználó állapotaMessage jelzi, hogy a felhasználó aktív vagy érvénytelen-e, valamint a felhasználó legújabb aktív/érvénytelen állapotára még nem frissített gépek listája. Minden esetben a problémák okait is figyelembe kell venni, ha ismertek.
A parancs futtatásakor a fürt minden operációs rendszer nélküli gépén fut egy aktív Kubernetes-csomóponttal. Van egy olyan egyeztetési folyamat, amely rendszeresen fut, amely újrapróbálkozza a parancsot bármely olyan operációs rendszer nélküli gépen, amely az eredeti parancs idején nem volt elérhető. Ezenkívül minden olyan operációs rendszer nélküli gép, amely egy az networkcloud baremetalmachine actionreimage vagy az networkcloud baremetalmachine actionreplace több paranccsal tér vissza a fürthöz (lásd a BareMetal függvényeket) egy jelet küld, amely az aktív kulcskészleteket a fürtre való visszatérés után azonnal elküldi a gépnek. Több parancs is végrehajtva a kapott sorrendben.
A BMCs legfeljebb 12 felhasználót támogat. A felhasználók fürtenként vannak definiálva, és minden operációs rendszer nélküli gépre vonatkoznak. Ha 12-nél több felhasználót próbál hozzáadni, az hibát eredményez. Töröljön egy felhasználót, mielőtt hozzáad egy másikat, ha már létezik 12.
Előfeltételek
- Telepítse a megfelelő CLI-bővítmények legújabb verzióját.
- A helyszíni fürtnek csatlakoznia kell az Azure-hoz.
- Kérje le az erőforrás erőforráscsoportjának
Clusternevét. - A folyamat kulcskészleteket alkalmaz az összes futó, operációs rendszer nélküli gépre.
- A hozzáadott felhasználóknak egy Microsoft Entra-csoportnak kell lenniük. További információt a Csoportok kezelése című témakörben talál.
- A kulcskészletek kezeléséhez való hozzáférés korlátozásához hozzon létre egy egyéni szerepkört. További információ: Azure Custom Roles. Ebben a példában adjon hozzá vagy zárja ki az engedélyeket a következőhöz
Microsoft.NetworkCloud/clusters/bmcKeySets: . A beállítások a következők/read: ,/writeés/delete.
Feljegyzés
Ha a BMC-hozzáférést a cikkben ismertetett parancsokkal hozza létre, módosítja vagy törli, egy háttérfolyamat továbbítja ezeket a módosításokat a gépeknek. Ez a folyamat a Nexus operátor szoftverfrissítései során szünetel. Ha egy frissítésről ismert, hogy folyamatban van, a paranccsal megakadályozhatja, --no-wait hogy a parancssor a folyamat befejezésére várjon.
BMC-kulcskészlet létrehozása
A bmckeyset create parancs SSH-hozzáférést hoz létre a fürtben lévő operációs rendszer nélküli géphez egy felhasználói csoport számára.
A parancs szintaxisa a következő:
az networkcloud cluster bmckeyset create \
--name <BMC Keyset Name> \
--extended-location name=<Extended Location ARM ID> \
type="CustomLocation" \
--location <Azure Region> \
--azure-group-id <Azure AAD Group ID> \
--expiration <Expiration Timestamp> \
--privilege-level <"Administrator" or "ReadOnly"> \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1=<Key Value> key2=<Key Value> \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
Argumentumok létrehozása
--azure-group-id [Required] : The object ID of Azure Active Directory
group that all users in the list must
be in for access to be granted. Users
that are not in the group do not have
access.
--bmc-key-set-name --name -n [Required] : The name of the BMC key set.
--cluster-name [Required] : The name of the cluster.
--expiration [Required] : The date and time after which the users
in this key set are removed from
the BMCs. The maximum expiration date is a
year from creation date. Format is
"YYYY-MM-DDTHH:MM:SS.000Z".
--extended-location [Required] : The extended location of the cluster
associated with the resource.
Usage: --extended-location name=XX type=XX
name: Required. The resource ID of the extended location on which the resource is created.
type: Required. The extended location type: "CustomLocation".
--privilege-level [Required] : The access level allowed for the users
in this key set. Allowed values:
"Administrator" or "ReadOnly".
--resource-group -g [Required] : Name of resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--user-list [Required] : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public ssh key of the user.
userPrincipalName: Required. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--location -l : Azure Region. Values from: `az account
list-locations`. You can configure the
default location using `az configure
--defaults location=<location>`.
--no-wait : Do not wait for the long-running
operation to finish.
Globális Azure CLI-argumentumok (minden parancsra alkalmazható)
--debug : Increase logging verbosity to show all
debug logs.
