Azure Kubernetes Service (AKS) düğümlerine güvenli erişim için SSH'yi yönetme

Bu makalede, ilk dağıtım sırasında veya daha sonra AKS kümelerinizde veya düğüm havuzlarınızda SSH erişiminin (önizleme) nasıl yapılandırıldığı açıklanmaktadır.

AKS, küme düğümlerinde SSH erişimini yönetmek için aşağıdaki yapılandırma seçeneklerini destekler:

• Devre dışı bırakılmış SSH: Gelişmiş güvenlik için küme düğümlerine SSH erişimini tamamen devre dışı bırakma
• Entra Id tabanlı SSH: SSH kimlik doğrulaması için Microsoft Entra Id kimlik bilgilerini kullanın. Entra ID tabanlı SSH kullanmanın avantajları:
  • Merkezi kimlik yönetimi: Küme düğümlerine erişmek için mevcut Entra ID kimliklerinizi kullanın
  • SSH anahtar yönetimi yok: SSH anahtarları oluşturma, dağıtma ve döndürme gereksinimini ortadan kaldırır
  • Gelişmiş güvenlik: Koşullu Erişim ve MFA gibi Entra ID güvenlik özelliklerinden yararlanın
  • Denetim ve uyumluluk: Entra Id günlükleri aracılığıyla erişim olaylarının merkezi günlüğe kaydedilmesi
  • Tam zamanında erişim: Ayrıntılı erişim denetimi için Azure RBAC ile birleştirme
• Yerel Kullanıcı SSH:Düğüm erişimi için geleneksel SSH anahtar tabanlı kimlik doğrulaması

Önemli

AKS önizleme özellikleri self servis ve kabul temelinde kullanılabilir. Önizlemeler "olduğu gibi" ve "kullanılabilir" olarak sağlanır ve hizmet düzeyi sözleşmelerinin ve sınırlı garantinin dışında tutulur. AKS önizlemeleri, müşteri desteği tarafından kısmen en iyi çaba temelinde ele alınmaktadır. Bu nedenle, bu özellikler üretim kullanımı için tasarlanmamıştır. Daha fazla bilgi için aşağıdaki destek makalelerine bakın:

• AKS desteği ilkeleri
• Azure desteği Sıkça Sorulan Sorular

Önemli

AKS önizleme özellikleri self servis ve kabul temelinde kullanılabilir. Önizlemeler "olduğu gibi" ve "kullanılabilir" olarak sağlanır ve hizmet düzeyi sözleşmelerinin ve sınırlı garantinin dışında tutulur. AKS önizlemeleri, müşteri desteği tarafından kısmen en iyi çaba temelinde ele alınmaktadır. Bu nedenle, bu özellikler üretim kullanımı için tasarlanmamıştır. Daha fazla bilgi için aşağıdaki destek makalelerine bakın:

• AKS desteği ilkeleri
• Azure desteği Sıkça Sorulan Sorular

Önkoşullar

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz. Azure Cloud Shell'i kullanmaya başlama.

  

• CLI referans komutlarını yerel olarak çalıştırmayı tercih ediyorsanız, Azure CLI'yi yükleyin. Windows veya macOS üzerinde çalışıyorsanız, Azure CLI'yi bir Docker konteynerinde çalıştırmayı düşünün. Daha fazla bilgi için Azure CLI'nin bir Docker konteynerında nasıl çalıştırılacağını inceleyin.

  • Yerel bir kurulum kullanıyorsanız, az login komutunu kullanarak Azure CLI'ye giriş yapın. Kimlik doğrulama işlemini tamamlamak için, terminalinizde görüntülenen adımları takip edin. Diğer oturum açma seçenekleri için bkz. Azure CLI kullanarak Azure'da kimlik doğrulaması.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma ve yönetme.

  • Yüklü olan sürümü ve bağımlı kütüphaneleri bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

• Bu makale, Azure CLI'nın 2.61.0 veya sonraki bir sürümünü gerektirir. Azure Cloud Shell kullanıyorsanız en son sürüm zaten orada yüklüdür.

