Mengelola SSH untuk akses aman ke simpul Azure Kubernetes Service (AKS)

Artikel ini menjelaskan cara mengonfigurasi akses SSH (pratinjau) pada kluster AKS atau kumpulan simpul Anda, selama penyebaran awal atau di lain waktu.

AKS mendukung opsi konfigurasi berikut untuk mengelola akses SSH pada node kluster:

• SSH yang dinonaktifkan: Nonaktifkan akses SSH sepenuhnya ke node kluster untuk keamanan yang ditingkatkan
• SSH berbasis ID Entra: Gunakan kredensial ID Microsoft Entra untuk autentikasi SSH. Manfaat menggunakan SSH berbasis Id Entra:
  • Manajemen identitas terpusat: Gunakan identitas ID Entra yang ada untuk mengakses node kluster
  • Tidak ada manajemen kunci SSH: Menghilangkan kebutuhan untuk menghasilkan, mendistribusikan, dan memutar kunci SSH
  • Keamanan yang Ditingkatkan: Manfaatkan fitur keamanan Entra ID seperti Akses Bersyarat dan MFA
  • Audit dan kepatuhan: Pencatatan terpusat peristiwa akses melalui log ID Entra
  • Akses just-in-time: Gabungkan dengan Azure RBAC untuk kontrol akses terperinci
• SSH Pengguna Lokal: Autentikasi berbasis kunci SSH tradisional untuk akses simpul

Penting

Fitur pratinjau AKS tersedia berdasarkan layanan mandiri dan opsi pilihan. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan dikecualikan dari perjanjian tingkat layanan dan garansi terbatas. Pratinjau AKS sebagian dicakup oleh dukungan pelanggan berdasarkan upaya terbaik. Dengan demikian, fitur-fitur ini tidak dimaksudkan untuk penggunaan produksi. Untuk informasi lebih lanjut, lihat artikel dukungan berikut ini:

• Kebijakan dukungan AKS
• Tanya Jawab Umum dukungan Azure

Penting

Fitur pratinjau AKS tersedia berdasarkan layanan mandiri dan opsi pilihan. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan dikecualikan dari perjanjian tingkat layanan dan garansi terbatas. Pratinjau AKS sebagian dicakup oleh dukungan pelanggan berdasarkan upaya terbaik. Dengan demikian, fitur-fitur ini tidak dimaksudkan untuk penggunaan produksi. Untuk informasi lebih lanjut, lihat artikel dukungan berikut ini:

• Kebijakan dukungan AKS
• Tanya Jawab Umum dukungan Azure

Prasyarat

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai menggunakan Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah az login. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Mengautentikasi ke Azure menggunakan Azure CLI.

  • Saat diminta, instal ekstensi Azure CLI saat pertama kali digunakan. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan dan mengelola ekstensi dengan Azure CLI.

  • Jalankan az version untuk menemukan versi dan pustaka dependen yang terinstal. Untuk meng-upgrade ke versi terbaru, jalankan az upgrade.

• Artikel ini memerlukan Azure CLI versi 2.61.0 atau yang lebih baru. Jika Anda menggunakan Azure Cloud Shell, versi terbaru sudah diinstal di sana.

• Anda memerlukan aks-preview versi 9.0.0b1 atau yang lebih baru.

  • Jika Anda belum memiliki aks-preview ekstensi, instal menggunakan az extension add perintah :

    az extension add --name aks-preview
    

  • Jika Anda sudah memiliki aks-preview ekstensi, perbarui untuk memastikan Anda memiliki versi terbaru menggunakan az extension update perintah :

    az extension update --name aks-preview
    

• Daftarkan DisableSSHPreview penanda fitur menggunakan az feature register perintah.

  az feature register --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"
  

  Dibutuhkan beberapa menit agar status menampilkan Terdaftar.

• Verifikasi status pendaftaran menggunakan az feature show perintah .

  az feature show --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"
  

• Saat status mencerminkan Terdaftar, segarkan pendaftaran penyedia sumber daya Microsoft.ContainerService dengan menggunakan perintah az provider register.

  az provider register --namespace Microsoft.ContainerService
  

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai menggunakan Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah az login. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Mengautentikasi ke Azure menggunakan Azure CLI.

  • Saat diminta, instal ekstensi Azure CLI saat pertama kali digunakan. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan dan mengelola ekstensi dengan Azure CLI.

  • Jalankan az version untuk menemukan versi dan pustaka dependen yang terinstal. Untuk meng-upgrade ke versi terbaru, jalankan az upgrade.

