Çıplak makineye acil durum erişimini yönetmek için az networkcloud cluster baremetalmachinekeyset
Dikkat
Bu işlemin, Azure kullanan diğer tüm sorun giderme seçenekleri tükendiğinde acil durumlarda kullanıldığını lütfen unutmayın. BMM düğümlerinde yürütülen tüm yazma veya düzenleme eylemleri, kullanıcıların Etkilenen BMM düğümlerine Microsoft desteğini geri yüklemek için 'yeniden kullanmalarını' gerektirir. Bu çıplak makinelere SSH erişiminin belirtilen atlama konağı listesinden bu yöntemle yönetilen kullanıcılarla sınırlı olduğunu lütfen unutmayın.
Bir kullanıcının çıplak makineyle ilgili sorunları araştırması ve çözmesi gereken nadir durumlar vardır ve Azure aracılığıyla diğer tüm yollar tükenir. Azure Operatör Nexus, kullanıcıların bu çıplak makinelere SSH erişimini yönetebilmesi için komutu sağlar az networkcloud cluster baremetalmachinekeyset . Anahtar kümesi oluşturma işleminde kullanıcılar, sağlanan Microsoft Entra Grup Kimliği ile bir kullanıcı için sağlanan Kullanıcı Asıl Adına çapraz başvuruda bulunarak uygun yetkilendirme için Microsoft Entra Kimliği'ne --azure-group-id <Entra Group ID>karşı doğrulanır.
Bir anahtar kümesindeki kullanıcılar dört saatte bir ve ayrıca herhangi bir anahtar kümesinde değişiklik yapıldığında doğrulanır. Ardından her kullanıcının durumu "Etkin" veya "Geçersiz" olarak ayarlanır. Geçersiz kullanıcılar anahtar kümesinde kalır, ancak anahtarları tüm konaklardan kaldırılır ve erişimlerine izin verilmez. Kullanıcının geçersiz olmasının nedenleri şunlardır:
- Kullanıcının Kullanıcı Asıl Adı belirtilmedi
- Kullanıcının Kullanıcı Asıl Adı verilen Entra grubunun üyesi değil
- Verilen Entra grubu yok (bu durumda anahtar kümesindeki tüm kullanıcılar geçersizdir)
- Anahtar kümesinin süresi doldu (bu durumda anahtar kümesindeki tüm kullanıcılar geçersizdir)
Not
Tüm kullanıcılar için Microsoft Entra Id doğrulaması zorunlu kılındığından, anahtar kümeleri için Kullanıcı Asıl Adı artık gereklidir. Tüm kullanıcılar için Kullanıcı Asıl Adları belirtmeyen geçerli anahtar kümeleri son kullanma tarihine kadar çalışmaya devam eder. Kullanıcı Asıl Adları olmayan bir anahtar kümesinin süresi dolarsa, anahtar kümesinin yeniden geçerli olabilmesi için tüm kullanıcılar için Kullanıcı Asıl Adları ile güncelleştirilmesi gerekir. Aralık 2024'e kadar tüm kullanıcılar için Kullanıcı Asıl Adları ile güncelleştirilmemiş anahtar kümeleri olma riski altındadır
Invalid. Herhangi bir kullanıcı Kullanıcı Asıl Adı belirtemezse, bunun tüm anahtar kümesinin geçersiz kılınmasıyla sonuçlandığını unutmayın.
Anahtar kümesi ve her bir kullanıcı, diğer bilgileri iletirken ayrıntılı durum iletilerine de sahiptir:
- Anahtar kümesinin detailedStatusMessage değeri, anahtar kümesinin süresinin dolduğunu ve küme genelinde anahtar kümesini güncelleştirirken karşılaşılan sorunlar hakkında diğer bilgileri bildirir.
- Kullanıcının statusMessage değeri, kullanıcının etkin mi yoksa geçersiz mi olduğunu ve henüz kullanıcının en son etkin/geçersiz durumuna güncelleştirilmemiş makinelerin listesini bildirir. Her durumda, biliniyorsa sorunların nedenleri dahil edilir.