• aks-preview sürüm 9.0.0b1 veya daha yenisine sahip olmanız gerekiyor.

  • Henüz aks-preview uzantısına sahip değilseniz, az extension add komutunu kullanarak yükleyin.

    az extension add --name aks-preview
    

  • Uzantıya aks-preview zaten sahipseniz, komutunu kullanarak en son sürüme sahip olduğunuzdan emin olmak için uzantıyı güncelleştirin az extension update :

    az extension update --name aks-preview
    

• DisableSSHPreview özelliği bayrağını az feature register komutunu kullanarak kaydedin.

  az feature register --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"
  

  Durumun Kayıtlı olarak gösterilmesi birkaç dakika sürer.

• komutunu kullanarak az feature show kayıt durumunu doğrulayın.

  az feature show --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"
  

• Durum Kayıtlı olarak yansıtıldığında, komutunu kullanarak az provider register kaynak sağlayıcısının kaydını yenileyin.

  az provider register --namespace Microsoft.ContainerService
  

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz. Azure Cloud Shell'i kullanmaya başlama.

  

• CLI referans komutlarını yerel olarak çalıştırmayı tercih ediyorsanız, Azure CLI'yi yükleyin. Windows veya macOS üzerinde çalışıyorsanız, Azure CLI'yi bir Docker konteynerinde çalıştırmayı düşünün. Daha fazla bilgi için Azure CLI'nin bir Docker konteynerında nasıl çalıştırılacağını inceleyin.

  • Yerel bir kurulum kullanıyorsanız, az login komutunu kullanarak Azure CLI'ye giriş yapın. Kimlik doğrulama işlemini tamamlamak için, terminalinizde görüntülenen adımları takip edin. Diğer oturum açma seçenekleri için bkz. Azure CLI kullanarak Azure'da kimlik doğrulaması.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma ve yönetme.

  • Yüklü olan sürümü ve bağımlı kütüphaneleri bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

• Bu makale, Azure CLI'nın 2.73.0 veya sonraki bir sürümünü gerektirir. Azure Cloud Shell kullanıyorsanız en son sürüm zaten orada yüklüdür.

• Entra ID SSH için sürüm 19.0.0b7 veya üzeri gerekir aks-preview .

  • Henüz aks-preview uzantısına sahip değilseniz, az extension add komutunu kullanarak yükleyin.

    az extension add --name aks-preview
    

  • Uzantıya aks-preview zaten sahipseniz, komutunu kullanarak en son sürüme sahip olduğunuzdan emin olmak için uzantıyı güncelleştirin az extension update :

    az extension update --name aks-preview
    

• Düğümlere erişmek için uygun Azure RBAC izinleri:

  • Gerekli eylem: Microsoft.Compute/virtualMachineScaleSets/*/read - Sanal Makine Ölçek Kümeleri bilgilerini okumak için
    • Gerekli veri işlemi:
      • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/login/action - kimlik doğrulaması yapmak ve vm'lerde normal kullanıcı olarak oturum açmak için.
      • Microsoft.Compute/virtualMachines/loginAsAdmin/action - kök kullanıcı ayrıcalıklarıyla oturum açmak için.
    • Yerleşik rol: Sanal Makine Yöneticisi Oturum Açma veya Sanal Makine Kullanıcı Oturum Açma (yönetici olmayan erişim için)

• EntraIdSSHPreview özelliği bayrağını az feature register komutunu kullanarak kaydedin.

  az feature register --namespace "Microsoft.ContainerService" --name "EntraIdSSHPreview"
  

  Durumun Kayıtlı olarak gösterilmesi birkaç dakika sürer.

