Gerenciar SSH para acesso seguro aos nós do Serviço Kubernetes do Azure (AKS)

Este artigo descreve como configurar as chaves SSH (visualização) em seus clusters AKS ou pools de nós, durante a implantação inicial ou posteriormente.

O AKS suporta as seguintes opções de configuração para gerenciar chaves SSH em nós de cluster:

• Criar um cluster com chaves SSH
• Atualizar as chaves SSH em um cluster AKS existente
• Desativar e ativar o serviço SSH

Importante

Os recursos de visualização do AKS estão disponíveis em uma base de autosserviço e opt-in. As visualizações prévias são fornecidas "como estão" e "conforme disponíveis" e são excluídas dos contratos de nível de serviço e da garantia limitada. As visualizações do AKS são parcialmente cobertas pelo suporte ao cliente com base no melhor esforço. Como tal, estas funcionalidades não se destinam a utilização em produção. Para obter mais informações, consulte os seguintes artigos de suporte:

• Políticas de suporte do AKS
• Perguntas frequentes sobre o suporte do Azure

Antes de começar

• Você precisa da aks-preview versão 0.5.116 ou posterior para usar a atualização.
• Você precisa da aks-preview versão 1.0.0b6 ou posterior para usar Disable.
• O recurso Criar e Atualizar SSH dá suporte a pools de nós Linux, Windows e Azure Linux em clusters existentes.
• O recurso Desabilitar SSH não é suportado nesta versão de visualização em pools de nós que executam o sistema operacional Windows Server.

Instalar a extensão da CLI do aks-preview Azure

1. Instale a extensão aks-preview usando o az extension add comando.

   az extension add --name aks-preview
   

2. Atualize para a versão mais recente da extensão usando o az extension update comando.

   az extension update --name aks-preview
   

Registrar o sinalizador de DisableSSHPreview recurso

Para usar o recurso Desativar SSH, execute as etapas a seguir para registrá-lo e habilitá-lo em sua assinatura.

1. Registre o DisableSSHPreview sinalizador de recurso usando o az feature register comando.

   az feature register --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"
   

   Leva alguns minutos para que o status mostre Registrado.

2. Verifique o status do registro usando o az feature show comando.

   az feature show --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"
   

3. Quando o status refletir Registrado, atualize o registro do provedor de recursos Microsoft.ContainerService usando o az provider register comando.

   az provider register --namespace Microsoft.ContainerService
   

Criar um cluster AKS com chaves SSH

Use o comando az aks create para implantar um cluster AKS com uma chave pública SSH. Você pode especificar a chave ou um arquivo de chave usando o --ssh-key-value argumento.

Parâmetro SSH	Description	Default value
--generate-ssh-key	Se você não tiver suas próprias chaves SSH, especifique --generate-ssh-key. A CLI do Azure gera automaticamente um conjunto de chaves SSH e as salva no diretório ~/.ssh/padrão.
--ssh-chave-valor	Caminho de chave pública ou conteúdo de chave para instalar em VMs de nó para acesso SSH. Por exemplo, ssh-rsa AAAAB...snip...UcyupgH azureuser@linuxvm.	~/.ssh/id_rsa.pub
--no-ssh-key	Se você não precisar de chaves SSH, especifique esse argumento. No entanto, o AKS gera automaticamente um conjunto de chaves SSH porque a dependência de recursos da Máquina Virtual do Azure não suporta um ficheiro de chaves SSH vazio. Como resultado, as chaves não são retornadas e não podem ser usadas para SSH nas VMs do nó. A chave privada é descartada e não salva.

Nota

Se nenhum parâmetro for especificado, o padrão da CLI do Azure fará referência às chaves SSH armazenadas no ~/.ssh/id_rsa.pub arquivo. Se as chaves não forem encontradas, o comando retornará a mensagem An RSA key file or key value must be supplied to SSH Key Value.

Seguem-se exemplos deste comando:

• Para criar um cluster e usar as chaves SSH geradas por padrão:

  az aks create --name myAKSCluster --resource-group MyResourceGroup --generate-ssh-key
  

• Para especificar um arquivo de chave pública SSH, inclua o --ssh-key-value argumento:

  az aks create --name myAKSCluster --resource-group MyResourceGroup --ssh-key-value ~/.ssh/id_rsa.pub
  

Atualizar chave pública SSH em um cluster AKS existente

Use o az aks update comando para atualizar a chave pública SSH (visualização) no cluster. Esta operação atualiza a chave em todos os pools de nós. Você pode especificar uma chave ou um arquivo de chave usando o --ssh-key-value argumento.

Nota

A atualização das chaves SSH é suportada em conjuntos de escala de máquina virtual do Azure com clusters AKS.

