Condividi tramite

Gestire SSH per l'accesso sicuro ai nodi del servizio Azure Kubernetes

Questo articolo descrive come configurare l'accesso SSH (anteprima) nei cluster o nei pool di nodi del servizio Azure Kubernetes durante la distribuzione iniziale o in un secondo momento.

AKS supporta le seguenti opzioni di configurazione per gestire l'accesso SSH sui nodi del cluster.

  • Disabilitato SSH: disabilitare completamente l'accesso SSH ai nodi del cluster per una sicurezza avanzata
  • SSH basato su Entra ID: usare le credenziali dell'ID Entra di Microsoft per l'autenticazione SSH. Vantaggi dell'uso di ENTRA ID basato su SSH:
    • Gestione centralizzata delle identità: usare le identità entra ID esistenti per accedere ai nodi del cluster
    • Nessuna gestione delle chiavi SSH: elimina la necessità di generare, distribuire e ruotare le chiavi SSH
    • Sicurezza avanzata: sfruttare le funzionalità di sicurezza di Entra ID, ad esempio l'accesso condizionale e l'autenticazione a più fattori
    • Controllo e conformità: registrazione centralizzata degli eventi di accesso tramite i log entra ID
    • Accesso just-in-time: combinare con il controllo degli accessi in base al ruolo di Azure per il controllo di accesso granulare
  • Ssh utente locale: autenticazione basata su chiave SSH tradizionale per l'accesso al nodo

Importante

Le funzionalità di anteprima del servizio Azure Kubernetes sono disponibili in modalità self-service e con consenso esplicito. Le anteprime vengono fornite "così come sono" e "come disponibili" e sono escluse dai contratti di servizio e dalla garanzia limitata. Le anteprime del servizio Azure Kubernetes sono parzialmente coperte dal supporto clienti con la massima diligenza possibile. Di conseguenza, queste funzionalità non sono destinate all'uso in ambienti di produzione. Per altre informazioni, vedere gli articoli di supporto seguenti:

Importante

Le funzionalità di anteprima del servizio Azure Kubernetes sono disponibili in modalità self-service e con consenso esplicito. Le anteprime vengono fornite "così come sono" e "come disponibili" e sono escluse dai contratti di servizio e dalla garanzia limitata. Le anteprime del servizio Azure Kubernetes sono parzialmente coperte dal supporto clienti con la massima diligenza possibile. Di conseguenza, queste funzionalità non sono destinate all'uso in ambienti di produzione. Per altre informazioni, vedere gli articoli di supporto seguenti:

Prerequisiti

  • Questo articolo richiede la versione 2.61.0 o successiva dell'interfaccia della riga di comando di Azure. Se si usa Azure Cloud Shell, la versione più recente è già installata.

  • È necessaria aks-preview la versione 9.0.0b1 o successiva.

    • Se l'estensione aks-preview non è già disponibile, installarla usando il az extension add comando : 
      az extension add --name aks-preview
    • Se l'estensione aks-preview è già disponibile, aggiornarla per assicurarsi di avere la versione più recente usando il az extension update comando : 
      az extension update --name aks-preview

  • Registrare il flag della funzionalità DisableSSHPreview usando il comando az feature register.

    az feature register --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"

    Sono necessari alcuni minuti per visualizzare lo stato Registered.

  • Verificare lo stato della registrazione usando il comando az feature show.

    az feature show --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"

  • Quando lo stato diventa Registrato, aggiornare la registrazione del provider di risorse Microsoft.ContainerService usando il comando az provider register.

    az provider register --namespace Microsoft.ContainerService

  • Questo articolo richiede la versione 2.73.0 o successiva dell'interfaccia della riga di comando di Azure. Se si usa Azure Cloud Shell, la versione più recente è già installata.

  • È necessaria aks-preview la versione 19.0.0b7 o successiva per Entra ID SSH.