• komutunu kullanarak az feature show kayıt durumunu doğrulayın.

  az feature show --namespace "Microsoft.ContainerService" --name "EntraIdSSHPreview"
  

• Durum Kayıtlı olarak yansıtıldığında, komutunu kullanarak az provider register kaynak sağlayıcısının kaydını yenileyin.

  az provider register --namespace Microsoft.ContainerService
  

• Azure Cloud Shell'de Bash ortamını kullanın. Daha fazla bilgi için bkz. Azure Cloud Shell'i kullanmaya başlama.

  

• CLI referans komutlarını yerel olarak çalıştırmayı tercih ediyorsanız, Azure CLI'yi yükleyin. Windows veya macOS üzerinde çalışıyorsanız, Azure CLI'yi bir Docker konteynerinde çalıştırmayı düşünün. Daha fazla bilgi için Azure CLI'nin bir Docker konteynerında nasıl çalıştırılacağını inceleyin.

  • Yerel bir kurulum kullanıyorsanız, az login komutunu kullanarak Azure CLI'ye giriş yapın. Kimlik doğrulama işlemini tamamlamak için, terminalinizde görüntülenen adımları takip edin. Diğer oturum açma seçenekleri için bkz. Azure CLI kullanarak Azure'da kimlik doğrulaması.

  • İstendiğinde, ilk kullanımda Azure CLI uzantısını yükleyin. Uzantılar hakkında daha fazla bilgi için bkz. Azure CLI ile uzantıları kullanma ve yönetme.

  • Yüklü olan sürümü ve bağımlı kütüphaneleri bulmak için az version komutunu çalıştırın. En son sürüme yükseltmek için az upgrade komutunu çalıştırın.

• Bu makale, Azure CLI'nın 2.61.0 veya sonraki bir sürümünü gerektirir. Azure Cloud Shell kullanıyorsanız en son sürüm zaten orada yüklüdür.
• Nodepool'larda SSH erişim yöntemini güncelleştirmek için sürüm 9.0.0b1 veya üzeri gerekir aks-preview .
  • Henüz aks-preview uzantısına sahip değilseniz, az extension add komutunu kullanarak yükleyin.

    az extension add --name aks-preview
    

  • Uzantıya aks-preview zaten sahipseniz, komutunu kullanarak en son sürüme sahip olduğunuzdan emin olmak için uzantıyı güncelleştirin az extension update :

    az extension update --name aks-preview
    

Ortam değişkenlerini belirleme

Kaynak grubunuz, küme adı ve konumunuz için aşağıdaki ortam değişkenlerini ayarlayın:

export RESOURCE_GROUP="<your-resource-group-name>"
export CLUSTER_NAME="<your-cluster-name>"
export LOCATION="<your-azure-region>"

Sınırlamalar

• Entra ID SSH'in düğümlere erişimi, henüz Windows düğüm havuzu için kullanılamıyor.
• Düğümler için Entra Id SSH, rol atamalarını engelleyen düğüm kaynak grubu kilitlemesi nedeniyle AKS otomatik için desteklenmiyor.

SSH erişimini yapılandırma

Güvenliği geliştirmek ve kurumsal güvenlik gereksinimlerinizi veya stratejinizi desteklemek için AKS, hem kümede hem de düğüm havuzu düzeyinde SSH'yi devre dışı bırakmayı destekler. SSH'yi devre dışı bırakma, AKS alt ağı/düğüm ağ arabirimi kartında (NIC) ağ güvenlik grubu kurallarını yapılandırmaya kıyasla basitleştirilmiş bir yaklaşım sunar. SSH'yi devre dışı bırakma yalnızca Sanal Makine Ölçek Kümeleri düğüm havuzlarını destekler.

Küme oluşturma zamanında SSH'yi devre dışı bırakırsanız, küme oluşturulduktan sonra geçerli olur. Ancak mevcut bir kümede veya düğüm havuzunda SSH'yi devre dışı bırakırsanız AKS, SSH'yi otomatik olarak devre dışı bırakmaz. İstediğiniz zaman bir düğüm havuzu yükseltme işlemi gerçekleştirmeyi seçebilirsiniz. Düğüm görüntüsü güncelleştirmesi tamamlandıktan sonra SSH'yi devre dışı bırakma/etkinleştirme işlemi etkinleşir.

