Share via

SSH-hozzáférés az Azure Arc-kompatibilis kiszolgálókhoz

  • Cikk

Az Arc-kompatibilis kiszolgálókhoz készült SSH lehetővé teszi az Arc-kompatibilis kiszolgálókhoz való SSH-alapú kapcsolatokat anélkül, hogy nyilvános IP-címet vagy további nyitott portokat kellene megadnia. Ez a funkció interaktívan, automatizáltan vagy meglévő SSH-alapú eszközökkel is használható, így a meglévő felügyeleti eszközök nagyobb hatással lehetnek az Azure Arc-kompatibilis kiszolgálókra.

Fő előnyök

Az Arc-kompatibilis kiszolgálókhoz való SSH-hozzáférés a következő fő előnyöket biztosítja:

  • Nincs szükség nyilvános IP-címre vagy nyitott SSH-portra
  • Hozzáférés Windows- és Linux-gépekhez
  • Bejelentkezés helyi felhasználóként vagy Azure-felhasználóként (csak Linux esetén)
  • Egyéb OpenSSH-alapú eszközök támogatása konfigurációs fájltámogatással

Előfeltételek

A funkció engedélyezéséhez győződjön meg a következőkről:

  • Győződjön meg arról, hogy az Arc-kompatibilis kiszolgáló "1.31.xxxx" vagy újabb hibrid ügynökverzióval rendelkezik. Futtatás: azcmagent show az Arc-kompatibilis kiszolgálón.
  • Győződjön meg arról, hogy az Arc-kompatibilis kiszolgálón engedélyezve van az "sshd" szolgáltatás. Linux rendszerű gépek openssh-server csomagkezelőn keresztül telepíthetők, és engedélyezni kell. Az SSHD-t engedélyezni kell Windows rendszeren.
  • Győződjön meg arról, hogy tulajdonosi vagy közreműködői szerepkör van hozzárendelve.

A Microsoft Entra hitelesítő adatainak hitelesítése további követelményekkel rendelkezik:

  • aadsshlogin és aadsshlogin-selinux (adott esetben) az Arc-kompatibilis kiszolgálón kell telepíteni. Ezek a csomagok a virtuálisgép-bővítménnyel Azure AD based SSH Login – Azure Arc vannak telepítve.

  • Konfigurálja a virtuális gép szerepkör-hozzárendeléseit. A virtuális gépre való bejelentkezés hitelesítéséhez két Azure-szerepkör használható.

    • Virtuális gép Rendszergazda istrator Bejelentkezés: A szerepkörrel rendelkező felhasználók rendszergazdai jogosultságokkal jelentkezhetnek be egy Azure-beli virtuális gépre.
    • Virtuális gép felhasználói bejelentkezése: A szerepkörrel rendelkező felhasználók bejelentkezhetnek egy rendszeres felhasználói jogosultságokkal rendelkező Azure-beli virtuális gépre.

    Azok az Azure-felhasználók, akiknek tulajdonosi vagy közreműködői szerepköre van hozzárendelve egy virtuális géphez, nem rendelkeznek automatikusan jogosultságokkal a Microsoft Entra számára, hogy SSH-val jelentkezzenek be a virtuális gépre. Szándékosan (és ellenőrzött módon) vannak különválasztva azok a személyek, akik felügyelik a virtuális gépeket, és azok, akik hozzáférhetnek a virtuális gépekhez.

    Megjegyzés:

    A virtuális gép Rendszergazda istrator bejelentkezési és virtuálisgép-felhasználói bejelentkezési szerepkörei használhatókdataActions, és hozzárendelhetők a felügyeleti csoporthoz, előfizetéshez, erőforráscsoporthoz vagy erőforrás-hatókörhöz. Javasoljuk, hogy a szerepköröket a felügyeleti csoport, az előfizetés vagy az erőforrás szintjén rendelje hozzá, és ne az egyes virtuális gépek szintjén. Ez a gyakorlat elkerüli az Előfizetésenkénti Azure-szerepkör-hozzárendelési korlát elérésének kockázatát.

Availability

Az Arc-kompatibilis kiszolgálókhoz való SSH-hozzáférés jelenleg az Arc-kompatibilis kiszolgálók által támogatott összes régióban támogatott, az alábbi kivételekkel:

  • Germany West Central

Első lépések

A hibrid Csatlakozás ivitási erőforrás-szolgáltató regisztrálása

Megjegyzés:

Ez egy egyszeri művelet, amelyet minden előfizetésen végre kell hajtani.

Ellenőrizze, hogy a hibrid Csatlakozás ivitási erőforrás-szolgáltató (RP) regisztrálva van-e:

az provider show -n Microsoft.HybridConnectivity -o tsv --query registrationState

Ha az RP nincs regisztrálva, futtassa a következőket:

az provider register -n Microsoft.HybridConnectivity

A művelet végrehajtása 2–5 percet is igénybe vehet. Mielőtt továbblépne, ellenőrizze, hogy az RP regisztrálva van-e.

Alapértelmezett kapcsolati végpont létrehozása

Megjegyzés:

A következő lépést nem kell futtatni a felhasználók többsége számára, mivel az első kapcsolatnál automatikusan végre kell hajtania. Ezt a lépést minden Arc-kompatibilis kiszolgáló esetében végre kell hajtani.

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{"properties": {"type": "default"}}'

Megjegyzés:

Ha az Azure CLI-t a PowerShellből használja, a következőket kell használnia.

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{\"properties\":{\"type\":\"default\"}}'

Végpontlétrehozás ellenőrzése:

az rest --method get --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15

Helyi parancssori eszköz telepítése

Ez a funkció jelenleg egy Azure CLI-bővítményben és egy Azure PowerShell-modulban van csomagolva.

az extension add --name ssh

Megjegyzés:

Az Azure CLI bővítményverziójának 2.0.0-nál nagyobbnak kell lennie.

Funkciók engedélyezése az Arc-kompatibilis kiszolgálón

Az SSH kapcsolódási funkció használatához frissítenie kell a szolgáltatáskonfigurációt az Arc-kompatibilis kiszolgáló Csatlakozás ivity végpontján, hogy engedélyezve legyen az SSH-kapcsolat egy adott porthoz. Csak egyetlen porthoz engedélyezhet kapcsolatot. A parancssori felület eszközei futásidőben próbálják frissíteni az engedélyezett portot, de a port manuálisan konfigurálható a következőkkel:

Megjegyzés:

Előfordulhat, hogy a szolgáltatáskonfiguráció frissítése után késés tapasztalható, amíg nem tud csatlakozni.

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 --body "{\"properties\": {\"serviceName\": \"SSH\", \"port\": 22}}"

Ha nem megfelelő portot használ az SSH-kapcsolathoz, cserélje le a 22-es portot a kívánt portra az előző parancsban.

Nem kötelező: Az Azure AD bejelentkezési bővítmény telepítése

A Azure AD based SSH Login – Azure Arc virtuálisgép-bővítmény hozzáadható az Arc-kiszolgáló bővítmények menüjéből. Az Azure AD bejelentkezési bővítmény helyileg is telepíthető egy csomagkezelőn keresztül: apt-get install aadsshlogin vagy az alábbi paranccsal.

az connectedmachine extension create --machine-name <arc enabled server name> --resource-group <resourcegroup> --publisher Microsoft.Azure.ActiveDirectory --name AADSSHLogin --type AADSSHLoginForLinux --location <location>

Példák

Példák megtekintéséhez tekintse meg az az ssh Az CLI dokumentációs oldalát vagy az Az.Ssh-hoz készült Azure PowerShell dokumentációs oldalát.

Következő lépések