    • Se l'estensione aks-preview non è già disponibile, installarla usando il az extension add comando : 
      az extension add --name aks-preview
    • Se l'estensione aks-preview è già disponibile, aggiornarla per assicurarsi di avere la versione più recente usando il az extension update comando : 
      az extension update --name aks-preview

  • Autorizzazioni appropriate di Azure RBAC per accedere ai nodi:

    • Azione richiesta: Microsoft.Compute/virtualMachineScaleSets/*/read per leggere le informazioni sui set di scalabilità di macchine virtuali
      • Azione dati richiesta:
        • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/login/action : per autenticare e accedere alle macchine virtuali come utente normale.
        • Microsoft.Compute/virtualMachines/loginAsAdmin/action - per accedere con privilegi utente root.
      • Ruolo predefinito: Accesso amministratore macchina virtuale o accesso utente macchina virtuale (per l'accesso non amministratore)

  • Registrare il flag della funzionalità EntraIdSSHPreview usando il comando az feature register.

    az feature register --namespace "Microsoft.ContainerService" --name "EntraIdSSHPreview"

    Sono necessari alcuni minuti per visualizzare lo stato Registered.

  • Verificare lo stato della registrazione usando il comando az feature show.

    az feature show --namespace "Microsoft.ContainerService" --name "EntraIdSSHPreview"

  • Quando lo stato diventa Registrato, aggiornare la registrazione del provider di risorse Microsoft.ContainerService usando il comando az provider register.

    az provider register --namespace Microsoft.ContainerService
  • Questo articolo richiede la versione 2.61.0 o successiva dell'interfaccia della riga di comando di Azure. Se si usa Azure Cloud Shell, la versione più recente è già installata.
  • È necessaria aks-preview la versione 9.0.0b1 o successiva per aggiornare il metodo di accesso SSH nei pool di nodi.
    • Se l'estensione aks-preview non è già disponibile, installarla usando il az extension add comando : 
      az extension add --name aks-preview
    • Se l'estensione aks-preview è già disponibile, aggiornarla per assicurarsi di avere la versione più recente usando il az extension update comando : 
      az extension update --name aks-preview

Impostare le variabili di ambiente

Impostare le variabili di ambiente seguenti per il gruppo di risorse, il nome del cluster e la posizione:

export RESOURCE_GROUP="<your-resource-group-name>"
export CLUSTER_NAME="<your-cluster-name>"
export LOCATION="<your-azure-region>"

Limitazioni

  • Entra ID SSH per i nodi non è ancora disponibile per il pool di nodi Windows.
  • Entra ID SSH ai nodi non è supportato nel servizio Azure Kubernetes automatico a causa del blocco del gruppo di risorse del nodo che impedisce le assegnazioni di ruolo.

Configurare l'accesso SSH

Per migliorare la sicurezza e supportare i requisiti o la strategia di sicurezza aziendali, il servizio Azure Kubernetes supporta la disabilitazione di SSH sia nel cluster che a livello di pool di nodi. La disabilitazione di SSH introduce un approccio semplificato rispetto alla configurazione delle regole del gruppo di sicurezza di rete sulla scheda di interfaccia di rete (NIC) della subnet/nodo di AKS. Disabilitare SSH supporta solo i pool di nodi dei set di scalabilità di macchine virtuali.

Quando si disabilita SSH in fase di creazione del cluster, questo diventa effettivo dopo la creazione del cluster. Tuttavia, quando si disabilita SSH in un cluster o in un pool di nodi esistente, il servizio Azure Kubernetes non disabilita automaticamente SSH. In qualsiasi momento, è possibile scegliere di eseguire un'operazione di aggiornamento del pool di nodi. L'operazione disable/enable SSH diventa effettiva dopo il completamento dell'aggiornamento dell'immagine del nodo.

Note

Quando si disabilita SSH a livello di cluster, si applica a tutti i pool di nodi esistenti. Tutti i pool di nodi creati dopo questa operazione avranno SSH abilitato per impostazione predefinita e sarà necessario eseguire di nuovo questi comandi per disabilitarlo.

Note

Il nodo di debug kubectl continua a funzionare dopo aver disabilitato SSH perché non dipende dal servizio SSH.

