Einschränken des SSH-Zugriffs auf virtuelle Computer in AKS, die von Azure Arc unterstützt werden (AKS auf Azure Local 22H2)
Gilt für: AKS auf Azure Local 22H2, AKS unter Windows Server
In diesem Artikel wird ein neues Sicherheitsfeature in AKS Arc beschrieben, das den Secure Shell-Protokoll (SSH)-Zugriff auf zugrunde liegende virtuelle Computer (Virtual Machines, VMs) einschränkt. Das Feature beschränkt den Zugriff auf nur bestimmte IP-Adressen und schränkt die Gruppe von Befehlen ein, die Sie über SSH ausführen können.
Überblick
Derzeit hat jeder, der Administratorzugriff auf AKS hat, die von Arc aktiviert sind, Zugriff auf VMs über SSH auf jedem Computer. In einigen Szenarien sollten Sie diesen Zugriff einschränken, da unbegrenzter Zugriff die Einhaltung der Compliance erschwert.
Anmerkung
Derzeit ist diese Funktion nur für eine neue Installation von AKS Arc und nicht für Upgrades verfügbar. Nur eine neue Installation von AKS Arc kann die eingeschränkten IPs übergeben und die Befehle einschränken, die über SSH ausgeführt werden.
Aktivieren von SSH-Einschränkungen
Führen Sie die folgenden Schritte aus, um SSH-Einschränkungen zu aktivieren:
Erstellen Sie eine SSH-Konfiguration mithilfe des Cmdlets New-AksHciSSHConfiguration, mit den zulässigen Quell-IP-Adressen oder CIDR, denen Sie den Zugriff auf den virtuellen Computer gestatten möchten:
$ssh = New-AksHciSSHConfiguration -name sshConfig -cidr 172.16.0.0/24oder
$ssh = New-AksHciSSHConfiguration -name sshConfig -ipAddresses 4.4.4.4,8.8.8.8oder zum Einschränken des SSH-Zugriffs:
$ssh = New-AksHciSSHConfiguration -name sshConfig –restrictSSHCommandsAnmerkung
Wenn die SSH-Schlüssel nicht übergeben werden, werden die SSH-Schlüssel des Verwaltungsclusters wiederverwendet.
Fügen Sie die SSH-Konfiguration hinzu, indem Sie das Cmdlet Set-AksHciConfig ausführen und die ssh-Konfiguration übergeben, die Sie im vorherigen Schritt erstellt haben:
Set-AksHciConfig -ssh $ssh
Validierung: Zielcluster
Nachdem Sie den Cluster erstellt haben, können Sie manuell überprüfen, ob die SSH-Einschränkung hinzugefügt wurde, indem Sie versuchen, SSH zu einem der virtuellen Computer zu verwenden. Zum Beispiel:
ssh -i (get-MocConfig).sshPrivateKey clouduser@<vm-ipaddress>
Sie können diesen Schritt in der liste der angegebenen IP-Adressen/CIDRs oder außerhalb der Liste der IP-Adressen ausführen. Das SSH aus dem Bereich der IP-Adressen/CIDRs hat Zugriff. SSH-Versuche von außerhalb der Liste haben keinen Zugriff.
Sie können Befehle auch direkt über SSH ausführen. Dieser Befehl gibt das Datum zurück. Sudo-Befehle funktionieren nicht:
ssh -i (get-mocconfig).sshPrivateKey clouduser@<ip> date
Validierung: Protokollsammlung
Dieser Befehl gibt die VM-Protokolle wie cloudinit-, lb-Protokolle usw. zurück.
Get-AksHciLogs –virtualMachineLogs
Überlegungen
- Die individuelle SSH-Konfiguration für Workloadcluster ist jetzt verfügbar. Die Konfiguration für Workloadcluster verwendet das New-AksHciSSHConfiguration-PowerShell-Cmdlet.
- Die Einschränkung gilt nur für Linux. Windows-Knoten haben diese Einschränkung nicht; Sie sollten in der Lage sein, SSH erfolgreich zu verwenden.
- Sie können die Konfiguration nur während der Installationsphase von AKS Arc festlegen.
- Sie müssen eine Neuinstallation durchführen, wenn Sie ssh-Einstellungen falsch konfigurieren.
- Es gibt keine Unterstützung für Upgrades.
- Sie können CIDRs oder IP-Adressen hinzufügen, auf die der SSH-Zugriff eingeschränkt werden kann.
- Die von Ihnen bereitgestellte SSH-Einstellung wird für alle Zielcluster wiederverwendet. Die individuelle SSH-Konfiguration für Workloadcluster ist nicht verfügbar.