Çıplak makineye acil durum erişimini yönetmek için az networkcloud cluster bmckeyset
Dikkat
Bu işlemin, Azure aracılığıyla diğer tüm sorun giderme seçeneklerinin tükendiği acil durumlarda kullanıldığını lütfen unutmayın. Bu çıplak makinelere SSH erişimi, belirtilen atlama konağı listesinden bu yöntemle yönetilen kullanıcılarla sınırlıdır.
Bir kullanıcının çıplak makineyle ilgili sorunları araştırması ve çözmesi gereken nadir durumlar vardır ve Azure'ı kullanmanın diğer tüm yolları tükenir. Operatör Nexus, kullanıcıların bu çıplak makinelerde az networkcloud cluster bmckeyset temel kart yönetim denetleyicisine (BMC) SSH erişimini yönetebilmesi için komutu sağlar. Anahtar kümesi oluşturma işleminde kullanıcılar, sağlanan Azure Grup Kimliği ile bir kullanıcı için sağlanan Kullanıcı Asıl Adı'na çapraz başvuruda bulunarak uygun yetkilendirme için Microsoft Entra Kimliği'ne --azure-group-id <Entra Group ID>göre doğrulanır.
Bir anahtar kümesindeki kullanıcılar dört saatte bir ve ayrıca herhangi bir anahtar kümesinde değişiklik yapıldığında doğrulanır. Ardından her kullanıcının durumu "Etkin" veya "Geçersiz" olarak ayarlanır. Geçersiz kullanıcılar anahtar kümesinde kalır, ancak anahtarları tüm konaklardan kaldırılır ve erişimlerine izin verilmez. Kullanıcının geçersiz olmasının nedenleri şunlardır:
- Kullanıcının Kullanıcı Asıl Adı belirtilmedi
- Kullanıcının Kullanıcı Asıl Adı verilen Entra grubunun üyesi değil
- Verilen Entra grubu yok (bu durumda anahtar kümesindeki tüm kullanıcılar geçersizdir)
- Anahtar kümesinin süresi doldu (bu durumda anahtar kümesindeki tüm kullanıcılar geçersizdir)
Not
Tüm kullanıcılar için Microsoft Entra Id doğrulaması zorunlu kılındığından, anahtar kümeleri için Kullanıcı Asıl Adı artık gereklidir. Tüm kullanıcılar için Kullanıcı Asıl Adları belirtmeyen geçerli anahtar kümeleri son kullanma tarihine kadar çalışmaya devam eder. Kullanıcı Asıl Adları olmayan bir anahtar kümesinin süresi dolarsa, anahtar kümesinin yeniden geçerli olabilmesi için tüm kullanıcılar için Kullanıcı Asıl Adları ile güncelleştirilmesi gerekir. Aralık 2024'e kadar tüm kullanıcılar için Kullanıcı Asıl Adları ile güncelleştirilmemiş anahtar kümeleri olma riski altındadır Invalid. Herhangi bir kullanıcı Kullanıcı Asıl Adı belirtemezse, bunun tüm anahtar kümesinin geçersiz kılınmasıyla sonuçlandığını unutmayın.
Anahtar kümesi ve her bir kullanıcı, diğer bilgileri iletirken ayrıntılı durum iletilerine de sahiptir:
- Anahtar kümesinin detailedStatusMessage değeri, anahtar kümesinin süresinin dolduğunu ve küme genelinde anahtar kümesini güncelleştirirken karşılaşılan sorunlar hakkında diğer bilgileri bildirir.
- Kullanıcının statusMessage değeri, kullanıcının etkin mi yoksa geçersiz mi olduğunu ve henüz kullanıcının en son etkin/geçersiz durumuna güncelleştirilmemiş makinelerin listesini bildirir. Her durumda, biliniyorsa sorunların nedenleri dahil edilir.
Komut çalıştırıldığında, etkin bir Kubernetes düğümüne sahip Kümedeki her çıplak makinede yürütülür. Düzenli aralıklarla çalışan ve özgün komut sırasında kullanılamamış olan herhangi bir çıplak makinede komutu yeniden deneyen bir mutabakat işlemi vardır. Ayrıca, bir az networkcloud baremetalmachine actionreimage veya az networkcloud baremetalmachine actionreplace komutuyla kümeye geri dönen tüm çıplak makineler (bkz . BareMetal işlevleri), etkin anahtar kümelerinin kümeye döner dönmez makineye gönderilmesine neden olan bir sinyal gönderir. Alınan sırayla birden çok komut yürütülür.