• Artikel ini memerlukan Azure CLI versi 2.73.0 atau yang lebih baru. Jika Anda menggunakan Azure Cloud Shell, versi terbaru sudah diinstal di sana.

• Anda memerlukan aks-preview versi 19.0.0b7 atau yang lebih baru untuk Entra ID SSH.

  • Jika Anda belum memiliki aks-preview ekstensi, instal menggunakan az extension add perintah :

    az extension add --name aks-preview
    

  • Jika Anda sudah memiliki aks-preview ekstensi, perbarui untuk memastikan Anda memiliki versi terbaru menggunakan az extension update perintah :

    az extension update --name aks-preview
    

• Izin Azure RBAC yang sesuai untuk mengakses simpul:

  • Tindakan yang diperlukan: Microsoft.Compute/virtualMachineScaleSets/*/read - untuk membaca informasi Virtual Machine Scale Sets
    • Tindakan data yang diperlukan:
      • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/login/action - untuk mengautentikasi dan masuk ke VM sebagai pengguna biasa.
      • Microsoft.Compute/virtualMachines/loginAsAdmin/action - untuk masuk dengan hak istimewa pengguna root.
    • Peran bawaan: Masuk Administrator Komputer Virtual atau Masuk Pengguna Komputer Virtual (untuk akses non-admin)

• Daftarkan EntraIdSSHPreview penanda fitur menggunakan az feature register perintah.

  az feature register --namespace "Microsoft.ContainerService" --name "EntraIdSSHPreview"
  

  Dibutuhkan beberapa menit agar status menampilkan Terdaftar.

• Verifikasi status pendaftaran menggunakan az feature show perintah .

  az feature show --namespace "Microsoft.ContainerService" --name "EntraIdSSHPreview"
  

• Saat status mencerminkan Terdaftar, segarkan pendaftaran penyedia sumber daya Microsoft.ContainerService dengan menggunakan perintah az provider register.

  az provider register --namespace Microsoft.ContainerService
  

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai menggunakan Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah az login. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Mengautentikasi ke Azure menggunakan Azure CLI.

  • Saat diminta, instal ekstensi Azure CLI saat pertama kali digunakan. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan dan mengelola ekstensi dengan Azure CLI.

  • Jalankan az version untuk menemukan versi dan pustaka dependen yang terinstal. Untuk meng-upgrade ke versi terbaru, jalankan az upgrade.

• Artikel ini memerlukan Azure CLI versi 2.61.0 atau yang lebih baru. Jika Anda menggunakan Azure Cloud Shell, versi terbaru sudah diinstal di sana.
• Anda memerlukan aks-preview versi 9.0.0b1 atau yang lebih baru untuk memperbarui metode akses SSH pada nodepool.
  • Jika Anda belum memiliki aks-preview ekstensi, instal menggunakan az extension add perintah :

    az extension add --name aks-preview
    

  • Jika Anda sudah memiliki aks-preview ekstensi, perbarui untuk memastikan Anda memiliki versi terbaru menggunakan az extension update perintah :

    az extension update --name aks-preview
    

Atur variabel lingkungan

Atur variabel lingkungan berikut untuk grup sumber daya, nama kluster, dan lokasi Anda:

export RESOURCE_GROUP="<your-resource-group-name>"
export CLUSTER_NAME="<your-cluster-name>"
export LOCATION="<your-azure-region>"

Keterbatasan

• Entra ID SSH ke simpul belum tersedia untuk kumpulan simpul Windows.
• Entra ID SSH ke node tidak didukung untuk AKS secara otomatis karena penguncian grup sumber daya simpul yang mencegah penetapan peran.

Mengonfigurasi akses SSH

Untuk meningkatkan keamanan dan mendukung persyaratan atau strategi keamanan perusahaan Anda, AKS mendukung penonaktifan SSH baik pada kluster maupun di tingkat kumpulan simpul. Nonaktifkan SSH memperkenalkan pendekatan yang disederhanakan dibandingkan dengan mengonfigurasi aturan kelompok keamanan jaringan pada kartu antarmuka jaringan (NIC) subnet/simpul AKS. Nonaktifkan SSH hanya mendukung kumpulan simpul Virtual Machine Scale Sets.

Ketika Anda menonaktifkan SSH pada waktu pembuatan kluster, itu berlaku setelah kluster dibuat. Namun, ketika Anda menonaktifkan SSH pada kluster atau kumpulan simpul yang ada, AKS tidak secara otomatis menonaktifkan SSH. Kapan saja, Anda dapat memilih untuk melakukan operasi peningkatan nodepool. Operasi nonaktifkan/aktifkan SSH berlaku setelah pembaruan gambar simpul selesai.

