SSH-hozzáférés az Azure Arc-kompatibilis kiszolgálókhoz

Az Arc-kompatibilis kiszolgálókhoz készült SSH lehetővé teszi az Arc-kompatibilis kiszolgálókhoz való SSH-alapú kapcsolatokat anélkül, hogy nyilvános IP-címet vagy további nyitott portokat kellene megadnia. Ez a funkció interaktívan, automatizáltan vagy meglévő SSH-alapú eszközökkel is használható, így a meglévő felügyeleti eszközök nagyobb hatással lehetnek az Azure Arc-kompatibilis kiszolgálókra.

Fő előnyök

Az Arc-kompatibilis kiszolgálókhoz való SSH-hozzáférés a következő fő előnyöket biztosítja:

• Nincs szükség nyilvános IP-címre vagy nyitott SSH-portra
• Hozzáférés Windows- és Linux-gépekhez
• Bejelentkezés helyi felhasználóként vagy Azure-felhasználóként (csak Linux esetén)
• Egyéb OpenSSH-alapú eszközök támogatása konfigurációs fájltámogatással

Előfeltételek

A funkció engedélyezéséhez győződjön meg a következőkről:

• Győződjön meg arról, hogy az Arc-kompatibilis kiszolgáló "1.31.xxxx" vagy újabb hibrid ügynökverzióval rendelkezik. Futtatás: azcmagent show az Arc-kompatibilis kiszolgálón.
• Győződjön meg arról, hogy az Arc-kompatibilis kiszolgálón engedélyezve van az "sshd" szolgáltatás.
  • Linux rendszerű gépekre a csomagkezelőn keresztül lehet telepíteni, openssh-server és engedélyezni kell.
  • Az SSHD-t engedélyezni kell Windows rendszeren.
• Győződjön meg arról, hogy tulajdonosi vagy közreműködői szerepkör van hozzárendelve.

A Microsoft Entra hitelesítő adatainak hitelesítése további követelményekkel rendelkezik:

• aadsshlogin és aadsshlogin-selinux (adott esetben) az Arc-kompatibilis kiszolgálón kell telepíteni. Ezek a csomagok a virtuálisgép-bővítménnyel Azure AD based SSH Login – Azure Arc vannak telepítve.

• Konfigurálja a virtuális gép szerepkör-hozzárendeléseit. A virtuális gépre való bejelentkezés hitelesítéséhez két Azure-szerepkör használható.

  • Virtuálisgép-rendszergazdai bejelentkezés: A szerepkörrel rendelkező felhasználók rendszergazdai jogosultságokkal jelentkezhetnek be egy Azure-beli virtuális gépre.
  • Virtuális gép felhasználói bejelentkezése: A szerepkörrel rendelkező felhasználók bejelentkezhetnek egy rendszeres felhasználói jogosultságokkal rendelkező Azure-beli virtuális gépre.

  Azok az Azure-felhasználók, akiknek tulajdonosi vagy közreműködői szerepköre van hozzárendelve egy virtuális géphez, nem rendelkeznek automatikusan jogosultságokkal a Microsoft Entra számára, hogy SSH-val jelentkezzenek be a virtuális gépre. Szándékosan (és ellenőrzött módon) vannak különválasztva azok a személyek, akik felügyelik a virtuális gépeket, és azok, akik hozzáférhetnek a virtuális gépekhez.

  Feljegyzés

  A virtuális gép rendszergazdai bejelentkezési és virtuálisgép-felhasználói bejelentkezési szerepkörei a felügyeleti csoport, az előfizetés, az erőforráscsoport vagy az erőforrás hatókörében használhatók dataActions és rendelhetők hozzá. Javasoljuk, hogy a szerepköröket a felügyeleti csoport, az előfizetés vagy az erőforrás szintjén rendelje hozzá, és ne az egyes virtuális gépek szintjén. Ez a gyakorlat elkerüli az Előfizetésenkénti Azure-szerepkör-hozzárendelési korlát elérésének kockázatát.

Elérhetőség

Az Arc-kompatibilis kiszolgálókhoz való SSH-hozzáférés jelenleg az Arc-kompatibilis kiszolgálók által támogatott összes nyilvános felhőrégióban támogatott.

Első lépések

A HybridConnectivity erőforrás-szolgáltató regisztrálása

Ellenőrizze, hogy a HybridConnectivity erőforrás-szolgáltató (RP) regisztrálva van-e:

az provider show -n Microsoft.HybridConnectivity -o tsv --query registrationState

Ha az RP nincs regisztrálva, futtassa a következőket:

az provider register -n Microsoft.HybridConnectivity

A művelet végrehajtása 2–5 percet is igénybe vehet. Mielőtt továbblépne, ellenőrizze, hogy az RP regisztrálva van-e.

Alapértelmezett kapcsolati végpont létrehozása

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{"properties": {"type": "default"}}'

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{\"properties\":{\"type\":\"default\"}}'

az rest --method get --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15

Invoke-AzRestMethod -Method put -Path /subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 -Payload '{"properties": {"type": "default"}}'

Invoke-AzRestMethod -Method get -Path /subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15

Helyi parancssori eszköz telepítése

Ez a funkció jelenleg egy Azure CLI-bővítményben és egy Azure PowerShell-modulban van csomagolva.

az extension add --name ssh

Install-Module -Name Az.Ssh -Scope CurrentUser -Repository PSGallery
Install-Module -Name Az.Ssh.ArcProxy -Scope CurrentUser -Repository PSGallery

Funkciók engedélyezése az Arc-kompatibilis kiszolgálón

Az SSH kapcsolódási funkció használatához frissítenie kell a szolgáltatáskonfigurációt az Arc-kompatibilis kiszolgáló kapcsolati végpontján, hogy engedélyezve legyen az SSH-kapcsolat egy adott porthoz. Csak egyetlen porthoz engedélyezhet kapcsolatot. A parancssori felület eszközei futásidőben próbálják frissíteni az engedélyezett portot, de a port manuálisan konfigurálható a következőkkel:

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 --body "{\"properties\": {\"serviceName\": \"SSH\", \"port\": 22}}"

Invoke-AzRestMethod -Method put -Path /subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 -Payload '{"properties": {"serviceName": "SSH", "port": 22}}'

Ha nem megfelelő portot használ az SSH-kapcsolathoz, cserélje le a 22-es portot a kívánt portra az előző parancsban.

Nem kötelező: Az Azure AD bejelentkezési bővítmény telepítése

A Azure AD based SSH Login – Azure Arc virtuálisgép-bővítmény hozzáadható az Arc-kiszolgáló bővítmények menüjéből. Az Azure AD bejelentkezési bővítmény helyileg is telepíthető egy csomagkezelőn keresztül: apt-get install aadsshlogin vagy az alábbi paranccsal.

az connectedmachine extension create --machine-name <arc enabled server name> --resource-group <resourcegroup> --publisher Microsoft.Azure.ActiveDirectory --name AADSSHLogin --type AADSSHLoginForLinux --location <location>

Példák

Példák megtekintéséhez tekintse meg az az ssh Az CLI dokumentációs oldalát vagy az Az.Ssh-hoz készült Azure PowerShell dokumentációs oldalát.

Az Arc-kompatibilis kiszolgálók SSH-jának letiltása

Ezt a funkciót a következő műveletek elvégzésével lehet letiltani:

Következő lépések

• Tudnivalók a Windows OpenSSH-ról
• További információ az Azure Arc-kompatibilis kiszolgálókhoz való SSH-hozzáférés hibaelhárításáról.
• További információ az ügynök kapcsolati problémáinak elhárításáról.