Seguem-se exemplos deste comando:

• Para especificar um novo valor de chave pública SSH, inclua o --ssh-key-value argumento:

  az aks update --name myAKSCluster --resource-group MyResourceGroup --ssh-key-value 'ssh-rsa AAAAB3Nza-xxx'
  

• Para especificar um arquivo de chave pública SSH, especifique-o com o --ssh-key-value argumento:

  az aks update --name myAKSCluster --resource-group MyResourceGroup --ssh-key-value ~/.ssh/id_rsa.pub
  

Importante

Depois de atualizar a chave SSH, o AKS não atualiza automaticamente o pool de nós. A qualquer momento, você pode optar por executar uma operação de atualização do pool de nós. A operação de atualização de chaves SSH entra em vigor após a conclusão de uma atualização de imagem de nó.

Desativar visão geral do SSH

Para melhorar a segurança e dar suporte aos seus requisitos ou estratégia de segurança corporativa, o AKS suporta a desativação do SSH (visualização) tanto no cluster quanto no nível do pool de nós. Desativar SSH introduz uma abordagem simplificada em comparação com a única solução suportada, que requer a configuração de regras de grupo de segurança de rede na placa de interface de rede (NIC) de sub-rede/nó AKS.

Quando você desabilita o SSH no momento da criação do cluster, ele entra em vigor depois que o cluster é criado. No entanto, quando você desabilita o SSH em um cluster ou pool de nós existente, o AKS não desabilita automaticamente o SSH. A qualquer momento, você pode optar por executar uma operação de atualização do pool de nós. A operação desativar/ativar chaves SSH entra em vigor após a conclusão da atualização da imagem do nó.

Parâmetro SSH	Description
disabled	O serviço SSH está desativado.
localuser	O serviço SSH está habilitado e os usuários com chaves SSH podem acessar o nó com segurança.

Nota

kubectl debug node continua a funcionar depois de desativar SSH porque não depende do serviço SSH.

Desabilitar SSH em uma nova implantação de cluster

Por padrão, o serviço SSH nos nós do cluster AKS está aberto a todos os usuários e pods em execução no cluster. Você pode impedir o acesso SSH direto de qualquer rede aos nós do cluster para ajudar a limitar o vetor de ataque se um contêiner em um pod ficar comprometido. Use o az aks create comando para criar um novo cluster e inclua o argumento para desabilitar o --ssh-access disabled SSH (visualização) em todos os pools de nós durante a criação do cluster.

Importante

Depois de desativar o serviço SSH, você não pode SSH no cluster para executar tarefas administrativas ou solucionar problemas.

az aks create --resource-group myResourceGroup --name myManagedCluster --ssh-access disabled

Após alguns minutos, o comando conclui e retorna informações formatadas em JSON sobre o cluster. O exemplo a seguir se assemelha à saída e aos resultados relacionados à desativação do SSH:

"securityProfile": {
"sshAccess": "Disabled"
},

Desabilitar SSH em um cluster existente

Use o az aks update comando para atualizar um cluster existente e inclua o argumento para desabilitar o --ssh-access disabled SSH (visualização) em todos os pools de nós do cluster.

az aks update --resource-group myResourceGroup --name myManagedCluster --ssh-access disabled

Após alguns minutos, o comando conclui e retorna informações formatadas em JSON sobre o cluster. O exemplo a seguir se assemelha à saída e aos resultados relacionados à desativação do SSH:

"securityProfile": {
"sshAccess": "Disabled"
},

Para que a alteração entre em vigor, você precisa criar uma nova imagem de todos os pools de nós usando o az aks nodepool upgrade comando.

az aks nodepool upgrade --cluster-name myManagedCluster --name mynodepool --resource-group myResourceGroup --node-image-only

Importante

Durante essa operação, todas as instâncias do Conjunto de Dimensionamento de Máquina Virtual são atualizadas e recriadas para usar a nova configuração SSH.

Desabilitar SSH para um novo pool de nós

Use o az aks nodepool add comando para adicionar um pool de nós e inclua o argumento para desabilitar o SSH durante a --ssh-access disabled criação do pool de nós.

az aks nodepool add --cluster-name myManagedCluster --name mynodepool --resource-group myResourceGroup --ssh-access disabled  

Após alguns minutos, o comando conclui e retorna informações formatadas em JSON sobre o cluster indicando que mynodepool foi criado com êxito. O exemplo a seguir se assemelha à saída e aos resultados relacionados à desativação do SSH:

"securityProfile": {
"sshAccess": "Disabled"
},

Desabilitar SSH para um pool de nós existente

Use o argumento [az aks nodepool update][az-aks-nodepool-update] command with the --ssh-access disabled' para desabilitar o SSH (visualização) em um pool de nós existente.

az aks nodepool update --cluster-name myManagedCluster --name mynodepool --resource-group myResourceGroup --ssh-access disabled