Komut çalıştırıldığında, etkin bir Kubernetes düğümüne sahip Kümedeki her çıplak makinede yürütülür. Düzenli aralıklarla çalışan ve özgün komut sırasında kullanılamamış olan herhangi bir çıplak makinede komutu yeniden deneyen bir mutabakat işlemi vardır. Ayrıca, bir az networkcloud baremetalmachine reimage veya az networkcloud baremetalmachine replace komutuyla kümeye geri dönen tüm çıplak makineler (bkz . BareMetal işlevleri), etkin anahtar kümelerinin kümeye döner dönmez makineye gönderilmesine neden olan bir sinyal gönderir. Alınan sırayla birden çok komut yürütülür.
Gruptaki kullanıcı sayısıyla ilgili bir sınır yoktur.
Dikkat
Atlama konağı IP adresleri için notlar
- Anahtar kümesi oluşturma/güncelleştirme işlemi, kümedeki her makinenin IP tablolarına atlama konağı IP adreslerini ekler. IP tabloları güncelleştirmesi, SSH erişiminin yalnızca bu atlama konaklarından izin vermesini kısıtlar.
- Atlama konakları için Kümeye yönelik IP adreslerini belirtmek önemlidir. Bu IP adresleri, atlama konağına erişmek için kullanılan genel kullanıma yönelik IP adresinden farklı olabilir.
- En az bir anahtar kümesi tanımlanmış olsa da, herhangi bir anahtar kümesindeki herhangi bir atlama konağından ssh erişimine izin verilir. Örneğin, A anahtar kümesi atlama konağı A'yı belirtirse ve B anahtar kümesi B atlama ana bilgisayarını belirtirse, her iki anahtar kümesindeki kullanıcılar A veya B atlama konasını kullanabilir.
- Hiçbir anahtar kümesi tanımlanmasa da, makinelere ağ bağlantısı olan herhangi bir atlama konağından ssh erişimine izin verilir.
Önkoşullar
- Uygun CLI uzantılarının en son sürümünü yükleyin.
- Şirket içi Kümenin Azure bağlantısı olmalıdır.
- Kaynağın Kaynak Grubu adını
Clusteralın. - İşlem, anahtar kümelerini çalışan tüm çıplak makinelere uygular.
- Eklenen kullanıcılar bir Microsoft Entra grubunun parçası olmalıdır. Daha fazla bilgi için bkz . Grupları Yönetme.
- Anahtar kümelerini yönetme erişimini kısıtlamak için özel bir rol oluşturun. Daha fazla bilgi için bkz . Azure Özel Rolleri. Bu örnekte, için
Microsoft.NetworkCloud/clusters/bareMetalMachineKeySetsizinleri ekleyin veya hariç tutun. Seçenekler ,/writeve/deleteşeklindedir/read.
Not
Bu makalede açıklanan komutlar aracılığıyla çıplak makine erişimi oluşturulduğunda, değiştirildiğinde veya silindiğinde, bir arka plan işlemi bu değişiklikleri makinelere sunar. Bu işlem, Operatör Nexus yazılım yükseltmeleri sırasında duraklatılır. Bir yükseltmenin devam etmekte olduğu biliniyorsa, komut isteminin --no-wait işlemin tamamlanmasını beklemesini önlemek için komutuyla seçeneğini kullanabilirsiniz.
Çıplak makine anahtar kümesi oluşturma
komutu, baremetalmachinekeyset create bir grup kullanıcı için kümedeki çıplak makineye SSH erişimi oluşturur.
Komut söz dizimi şöyledir:
az networkcloud cluster baremetalmachinekeyset create \
--name "<bare metal machine Keyset Name>" \
--extended-location name="<Extended Location ARM ID>" \
type="CustomLocation" \
--location "<Azure Region>" \
--azure-group-id "<Azure Group ID>" \
--expiration "<Expiration Timestamp>" \
--jump-hosts-allowed "<List of jump server IP addresses>" \
--os-group-name "<Name of the Operating System Group>" \
--privilege-level "<"Standard" or "Superuser">" \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1="<Key Value>" key2="<Key Value>" \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Bağımsız Değişken Oluşturma
--azure-group-id [Required] : The object ID of Azure Active Directory
group that all users in the list must
be in for access to be granted. Users
that are not in the group do not have
access.
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key
set.
--cluster-name [Required] : The name of the cluster.