Creare un gruppo di risorse

Creare un gruppo di risorse usando il comando az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Disabilitare SSH in una nuova distribuzione del cluster

Per impostazione predefinita, il servizio SSH nei nodi del cluster del servizio Azure Kubernetes è aperto a tutti gli utenti e i pod in esecuzione nel cluster. È possibile impedire l'accesso SSH diretto da qualsiasi rete ai nodi del cluster per limitare il vettore di attacco se un contenitore in un pod viene compromesso.

Usare il comando az aks create per creare un nuovo cluster e includere l'argomento --ssh-access disabled per disabilitare SSH (anteprima) in tutti i pool di nodi durante la creazione del cluster.

Importante

Dopo aver disabilitato il servizio SSH, non è possibile accedere a SSH nel cluster per eseguire attività amministrative o risolvere i problemi.

Note

In un cluster appena creato, disabilitare SSH configurerà solo il primo pool di nodi di sistema. Tutti gli altri pool di nodi devono essere configurati a livello di pool di nodi.

az aks create --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --ssh-access disabled

Il comando viene completato dopo pochi minuti e vengono restituite informazioni in formato JSON sul cluster. L'esempio seguente è simile all'output e ai risultati correlati alla disabilitazione di SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Disabilitare SSH per un nuovo pool di nodi

Usare il comando az aks nodepool add per aggiungere un pool di nodi e includere l'argomento --ssh-access disabled per disabilitare SSH durante la creazione del pool di nodi.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access disabled

Dopo alcuni minuti, il comando viene completato e restituisce informazioni in formato JSON sul cluster che indica che mynodepool è stato creato correttamente. L'esempio seguente è simile all'output e ai risultati correlati alla disabilitazione di SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Disabilitare SSH per un pool di nodi esistente

Importante

Le funzionalità di anteprima del servizio Azure Kubernetes sono disponibili in modalità self-service e con consenso esplicito. Le anteprime vengono fornite "così come sono" e "come disponibili" e sono escluse dai contratti di servizio e dalla garanzia limitata. Le anteprime del servizio Azure Kubernetes sono parzialmente coperte dal supporto clienti con la massima diligenza possibile. Di conseguenza, queste funzionalità non sono destinate all'uso in ambienti di produzione. Per altre informazioni, vedere gli articoli di supporto seguenti:

Usare il comando az aks nodepool update con l'argomento --ssh-access disabled per disabilitare SSH (anteprima) in un pool di nodi esistente.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access disabled

Dopo alcuni minuti, il comando viene completato e restituisce informazioni in formato JSON sul cluster che indica che mynodepool è stato aggiornato correttamente. L'esempio seguente è simile all'output e ai risultati correlati alla disabilitazione di SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Per rendere effettiva la modifica, è necessario creare nuovamente l'immagine del pool di nodi usando il comando az aks nodepool upgrade.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Importante

Per disabilitare SSH in un cluster esistente, è necessario disabilitare SSH per ogni pool di nodi nel cluster.

Riabilitare l'accesso SSH

Per riabilitare l'accesso SSH in un pool di nodi, aggiornare il pool di nodi con --ssh-access localuser (per l'accesso basato su chiave SSH tradizionale) o --ssh-access entraid (per l'accesso basato su ID Entra). Per istruzioni dettagliate, vedere le rispettive sezioni.

È possibile configurare il cluster AKS per usare Microsoft Entra ID (precedentemente Azure AD) per l'autenticazione SSH nei nodi del cluster. In questo modo si elimina la necessità di gestire le chiavi SSH e di usare le credenziali entra ID per accedere in modo sicuro ai nodi.

Creare un gruppo di risorse

Creare un gruppo di risorse usando il comando az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Abilitare l'ID Entra basato su SSH in un nuovo cluster

Usare il comando az aks create con l'argomento --ssh-access entraid per abilitare l'autenticazione SSH basata su Entra ID durante la creazione del cluster.

az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --ssh-access entraid

Il comando viene completato dopo pochi minuti e vengono restituite informazioni in formato JSON sul cluster. L'esempio seguente è simile all'output:

"securityProfile": {
  "sshAccess": "EntraID"
},

Abilitare SSH basato su Entra ID per un nuovo pool di nodi

Usare il az aks nodepool add comando con l'argomento --ssh-access entraid per abilitare SSH basato su Entra ID durante la creazione del pool di nodi.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access entraid

