Restricción del acceso SSH a máquinas virtuales en AKS habilitadas por Azure Arc (AKS en Azure Local, versión 23H2)
Se aplica a: Azure Local, versión 23H2
En este artículo se describe una nueva característica de seguridad en AKS Arc que restringe el acceso del Protocolo secure Shell (SSH) a las máquinas virtuales subyacentes. La característica limita el acceso solo a determinadas direcciones IP y restringe el conjunto de comandos que puede ejecutar a través de SSH.
Información general
Actualmente, cualquier persona con acceso de administrador a AKS habilitado por Arc tiene acceso a las máquinas virtuales a través de SSH en cualquier máquina. En algunos escenarios, es posible que quiera limitar ese acceso, ya que el acceso ilimitado dificulta el cumplimiento.
Nota:
Actualmente, esta funcionalidad solo está disponible para una nueva instalación de AKS Arc y no para las actualizaciones. Solo una nueva instalación de AKS Arc puede pasar las direcciones IP restringidas y restringir los comandos que se ejecutan a través de SSH.
Habilitación de restricciones ssh
El siguiente comando limita el conjunto de hosts que se pueden autorizar para que sean clientes SSH. Solo puede ejecutar los comandos SSH en esos hosts y el conjunto de comandos que puede ejecutar está restringido. Los hosts se diseñan a través de direcciones IP o a través de intervalos CIDR:
az aksarc create --ssh-authorized-ip-ranges CIDR format
El formato CIDR es 0.0.0.0/32.
Este comando hace dos cosas: limita el ámbito del comando y también limita los hosts desde los que se puede ejecutar este comando.