Restringir o acesso SSH a máquinas virtuais no AKS ativado pelo Azure Arc (AKS no Azure Stack HCI 22H2)

Aplica-se a: AKS no Azure Stack HCI 22H2, AKS no Windows Server

Este artigo descreve uma nova funcionalidade de segurança no AKS Arc que restringe o acesso do Secure Shell Protocol (SSH) a máquinas virtuais (VMs) subjacentes. A funcionalidade limita o acesso a apenas determinados endereços IP e restringe o conjunto de comandos que pode executar através de SSH.

Descrição geral

Atualmente, qualquer pessoa com acesso de administrador ao AKS ativado pelo Arc tem acesso a VMs através de SSH em qualquer computador. Em alguns cenários, poderá querer limitar esse acesso, uma vez que o acesso ilimitado dificulta a aprovação da conformidade.

Nota

Atualmente, esta capacidade está disponível apenas para uma nova instalação do AKS Arc e não para atualizações. Apenas uma nova instalação do AKS Arc pode transmitir os IPs restritos e restringir os comandos que são executados através de SSH.

Ativar restrições de SSH

Para ativar as restrições de SSH, execute os seguintes passos:

1. Create uma configuração SSH com o cmdlet New-AksHciSSHConfiguration, com os endereços IP de origem permitidos ou CIDR que pretende permitir o acesso às VMs:

   $ssh = New-AksHciSSHConfiguration -name sshConfig -cidr 172.16.0.0/24
   

   ou

   $ssh = New-AksHciSSHConfiguration -name sshConfig -ipAddresses 4.4.4.4,8.8.8.8
   

   ou, para restringir o acesso SSH:

   $ssh = New-AksHciSSHConfiguration -name sshConfig –restrictSSHCommands 
   

   Nota

   Se as chaves SSH não forem transmitidas, as chaves SSH do cluster de gestão serão reutilizadas.

2. Adicione a configuração SSH ao executar o cmdlet Set-AksHciConfig , transmitindo a configuração SSH que criou no passo anterior:

   Set-AksHciConfig -ssh $ssh
   

Validação: cluster de destino

Depois de criar o cluster, pode validar manualmente que a restrição SSH foi adicionada ao tentar sSH numa das VMs. Por exemplo:

ssh -i (get-MocConfig).sshPrivateKey clouduser@<vm-ipaddress>

Pode efetuar este passo na lista de endereços IP/CIDRs especificados ou fora da lista de endereços IP. O SSH a partir do intervalo de endereços IP/CIDRs tem acesso. As tentativas de SSH de fora da lista não têm acesso.

Também pode executar comandos diretamente a partir do SSH. Este comando devolve a data. Sudo os comandos não funcionam:

ssh -i (get-mocconfig).sshPrivateKey clouduser@<ip> date 

Validação: coleção de registos

Este comando devolve os registos da VM, tais como cloudinit, lb registos, etc.

Get-AksHciLogs –virtualMachineLogs

Considerações

• A configuração SSH individual para clusters de cargas de trabalho está agora disponível. A configuração para clusters de cargas de trabalho utiliza o cmdlet do PowerShell New-AksHciSSHConfiguration .
• A restrição destina-se apenas ao Linux. Os nós do Windows não têm esta restrição; deverá conseguir sSH com êxito.
• Só pode definir a configuração durante a fase de instalação do AKS Arc.
• Tem de efetuar uma reinstalação se configurar incorretamente as definições de SSH.
• Não existe suporte para atualizações.
• Pode adicionar CIDRs ou endereços IP aos quais o acesso SSH pode ser restrito.
• A definição SSH que fornecer é reutilizada para todos os clusters de destino. A configuração SSH individual para clusters de cargas de trabalho não está disponível.

Passos seguintes

• Restringir o acesso SSH (AKS no Azure Stack HCI 23H2)
• Descrição geral do AKS no Windows Server