Catatan

Saat Anda menonaktifkan SSH di tingkat kluster, pengaturan tersebut berlaku untuk semua kumpulan simpul yang ada. Setiap kumpulan simpul yang dibuat setelah operasi ini akan mengaktifkan SSH secara default, dan Anda harus menjalankan perintah ini lagi untuk menonaktifkannya.

Catatan

kubectl debug node tetap berfungsi setelah Anda menonaktifkan SSH karena tidak bergantung pada layanan SSH.

Membuat grup sumber daya

Buat grup sumber daya menggunakan perintah az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Menonaktifkan SSH pada penyebaran kluster baru

Secara default, layanan SSH pada node kluster AKS terbuka untuk semua pengguna dan pod yang berjalan pada kluster. Anda dapat mencegah akses SSH langsung dari jaringan apa pun ke node kluster untuk membantu membatasi vektor serangan jika kontainer dalam pod disusupi.

Gunakan perintah az aks create untuk membuat kluster baru, dan sertakan argumen --ssh-access disabled untuk menonaktifkan SSH (pratinjau) pada semua kumpulan simpul selama pembuatan kluster.

Penting

Setelah menonaktifkan layanan SSH, Anda tidak dapat SSH ke dalam kluster untuk melakukan tugas administratif atau memecahkan masalah.

Catatan

Pada kluster yang baru dibuat, nonaktifkan SSH hanya akan mengonfigurasi kumpulan simpul sistem pertama. Semua kumpulan simpul lainnya perlu dikonfigurasi di tingkat kumpulan simpul.

az aks create --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --ssh-access disabled

Setelah beberapa menit, perintah selesai dan kembalikan informasi berformat JSON tentang kluster. Contoh berikut menyerupai output dan hasil yang terkait dengan menonaktifkan SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Menonaktifkan SSH untuk kumpulan simpul baru

az aks nodepool add Gunakan perintah untuk menambahkan kumpulan simpul, dan sertakan --ssh-access disabled argumen untuk menonaktifkan SSH selama pembuatan kumpulan simpul.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access disabled

Setelah beberapa menit, perintah menyelesaikan dan mengembalikan informasi berformat JSON tentang kluster yang menunjukkan mynodepool berhasil dibuat. Contoh berikut menyerupai output dan hasil yang terkait dengan menonaktifkan SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Nonaktifkan SSH untuk kumpulan simpul yang ada

Penting

Fitur pratinjau AKS tersedia berdasarkan layanan mandiri dan opsi pilihan. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan dikecualikan dari perjanjian tingkat layanan dan garansi terbatas. Pratinjau AKS sebagian dicakup oleh dukungan pelanggan berdasarkan upaya terbaik. Dengan demikian, fitur-fitur ini tidak dimaksudkan untuk penggunaan produksi. Untuk informasi lebih lanjut, lihat artikel dukungan berikut ini:

• Kebijakan dukungan AKS
• Tanya Jawab Umum dukungan Azure

Gunakan perintah az aks nodepool update dengan argumen --ssh-access disabled untuk menonaktifkan SSH (pratinjau) pada kumpulan simpul yang sudah ada.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access disabled

Setelah beberapa menit, perintah menyelesaikan dan mengembalikan informasi berformat JSON tentang kluster yang menunjukkan mynodepool berhasil diperbarui. Contoh berikut menyerupai output dan hasil yang terkait dengan menonaktifkan SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Agar perubahan diterapkan, Anda perlu menggambar ulang kumpulan simpul dengan menggunakan az aks nodepool upgrade perintah .

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Penting

Untuk menonaktifkan SSH pada kluster yang ada, Anda perlu menonaktifkan SSH untuk setiap kumpulan simpul pada kluster ini.

Mengaktifkan kembali akses SSH

Untuk mengaktifkan kembali akses SSH pada kumpulan simpul, perbarui kumpulan simpul dengan baik --ssh-access localuser (untuk akses berbasis kunci SSH tradisional) atau --ssh-access entraid (untuk akses berbasis ID Entra). Lihat bagian masing-masing untuk instruksi terperinci.

Anda dapat mengonfigurasi kluster AKS untuk menggunakan MICROSOFT Entra ID (sebelumnya Azure AD) untuk autentikasi SSH ke node kluster. Ini menghilangkan kebutuhan untuk mengelola kunci SSH dan memungkinkan Anda menggunakan kredensial ID Entra Anda untuk mengakses simpul dengan aman.