--expiration [Required] : The date and time after which the users
in this key set are removed from
the bare metal machines. The maximum
expiration date is a year from creation
date. Format is: "YYYY-MM-DDTHH:MM:SS.000Z".
--extended-location [Required] : The extended location of the cluster
associated with the resource.
Usage: --extended-location name=XX type=XX
name: Required. The resource ID of the extended location on which the resource is created.
type: Required. The extended location type: "CustomLocation".
--jump-hosts-allowed [Required] : The list of IP addresses of jump hosts
with management network access from
which a login is be allowed for the
users. Supports IPv4 or IPv6 addresses.
--privilege-level [Required] : The access level allowed for the users
in this key set. Allowed values:
"Standard" or "Superuser".
--resource-group -g [Required] : Name of cluster resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--user-list [Required] : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public ssh key of the user.
userPrincipalName: Required. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--os-group-name : The name of the group that users are assigned
to on the operating system of the machines.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--location -l : Azure Region. Values from: `az account
list-locations`. You can configure the
default location using `az configure
--defaults location=<location>`.
--no-wait : Do not wait for the long-running
operation to finish.
Genel Azure CLI bağımsız değişkenleri (tüm komutlar için geçerlidir)
--debug : Increase logging verbosity to show all
debug logs.
--help -h : Show this help message and exit.
--only-show-errors : Only show errors, suppressing warnings.
--output -o : Output format. Allowed values: json,
jsonc, none, table, tsv, yaml, yamlc.
Default: json.
--query : JMESPath query string. See
http://jmespath.org/ for more
information and examples.
--subscription [Required] : Name or ID of subscription. Optional if
configuring the default subscription
using `az account set -s NAME_OR_ID`.
--verbose : Increase logging verbosity. Use --debug
for full debug logs.
Bu örnek, iki atlama ana bilgisayarlarından standart erişimi olan iki kullanıcıyla yeni bir anahtar kümesi oluşturur.
az networkcloud cluster baremetalmachinekeyset create \
--name "bareMetalMachineKeySetName" \
--extended-location name="/subscriptions/subscriptionId/resourceGroups/cluster_RG/providers/Microsoft.ExtendedLocation/customLocations/clusterExtendedLocationName" \
type="CustomLocation" \
--location "eastus" \
--azure-group-id "f110271b-XXXX-4163-9b99-214d91660f0e" \
--expiration "2022-12-31T23:59:59.008Z" \
--jump-hosts-allowed "192.0.2.1" "192.0.2.5" \
--os-group-name "standardAccessGroup" \
--privilege-level "Standard" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team","azureUserName":"userABC", "sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"},"userPrincipalName":"example@contoso.com"},\
{"description":"Needs access for troubleshooting as a part of the support team","azureUserName":"userXYZ","sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, "userPrincipalName":"example@contoso.com"}]' \
--tags key1="myvalue1" key2="myvalue2" \
--cluster-name "clusterName"
--resource-group "cluster_RG"
Yapı oluşturma --user-list konusunda yardım için bkz . Azure CLI Shorthand.
Çıplak makine anahtar kümesini silme
komutu, baremetalmachinekeyset delete bir kullanıcı grubu için çıplak makineye SSH erişimini kaldırır. Grubun tüm üyeleri artık Kümedeki çıplak makinelerin hiçbirine SSH erişimine sahip değildir.
Komut söz dizimi şöyledir:
az networkcloud cluster baremetalmachinekeyset delete \
--name "<bare metal machine Keyset Name>" \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Bağımsız Değişkenleri Sil
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key set to be
deleted.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. Optional if configuring the
default group using `az configure --defaults
group=<name>`.
--no-wait : Do not wait for the long-running operation to
finish.
--yes -y : Do not prompt for confirmation.
Bu örnek, "clusterName" Kümesindeki "bareMetalMachineKeysetName" anahtar kümesi grubunu kaldırır.
az networkcloud cluster baremetalmachinekeyset delete \
--name "bareMetalMachineKeySetName" \
--cluster-name "clusterName" \
--resource-group "cluster_RG"
Çıplak Makine Anahtar Kümesini Güncelleştirme
komutu baremetalmachinekeyset update , kullanıcıların mevcut bir anahtar kümesi grubunda değişiklik yapmasına olanak tanır.
