Compartilhar via

Gerenciar o SSH para acesso seguro aos nós do Serviço de Kubernetes do Azure (AKS)

Este artigo descreve como configurar o acesso SSH (versão prévia) em seus clusters ou pools de nós do AKS, durante a implantação inicial ou em um momento posterior.

O AKS dá suporte às seguintes opções de configuração para gerenciar o acesso SSH em nós de cluster:

  • SSH desabilitado: desabilite completamente o acesso SSH a nós de cluster para segurança aprimorada
  • SSH baseado em Entra ID: utilize credenciais do Microsoft Entra ID para autenticação SSH. Benefícios de usar o SSH baseado em ID do Entra:
    • Gerenciamento de identidade centralizado: use suas identidades de ID do Entra existentes para acessar nós de cluster
    • Sem gerenciamento de chave SSH: elimina a necessidade de gerar, distribuir e girar chaves SSH
    • Segurança aprimorada: aproveitar os recursos de segurança da ID do Entra, como Acesso Condicional e MFA
    • Auditoria e conformidade: registro em log centralizado de eventos de acesso por meio de logs de ID do Entra
    • Acesso just-in-time: combinar com o RBAC do Azure para controle de acesso granular
  • SSH do Usuário Local: Autenticação tradicional baseada em chave SSH para acesso ao nó

Importante

As versões prévias de recursos do AKS estão disponíveis em uma base de autoatendimento e aceitação. As versões prévias são fornecidas "como estão" e "conforme disponíveis" e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões prévias do AKS são parcialmente cobertas pelo suporte ao cliente em uma base de melhor esforço. Dessa forma, esses recursos não são destinados ao uso em produção. Para obter mais informações, consulte os seguintes artigos de suporte:

Importante

As versões prévias de recursos do AKS estão disponíveis em uma base de autoatendimento e aceitação. As versões prévias são fornecidas "como estão" e "conforme disponíveis" e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões prévias do AKS são parcialmente cobertas pelo suporte ao cliente em uma base de melhor esforço. Dessa forma, esses recursos não são destinados ao uso em produção. Para obter mais informações, consulte os seguintes artigos de suporte:

Pré-requisitos

  • Este artigo requer a versão 2.61.0 ou posterior da CLI do Azure. Se você estiver usando o Azure Cloud Shell, a versão mais recente já está instalada lá.

  • Você precisa da aks-preview versão 9.0.0b1 ou posterior.

    • Se você ainda não tiver a extensão aks-preview, instale-a usando o comando az extension add. 
      az extension add --name aks-preview
    • Se você já tiver a extensão aks-preview, atualize-a para garantir que você tenha a versão mais recente, use o comando az extension update. 
      az extension update --name aks-preview

  • Registre o sinalizador de recurso DisableSSHPreview usando o comando az feature register.

    az feature register --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"

    Demora alguns minutos para o status exibir Registrado.

  • Verifique o status do registro usando o comando az feature show.

    az feature show --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"

  • Quando o status reflete Registrado, atualize o registro do provedor de recursos Microsoft.ContainerService usando o comando az provider register.

    az provider register --namespace Microsoft.ContainerService

  • Este artigo requer a versão 2.73.0 ou posterior da CLI do Azure. Se você estiver usando o Azure Cloud Shell, a versão mais recente já está instalada lá.

  • Você precisa da aks-preview versão 19.0.0b7 ou posterior para ID do Entra SSH.

    • Se você ainda não tiver a extensão aks-preview, instale-a usando o comando az extension add. 
      az extension add --name aks-preview
    • Se você já tiver a extensão aks-preview, atualize-a para garantir que você tenha a versão mais recente, use o comando az extension update. 
      az extension update --name aks-preview

  • Permissões apropriadas do RBAC do Azure para acessar nodos:

    • Ação necessária: Microsoft.Compute/virtualMachineScaleSets/*/read – para ler informações de Conjuntos de Dimensionamento de Máquinas Virtuais
      • Ação de dados necessária:
        • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/login/action – para autenticar e fazer logon em VMs como usuário regular.
        • Microsoft.Compute/virtualMachines/loginAsAdmin/action – para fazer logon com privilégios de usuário raiz.
      • Função interna: Logon do Administrador de Máquina Virtual ou Logon do Usuário da Máquina Virtual (para acesso não administrador)

  • Registre o sinalizador de recurso EntraIdSSHPreview usando o comando az feature register.

    az feature register --namespace "Microsoft.ContainerService" --name "EntraIdSSHPreview"

    Demora alguns minutos para o status exibir Registrado.