Membuat grup sumber daya

Buat grup sumber daya menggunakan perintah az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Mengaktifkan SSH berbasis ID Entra pada kluster baru

Gunakan perintah az aks create dengan argumen --ssh-access entraid untuk mengaktifkan autentikasi SSH yang berbasis Entra ID selama pembuatan kluster.

az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --ssh-access entraid

Setelah beberapa menit, perintah selesai dan kembalikan informasi berformat JSON tentang kluster. Contoh berikut ini menyerupai output:

"securityProfile": {
  "sshAccess": "EntraID"
},

Aktifkan SSH berbasis ID Entra untuk kumpulan simpul baru

Gunakan perintah az aks nodepool add dengan argumen --ssh-access entraid untuk mengaktifkan SSH yang berbasis Entra ID selama pembuatan node pool.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access entraid

Setelah beberapa menit, perintah menyelesaikan dan mengembalikan informasi berformat JSON yang menunjukkan mynodepool berhasil dibuat dengan SSH berbasis Entra ID. Contoh berikut menyerupai output:

"securityProfile": {
  "sshAccess": "EntraID"
},

Aktifkan SSH berbasis ID Entra untuk kumpulan simpul yang ada

Gunakan perintah az aks nodepool update dengan argumen --ssh-access entraid untuk mengaktifkan SSH berbasis Entra ID pada kumpulan node yang sudah ada.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access entraid

Setelah beberapa menit, perintah menyelesaikan dan mengembalikan informasi berformat JSON yang menunjukkan mynodepool berhasil diperbarui dengan SSH berbasis Entra ID. Contoh berikut menyerupai output:

"securityProfile": {
  "sshAccess": "EntraID"
},

Agar perubahan diterapkan, Anda perlu menggambar ulang kumpulan simpul dengan menggunakan az aks nodepool upgrade perintah .

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Penting

Untuk mengaktifkan SSH berbasis ID Entra pada kluster yang ada, Anda perlu mengaktifkannya untuk setiap kumpulan simpul satu per satu.

Akses SSH pengguna lokal menggunakan autentikasi berbasis kunci SSH tradisional. Ini adalah metode akses SSH default untuk kluster AKS.

Membuat grup sumber daya

Buat grup sumber daya menggunakan perintah az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Membuat kluster AKS dengan kunci SSH

Gunakan perintah az aks create untuk menyebarkan kluster AKS dengan kunci umum SSH. Anda dapat menentukan kunci atau file kunci menggunakan --ssh-key-value argumen , atau menggunakan --ssh-access localuser untuk secara eksplisit mengatur akses SSH pengguna lokal.

Parameter SSH	Deskripsi	Nilai bawaan
--generate-ssh-key	Jika Anda tidak memiliki kunci SSH Anda sendiri, tentukan --generate-ssh-key. Azure CLI secara otomatis menghasilkan sekumpulan kunci SSH dan menyimpannya di direktori ~/.ssh/default .
--ssh-key-value	Jalur kunci publik atau isi kunci untuk diinstal pada VM node untuk akses SSH. Contohnya,ssh-rsa AAAAB...snip...UcyupgH azureuser@linuxvm.	~/.ssh/id_rsa.pub
--ssh-access localuser	Aktifkan akses SSH pengguna lokal secara eksplisit dengan autentikasi berbasis kunci.
--no-ssh-key	Jika Anda tidak memerlukan kunci SSH, tentukan argumen ini. Namun, AKS secara otomatis menghasilkan sekumpulan kunci SSH karena dependensi sumber daya Azure Virtual Machine tidak mendukung file kunci SSH kosong. Akibatnya, kunci tidak dikembalikan dan tidak dapat digunakan untuk SSH ke dalam simpul VM. Kunci privat dibuang dan tidak disimpan.

Catatan

Jika tidak ada parameter yang ditentukan, Azure CLI default untuk mereferensikan kunci SSH yang disimpan dalam ~/.ssh/id_rsa.pub file. Jika kunci tidak ditemukan, perintah mengembalikan pesan An RSA key file or key value must be supplied to SSH Key Value.