Komut söz dizimi şöyledir:
az networkcloud cluster baremetalmachinekeyset update \
--name "<bare metal machine Keyset Name>" \
--jump-hosts-allowed "<List of jump server IP addresses>" \
--privilege-level "<"Standard" or "Superuser">" \
--user-list '[{"description":"<User List Description>","azureUserName":"<User Name>",\
"sshPublicKey":{"keyData":"<SSH Public Key>"}, \
"userPrincipalName":""}]', \
--tags key1="<Key Value>" key2="<Key Value> "\
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Bağımsız Değişkenleri Güncelleştir
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key set.
--cluster-name [Required] : The name of the cluster.
--expiration : The date and time after which the users
in this key set are removed from
the bare metal machines. The maximum
expiration date is a year from creation
date. Format is: "YYYY-MM-DDTHH:MM:SS.000Z".
--jump-hosts-allowed : The list of IP addresses of jump hosts
with management network access from
which a login is allowed for the
users. Supports IPv4 or IPv6 addresses.
--privilege-level : The access level allowed for the users
in this key set. Allowed values:
"Standard" or "Superuser".
--user-list : The unique list of permitted users.
Usage: --user-list azure-user-name=XX description=XX key-data=XX
azure-user-name: Required. User name used to login to the server.
description: The free-form description for this user.
key-data: Required. The public SSH key of the user.
userPrincipalName: Required. The User Principal Name of the User.
Multiple users can be specified by using more than one --user-list argument.
--resource-group -g [Required] : Name of cluster resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
--tags : Space-separated tags: key[=value]
[key[=value] ...]. Use '' to clear
existing tags.
--no-wait : Do not wait for the long-running
operation to finish.
Bu örnek "baremetalMachineKeySetName" grubuna iki yeni kullanıcı ekler ve grubun süre sonu süresini değiştirir.
az networkcloud cluster baremetalmachinekeyset update \
--name "bareMetalMachineKeySetName" \
--expiration "2023-12-31T23:59:59.008Z" \
--user-list '[{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userABC", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXISTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"},\
{"description":"Needs access for troubleshooting as a part of the support team",\
"azureUserName":"userXYZ", \
"sshPublicKey":{"keyData":"ssh-rsa AAtsE3njSONzDYRIZv/WLjVuMfrUSByHp+jfaaOLHTIIB4fJvo6dQUZxE20w2iDHV3tEkmnTo84eba97VMueQD6OzJPEyWZMRpz8UYWOd0IXeRqiFu1lawNblZhwNT/ojNZfpB3af/YDzwQCZgTcTRyNNhL4o/blKUmug0daSsSXTSTRnIDpcf5qytjs1XoyYyJMvzLL59mhAyb3p/cD+Y3/s3WhAx+l0XOKpzXnblrv9d3q4c2tWmm/SyFqthaqd0= admin@vm"}, \
"userPrincipalName":"example@contoso.com"}]' \
--cluster-name "clusterName" \
--resource-group "cluster_RG"
Çıplak Makine Anahtar Kümelerini Listeleme
baremetalmachinekeyset list komutu, kullanıcıların kümedeki mevcut anahtar kümesi gruplarını görmesine olanak tanır.
Komut söz dizimi şöyledir:
az networkcloud cluster baremetalmachinekeyset list \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Bağımsız Değişkenleri Listele
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. Optional if
configuring the default group using `az
configure --defaults group=<name>`.
Çıplak Makine Anahtar Kümesi Ayrıntılarını Göster
komutu baremetalmachinekeyset show , kullanıcıların kümedeki mevcut bir anahtar kümesi grubunun ayrıntılarını görmesini sağlar.
Komut söz dizimi şöyledir:
az networkcloud cluster baremetalmachinekeyset show \
--cluster-name "<Cluster Name>" \
--resource-group "<cluster_RG>"
Bağımsız Değişkenleri Göster
--bare-metal-machine-key-set-name --name -n [Required] : The name of the bare metal machine key
set.
--cluster-name [Required] : The name of the cluster.
--resource-group -g [Required] : Name of cluster resource group. You can
configure the default group using `az
configure --defaults group=<name>`.