Not

SSH'yi küme düzeyinde devre dışı bırakırsanız, tüm mevcut düğüm havuzları için geçerlidir. Bu işlemden sonra oluşturulan tüm düğüm havuzlarında varsayılan olarak SSH etkinleştirilir ve devre dışı bırakmak için bu komutları yeniden çalıştırmanız gerekir.

Not

kubectl hata ayıklama düğümü , SSH hizmetine bağlı olmadığından SSH'yi devre dışı bırakdıktan sonra çalışmaya devam eder.

Bir kaynak grubu oluşturun

az group create komutunu kullanarak bir kaynak grubu oluşturun.

az group create --name $RESOURCE_GROUP --location $LOCATION

Yeni küme dağıtımında SSH'yi devre dışı bırakma

Varsayılan olarak, AKS kümesi düğümlerindeki SSH hizmeti kümede çalışan tüm kullanıcılara ve podlara açıktır. Poddaki bir kapsayıcının güvenliği aşılırsa saldırı vektörü sınırlamaya yardımcı olmak için herhangi bir ağdan küme düğümlerine doğrudan SSH erişimini engelleyebilirsiniz.

az aks create Komutunu kullanarak yeni bir küme oluşturun ve küme oluşturma sırasında tüm düğüm havuzlarında SSH'yi (önizleme) devre dışı bırakmak için bağımsız değişkenini ekleyin--ssh-access disabled.

Önemli

SSH hizmetini devre dışı bırakdıktan sonra, yönetim görevlerini gerçekleştirmek veya sorun gidermek için kümede SSH yapamazsınız.

Not

Yeni oluşturulan bir kümede, SSH'yi devre dışı bırakmak yalnızca ilk sistem düğümü havuzunu yapılandıracaktır. Diğer tüm düğüm havuzlarının düğüm havuzu düzeyinde yapılandırılması gerekir.

az aks create --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --ssh-access disabled

Birkaç dakika sonra komut tamamlanıp kümeyle ilgili JSON biçimli bilgileri döndürür. Aşağıdaki örnek, çıktıya ve SSH'yi devre dışı bırakmayla ilgili sonuçlara benzer:

"securityProfile": {
  "sshAccess": "Disabled"
},

Yeni düğüm havuzu için SSH'yi devre dışı bırakma

az aks nodepool add komutunu kullanarak düğüm havuzu ekleyin ve --ssh-access disabled bağımsız değişkenini ekleyerek düğüm havuzu oluşturma sırasında SSH'yi devre dışı bırakın.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access disabled

Birkaç dakika sonra komut tamamlanıp küme hakkında mynodepool'un başarıyla oluşturulduğunu belirten JSON biçimli bilgileri döndürür. Aşağıdaki örnek, çıktıya ve SSH'yi devre dışı bırakmayla ilgili sonuçlara benzer:

"securityProfile": {
  "sshAccess": "Disabled"
},

Mevcut düğüm havuzu için SSH'yi devre dışı bırakma

Önemli

AKS önizleme özellikleri self servis ve kabul temelinde kullanılabilir. Önizlemeler "olduğu gibi" ve "kullanılabilir" olarak sağlanır ve hizmet düzeyi sözleşmelerinin ve sınırlı garantinin dışında tutulur. AKS önizlemeleri, müşteri desteği tarafından kısmen en iyi çaba temelinde ele alınmaktadır. Bu nedenle, bu özellikler üretim kullanımı için tasarlanmamıştır. Daha fazla bilgi için aşağıdaki destek makalelerine bakın:

• AKS desteği ilkeleri
• Azure desteği Sıkça Sorulan Sorular

az aks nodepool update komutunu, var olan bir düğüm havuzunda SSH'yi (önizleme) devre dışı bırakmak için --ssh-access disabled bağımsız değişkeniyle birlikte kullanın.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access disabled

