Přístup SSH k serverům s podporou Azure Arc

SSH pro servery s podporou Arc umožňuje připojení založená na SSH na serverech s podporou Arc bez nutnosti veřejné IP adresy nebo dalších otevřených portů. Tuto funkci je možné používat interaktivně, automatizovaně nebo s existujícími nástroji založenými na SSH, což umožňuje, aby stávající nástroje pro správu měly větší dopad na servery s podporou Azure Arc.

Klíčové výhody

Přístup SSH k serverům s podporou Arc poskytuje následující klíčové výhody:

• Nejsou vyžadovány žádné veřejné IP adresy ani otevřené porty SSH.
• Přístup k počítačům s Windows a Linuxem
• Možnost přihlásit se jako místní uživatel nebo uživatel Azure (jenom Linux)
• Podpora dalších nástrojů založených na OpenSSH s podporou konfiguračních souborů

Předpoklady

Pokud chcete tuto funkci povolit, ujistěte se, že:

• Ujistěte se, že server s podporou arc má hybridní verzi agenta 1.31.xxxx nebo vyšší. Spusťte: azcmagent show na serveru s podporou arc.
• Ujistěte se, že server s podporou arc má povolenou službu sshd. Pro počítače openssh-server s Linuxem je možné nainstalovat správce balíčků a je potřeba je povolit. V systému Windows musí být povolený SSHD.
• Ujistěte se, že máte přiřazenou roli Vlastník nebo Přispěvatel.

Ověřování pomocí přihlašovacích údajů Microsoft Entra má další požadavky:

• aadsshlogin a aadsshlogin-selinux (podle potřeby) musí být nainstalovány na serveru s podporou Arc. Tyto balíčky se nainstalují s rozšířením Azure AD based SSH Login – Azure Arc virtuálního počítače.

• Nakonfigurujte přiřazení rolí pro virtuální počítač. K autorizaci přihlášení virtuálního počítače se používají dvě role Azure:

  • Přihlášení virtuálního počítače Správa istrator: Uživatelé, kteří mají přiřazenou tuto roli, se mohou přihlásit k virtuálnímu počítači Azure s oprávněními správce.
  • Přihlášení uživatele virtuálního počítače: Uživatelé, kteří mají přiřazenou tuto roli, se můžou přihlásit k virtuálnímu počítači Azure s běžnými uživatelskými oprávněními.

  Uživatel Azure, který má přiřazenou roli Vlastník nebo Přispěvatel pro virtuální počítač, nemá automaticky oprávnění k přihlášení Microsoft Entra k virtuálnímu počítači přes SSH. Skupina osob, které řídí virtuální počítače, a skupina osob, které mohou k virtuálním počítačům přistupovat, jsou záměrně odděleny (a auditovány).

  Poznámka:

  Virtuální počítač Správa istrator přihlašovací role a role přihlášení uživatele virtuálního počítače se používají dataActions a dají se přiřadit ve skupině pro správu, předplatném, skupině prostředků nebo oboru prostředků. Doporučujeme přiřadit role na úrovni skupiny pro správu, předplatného nebo prostředku, nikoli na úrovni jednotlivých virtuálních počítačů. Tento postup zabraňuje riziku dosažení limitu přiřazení rolí Azure na předplatné.

Dostupnost

Přístup SSH k serverům s podporou arc se v současné době podporuje ve všech oblastech podporovaných servery s podporou arc s následujícími výjimkami:

• Německo – středozápad

Začínáme

Registrace poskytovatele prostředků Hybrid Připojení ivity

Poznámka:

Jedná se o jednorázovou operaci, kterou je potřeba provést u každého předplatného.

Zkontrolujte, jestli je zaregistrovaný poskytovatel prostředků hybrid Připojení ivity:

az provider show -n Microsoft.HybridConnectivity -o tsv --query registrationState

Pokud se poskytovatel prostředků nezaregistroval, spusťte následující příkaz:

az provider register -n Microsoft.HybridConnectivity

Dokončení této operace může trvat 2 až 5 minut. Než začnete, zkontrolujte, jestli je zaregistrovaný poskytovatel prostředků.

Vytvoření výchozího koncového bodu připojení

Poznámka:

Následující krok nemusí být spuštěný pro většinu uživatelů, protože by se měl automaticky dokončit při prvním připojení. Tento krok musí být dokončen pro každý server s podporou arc.

Vytvořte výchozí koncový bod pomocí Azure CLI:

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{"properties": {"type": "default"}}'

Poznámka:

Pokud používáte Azure CLI z PowerShellu, měli byste použít následující:

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{\"properties\":{\"type\":\"default\"}}'

Ověření vytvoření koncového bodu:

az rest --method get --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15

Vytvořte výchozí koncový bod pomocí Azure PowerShellu:

Invoke-AzRestMethod -Method put -Path /subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 -Payload '{"properties": {"type": "default"}}'

Ověření vytvoření koncového bodu:

Invoke-AzRestMethod -Method get -Path /subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15

Instalace místního nástroje příkazového řádku

Tato funkce je aktuálně zabalená v rozšíření Azure CLI a modulu Azure PowerShellu.

Instalace rozšíření Azure CLI

az extension add --name ssh

Poznámka:

Verze rozšíření Azure CLI musí být větší než 2.0.0.

Instalace modulu Azure PowerShellu

Install-Module -Name Az.Ssh -Scope CurrentUser -Repository PSGallery
Install-Module -Name Az.Ssh.ArcProxy -Scope CurrentUser -Repository PSGallery

Povolení funkcí na serveru s podporou Arc

Pokud chcete použít funkci připojení SSH, musíte aktualizovat konfiguraci služby v koncovém bodu Připojení ivity na serveru s podporou arc, aby bylo možné připojení SSH ke konkrétnímu portu. Můžete povolit pouze připojení k jednomu portu. Nástroje rozhraní příkazového řádku se pokusí aktualizovat povolený port za běhu, ale port je možné ručně nakonfigurovat pomocí následujících možností:

Poznámka:

Po aktualizaci konfigurace služby může dojít ke zpoždění, dokud se nebudete moct připojit.

Azure CLI

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 --body "{\"properties\": {\"serviceName\": \"SSH\", \"port\": 22}}"

Azure PowerShell

Invoke-AzRestMethod -Method put -Path /subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 -Payload '{"properties": {"serviceName": "SSH", "port": 22}}'

Pokud pro připojení SSH používáte nestandardní port, nahraďte port 22 požadovaným portem v předchozím příkazu.

Volitelné: Instalace rozšíření pro přihlášení k Azure AD

Rozšíření Azure AD based SSH Login – Azure Arc virtuálního počítače lze přidat z nabídky rozšíření serveru Arc. Rozšíření pro přihlášení k Azure AD je také možné nainstalovat místně prostřednictvím správce apt-get install aadsshlogin balíčků: nebo pomocí následujícího příkazu.

az connectedmachine extension create --machine-name <arc enabled server name> --resource-group <resourcegroup> --publisher Microsoft.Azure.ActiveDirectory --name AADSSHLogin --type AADSSHLoginForLinux --location <location>

Příklady

Pokud chcete zobrazit příklady, podívejte se na stránku dokumentace Az CLI pro az ssh nebo stránku dokumentace Azure PowerShellu pro Az.Ssh.

Další kroky

• Další informace o OpenSSH pro Windows
• Přečtěte si o řešení potíží s přístupem SSH k serverům s podporou Azure Arc.
• Přečtěte si o řešení potíží s připojením agenta.