Dopo alcuni minuti, il comando viene completato e restituisce informazioni in formato JSON che indicano che mynodepool è stato creato correttamente con ENTRA ID basato su SSH. L'esempio seguente è simile all'output:

"securityProfile": {
  "sshAccess": "EntraID"
},

Abilitare SSH basato su Entra ID per un pool di nodi esistente

Usare il comando az aks nodepool update con l'argomento --ssh-access entraid per abilitare SSH basato su Entra ID in un pool di nodi esistente.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access entraid

Dopo alcuni minuti, il comando viene completato e restituisce informazioni in formato JSON che indicano che mynodepool è stato aggiornato correttamente con ENTRA ID basato su SSH. L'esempio seguente è simile all'output:

"securityProfile": {
  "sshAccess": "EntraID"
},

Per rendere effettiva la modifica, è necessario creare nuovamente l'immagine del pool di nodi usando il comando az aks nodepool upgrade.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Importante

Per abilitare Entra ID basato su SSH in un cluster esistente, è necessario abilitarlo singolarmente per ogni pool di nodi.

L'accesso SSH utente locale usa l'autenticazione tradizionale basata su chiavi SSH. Questo è il metodo di accesso SSH predefinito per i cluster del servizio Azure Kubernetes.

Creare un gruppo di risorse

Creare un gruppo di risorse usando il comando az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Creare un cluster del servizio Azure Kubernetes con chiavi SSH

Usare il comando az aks create per distribuire un cluster del servizio Azure Kubernetes con una chiave pubblica SSH. È possibile specificare la chiave o un file di chiave usando l'argomento --ssh-key-value oppure usare --ssh-access localuser per impostare in modo esplicito l'accesso SSH dell'utente locale.

Parametro SSH Descrizione Valore predefinito
--generate-ssh-key Se non si hanno chiavi SSH personalizzate, specificare --generate-ssh-key. L'interfaccia della riga di comando di Azure genera automaticamente un set di chiavi SSH e le salva nella directory ~/.ssh/ predefinita.
--ssh-key-value Percorso della chiave pubblica o contenuto della chiave da installare nelle macchine virtuali del nodo per l'accesso SSH. Ad esempio: ssh-rsa AAAAB...snip...UcyupgH azureuser@linuxvm. ~/.ssh/id_rsa.pub
--ssh-access localuser Abilitare in modo esplicito l'accesso SSH dell'utente locale con l'autenticazione basata su chiave.
--no-ssh-key Se non sono necessarie chiavi SSH, specificare questo argomento. Tuttavia, il servizio Azure Kubernetes genera automaticamente un set di chiavi SSH perché la dipendenza delle risorse della macchina virtuale di Azure non supporta un file di chiavi SSH vuoto. Di conseguenza, le chiavi non vengono restituite e non possono essere usate per ssh nelle macchine virtuali del nodo. La chiave privata viene eliminata e non salvata.

Note

Se non vengono specificati dei parametri, per impostazione predefinita l'interfaccia della riga di comando di Azure fa riferimento alle chiavi SSH archiviate nel file ~/.ssh/id_rsa.pub. Se le chiavi non vengono trovate, il comando restituisce il messaggio An RSA key file or key value must be supplied to SSH Key Value.

Esempi:

  • Per creare un cluster e usare le chiavi SSH generate predefinite:

    az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --generate-ssh-key

  • Per specificare un file di chiave pubblica SSH:

    az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value ~/.ssh/id_rsa.pub

  • Per abilitare in modo esplicito l'accesso SSH dell'utente locale:

    az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-access localuser --generate-ssh-key

Abilitare SSH utente locale per un nuovo pool di nodi

Usare il comando az aks nodepool add con l'argomento --ssh-access localuser per abilitare SSH dell'utente locale durante la creazione del pool di nodi.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access localuser