BMC'ler en fazla 12 kullanıcıyı destekler. Kullanıcılar Küme bazında tanımlanır ve her çıplak makineye uygulanır. 12'den fazla kullanıcı ekleme girişimleri hatayla sonuçlanır. 12 zaten mevcut olduğunda başka bir kullanıcı eklemeden önce kullanıcıyı silin.
Önkoşullar
- Uygun CLI uzantılarının en son sürümünü yükleyin.
- Şirket içi Kümenin Azure bağlantısı olmalıdır.
- Kaynağın Kaynak Grubu adını
Clusteralın. - İşlem, anahtar kümelerini çalışan tüm çıplak makinelere uygular.
- Eklenen kullanıcıların bir Microsoft Entra grubunun parçası olması gerekir. Daha fazla bilgi için bkz . Grupları Yönetme.
- Anahtar kümelerini yönetme erişimini kısıtlamak için özel bir rol oluşturun. Daha fazla bilgi için bkz . Azure Özel Rolleri. Bu örnekte, için
Microsoft.NetworkCloud/clusters/bmcKeySetsizinleri ekleyin veya hariç tutun. Seçenekler ,/writeve/deleteşeklindedir/read.
Not
BMC erişimi bu makalede açıklanan komutlar aracılığıyla oluşturulduğunda, değiştirildiğinde veya silindiğinde, bir arka plan işlemi bu değişiklikleri makinelere sunar. Bu işlem, Operatör Nexus yazılım yükseltmeleri sırasında duraklatılır. Bir yükseltmenin devam etmekte olduğu biliniyorsa, komut isteminin --no-wait işlemin tamamlanmasını beklemesini önlemek için komutuyla seçeneğini kullanabilirsiniz.
BMC anahtar kümesi oluşturma
komutu, bmckeyset create bir grup kullanıcı için kümedeki çıplak makineye SSH erişimi oluşturur.
Komut söz dizimi şöyledir:
az networkcloud cluster bmckeyset create \
--name <BMC Keyset Name> \
--extended-location name=<Extended Location ARM ID> \
type="CustomLocation" \
--location <Azure Region> \
--azure-group-id <Azure AAD Group ID> \
--expiration <Expiration Timestamp> \
--privilege-level <"Administrator" or "ReadOnly"> \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1=<Key Value> key2=<Key Value> \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
Bağımsız Değişken Oluşturma
--azure-group-id [Required] : The object ID of Azure Active Directory
group that all users in the list must
be in for access to be granted. Users
that are not in the group do not have
access.
--bmc-key-set-name --name -n [Required] : The name of the BMC key set.
--cluster-name [Required] : The name of the cluster.
--expiration [Required] : The date and time after which the users
in this key set are removed from
the BMCs. The maximum expiration date is a
year from creation date. Format is
"YYYY-MM-DDTHH:MM:SS.000Z".
--extended-location [Required] : The extended location of the cluster
associated with the resource.
Usage: --extended-location name=XX type=XX
name: Required. The resource ID of the extended location on which the resource is created.
type: Required. The extended location type: "CustomLocation".
--privilege-level [Required] : The access level allowed for the users
in this key set. Allowed values:
"Administrator" or "ReadOnly".
--resource-group -g [Required] : Name of resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--user-list [Required] : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public ssh key of the user.
userPrincipalName: Required. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--location -l : Azure Region. Values from: `az account
list-locations`. You can configure the
default location using `az configure
--defaults location=<location>`.
--no-wait : Do not wait for the long-running
operation to finish.
Genel Azure CLI bağımsız değişkenleri (tüm komutlar için geçerlidir)
--debug : Increase logging verbosity to show all
debug logs.
--help -h : Show this help message and exit.
--only-show-errors : Only show errors, suppressing warnings.
--output -o : Output format. Allowed values: json,
jsonc, none, table, tsv, yaml, yamlc.
Default: json.
--query : JMESPath query string. See
http://jmespath.org/ for more
information and examples.
--subscription [Required] : Name or ID of subscription. Optional if
configuring the default subscription
using `az account set -s NAME_OR_ID`.
