SSH-toegang tot servers met Azure Arc

Met SSH voor servers met Arc kunnen op SSH gebaseerde verbindingen met servers met Arc zonder een openbaar IP-adres of extra geopende poorten nodig zijn. Deze functionaliteit kan interactief, geautomatiseerd of met bestaande SSH-hulpprogramma's worden gebruikt, zodat bestaande beheerhulpprogramma's een grotere invloed kunnen hebben op servers met Azure Arc.

Belangrijkste voordelen

SSH-toegang tot servers met Arc biedt de volgende belangrijke voordelen:

• Geen openbaar IP-adres of open SSH-poorten vereist
• Toegang tot Windows- en Linux-machines
• De mogelijkheid om u aan te melden als een lokale gebruiker of een Azure-gebruiker (alleen Linux)
• Ondersteuning voor andere op OpenSSH gebaseerde hulpprogramma's met ondersteuning voor configuratiebestanden

Vereisten

Als u deze functionaliteit wilt inschakelen, moet u het volgende controleren:

• Zorg ervoor dat de server met Arc een hybride agentversie van 1.31.xxxx of hoger heeft. Uitvoeren: azcmagent show op uw Server met Arc.
• Zorg ervoor dat voor de server met Arc de sshd-service is ingeschakeld. Voor Linux-machines openssh-server kan worden geïnstalleerd via pakketbeheer en moet deze zijn ingeschakeld. SSHD moet zijn ingeschakeld in Windows.
• Zorg ervoor dat de rol Eigenaar of Bijdrager is toegewezen.

Verificatie met Microsoft Entra-referenties heeft aanvullende vereisten:

• aadsshlogin en aadsshlogin-selinux (indien van toepassing) moeten worden geïnstalleerd op de server met Arc. Deze pakketten worden geïnstalleerd met de Azure AD based SSH Login – Azure Arc VM-extensie.

• Configureer roltoewijzingen voor de VM. Er worden twee Azure-rollen gebruikt om VM-aanmelding te autoriseren:

  • Aanmelding van de beheerder van de virtuele machine: gebruikers aan wie deze rol is toegewezen, kunnen zich aanmelden bij een virtuele Azure-machine met beheerdersbevoegdheden.
  • Aanmelding van de gebruiker van de virtuele machine: gebruikers aan wie deze rol is toegewezen, kunnen zich aanmelden bij een virtuele Azure-machine met reguliere bevoegdheden.

  Een Azure-gebruiker waaraan de rol Eigenaar of Inzender voor een VIRTUELE machine is toegewezen, heeft niet automatisch bevoegdheden voor microsoft Entra-aanmelding bij de virtuele machine via SSH. Er is een opzettelijke (en gecontroleerde) scheiding tussen de set personen die virtuele machines beheren en de set personen die toegang hebben tot virtuele machines.

  Notitie

  De aanmeldrollen van de beheerder van de virtuele machine en de gebruikersaanmeldingsrollen dataActions voor virtuele machines kunnen worden toegewezen aan de beheergroep, het abonnement, de resourcegroep of het resourcebereik. U wordt aangeraden de rollen toe te wijzen op beheergroep, abonnement of resourceniveau en niet op het niveau van de afzonderlijke VM. Met deze procedure voorkomt u het risico dat de limiet voor Azure-roltoewijzingen per abonnement wordt bereikt.

Beschikbaarheid

SSH-toegang tot servers met Arc wordt momenteel ondersteund in alle regio's die worden ondersteund door Servers met Arc.

Aan de slag

De HybridConnectivity-resourceprovider registreren

Notitie

Dit is een eenmalige bewerking die moet worden uitgevoerd voor elk abonnement.

Controleer of de HybridConnectivity-resourceprovider (RP) is geregistreerd:

az provider show -n Microsoft.HybridConnectivity -o tsv --query registrationState

Als de RP niet is geregistreerd, voert u het volgende uit:

az provider register -n Microsoft.HybridConnectivity

Deze bewerking kan 2-5 minuten duren. Controleer voordat u verdergaat of de RP is geregistreerd.

Standaardverbindingseindpunt maken

Notitie

De volgende stap hoeft niet te worden uitgevoerd voor de meeste gebruikers, omdat deze automatisch moet worden voltooid bij de eerste verbinding. Deze stap moet worden voltooid voor elke server met Arc.

Maak het standaardeindpunt met Azure CLI:

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{"properties": {"type": "default"}}'

Notitie

Als u Azure CLI vanuit PowerShell gebruikt, moet u het volgende gebruiken.

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{\"properties\":{\"type\":\"default\"}}'

Eindpunt maken valideren:

az rest --method get --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15

Maak het standaardeindpunt met Azure PowerShell:

Invoke-AzRestMethod -Method put -Path /subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 -Payload '{"properties": {"type": "default"}}'

Eindpunt maken valideren:

Invoke-AzRestMethod -Method get -Path /subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15

Lokaal opdrachtregelprogramma installeren

Deze functionaliteit is momenteel verpakt in een Azure CLI-extensie en een Azure PowerShell-module.

Azure CLI-extensie installeren

az extension add --name ssh

Notitie

De versie van de Azure CLI-extensie moet groter zijn dan 2.0.0.

Azure PowerShell-module installeren

Install-Module -Name Az.Ssh -Scope CurrentUser -Repository PSGallery
Install-Module -Name Az.Ssh.ArcProxy -Scope CurrentUser -Repository PSGallery

Functionaliteit inschakelen op uw server met Arc

Als u de SSH-verbindingsfunctie wilt gebruiken, moet u de serviceconfiguratie bijwerken in het connectiviteitseindpunt op de server met Arc om SSH-verbinding met een specifieke poort toe te staan. U kunt alleen verbinding met één poort toestaan. De CLI-hulpprogramma's proberen de toegestane poort tijdens runtime bij te werken, maar de poort kan handmatig worden geconfigureerd met het volgende:

Notitie

Er kan een vertraging optreden na het bijwerken van de serviceconfiguratie totdat u verbinding kunt maken.

Azure-CLI

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 --body "{\"properties\": {\"serviceName\": \"SSH\", \"port\": 22}}"

Azure PowerShell

Invoke-AzRestMethod -Method put -Path /subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 -Payload '{"properties": {"serviceName": "SSH", "port": 22}}'

Als u een niet-standaardpoort gebruikt voor uw SSH-verbinding, vervangt u poort 22 door de gewenste poort in de vorige opdracht.

Optioneel: Azure AD-aanmeldingsextensie installeren

De Azure AD based SSH Login – Azure Arc VM-extensie kan worden toegevoegd vanuit het menu extensies van de Arc-server. De Azure AD-aanmeldingsextensie kan ook lokaal worden geïnstalleerd via een pakketbeheerder via: apt-get install aadsshlogin of de volgende opdracht.

az connectedmachine extension create --machine-name <arc enabled server name> --resource-group <resourcegroup> --publisher Microsoft.Azure.ActiveDirectory --name AADSSHLogin --type AADSSHLoginForLinux --location <location>

Voorbeelden

Als u voorbeelden wilt bekijken, bekijkt u de az CLI-documentatiepagina voor az ssh of de azure PowerShell-documentatiepagina voor Az.Ssh.

Volgende stappen

• Meer informatie over OpenSSH voor Windows
• Meer informatie over het oplossen van problemen met SSH-toegang tot servers met Azure Arc.
• Meer informatie over het oplossen van verbindingsproblemen met agents.