SSH-toegang beperken tot virtuele machines in AKS die zijn ingeschakeld door Azure Arc (AKS op Azure Local 22H2)

Van toepassing op: AKS in Azure Local 22H2, AKS op Windows Server

In dit artikel wordt een nieuwe beveiligingsfunctie in AKS Arc beschreven die SSH-toegang (Secure Shell Protocol) beperkt tot onderliggende virtuele machines (VM's). De functie beperkt de toegang tot alleen bepaalde IP-adressen en beperkt de set opdrachten die u via SSH kunt uitvoeren.

Overzicht

Op dit moment heeft iedereen met beheerderstoegang tot AKS die is ingeschakeld door Arc toegang tot VM's via SSH op elke computer. In sommige scenario's wilt u die toegang mogelijk beperken, omdat onbeperkte toegang het moeilijk maakt om naleving door te geven.

Notitie

Deze mogelijkheid is momenteel alleen beschikbaar voor een nieuwe installatie van AKS Arc en niet voor upgrades. Alleen een nieuwe installatie van AKS Arc kan de beperkte IP-adressen doorgeven en de opdrachten beperken die via SSH worden uitgevoerd.

SSH-beperkingen inschakelen

Voer de volgende stappen uit om SSH-beperkingen in te schakelen:

1. Maak een SSH-configuratie met behulp van de New-AksHciSSHConfiguration cmdlet, met de toegestane bron-IP-adressen of CIDR die u toegang tot de VM's wilt toestaan:

   $ssh = New-AksHciSSHConfiguration -name sshConfig -cidr 172.16.0.0/24
   

   of

   $ssh = New-AksHciSSHConfiguration -name sshConfig -ipAddresses 4.4.4.4,8.8.8.8
   

   of om SSH-toegang te beperken:

   $ssh = New-AksHciSSHConfiguration -name sshConfig –restrictSSHCommands 
   

   Notitie

   Als de SSH-sleutels niet worden doorgegeven, worden de SSH-sleutels van het beheercluster opnieuw gebruikt.

2. Voeg de SSH-configuratie toe door de Set-AksHciConfig-cmdlet uit te voeren, waarbij de SSH-configuratie wordt doorgegeven die u in de vorige stap hebt gemaakt:

   Set-AksHciConfig -ssh $ssh
   

Validatie: doelcluster

Nadat u het cluster hebt gemaakt, kunt u handmatig valideren dat de SSH-beperking is toegevoegd door SSH in een van de VIRTUELE machines te proberen. Bijvoorbeeld:

ssh -i (get-MocConfig).sshPrivateKey clouduser@<vm-ipaddress>

U kunt deze stap uitvoeren in de lijst met IP-adressen/CIDR's die zijn opgegeven of buiten de lijst met IP-adressen. De SSH binnen het bereik van IP-adressen/CIDR's heeft toegang. SSH-pogingen van buiten de lijst hebben geen toegang.

U kunt opdrachten ook rechtstreeks vanuit SSH uitvoeren. Met deze opdracht wordt de datum geretourneerd. Sudo opdrachten werken niet:

ssh -i (get-mocconfig).sshPrivateKey clouduser@<ip> date 

Validatie: logboekverzameling

Met deze opdracht worden de VM-logboeken, zoals cloudinit, lb logboeken, enzovoort geretourneerd.

Get-AksHciLogs –virtualMachineLogs

Overwegingen

• Afzonderlijke SSH-configuratie voor workloadclusters is nu beschikbaar. De configuratie voor workloadclusters maakt gebruik van de New-AksHciSSHConfiguration PowerShell-cmdlet.
• De beperking is alleen voor Linux. Windows-knooppunten hebben deze beperking niet; U moet SSH kunnen gebruiken.
• U kunt de configuratie alleen instellen tijdens de installatiefase van AKS Arc.
• U moet opnieuw installeren als u SSH-instellingen onjuist configureert.
• Er is geen ondersteuning voor upgrades.
• U kunt CIDR's of IP-adressen toevoegen waaraan de SSH-toegang kan worden beperkt.
• De SSH-instelling die u opgeeft, wordt opnieuw gebruikt voor alle doelclusters. Afzonderlijke SSH-configuratie voor workloadclusters is niet beschikbaar.

Volgende stappen

• SSH-toegang (AKS in Azure Local 23H2) beperken
• AKS op Windows Server overzicht