Az operációs rendszer nélküli gép vészhozzáférésének kezelése a az networkcloud cluster baremetalmachinekeyset
Figyelemfelhívás
Vegye figyelembe, hogy ezt a folyamatot vészhelyzetekben használják, amikor az Azure-t használó összes egyéb hibaelhárítási lehetőség kimerült. A BMM-csomópont(ok)on végrehajtott írási vagy szerkesztési műveletek megkövetelik, hogy a felhasználók "újraimázsák" a Microsoft támogatását az érintett BMM-csomópont(ok)ra. Vegye figyelembe, hogy az ilyen operációs rendszer nélküli gépekhez való SSH-hozzáférés a megadott ugró gazdagéplistából ezen a módszerrel felügyelt felhasználókra korlátozódik.
Vannak olyan ritka helyzetek, amikor a felhasználónak ki kell vizsgálnia és meg kell oldania egy operációs rendszer nélküli géppel kapcsolatos problémákat, és az Azure-on keresztüli összes egyéb módszer kimerül. Az Azure Operator Nexus biztosítja a parancsot, hogy a az networkcloud cluster baremetalmachinekeyset felhasználók felügyelhessék a operációs rendszer nélküli gépekhez való SSH-hozzáférést. A kulcskészletek létrehozásakor a rendszer a megfelelő engedélyezéshez a Microsoft Entra-azonosítóval ellenőrzi a felhasználókat a megadott Microsoft Entra-csoportazonosítóra --azure-group-id <Entra Group ID>való kereszthivatkozással.
A kulcskészletben lévő felhasználókat négy óránként ellenőrzi a rendszer, és azt is, hogy a rendszer mikor módosítja a kulcskészleteket. Ezután minden felhasználó állapota "Aktív" vagy "Érvénytelen" értékre van állítva. Érvénytelen felhasználók maradnak a kulcskészletben, de a kulcsuk el lesz távolítva az összes gazdagépről, és nem férnek hozzá. A felhasználó érvénytelenségének okai a következők:
- A felhasználó egyszerű felhasználóneve nincs megadva
- A felhasználó egyszerű neve nem tagja az adott Entra-csoportnak
- Az adott Entra-csoport nem létezik (ebben az esetben a kulcskészlet összes felhasználója érvénytelen)
- A kulcskészlet lejárt (ebben az esetben a kulcskészlet összes felhasználója érvénytelen)
Feljegyzés
A kulcskészletekhez most már szükség van a felhasználónévre, mivel a Microsoft Entra-azonosító érvényesítése minden felhasználóra érvényes. Az aktuális kulcskészletek, amelyek nem adják meg az összes felhasználó egyszerű nevét, a lejárati dátumig továbbra is működni fognak. Ha egy felhasználónév nélküli kulcskészlet lejár, a kulcskészletet az összes felhasználó számára frissíteni kell a felhasználónévvel, hogy újra érvényes legyen. Azok a kulcskészletek, amelyek 2024 decembere előtt nem lettek frissítve az egyszerű felhasználónévvel az összes felhasználónál, fennáll a veszélye annak, hogy a kulcskészletek nem frissültek
Invalid. Vegye figyelembe, hogy ha egy felhasználó nem tud felhasználónevet megadni, akkor a teljes kulcskészlet érvénytelen lesz.
A kulcskészlet és minden egyes felhasználó részletes állapotüzenetekkel is rendelkezik, amelyek más információkat közölnek:
- A kulcskészlet részletesStatusMessage szolgáltatása megmutatja, hogy a kulcskészlet lejárt-e, és a kulcskészlet fürtre vonatkozó frissítése során felmerülő problémákra vonatkozó egyéb információk.
- A felhasználó állapotaMessage jelzi, hogy a felhasználó aktív vagy érvénytelen-e, valamint a felhasználó legújabb aktív/érvénytelen állapotára még nem frissített gépek listája. Minden esetben a problémák okait is figyelembe kell venni, ha ismertek.
A parancs futtatásakor a fürt minden operációs rendszer nélküli gépén fut egy aktív Kubernetes-csomóponttal. Van egy olyan egyeztetési folyamat, amely rendszeresen fut, amely újrapróbálkozza a parancsot bármely olyan operációs rendszer nélküli gépen, amely az eredeti parancs idején nem volt elérhető. Ezenkívül minden olyan operációs rendszer nélküli gép, amely egy az networkcloud baremetalmachine reimage vagy az networkcloud baremetalmachine replace több paranccsal tér vissza a fürthöz (lásd a BareMetal függvényeket) egy jelet küld, amely az aktív kulcskészleteket a fürtre való visszatérés után azonnal elküldi a gépnek. Több parancs is végrehajtva a kapott sorrendben.
A csoport felhasználóinak száma nincs korlátozva.
Figyelemfelhívás
Megjegyzések a jump host IP-címéhez
- A kulcskészlet létrehozási/frissítési folyamata hozzáadja a jump host IP-címeit a fürt minden egyes gépének IP-tábláihoz. Az IP-táblák frissítése korlátozza, hogy az SSH-hozzáférés csak ezekről a ugró gazdagépekről legyen engedélyezve.
