Sdílet prostřednictvím


Omezení přístupu SSH k virtuálním počítačům v AKS povoleném službou Azure Arc (AKS ve službě Azure Stack HCI 22H2)

Platí pro: AKS ve Službě Azure Stack HCI 22H2, AKS na Windows Serveru

Tento článek popisuje novou funkci zabezpečení v AKS Arc, která omezuje přístup k základním virtuálním počítačům protokolu SSH (Secure Shell Protocol). Tato funkce omezuje přístup jenom na určité IP adresy a omezuje sadu příkazů, které můžete spouštět přes SSH.

Přehled

V současné době má každý, kdo má přístup správce k AKS povolený službou Arc, přístup k virtuálním počítačům prostřednictvím SSH na libovolném počítači. V některých scénářích můžete chtít tento přístup omezit, protože neomezený přístup ztěžuje dodržování předpisů.

Poznámka

V současné době je tato funkce dostupná jenom pro novou instalaci AKS Arc, a ne pro upgrady. Omezené IP adresy může předat pouze nová instalace služby AKS Arc a omezit příkazy spouštěné přes SSH.

Povolení omezení SSH

Pokud chcete povolit omezení SSH, proveďte následující kroky:

  1. Create konfiguraci SSH pomocí rutiny New-AksHciSSHConfiguration s povolenými zdrojovými IP adresami nebo CIDR, které chcete povolit přístup k virtuálním počítačům:

    $ssh = New-AksHciSSHConfiguration -name sshConfig -cidr 172.16.0.0/24
    

    nebo

    $ssh = New-AksHciSSHConfiguration -name sshConfig -ipAddresses 4.4.4.4,8.8.8.8
    

    nebo pokud chcete omezit přístup SSH:

    $ssh = New-AksHciSSHConfiguration -name sshConfig –restrictSSHCommands 
    

    Poznámka

    Pokud klíče SSH nepředáte, klíče SSH clusteru pro správu se znovu použijí.

  2. Přidejte konfiguraci SSH spuštěním rutiny Set-AksHciConfig a předáním konfigurace SSH, kterou jste vytvořili v předchozím kroku:

    Set-AksHciConfig -ssh $ssh
    

Ověření: cílový cluster

Po vytvoření clusteru můžete ručně ověřit, jestli se přidalo omezení SSH, a to tak, že se pokusíte do jednoho z virtuálních počítačů použít SSH. Příklad:

ssh -i (get-MocConfig).sshPrivateKey clouduser@<vm-ipaddress>

Tento krok můžete provést v seznamu zadaných IP adres nebo identifikátorů CIDR nebo mimo seznam IP adres. SSH z rozsahu IP adres nebo identifikátorůCIDR má přístup. Pokusy SSH mimo seznam nemají přístup.

Příkazy můžete spouštět také přímo z SSH. Tento příkaz vrátí datum. Sudo Příkazy nefungují:

ssh -i (get-mocconfig).sshPrivateKey clouduser@<ip> date 

Ověření: shromažďování protokolů

Tento příkaz vrátí protokoly virtuálních počítačů, jako cloudinitjsou , lb protokoly atd.

Get-AksHciLogs –virtualMachineLogs

Požadavky

  • Nyní je k dispozici individuální konfigurace SSH pro clustery úloh. Konfigurace pro clustery úloh používá rutinu PowerShellu New-AksHciSSHConfiguration .
  • Omezení platí jenom pro Linux. Uzly Windows toto omezení nemají. měli byste být schopni úspěšně SSH.
  • Konfiguraci můžete nastavit pouze během instalační fáze AKS Arc.
  • Pokud nesprávně nakonfigurujete nastavení SSH, musíte provést přeinstalaci.
  • Upgrady nejsou podporovány.
  • Můžete přidat identifikátory CIDR nebo IP adresy, na které lze omezit přístup SSH.
  • Nastavení SSH, které zadáte, se znovu použije pro všechny cílové clustery. Individuální konfigurace SSH pro clustery úloh není dostupná.

Další kroky