Birkaç dakika sonra komut tamamlanıp küme hakkında mynodepool'un başarıyla güncelleştirildiğini gösteren JSON biçimli bilgileri döndürür. Aşağıdaki örnek, çıktıya ve SSH'yi devre dışı bırakmayla ilgili sonuçlara benzer:

"securityProfile": {
  "sshAccess": "Disabled"
},

Değişikliğin etkili olması için az aks nodepool upgrade komutunu kullanarak düğüm havuzunu yeniden imajlamanız gerekir.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Önemli

Mevcut bir kümede SSH'yi devre dışı bırakmak için, bu kümedeki her düğüm havuzu için SSH'yi devre dışı bırakmanız gerekir.

SSH erişimini yeniden etkinleştirme

Düğüm havuzunda SSH erişimini yeniden etkinleştirmek için düğüm havuzunu (geleneksel SSH anahtar tabanlı erişim için) veya --ssh-access localuser (Entra Id tabanlı erişim için) ile --ssh-access entraid güncelleştirin. Ayrıntılı yönergeler için ilgili bölümlere bakın.

AKS kümenizi, küme düğümlerine SSH kimlik doğrulaması için Microsoft Entra Id (eski adıYla Azure AD) kullanacak şekilde yapılandırabilirsiniz. Bu, SSH anahtarlarını yönetme gereksinimini ortadan kaldırır ve düğümlere güvenli bir şekilde erişmek için Entra ID kimlik bilgilerinizi kullanmanıza olanak tanır.

Bir kaynak grubu oluşturun

az group create komutunu kullanarak bir kaynak grubu oluşturun.

az group create --name $RESOURCE_GROUP --location $LOCATION

Yeni bir kümede Entra Id tabanlı SSH'yi etkinleştirme

az aks create komutunu --ssh-access entraid bağımsız değişkeniyle birlikte kullanarak küme oluşturma sırasında Entra ID tabanlı SSH kimlik doğrulamasını etkinleştirin.

az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --ssh-access entraid

Birkaç dakika sonra komut tamamlanıp kümeyle ilgili JSON biçimli bilgileri döndürür. Aşağıdaki örnek çıktıya benzer:

"securityProfile": {
  "sshAccess": "EntraID"
},

Yeni düğüm havuzu için Entra Id tabanlı SSH'yi etkinleştirme

az aks nodepool add komutunu, düğüm havuzu oluşturma sırasında Entra ID tabanlı SSH'yi etkinleştirmek için --ssh-access entraid bağımsız değişkeniyle birlikte kullanın.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access entraid

Birkaç dakika sonra komut tamamlanıp mynodepool'un Entra ID tabanlı SSH ile başarıyla oluşturulduğunu belirten JSON biçimli bilgileri döndürür. Aşağıdaki örnek çıktıya benzer:

"securityProfile": {
  "sshAccess": "EntraID"
},

Mevcut düğüm havuzu için Entra Id tabanlı SSH'yi etkinleştirme

Var olan bir düğüm havuzunda Entra ID tabanlı SSH'yi etkinleştirmek için az aks nodepool update komutunu, --ssh-access entraid bağımsız değişkeniyle birlikte kullanın.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access entraid

Birkaç dakika sonra komut tamamlanıp mynodepool'un Entra ID tabanlı SSH ile başarıyla güncelleştirildiğini gösteren JSON biçimli bilgileri döndürür. Aşağıdaki örnek çıktıya benzer:

"securityProfile": {
  "sshAccess": "EntraID"
},

Değişikliğin etkili olması için az aks nodepool upgrade komutunu kullanarak düğüm havuzunu yeniden imajlamanız gerekir.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Önemli

Mevcut bir kümede Entra Id tabanlı SSH'yi etkinleştirmek için her düğüm havuzu için ayrı ayrı etkinleştirmeniz gerekir.

Yerel kullanıcı SSH erişimi, geleneksel SSH anahtar tabanlı kimlik doğrulamasını kullanır. Bu, AKS kümeleri için varsayılan SSH erişim yöntemidir.