Após alguns minutos, o comando conclui e retorna informações formatadas em JSON sobre o cluster indicando que mynodepool foi criado com êxito. O exemplo a seguir se assemelha à saída e aos resultados relacionados à desativação do SSH:

"securityProfile": {
"sshAccess": "Disabled"
},

Para que a alteração entre em vigor, você precisa criar uma nova imagem do pool de nós usando o az aks nodepool upgrade comando.

az aks nodepool upgrade --cluster-name myManagedCluster --name mynodepool --resource-group myResourceGroup --node-image-only

Reativar SSH em um cluster existente

Use o az aks update comando para atualizar um cluster existente e inclua o --ssh-access localuser argumento para reativar o SSH (visualização) em todos os pools de nós do cluster.

az aks update --resource-group myResourceGroup --name myManagedCluster --ssh-access localuser

A seguinte mensagem é retornada enquanto o processo é executado:

Only after all the nodes are reimaged, does the disable/enable SSH Access operation take effect."

Depois de reativar o SSH, os nós não serão recriados automaticamente. A qualquer momento, você pode optar por executar uma operação de reimagem.

Importante

Durante essa operação, todas as instâncias do Conjunto de Dimensionamento de Máquina Virtual são atualizadas e recriadas para usar a nova chave pública SSH.

Reativar o SSH para um pool de nós específico

Use o az aks update comando para atualizar um pool de nós específico e inclua o argumento para reativar o --ssh-access localuser SSH (visualização) nesse pool de nós no cluster. No exemplo a seguir, nodepool1 é o pool de nós de destino.

az aks nodepool update --cluster-name myManagedCluster --name nodepool1 --resource-group myResourceGroup --ssh-access localuser 

A seguinte mensagem é retornada quando o processo é executado:

Only after all the nodes are reimaged, does the disable/enable SSH Access operation take effect.

Importante

Durante essa operação, todas as instâncias do Conjunto de Dimensionamento de Máquina Virtual são atualizadas e recriadas para usar a nova chave pública SSH.

Status do serviço SSH

Shell de nó

Execute as seguintes etapas para usar o shell de nó em um nó e inspecione o status do serviço SSH usando systemctl.

1. Obtenha o shell bash padrão executando o comando command kubectl node-shell <node> .

   kubectl node-shell aks-nodepool1-20785627-vmss000001
   

2. Execute o systemctl comando para verificar o status do serviço SSH.

   systemctl status ssh
   

Se o SSH estiver desativado, a saída de exemplo a seguir mostra os resultados:

ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; disabled; vendor preset: enabled)
     Active: inactive (dead) since Wed 2024-01-03 15:36:57 UTC; 20min ago

Se o SSH estiver habilitado, a saída de exemplo a seguir mostra os resultados:

ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago

Usando o comando run-command

Se o shell de nó não estiver disponível, você poderá usar o Conjunto az vmss run-command invoke de Dimensionamento de Máquina Virtual para verificar o status do serviço SSH.

az vmss run-command invoke --resource-group myResourceGroup --name myVMSS --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

A saída de exemplo a seguir mostra a mensagem json retornada:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n○ ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; disabled; vendor preset: enabled)\n     Active: inactive (dead) since Wed 2024-01-03 15:36:53 UTC; 25min ago\n       Docs: man:sshd(8)\n             man:sshd_config(5)\n   Main PID: 827 (code=exited, status=0/SUCCESS)\n        CPU: 22ms\n\nJan 03 15:36:44 aks-nodepool1-20785627-vmss000000 systemd[1]: Starting OpenBSD Secure Shell server...\nJan 03 15:36:44 aks-nodepool1-20785627-vmss000000 sshd[827]: Server listening on 0.0.0.0 port 22.\nJan 03 15:36:44 aks-nodepool1-20785627-vmss000000 sshd[827]: Server listening on :: port 22.\nJan 03 15:36:44 aks-nodepool1-20785627-vmss000000 systemd[1]: Started OpenBSD Secure Shell server.\nJan 03 15:36:53 aks-nodepool1-20785627-vmss000000 systemd[1]: Stopping OpenBSD Secure Shell server...\nJan 03 15:36:53 aks-nodepool1-20785627-vmss000000 sshd[827]: Received signal 15; terminating.\nJan 03 15:36:53 aks-nodepool1-20785627-vmss000000 systemd[1]: ssh.service: Deactivated successfully.\nJan 03 15:36:53 aks-nodepool1-20785627-vmss000000 systemd[1]: Stopped OpenBSD Secure Shell server.\n\n[stderr]\n",
      "time": null
    }
  ]
}

Procure a palavra Ative e seu valor deve ser Active: inactive (dead), o que indica que SSH está desativado no nó.

Próximos passos

Para ajudar a solucionar problemas com a conectividade SSH para os nós de clusters, você pode visualizar os logs do kubelet ou os logs do nó mestre do Kubernetes.