  • Verifique o status do registro usando o comando az feature show.

    az feature show --namespace "Microsoft.ContainerService" --name "EntraIdSSHPreview"

  • Quando o status reflete Registrado, atualize o registro do provedor de recursos Microsoft.ContainerService usando o comando az provider register.

    az provider register --namespace Microsoft.ContainerService
  • Este artigo requer a versão 2.61.0 ou posterior da CLI do Azure. Se você estiver usando o Azure Cloud Shell, a versão mais recente já está instalada lá.
  • Você precisa da aks-preview versão 9.0.0b1 ou posterior para atualizar o método de acesso SSH em pools de nós.
    • Se você ainda não tiver a extensão aks-preview, instale-a usando o comando az extension add. 
      az extension add --name aks-preview
    • Se você já tiver a extensão aks-preview, atualize-a para garantir que você tenha a versão mais recente, use o comando az extension update. 
      az extension update --name aks-preview

Definir variáveis de ambiente

Defina as seguintes variáveis de ambiente para o grupo de recursos, o nome do cluster e o local:

export RESOURCE_GROUP="<your-resource-group-name>"
export CLUSTER_NAME="<your-cluster-name>"
export LOCATION="<your-azure-region>"

Limitações

  • O SSH do Entra ID para nós ainda não está disponível para o pool de nós do Windows.
  • O SSH do Entra ID para nós não tem suporte para AKS automático devido ao bloqueio do grupo de recursos do nó que impede atribuições de função.

Configurar o acesso ao SSH

Para melhorar a segurança e dar suporte a seus requisitos ou estratégia de segurança corporativa, o AKS dá suporte à desabilitação do SSH no cluster e no nível do pool de nós. Desabilitar o SSH introduz uma abordagem simplificada em comparação com a configuração de regras de grupo de segurança de rede na NIC (placa de interface de rede) de sub-rede/nó do AKS. Desabilitar o SSH só dá suporte a pools de nós de Conjuntos de Dimensionamento de Máquinas Virtuais.

Quando você desabilitar o SSH no momento da criação do cluster, ele entrará em vigor após a criação do cluster. Entretanto, quando você desabilitar o SSH em um cluster ou pool de nós existente, o AKS não desabilitará o SSH automaticamente. Você pode optar por executar uma operação de atualização do nodepool a qualquer momento. A operação de desativação/ativação do SSH entra em vigor após a conclusão da atualização da imagem do nó.

Observação

Quando você desabilita o SSH no cluster, ele se aplica a todos os pools de nós existentes. Todos os pools de nós criados após essa operação terão o SSH habilitado por padrão e você precisará executar esses comandos novamente para desabilitá-lo.

Observação

O nó de depuração kubectl continua a funcionar depois que você desabilitar o SSH pois ele não depende do serviço SSH.

Criar um grupo de recursos

Crie um grupo de recursos usando o comando az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Desabilitar o SSH em uma nova implantação do cluster

Por padrão, o serviço SSH nos nós do cluster do AKS está aberto para todos os usuários e pods em execução no cluster. Você pode impedir o acesso SSH direto de qualquer rede aos nós do cluster para ajudar a limitar o vetor de ataque se um contêiner em um pod ficar comprometido.

Use o comando az aks create para criar um novo cluster e inclua o argumento --ssh-access disabled para desabilitar o SSH (versão prévia) em todos os pools de nós durante a criação do cluster.

Importante

Depois de desabilitar o serviço SSH, você não poderá entrar no cluster para executar tarefas administrativas ou solucionar problemas.

Observação

Em um cluster recém-criado, desabilitar o SSH configurará apenas o primeiro pool de nós do sistema. Todos os outros conjuntos de nós precisam ser configurados no nível do conjunto de nós.

az aks create --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --ssh-access disabled

Após alguns minutos, o comando será concluído e retornará informações no formato JSON sobre o cluster. O exemplo a seguir se assemelha à saída e aos resultados relacionados à desabilitação do SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Desabilitar o SSH para um novo pool de nós

Use o comando az aks nodepool add para adicionar um pool de nós e incluir o argumento --ssh-access disabled para desabilitar o SSH durante a criação do pool de nós.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access disabled

Depois de alguns minutos, o comando é concluído e retorna as informações formatadas pelo JSON a respeito do cluster, indicando que o mynodepool foi criado com sucesso. O exemplo a seguir se assemelha à saída e aos resultados relacionados à desabilitação do SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Desabilitar o SSH para um pool de nós existente

Importante

As versões prévias de recursos do AKS estão disponíveis em uma base de autoatendimento e aceitação. As versões prévias são fornecidas "como estão" e "conforme disponíveis" e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões prévias do AKS são parcialmente cobertas pelo suporte ao cliente em uma base de melhor esforço. Dessa forma, esses recursos não são destinados ao uso em produção. Para obter mais informações, consulte os seguintes artigos de suporte:

Utilize o comando az aks nodepool update com o argumento --ssh-access disabled para desativar o SSH (pré-visualização) em um pool de nós existente.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access disabled

Após alguns minutos, o comando conclui e retorna informações formatadas em JSON sobre o cluster indicando que mynodepool foi atualizado com êxito. O exemplo a seguir se assemelha à saída e aos resultados relacionados à desabilitação do SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Para que a alteração entre em vigor, você precisa refazer a imagem de todos os pools de nós usando o comando az aks nodepool upgrade.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Importante

Para desabilitar o SSH em um cluster existente, você precisa desabilitar o SSH para cada pool de nós nesse cluster.