Bir kaynak grubu oluşturun

az group create komutunu kullanarak bir kaynak grubu oluşturun.

az group create --name $RESOURCE_GROUP --location $LOCATION

SSH anahtarlarıyla AKS kümesi oluşturma

Aks kümesini SSH ortak anahtarıyla dağıtmak için az aks create komutunu kullanın. Bağımsız --ssh-key-value değişkenini kullanarak bir anahtar veya anahtar dosyası belirleyebilir veya --ssh-access localuser kullanarak yerel kullanıcı SSH erişimini açıkça ayarlayabilirsiniz.

SSH parametresi	Açıklama	Varsayılan değer
--generate-ssh-key	Kendi SSH anahtarlarınız yoksa belirtin --generate-ssh-key. Azure CLI otomatik olarak bir dizi SSH anahtarı oluşturur ve bunları varsayılan dizinine ~/.ssh/kaydeder.
--ssh-key-value	SSH erişimi için düğüm VM'lerine yüklenecek ortak anahtar yolu veya anahtar içeriği. Örneğin, ssh-rsa AAAAB...snip...UcyupgH azureuser@linuxvm.	~/.ssh/id_rsa.pub
--ssh-access localuser	Anahtar tabanlı kimlik doğrulaması ile yerel kullanıcı SSH erişimini açıkça etkinleştirin.
--no-ssh-key	SSH anahtarları gerekmiyorsa bu bağımsız değişkeni belirtin. Ancak Azure Sanal Makine kaynak bağımlılığı boş bir SSH anahtarları dosyasını desteklemediğinden AKS otomatik olarak bir SSH anahtarları kümesi oluşturur. Sonuç olarak, anahtarlar döndürülmez ve düğüm VM'lerinde SSH için kullanılamaz. Özel anahtar atılır ve kaydedilmez.

Not

Parametre belirtilmezse, Azure CLI varsayılan olarak dosyada depolanan SSH anahtarlarına başvurur ~/.ssh/id_rsa.pub . Anahtarlar bulunamazsa, komut iletisini An RSA key file or key value must be supplied to SSH Key Valuedöndürür.

Örnekler:

• Küme oluşturmak ve varsayılan olarak oluşturulan SSH anahtarlarını kullanmak için:

  az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --generate-ssh-key
  

• SSH ortak anahtar dosyası belirtmek için:

  az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value ~/.ssh/id_rsa.pub
  

• Yerel kullanıcı SSH erişimini açıkça etkinleştirmek için:

  az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-access localuser --generate-ssh-key
  

Yeni düğüm havuzu için yerel kullanıcı SSH'sini etkinleştirme

Düğüm havuzu oluşturma sırasında yerel kullanıcı SSH'sini etkinleştirmek için az aks nodepool add komutunu --ssh-access localuser argümanıyla birlikte kullanın.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access localuser

Mevcut düğüm havuzu için yerel kullanıcı SSH'sini etkinleştirme

Önemli

AKS önizleme özellikleri self servis ve kabul temelinde kullanılabilir. Önizlemeler "olduğu gibi" ve "kullanılabilir" olarak sağlanır ve hizmet düzeyi sözleşmelerinin ve sınırlı garantinin dışında tutulur. AKS önizlemeleri, müşteri desteği tarafından kısmen en iyi çaba temelinde ele alınmaktadır. Bu nedenle, bu özellikler üretim kullanımı için tasarlanmamıştır. Daha fazla bilgi için aşağıdaki destek makalelerine bakın:

• AKS desteği ilkeleri
• Azure desteği Sıkça Sorulan Sorular

Var olan bir düğüm havuzunda yerel kullanıcı SSH'sini etkinleştirmek için az aks nodepool update komutunu, --ssh-access localuser bağımsız değişkeniyle birlikte kullanın.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access localuser

Önemli

Değişikliğin etkili olması için az aks nodepool upgrade komutunu kullanarak düğüm havuzunu yeniden imajlamanız gerekir.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Mevcut AKS kümesinde SSH ortak anahtarını güncelleştirme

az aks update Kümenizdeki SSH ortak anahtarını (önizleme) güncelleştirmek için komutunu kullanın. Bu işlem anahtarı tüm düğüm havuzlarında güncelleştirir. Bağımsız değişkenini --ssh-key-value kullanarak bir anahtar veya anahtar dosyası belirtebilirsiniz.

