Omezení přístupu SSH k virtuálním počítačům v AKS povoleném službou Azure Arc (AKS ve službě Azure Stack HCI 22H2)
Platí pro: AKS ve Službě Azure Stack HCI 22H2, AKS na Windows Serveru
Tento článek popisuje novou funkci zabezpečení v AKS Arc, která omezuje přístup k základním virtuálním počítačům protokolu SSH (Secure Shell Protocol). Tato funkce omezuje přístup jenom na určité IP adresy a omezuje sadu příkazů, které můžete spouštět přes SSH.
Přehled
V současné době má každý, kdo má přístup správce k AKS povolený službou Arc, přístup k virtuálním počítačům prostřednictvím SSH na libovolném počítači. V některých scénářích můžete chtít tento přístup omezit, protože neomezený přístup ztěžuje dodržování předpisů.
Poznámka
V současné době je tato funkce dostupná jenom pro novou instalaci AKS Arc, a ne pro upgrady. Omezené IP adresy může předat pouze nová instalace služby AKS Arc a omezit příkazy spouštěné přes SSH.
Povolení omezení SSH
Pokud chcete povolit omezení SSH, proveďte následující kroky:
Create konfiguraci SSH pomocí rutiny New-AksHciSSHConfiguration s povolenými zdrojovými IP adresami nebo CIDR, které chcete povolit přístup k virtuálním počítačům:
$ssh = New-AksHciSSHConfiguration -name sshConfig -cidr 172.16.0.0/24
nebo
$ssh = New-AksHciSSHConfiguration -name sshConfig -ipAddresses 4.4.4.4,8.8.8.8
nebo pokud chcete omezit přístup SSH:
$ssh = New-AksHciSSHConfiguration -name sshConfig –restrictSSHCommands
Poznámka
Pokud klíče SSH nepředáte, klíče SSH clusteru pro správu se znovu použijí.
Přidejte konfiguraci SSH spuštěním rutiny Set-AksHciConfig a předáním konfigurace SSH, kterou jste vytvořili v předchozím kroku:
Set-AksHciConfig -ssh $ssh
Ověření: cílový cluster
Po vytvoření clusteru můžete ručně ověřit, jestli se přidalo omezení SSH, a to tak, že se pokusíte do jednoho z virtuálních počítačů použít SSH. Příklad:
ssh -i (get-MocConfig).sshPrivateKey clouduser@<vm-ipaddress>
Tento krok můžete provést v seznamu zadaných IP adres nebo identifikátorů CIDR nebo mimo seznam IP adres. SSH z rozsahu IP adres nebo identifikátorůCIDR má přístup. Pokusy SSH mimo seznam nemají přístup.
Příkazy můžete spouštět také přímo z SSH. Tento příkaz vrátí datum.
Sudo
Příkazy nefungují:
ssh -i (get-mocconfig).sshPrivateKey clouduser@<ip> date
Ověření: shromažďování protokolů
Tento příkaz vrátí protokoly virtuálních počítačů, jako cloudinit
jsou , lb
protokoly atd.
Get-AksHciLogs –virtualMachineLogs
Požadavky
- Nyní je k dispozici individuální konfigurace SSH pro clustery úloh. Konfigurace pro clustery úloh používá rutinu PowerShellu New-AksHciSSHConfiguration .
- Omezení platí jenom pro Linux. Uzly Windows toto omezení nemají. měli byste být schopni úspěšně SSH.
- Konfiguraci můžete nastavit pouze během instalační fáze AKS Arc.
- Pokud nesprávně nakonfigurujete nastavení SSH, musíte provést přeinstalaci.
- Upgrady nejsou podporovány.
- Můžete přidat identifikátory CIDR nebo IP adresy, na které lze omezit přístup SSH.
- Nastavení SSH, které zadáte, se znovu použije pro všechny cílové clustery. Individuální konfigurace SSH pro clustery úloh není dostupná.