Habilitar novamente o acesso SSH

Para habilitar novamente o acesso SSH em um pool de nós, atualize o pool de nós com --ssh-access localuser (para acesso baseado em chave SSH tradicional) ou --ssh-access entraid (para acesso baseado em ID do Entra). Consulte as respectivas seções para obter instruções detalhadas.

Você pode configurar o cluster do AKS para usar o Entra ID da Microsoft (anteriormente Azure AD) para a autenticação SSH nos nós do cluster. Isso elimina a necessidade de gerenciar chaves SSH e permite que você use suas credenciais de ID do Entra para acessar nós com segurança.

Criar um grupo de recursos

Crie um grupo de recursos usando o comando az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Habilitar o SSH baseado em ID do Entra em um novo cluster

Use o comando az aks create com o argumento --ssh-access entraid para habilitar a autenticação SSH baseada no Entra ID durante a criação do cluster.

az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --ssh-access entraid

Após alguns minutos, o comando será concluído e retornará informações no formato JSON sobre o cluster. O exemplo a seguir se assemelha à saída:

"securityProfile": {
  "sshAccess": "EntraID"
},

Habilitar o SSH baseado em Entra ID para um novo conjunto de nós

Use o comando az aks nodepool add com o argumento --ssh-access entraid para habilitar o SSH baseado no Entra ID durante a criação do pool de nós.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access entraid

Após alguns minutos, o comando conclui e retorna informações formatadas em JSON indicando que mynodepool foi criado com êxito com o SSH baseado em ID do Entra. O exemplo a seguir se assemelha à saída:

"securityProfile": {
  "sshAccess": "EntraID"
},

Habilitar o SSH com base no Entra ID para um pool de nós existente

Use o comando az aks nodepool update com o argumento --ssh-access entraid para ativar o SSH com base em Entra ID em um pool de nós existente.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access entraid

Após alguns minutos, o comando conclui e retorna informações formatadas em JSON indicando que mynodepool foi atualizado com êxito com o SSH baseado em ID do Entra. O exemplo a seguir se assemelha à saída:

"securityProfile": {
  "sshAccess": "EntraID"
},

Para que a alteração entre em vigor, você precisa refazer a imagem de todos os pools de nós usando o comando az aks nodepool upgrade.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Importante

Para habilitar o SSH baseado em ID do Entra em um cluster existente, você precisa habilitá-lo para cada pool de nós individualmente.

O acesso SSH do usuário local usa a autenticação tradicional baseada em chave SSH. Esse é o método de acesso SSH padrão para clusters do AKS.

Criar um grupo de recursos

Crie um grupo de recursos usando o comando az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Criar um cluster do AKS com as chaves SSH

Use o comando az aks create para implantar um cluster do AKS com uma chave pública SSH. Você pode especificar a chave ou um arquivo de chave usando o --ssh-key-value argumento ou usar --ssh-access localuser para definir explicitamente o acesso SSH do usuário local.

Parâmetro SSH Descrição Valor padrão
--generate-ssh-key Se você não tiver suas chaves SSH, especifique --generate-ssh-key. A CLI do Azure gera automaticamente um conjunto de chaves SSH e as salva no diretório padrão ~/.ssh/.
--ssh-key-value Caminho de chave pública ou conteúdo de chave a ser instalado em VMs de nó para acesso por SSH. Por exemplo, ssh-rsa AAAAB...snip...UcyupgH azureuser@linuxvm. ~/.ssh/id_rsa.pub
--ssh-access localuser Habilite explicitamente o acesso SSH do usuário local com autenticação baseada em chave.
--no-ssh-key Se você não precisar de uma chave SSH, especifique esse argumento. Porém, o AKS gera automaticamente um conjunto de chaves SSH pois a dependência de recursos da Máquina Virtual do Azure não dá suporte a um arquivo de chaves SSH vazio. Como resultado, as chaves não são retornadas e não podem ser usadas para SSH nas VMs do nó. A chave privada é descartada e não salva.