Not

AKS kümeleri ile Azure sanal makine ölçek kümelerinde SSH anahtarlarının güncelleştirilmesi desteklenir.

Örnekler:

• Yeni bir SSH ortak anahtar değeri belirtmek için:

  az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value 'ssh-rsa AAAAB3Nza-xxx'
  

• SSH ortak anahtar dosyası belirtmek için:

  az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value ~/.ssh/id_rsa.pub
  

Önemli

SSH anahtarını güncelleştirdikten sonra AKS düğüm havuzunuzu otomatik olarak güncelleştirmez. İstediğiniz zaman bir düğüm havuzu yükseltme işlemi gerçekleştirmeyi seçebilirsiniz. Bir düğüm görüntüsü güncelleştirmesi tamamlandıktan sonra güncelleştirme SSH anahtarları işlemi etkinleşir. Düğüm Otomatik Sağlama özelliği etkin olan kümelerde, Kubernetes NodePool özel kaynağına yeni bir etiket uygulayarak düğüm görüntüsü güncellenebilir.

SSH hizmeti durumunu doğrulama

SSH'yi devre dışı bırakdıktan sonra, küme düğümlerinizde SSH hizmetinin etkin olmadığını doğrulayabilirsiniz.

SSH hizmeti durumunu denetlemek için Sanal Makine Ölçek Kümesi az vmss run-command invoke komutunu kullanın.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

Aşağıdaki örnek çıktı, SSH devre dışı bırakıldığında beklenen sonucu gösterir:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n○ ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; disabled; vendor preset: enabled)\n     Active: inactive (dead) since Wed 2024-01-03 15:36:53 UTC; 25min ago\n..."
    }
  ]
}

Etkin sözcüğünü arayın ve düğümde SSH'nin devre dışı bırakıldığını onaylayan değerinin Active: inactive (dead)olduğunu doğrulayın.

Entra Id tabanlı SSH'yi etkinleştirdikten sonra SSH hizmetinin etkin olduğunu ve küme düğümlerinizde Entra Id kimlik doğrulaması için yapılandırıldığını doğrulayabilirsiniz.

SSH hizmeti durumunu denetlemek için Sanal Makine Ölçek Kümesi az vmss run-command invoke komutunu kullanın.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

Aşağıdaki örnek çıktı, SSH etkinleştirildiğinde beklenen sonucu gösterir:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n● ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)\n     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago\n..."
    }
  ]
}

Etkin sözcüğünü arayın ve düğümde SSH'nin etkinleştirildiğini onaylayan değerinin Active: active (running)olduğunu doğrulayın.

Yerel kullanıcı SSH'sini yapılandırdıktan sonra SSH hizmetinin küme düğümlerinizde etkin olduğunu doğrulayabilirsiniz.

SSH hizmeti durumunu denetlemek için Sanal Makine Ölçek Kümesi az vmss run-command invoke komutunu kullanın.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

Aşağıdaki örnek çıktı, SSH etkinleştirildiğinde beklenen sonucu gösterir:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n● ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)\n     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago\n..."
    }
  ]
}

Etkin sözcüğünü arayın ve düğümde SSH'nin etkinleştirildiğini onaylayan değerinin Active: active (running)olduğunu doğrulayın.

Sonraki adımlar

Küme düğümlerinize SSH bağlantısıyla ilgili sorunları gidermeye yardımcı olmak için kubelet günlüklerini görüntüleyebilir veya Kubernetes ana düğüm günlüklerini görüntüleyebilirsiniz.