Einschränken des SSH-Zugriffs auf virtuelle Computer in AKS, die von Azure Arc aktiviert sind (AKS auf Azure Local, Version 23H2)
Gilt für: Azure Local, Version 23H2
In diesem Artikel wird ein neues Sicherheitsfeature in AKS Arc beschrieben, das den Zugriff auf zugrunde liegende virtuelle Computer (Virtual Machines, VMs) beschränkt. Das Feature beschränkt den Zugriff auf nur bestimmte IP-Adressen und schränkt die Gruppe von Befehlen ein, die Sie über SSH ausführen können.
Übersicht
Derzeit hat jeder, der Administratorzugriff auf AKS hat, die von Arc aktiviert sind, Zugriff auf VMs über SSH auf jedem Computer. In einigen Szenarien sollten Sie diesen Zugriff einschränken, da unbegrenzter Zugriff die Einhaltung der Compliance erschwert.
Hinweis
Derzeit ist diese Funktion nur für eine neue Installation von AKS Arc und nicht für Upgrades verfügbar. Nur eine neue Installation von AKS Arc kann die eingeschränkten IPs übergeben und die Befehle einschränken, die über SSH ausgeführt werden.
Aktivieren von SSH-Einschränkungen
Mit dem folgenden Befehl wird der Satz von Hosts beschränkt, die als SSH-Clients autorisiert werden können. Sie können die SSH-Befehle nur auf diesen Hosts ausführen, und der Satz von Befehlen, die Sie ausführen können, ist eingeschränkt. Die Hosts werden entweder über IP-Adressen oder CIDR-Bereiche entworfen:
az aksarc create --ssh-authorized-ip-ranges CIDR format
Das CIDR-Format ist 0.0.0.0/32.
Dieser Befehl führt zwei Aktionen aus: Er beschränkt den Umfang des Befehls und begrenzt auch die Hosts, von denen dieser Befehl ausgeführt werden kann.