Observação

Se não forem especificados parâmetros, o padrão da CLI do Azure é fazer referência às chaves SSH armazenadas no arquivo ~/.ssh/id_rsa.pub. Se as chaves não forem encontradas, o comando retornará a mensagem An RSA key file or key value must be supplied to SSH Key Value.

Exemplos:

  • Para criar um cluster e usar as chaves SSH geradas padrão:

    az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --generate-ssh-key

  • Para especificar um arquivo de chave pública SSH:

    az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value ~/.ssh/id_rsa.pub

  • Para habilitar explicitamente o acesso SSH do usuário local:

    az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-access localuser --generate-ssh-key

Habilitar o SSH do usuário local para um novo pool de nós

Use o comando az aks nodepool add com o argumento --ssh-access localuser para habilitar o SSH para usuários locais durante a criação do pool de nós.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access localuser

Habilitar o SSH do usuário local para um pool de nós existente

Importante

As versões prévias de recursos do AKS estão disponíveis em uma base de autoatendimento e aceitação. As versões prévias são fornecidas "como estão" e "conforme disponíveis" e são excluídas dos contratos de nível de serviço e da garantia limitada. As versões prévias do AKS são parcialmente cobertas pelo suporte ao cliente em uma base de melhor esforço. Dessa forma, esses recursos não são destinados ao uso em produção. Para obter mais informações, consulte os seguintes artigos de suporte:

Use o comando az aks nodepool update com o argumento --ssh-access localuser para habilitar o SSH do usuário local em um pool de nós existente.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access localuser

Importante

Para que a alteração entre em vigor, você precisa refazer a imagem de todos os pools de nós usando o comando az aks nodepool upgrade.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Atualizar a chave SSH pública em um cluster do AKS existente

Use o comando az aks update para atualizar a chave pública SSH (versão prévia) no seu cluster. Essa operação irá atualizar a chave em todos os pools de nós. Você pode especificar uma chave ou um arquivo de chave usando o argumento --ssh-key-value.

Observação

Há suporte para a atualização das chaves SSH nos conjuntos de dimensionamento de máquinas virtuais do Azure com os clusters do AKS.

Exemplos:

  • Para especificar um novo valor de chave pública SSH:

    az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value 'ssh-rsa AAAAB3Nza-xxx'

  • Para especificar um arquivo de chave pública SSH:

    az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value ~/.ssh/id_rsa.pub

Importante

Depois de atualizar a chave SSH, o AKS não atualizará automaticamente o pool de nós. A qualquer momento, você pode optar por executar uma operação de atualização de nodepool. A operação de atualização de chaves SSH entrará em vigor assim que a atualização da imagem do nó for concluída. Para clusters com Provisionamento automático de nós habilitado, uma atualização de imagem de nó pode ser realizada aplicando um novo rótulo ao recurso personalizado NodePool do Kubernetes.

Verificar o status do serviço SSH

Depois de desabilitar o SSH, você pode verificar se o serviço SSH está inativo em seus nós de cluster.

Use o comando Conjunto de Escala de Máquinas Virtuais az vmss run-command invoke para verificar o status do serviço SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

A saída de exemplo a seguir mostra o resultado esperado quando o SSH está desabilitado:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n○ ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; disabled; vendor preset: enabled)\n     Active: inactive (dead) since Wed 2024-01-03 15:36:53 UTC; 25min ago\n..."
    }
  ]
}

Pesquise a palavra Ativo e verifique se seu valor está Active: inactive (dead), o que confirma que o SSH está desabilitado no nó.

Depois de habilitar o SSH baseado em ID do Entra, você pode verificar se o serviço SSH está ativo e configurado para autenticação de ID do Entra em seus nós de cluster.

Use o comando Conjunto de Escala de Máquinas Virtuais az vmss run-command invoke para verificar o status do serviço SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

A saída de exemplo a seguir mostra o resultado esperado quando o SSH está habilitado:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n● ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)\n     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago\n..."
    }
  ]
}

Pesquise a palavra Ativo e verifique se seu valor é Active: active (running), o que confirma que o SSH está habilitado no nó.

Depois de configurar o SSH do usuário local, você pode verificar se o serviço SSH está ativo em seus nós de cluster.

Use o comando Conjunto de Escala de Máquinas Virtuais az vmss run-command invoke para verificar o status do serviço SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

A saída de exemplo a seguir mostra o resultado esperado quando o SSH está habilitado:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n● ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)\n     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago\n..."
    }
  ]
}

Pesquise a palavra Ativo e verifique se seu valor é Active: active (running), o que confirma que o SSH está habilitado no nó.

Próximas etapas

Para ajudar a solucionar problemas com a conectividade SSH com os nós de clusters, você pode exibir os logs do kubelet ou exibir os logs de nós mestres do Kubernetes.

  • Last updated on