Contoh:

• Untuk membuat kluster dan menggunakan kunci SSH yang dihasilkan default:

  az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --generate-ssh-key
  

• Untuk menentukan file kunci publik SSH:

  az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value ~/.ssh/id_rsa.pub
  

• Untuk mengaktifkan akses SSH pengguna lokal secara eksplisit:

  az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-access localuser --generate-ssh-key
  

Mengaktifkan SSH pengguna lokal untuk kumpulan simpul baru

Gunakan perintah az aks nodepool add dengan argumen --ssh-access localuser untuk mengaktifkan SSH pengguna lokal selama pembuatan kumpulan simpul.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access localuser

Mengaktifkan SSH pengguna lokal untuk kumpulan simpul yang ada

Penting

Fitur pratinjau AKS tersedia berdasarkan layanan mandiri dan opsi pilihan. Pratinjau disediakan "apa adanya" dan "sebagaimana tersedia," dan dikecualikan dari perjanjian tingkat layanan dan garansi terbatas. Pratinjau AKS sebagian dicakup oleh dukungan pelanggan berdasarkan upaya terbaik. Dengan demikian, fitur-fitur ini tidak dimaksudkan untuk penggunaan produksi. Untuk informasi lebih lanjut, lihat artikel dukungan berikut ini:

• Kebijakan dukungan AKS
• Tanya Jawab Umum dukungan Azure

Gunakan perintah az aks nodepool update dengan argumen --ssh-access localuser untuk mengaktifkan SSH pengguna lokal di kumpulan node yang sudah ada.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access localuser

Penting

Agar perubahan diterapkan, Anda perlu menggambar ulang kumpulan simpul dengan menggunakan az aks nodepool upgrade perintah .

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Memperbarui kunci publik SSH pada kluster AKS yang ada

az aks update Gunakan perintah untuk memperbarui kunci umum SSH (pratinjau) pada kluster Anda. Operasi ini memperbarui kunci pada semua kumpulan simpul. Anda dapat menentukan kunci atau file kunci menggunakan --ssh-key-value argumen .

Catatan

Memperbarui kunci SSH didukung pada skala set mesin virtual Azure dengan kluster AKS.

Contoh:

• Untuk menentukan nilai kunci publik SSH baru:

  az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value 'ssh-rsa AAAAB3Nza-xxx'
  

• Untuk menentukan file kunci publik SSH:

  az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value ~/.ssh/id_rsa.pub
  

Penting

Setelah Anda memperbarui kunci SSH, AKS tidak secara otomatis memperbarui kumpulan simpul Anda. Kapan saja, Anda dapat memilih untuk melakukan operasi peningkatan nodepool. Operasi perbarui kunci SSH berlaku setelah pembaruan gambar simpul selesai. Untuk kluster dengan Pemeliharaan Otomatis Node diaktifkan, pembaruan gambar simpul dapat dilakukan dengan menambahkan label baru pada sumber daya Kubernetes NodePool kustom.

Memverifikasi status layanan SSH

Setelah menonaktifkan SSH, Anda dapat memverifikasi bahwa layanan SSH tidak aktif pada node kluster Anda.

Gunakan perintah Virtual Machine Scale Set az vmss run-command invoke untuk memeriksa status layanan SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

Contoh output berikut menunjukkan hasil yang diharapkan saat SSH dinonaktifkan:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n○ ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; disabled; vendor preset: enabled)\n     Active: inactive (dead) since Wed 2024-01-03 15:36:53 UTC; 25min ago\n..."
    }
  ]
}

Cari kata Aktif dan verifikasi bahwa nilainya adalah Active: inactive (dead), yang mengonfirmasi SSH dinonaktifkan pada simpul.

Setelah mengaktifkan SSH berbasis Id Entra, Anda dapat memverifikasi bahwa layanan SSH aktif dan dikonfigurasi untuk autentikasi ID Entra pada node kluster Anda.

Gunakan perintah Virtual Machine Scale Set az vmss run-command invoke untuk memeriksa status layanan SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

Contoh output berikut menunjukkan hasil yang diharapkan saat SSH diaktifkan:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n● ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)\n     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago\n..."
    }
  ]
}

Cari kata Aktif dan verifikasi bahwa nilainya adalah Active: active (running), yang mengonfirmasi SSH diaktifkan pada simpul.

Setelah mengonfigurasi SSH pengguna lokal, Anda dapat memverifikasi bahwa layanan SSH aktif pada node kluster Anda.

Gunakan perintah Virtual Machine Scale Set az vmss run-command invoke untuk memeriksa status layanan SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

Contoh output berikut menunjukkan hasil yang diharapkan saat SSH diaktifkan:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n● ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)\n     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago\n..."
    }
  ]
}

Cari kata Aktif dan verifikasi bahwa nilainya adalah Active: active (running), yang mengonfirmasi SSH diaktifkan pada simpul.

Langkah berikutnya

Untuk membantu memecahkan masalah dengan konektivitas SSH ke node kluster, Anda dapat melihat log kubelet atau melihat log simpul master Kubernetes.