Ograniczanie dostępu SSH do maszyn wirtualnych w usłudze AKS z włączoną usługą Azure Arc (usługa AKS w usłudze Azure Local, wersja 23H2)
Dotyczy: Azure Local, wersja 23H2
W tym artykule opisano nową funkcję zabezpieczeń w usłudze AKS Arc, która ogranicza dostęp protokołu Secure Shell Protocol (SSH) do bazowych maszyn wirtualnych. Funkcja ogranicza dostęp tylko do określonych adresów IP i ogranicza zestaw poleceń, które można uruchamiać za pośrednictwem protokołu SSH.
Omówienie
Obecnie każda osoba mająca dostęp administratora do usługi AKS włączonej przez usługę Arc ma dostęp do maszyn wirtualnych za pośrednictwem protokołu SSH na dowolnej maszynie. W niektórych scenariuszach możesz ograniczyć ten dostęp, ponieważ nieograniczony dostęp utrudnia przekazywanie zgodności.
Uwaga
Obecnie ta funkcja jest dostępna tylko dla nowej instalacji usługi AKS Arc, a nie w przypadku uaktualnień. Tylko nowa instalacja usługi AKS Arc może przekazywać ograniczone adresy IP i ograniczać polecenia uruchamiane za pośrednictwem protokołu SSH.
Włączanie ograniczeń protokołu SSH
Następujące polecenie ogranicza zestaw hostów, które mogą być autoryzowane jako klienci SSH. Można uruchamiać tylko polecenia SSH na tych hostach, a zestaw poleceń, które można uruchomić, jest ograniczony. Hosty są projektowane za pośrednictwem adresów IP lub zakresów CIDR:
az aksarc create --ssh-authorized-ip-ranges CIDR format
Format CIDR to 0.0.0.0/32.
To polecenie wykonuje dwie czynności: ogranicza zakres polecenia, a także ogranicza hosty, z których można uruchomić to polecenie.