- Fontos megadni a fürt felé irányuló IP-címeket a jump gazdagépekhez. Ezek az IP-címek eltérhetnek a ugró gazdagép eléréséhez használt nyilvános IP-címétől.
- Bár legalább egy kulcskészlet definiálva van, az ssh-hozzáférés bármely ugró gazdagépről engedélyezett bármely billentyűkészletben. Ha például az A billentyűkészlet az A ugró gazdagépet, a B billentyűkészlet pedig a B ugró gazdagépet adja meg, akkor a két kulcskészlet felhasználói használhatják az A vagy a B ugró gazdagépet.
- Bár nincsenek kulcskészletek definiálva, az ssh-hozzáférés bármely olyan ugró gazdagépről engedélyezett, amely hálózati kapcsolattal rendelkezik a gépekhez.
Előfeltételek
- Telepítse a megfelelő CLI-bővítmények legújabb verzióját.
- A helyszíni fürtnek csatlakoznia kell az Azure-hoz.
- Kérje le az erőforrás erőforráscsoportjának
Clusternevét. - A folyamat kulcskészleteket alkalmaz az összes futó, operációs rendszer nélküli gépre.
- A hozzáadott felhasználóknak a Microsoft Entra-csoport tagjainak kell lenniük. További információt a Csoportok kezelése című témakörben talál.
- A kulcskészletek kezeléséhez való hozzáférés korlátozásához hozzon létre egy egyéni szerepkört. További információ: Azure Custom Roles. Ebben a példában adjon hozzá vagy zárja ki az engedélyeket a következőhöz
Microsoft.NetworkCloud/clusters/bareMetalMachineKeySets: . A beállítások a következők/read: ,/writeés/delete.
Feljegyzés
Ha a jelen cikkben ismertetett parancsokkal nem fémgép-hozzáférést hoz létre, módosít vagy töröl, egy háttérfolyamat továbbítja ezeket a módosításokat a gépeknek. Ez a folyamat a Nexus operátor szoftverfrissítései során szünetel. Ha egy frissítésről ismert, hogy folyamatban van, a paranccsal megakadályozhatja, --no-wait hogy a parancssor a folyamat befejezésére várjon.
Operációs rendszer nélküli gépkulcskészlet létrehozása
A baremetalmachinekeyset create parancs SSH-hozzáférést hoz létre a fürtben lévő operációs rendszer nélküli géphez egy felhasználói csoport számára.
A parancs szintaxisa a következő:
az networkcloud cluster baremetalmachinekeyset create \
--name "<bare metal machine Keyset Name>" \
--extended-location name="<Extended Location ARM ID>" \
type="CustomLocation" \
--location "<Azure Region>" \
--azure-group-id "<Azure Group ID>" \
--expiration "<Expiration Timestamp>" \
--jump-hosts-allowed "<List of jump server IP addresses>" \
--os-group-name "<Name of the Operating System Group>" \
--privilege-level "<"Standard" or "Superuser">" \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1="<Key Value>" key2="<Key Value>" \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumentumok létrehozása
--azure-group-id [Required] : The object ID of Azure Active Directory
group that all users in the list must
be in for access to be granted. Users
that are not in the group do not have
access.
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key
set.
--cluster-name [Required] : The name of the cluster.
--expiration [Required] : The date and time after which the users
in this key set are removed from
the bare metal machines. The maximum
expiration date is a year from creation
date. Format is: "YYYY-MM-DDTHH:MM:SS.000Z".
--extended-location [Required] : The extended location of the cluster
associated with the resource.
Usage: --extended-location name=XX type=XX
name: Required. The resource ID of the extended location on which the resource is created.
type: Required. The extended location type: "CustomLocation".
--jump-hosts-allowed [Required] : The list of IP addresses of jump hosts
with management network access from
which a login is be allowed for the
users. Supports IPv4 or IPv6 addresses.
--privilege-level [Required] : The access level allowed for the users
in this key set. Allowed values:
"Standard" or "Superuser".
--resource-group -g [Required] : Name of cluster resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--user-list [Required] : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public ssh key of the user.
userPrincipalName: Required. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--os-group-name : The name of the group that users are assigned
to on the operating system of the machines.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--location -l : Azure Region. Values from: `az account
list-locations`. You can configure the
default location using `az configure
--defaults location=<location>`.
--no-wait : Do not wait for the long-running
operation to finish.
Globális Azure CLI-argumentumok (minden parancsra alkalmazható)
--debug : Increase logging verbosity to show all
debug logs.
--help -h : Show this help message and exit.
--only-show-errors : Only show errors, suppressing warnings.
--output -o : Output format. Allowed values: json,
jsonc, none, table, tsv, yaml, yamlc.
Default: json.
--query : JMESPath query string. See
http://jmespath.org/ for more
information and examples.
--subscription [Required] : Name or ID of subscription. Optional if
configuring the default subscription
using `az account set -s NAME_OR_ID`.
