Ограничение доступа SSH к виртуальным машинам в AKS с поддержкой Azure Arc (AKS в локальной версии 23H2)
Область применения: Локальная версия Azure, версия 23H2
В этой статье описывается новая функция безопасности в AKS Arc, которая ограничивает доступ к базовым виртуальным машинам (виртуальным машинам). Функция ограничивает доступ только к определенным IP-адресам и ограничивает набор команд, которые можно запускать по протоколу SSH.
Обзор
В настоящее время любой пользователь с доступом администратора к AKS, включенным Arc, имеет доступ к виртуальным машинам через SSH на любом компьютере. В некоторых сценариях может потребоваться ограничить этот доступ, так как неограниченный доступ затрудняет передачу соответствия требованиям.
Примечание.
В настоящее время эта возможность доступна только для новой установки AKS Arc, а не для обновлений. Только новая установка AKS Arc может передавать ограниченные IP-адреса и ограничивать команды, выполняемые по протоколу SSH.
Включение ограничений SSH
Следующая команда ограничивает набор узлов, которые можно авторизовать для клиентов SSH. Вы можете выполнять только команды SSH на этих узлах, а набор команд, которые можно выполнить, ограничен. Узлы предназначены либо через IP-адреса, либо через диапазоны CIDR:
az aksarc create --ssh-authorized-ip-ranges CIDR format
Формат CIDR .0.0.0.0/32
Эта команда выполняет два действия: ограничивает область действия команды, а также ограничивает узлы, из которых можно выполнить эту команду.