--help -h : Show this help message and exit.
--only-show-errors : Only show errors, suppressing warnings.
--output -o : Output format. Allowed values: json,
jsonc, none, table, tsv, yaml, yamlc.
Default: json.
--query : JMESPath query string. See
http://jmespath.org/ for more
information and examples.
--subscription [Required] : Name or ID of subscription. Optional if
configuring the default subscription
using `az account set -s NAME_OR_ID`.
--verbose : Increase logging verbosity. Use --debug
for full debug logs.
Ez a példa létrehoz egy új kulcskészletet két olyan felhasználóval, amelyek két ugró gazdagépről rendelkeznek standard hozzáféréssel.
az networkcloud cluster bmckeyset create \
--name "bmcKeySetName" \
--extended-location name="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ExtendedLocation/customLocations/clusterExtendedLocationName" \
type="CustomLocation" \
--location "location" \
--azure-group-id "f110271b-XXXX-4163-9b99-214d91660f0e" \
--expiration "2023-12-31T23:59:59.008Z" \
--privilege-level "Standard" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userABC","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}},\
{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userXYZ","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}}]' \
--tags key1="myvalue1" key2="myvalue2" \
--cluster-name "clusterName" \
--resource-group "resourceGroupName"
A struktúra létrehozásával kapcsolatos segítségért tekintse meg az --user-list Azure CLI shorthand című témakört.
BMC-kulcskészlet törlése
A bmckeyset delete parancs eltávolítja a BMC-hez való SSH-hozzáférést egy felhasználói csoport számára. A csoport minden tagja elveszíti az SSH-hozzáférést a fürtben lévő összes BMC-hez.
A parancs szintaxisa a következő:
az networkcloud cluster bmckeyset delete \
--name <BMC Keyset Name> \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name> \
Argumentumok törlése
--bmc-key-set-name --name -n [Required] : The name of the BMC key set to be deleted.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of resource group. Optional if configuring the
default group using `az configure --defaults
group=<name>`.
--no-wait : Do not wait for the long-running operation to finish.
--yes -y : Do not prompt for confirmation.
Ez a példa eltávolítja a "bmcKeysetName" kulcskészletcsoportot a "clusterName" fürtből.
az networkcloud cluster bmckeyset delete \
--name "bmcKeySetName" \
--cluster-name "clusterName" \
--resource-group "resourceGroupName" \
BMC-billentyűkészlet frissítése
A bmckeyset update parancs lehetővé teszi a felhasználók számára, hogy módosításokat végezzenek egy meglévő kulcskészletcsoporton.
A parancs szintaxisa a következő:
az networkcloud cluster bmckeyset update \
--name <BMC Keyset Name> \
--privilege-level <"Standard" or "Superuser"> \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1=<Key Value> key2=<Key Value> \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
Argumentumok frissítése
--bmc-key-set-name --name -n [Required] : The name of the BMC key set.
--cluster-name [Required] : The name of the cluster.
--expiration [Required] : The date and time after which the users
in this key set are removed from
the BMCs. The maximum expiration date is a
year from creation date. Format is
"YYYY-MM-DDTHH:MM:SS.000Z".
--privilege-level : The access level allowed for the users
in this key set. Allowed values:
"Administrator" or "ReadOnly".
--user-list : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public SSH key of the user.
userPrincipalName: Required. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--resource-group -g [Required] : Name of resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--no-wait : Do not wait for the long-running
operation to finish.
Ez a példa két új felhasználót ad hozzá a "bmcKeySetName" csoporthoz, és módosítja a csoport lejárati idejét.
az networkcloud cluster bmckeyset update \
--name "bmcKeySetName" \
--expiration "2023-12-31T23:59:59.008Z" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userDEF", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"}] \
--cluster-name "clusterName" \
--resource-group "resourceGroupName"
BMC-kulcskészletek listázása
A bmckeyset list parancs lehetővé teszi a felhasználók számára, hogy lássák a fürtben meglévő kulcskészletcsoportokat.
A parancs szintaxisa a következő:
az networkcloud cluster bmckeyset list \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
Listaargumentumok
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
BMC billentyűkészlet részleteinek megjelenítése
A bmckeyset show parancs lehetővé teszi a felhasználók számára, hogy lássák a fürt egy meglévő kulcskészletcsoportjának részleteit.
A parancs szintaxisa a következő:
az networkcloud cluster bmckeyset show \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
Argumentumok megjelenítése
--bmc-key-set-name --name -n [Required] : The name of the BMC key set.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of resource group. You can
configure the default group using `az
configure --defaults group=<name>`.