--verbose : Increase logging verbosity. Use --debug
for full debug logs.
Ez a példa létrehoz egy új kulcskészletet két olyan felhasználóval, amelyek két ugró gazdagépről rendelkeznek standard hozzáféréssel.
az networkcloud cluster baremetalmachinekeyset create \
--name "bareMetalMachineKeySetName" \
--extended-location name="/subscriptions/subscriptionId/resourceGroups/cluster_RG/providers/Microsoft.ExtendedLocation/customLocations/clusterExtendedLocationName" \
type="CustomLocation" \
--location "eastus" \
--azure-group-id "f110271b-XXXX-4163-9b99-214d91660f0e" \
--expiration "2022-12-31T23:59:59.008Z" \
--jump-hosts-allowed "192.0.2.1" "192.0.2.5" \
--os-group-name "standardAccessGroup" \
--privilege-level "Standard" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team","azureUserName":"userABC", "sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"},"userPrincipalName":"example@contoso.com"},\
{"description":"Needs access for troubleshooting as a part of the support team","azureUserName":"userXYZ","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, "userPrincipalName":"example@contoso.com"}]' \
--tags key1="myvalue1" key2="myvalue2" \
--cluster-name "clusterName"
--resource-group "cluster_RG"
A struktúra létrehozásával kapcsolatos segítségért tekintse meg az --user-list Azure CLI shorthand című témakört.
Operációs rendszer nélküli gépkulcskészlet törlése
A baremetalmachinekeyset delete parancs eltávolítja a felhasználói csoport operációs rendszer nélküli gépéhez való SSH-hozzáférést. A csoport minden tagja már nem rendelkezik SSH-hozzáféréssel a fürt egyik operációs rendszer nélküli gépéhez sem.
A parancs szintaxisa a következő:
az networkcloud cluster baremetalmachinekeyset delete \
--name "<bare metal machine Keyset Name>" \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumentumok törlése
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key set to be
deleted.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. Optional if configuring the
default group using `az configure --defaults
group=<name>`.
--no-wait : Do not wait for the long-running operation to
finish.
--yes -y : Do not prompt for confirmation.
Ez a példa eltávolítja a "bareMetalMachineKeysetName" kulcskészletcsoportot a "clusterName" fürtből.
az networkcloud cluster baremetalmachinekeyset delete \
--name "bareMetalMachineKeySetName" \
--cluster-name "clusterName" \
--resource-group "cluster_RG"
Operációs rendszer nélküli gépkulcskészlet frissítése
A baremetalmachinekeyset update parancs lehetővé teszi a felhasználók számára, hogy módosításokat végezzenek egy meglévő kulcskészletcsoporton.
A parancs szintaxisa a következő:
az networkcloud cluster baremetalmachinekeyset update \
--name "<bare metal machine Keyset Name>" \
--jump-hosts-allowed "<List of jump server IP addresses>" \
--privilege-level "<"Standard" or "Superuser">" \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1="<Key Value>" key2="<Key Value> "\
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumentumok frissítése
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key set.
--cluster-name [Required] : The name of the cluster.
--expiration : The date and time after which the users
in this key set are removed from
the bare metal machines. The maximum
expiration date is a year from creation
date. Format is: "YYYY-MM-DDTHH:MM:SS.000Z".
--jump-hosts-allowed : The list of IP addresses of jump hosts
with management network access from
which a login is allowed for the
users. Supports IPv4 or IPv6 addresses.
--privilege-level : The access level allowed for the users
in this key set. Allowed values:
"Standard" or "Superuser".
--user-list : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public SSH key of the user.
userPrincipalName: Required. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--resource-group -g [Required] : Name of cluster resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--no-wait : Do not wait for the long-running
operation to finish.
Ez a példa két új felhasználót ad hozzá a "baremetalMachineKeySetName" csoporthoz, és módosítja a csoport lejárati idejét.
az networkcloud cluster baremetalmachinekeyset update \
--name "bareMetalMachineKeySetName" \
--expiration "2023-12-31T23:59:59.008Z" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userABC", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"},\
{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userXYZ", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"}]' \
--cluster-name "clusterName" \
--resource-group "cluster_RG"
Operációs rendszer nélküli gépkulcskészletek listázása
A baremetalmachinekeyset list parancs lehetővé teszi a felhasználók számára, hogy lássák a fürtben meglévő kulcskészletcsoportokat.
A parancs szintaxisa a következő:
az networkcloud cluster baremetalmachinekeyset list \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Listaargumentumok
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
Operációs rendszer nélküli gép billentyűkészletének részleteinek megjelenítése
A baremetalmachinekeyset show parancs lehetővé teszi a felhasználók számára, hogy lássák a fürt egy meglévő kulcskészletcsoportjának részleteit.
A parancs szintaxisa a következő:
az networkcloud cluster baremetalmachinekeyset show \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Argumentumok megjelenítése
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key
set.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. You can
configure the default group using `az
configure --defaults group=<name>`.