限制对 Azure Arc 启用的 AKS 中的虚拟机的 SSH 访问（Azure 本地版本 23H2 上的 AKS）

适用于：Azure 本地版本 23H2

本文介绍 AKS Arc 中一项新的安全功能，用于限制对基础虚拟机（VM）的安全外壳协议（SSH）访问。 此功能仅限制对某些 IP 地址的访问，并限制可以通过 SSH 运行的命令集。

概述

目前，具有 Arc 启用的 AKS 的管理员访问权限的任何人都可以通过 SSH 在任何计算机上访问 VM。 在某些情况下，你可能想要限制该访问权限，因为无限制的访问使得难以通过合规性。

注意

目前，此功能仅适用于新安装的 AKS Arc，不适用于升级。 只有新的 AKS Arc 安装才能传递受限 IP，并限制通过 SSH 运行的命令。

启用 SSH 限制

以下命令限制可授权为 SSH 客户端的主机集。 只能在这些主机上运行 SSH 命令，并且可以运行的命令集受到限制。 主机是通过 IP 地址或通过 CIDR 范围设计的：

az aksarc create --ssh-authorized-ip-ranges CIDR format

CIDR 格式为 0.0.0.0/32.

此命令执行两项操作：它限制命令的范围，并且还会限制可从中运行此命令的主机。

后续步骤

• 限制 SSH 访问（Azure 本地 22H2 上的 AKS）
• 通过 Arc 启用的 AKS 概述