--verbose : Increase logging verbosity. Use --debug
for full debug logs.
Bu örnek, iki atlama ana bilgisayarlarından standart erişimi olan iki kullanıcıyla yeni bir anahtar kümesi oluşturur.
az networkcloud cluster bmckeyset create \
--name "bmcKeySetName" \
--extended-location name="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ExtendedLocation/customLocations/clusterExtendedLocationName" \
type="CustomLocation" \
--location "location" \
--azure-group-id "f110271b-XXXX-4163-9b99-214d91660f0e" \
--expiration "2023-12-31T23:59:59.008Z" \
--privilege-level "Standard" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userABC","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}},\
{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userXYZ","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}}]' \
--tags key1="myvalue1" key2="myvalue2" \
--cluster-name "clusterName" \
--resource-group "resourceGroupName"
Yapı oluşturma --user-list konusunda yardım için bkz . Azure CLI Shorthand.
BMC anahtar kümesini silme
komutu, bmckeyset delete bir kullanıcı grubu için BMC'ye SSH erişimini kaldırır. Grubun tüm üyeleri Kümedeki BMC'lerden herhangi birine SSH erişimini kaybeder.
Komut söz dizimi şöyledir:
az networkcloud cluster bmckeyset delete \
--name <BMC Keyset Name> \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name> \
Bağımsız Değişkenleri Sil
--bmc-key-set-name --name -n [Required] : The name of the BMC key set to be deleted.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of resource group. Optional if configuring the
default group using `az configure --defaults
group=<name>`.
--no-wait : Do not wait for the long-running operation to finish.
--yes -y : Do not prompt for confirmation.
Bu örnek, "clusterName" Kümesindeki "bmcKeysetName" anahtar kümesi grubunu kaldırır.
az networkcloud cluster bmckeyset delete \
--name "bmcKeySetName" \
--cluster-name "clusterName" \
--resource-group "resourceGroupName" \
BMC Anahtar Kümesini Güncelleştirme
komutu bmckeyset update , kullanıcıların mevcut bir anahtar kümesi grubunda değişiklik yapmasına olanak tanır.
Komut söz dizimi şöyledir:
az networkcloud cluster bmckeyset update \
--name <BMC Keyset Name> \
--privilege-level <"Standard" or "Superuser"> \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1=<Key Value> key2=<Key Value> \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
Bağımsız Değişkenleri Güncelleştir
--bmc-key-set-name --name -n [Required] : The name of the BMC key set.
--cluster-name [Required] : The name of the cluster.
--expiration [Required] : The date and time after which the users
in this key set are removed from
the BMCs. The maximum expiration date is a
year from creation date. Format is
"YYYY-MM-DDTHH:MM:SS.000Z".
--privilege-level : The access level allowed for the users
in this key set. Allowed values:
"Administrator" or "ReadOnly".
--user-list : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public SSH key of the user.
userPrincipalName: Required. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--resource-group -g [Required] : Name of resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--no-wait : Do not wait for the long-running
operation to finish.
Bu örnek , "bmcKeySetName" grubuna iki yeni kullanıcı ekler ve grubun süre sonu süresini değiştirir.
az networkcloud cluster bmckeyset update \
--name "bmcKeySetName" \
--expiration "2023-12-31T23:59:59.008Z" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userDEF", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"}] \
--cluster-name "clusterName" \
--resource-group "resourceGroupName"
BMC Anahtar Kümelerini Listeleme
bmckeyset list komutu, kullanıcıların kümedeki mevcut anahtar kümesi gruplarını görmesine olanak tanır.
Komut söz dizimi şöyledir:
az networkcloud cluster bmckeyset list \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
Bağımsız Değişkenleri Listele
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
BMC Anahtar Kümesi Ayrıntılarını Göster
komutu bmckeyset show , kullanıcıların kümedeki mevcut bir anahtar kümesi grubunun ayrıntılarını görmesini sağlar.
Komut söz dizimi şöyledir:
az networkcloud cluster bmckeyset show \
--cluster-name <Cluster Name> \
--resource-group <Resource Group Name>
Bağımsız Değişkenleri Göster
--bmc-key-set-name --name -n [Required] : The name of the BMC key set.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of resource group. You can
configure the default group using `az
configure --defaults group=<name>`.