Abilitare SSH utente locale per un pool di nodi esistente

Importante

Le funzionalità di anteprima del servizio Azure Kubernetes sono disponibili in modalità self-service e con consenso esplicito. Le anteprime vengono fornite "così come sono" e "come disponibili" e sono escluse dai contratti di servizio e dalla garanzia limitata. Le anteprime del servizio Azure Kubernetes sono parzialmente coperte dal supporto clienti con la massima diligenza possibile. Di conseguenza, queste funzionalità non sono destinate all'uso in ambienti di produzione. Per altre informazioni, vedere gli articoli di supporto seguenti:

Usare il comando az aks nodepool update con l'argomento --ssh-access localuser per abilitare SSH per l'utente locale su un pool di nodi esistente.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access localuser

Importante

Per rendere effettiva la modifica, è necessario creare nuovamente l'immagine del pool di nodi usando il comando az aks nodepool upgrade.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Aggiornare la chiave pubblica SSH in un cluster del servizio Azure Kubernetes esistente

Usare il comando az aks update per aggiornare la chiave pubblica SSH (anteprima) nel cluster. Questa operazione aggiorna la chiave in tutti i pool di nodi. È possibile specificare una chiave o un file di chiave usando l'argomento --ssh-key-value.

Note

L'aggiornamento delle chiavi SSH è supportato nei set di scalabilità di macchine virtuali di Azure con cluster del servizio Azure Kubernetes.

Esempi:

  • Per specificare un nuovo valore di chiave pubblica SSH:

    az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value 'ssh-rsa AAAAB3Nza-xxx'

  • Per specificare un file di chiave pubblica SSH:

    az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value ~/.ssh/id_rsa.pub

Importante

Dopo aver aggiornato la chiave SSH, il servizio Azure Kubernetes non aggiorna automaticamente il pool di nodi. In qualsiasi momento, è possibile scegliere di eseguire un'operazione di aggiornamento del pool di nodi. L'operazione di aggiornamento delle chiavi SSH diventa effettiva dopo il completamento di un aggiornamento dell'immagine del nodo. Per i cluster con l'opzione Provisioning automatico dei nodi abilitata, è possibile eseguire un aggiornamento dell'immagine del nodo applicando una nuova etichetta alla risorsa NodePool di Kubernetes personalizzata.

Verificare lo stato del servizio SSH

Dopo aver disabilitato SSH, è possibile verificare che il servizio SSH sia inattivo nei nodi del cluster.

Usare il comando Set di scalabilità delle macchine virtuali az vmss run-command invoke per controllare lo stato del servizio SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

L'output di esempio seguente mostra il risultato previsto quando SSH è disabilitato:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n○ ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; disabled; vendor preset: enabled)\n     Active: inactive (dead) since Wed 2024-01-03 15:36:53 UTC; 25min ago\n..."
    }
  ]
}

Cercare la parola Active e verificare che il relativo valore sia Active: inactive (dead), che conferma che SSH è disabilitato nel nodo.

Dopo aver abilitato ENTRA ID basato su SSH, è possibile verificare che il servizio SSH sia attivo e configurato per l'autenticazione Entra ID nei nodi del cluster.

Usare il comando Virtual Machine Scale Set az vmss run-command invoke per controllare lo stato del servizio SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

L'output di esempio seguente mostra il risultato previsto quando SSH è abilitato:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n● ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)\n     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago\n..."
    }
  ]
}

Cercare la parola Active e verificare che il relativo valore sia Active: active (running), che conferma che SSH è abilitato nel nodo.

Dopo aver configurato SSH utente locale, è possibile verificare che il servizio SSH sia attivo nei nodi del cluster.

Usare il comando az vmss run-command invoke del set di scalabilità delle macchine virtuali per verificare lo stato del servizio SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

L'output di esempio seguente mostra il risultato previsto quando SSH è abilitato:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n● ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)\n     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago\n..."
    }
  ]
}

Cercare la parola Active e verificare che il relativo valore sia Active: active (running), che conferma che SSH è abilitato nel nodo.

Passaggi successivi

Per risolvere eventuali problemi di connettività SSH ai nodi del cluster, è possibile visualizzare i log kubelet o visualizzare i log del nodo master Kubernetes.

  • Last updated on