Bagikan melalui


Membatasi akses SSH ke komputer virtual di AKS yang diaktifkan oleh Azure Arc (AKS di Azure Stack HCI 22H2)

Berlaku untuk: AKS di Azure Stack HCI 22H2, AKS di Windows Server

Artikel ini menjelaskan fitur keamanan baru di AKS Arc yang membatasi akses Secure Shell Protocol (SSH) ke komputer virtual (VM) yang mendasar. Fitur ini membatasi akses hanya ke alamat IP tertentu, dan membatasi serangkaian perintah yang dapat Anda jalankan melalui SSH.

Gambaran Umum

Saat ini, siapa pun dengan akses administrator ke AKS yang diaktifkan oleh Arc memiliki akses ke VM melalui SSH di komputer apa pun. Dalam beberapa skenario, Anda mungkin ingin membatasi akses tersebut, karena akses tak terbatas menyulitkan untuk lulus kepatuhan.

Catatan

Saat ini, kemampuan ini hanya tersedia untuk penginstalan baru AKS Arc, dan bukan untuk peningkatan. Hanya penginstalan baru AKS Arc yang dapat melewati IP terbatas dan membatasi perintah yang berjalan melalui SSH.

Mengaktifkan pembatasan SSH

Untuk mengaktifkan pembatasan SSH, lakukan langkah-langkah berikut:

  1. Create konfigurasi SSH menggunakan cmdlet New-AksHciSSHConfiguration, dengan alamat IP sumber atau CIDR yang diizinkan, Anda ingin mengizinkan akses ke VM:

    $ssh = New-AksHciSSHConfiguration -name sshConfig -cidr 172.16.0.0/24
    

    atau

    $ssh = New-AksHciSSHConfiguration -name sshConfig -ipAddresses 4.4.4.4,8.8.8.8
    

    atau, untuk membatasi akses SSH:

    $ssh = New-AksHciSSHConfiguration -name sshConfig –restrictSSHCommands 
    

    Catatan

    Jika kunci SSH tidak diteruskan, kunci SSH kluster manajemen akan digunakan kembali.

  2. Tambahkan konfigurasi SSH dengan menjalankan cmdlet Set-AksHciConfig , meneruskan konfigurasi SSH yang Anda buat di langkah sebelumnya:

    Set-AksHciConfig -ssh $ssh
    

Validasi: kluster target

Setelah membuat kluster, Anda dapat memvalidasi secara manual bahwa pembatasan SSH telah ditambahkan dengan mencoba SSH ke salah satu VM. Contohnya:

ssh -i (get-MocConfig).sshPrivateKey clouduser@<vm-ipaddress>

Anda dapat melakukan langkah ini dalam daftar alamat IP/CIDR yang ditentukan, atau di luar daftar alamat IP. SSH dari dalam rentang alamat IP/CIDR memiliki akses. Upaya SSH dari luar daftar tidak memiliki akses.

Anda juga dapat menjalankan perintah langsung dari SSH. Perintah ini mengembalikan tanggal. Sudo perintah tidak berfungsi:

ssh -i (get-mocconfig).sshPrivateKey clouduser@<ip> date 

Validasi: pengumpulan log

Perintah ini mengembalikan log VM seperti cloudinit, lb log, dll.

Get-AksHciLogs –virtualMachineLogs

Pertimbangan

  • Konfigurasi SSH individual untuk kluster beban kerja sekarang tersedia. Konfigurasi untuk kluster beban kerja menggunakan cmdlet PowerShell New-AksHciSSHConfiguration .
  • Pembatasan hanya untuk Linux. Simpul Windows tidak memiliki batasan ini; Anda harus berhasil melakukan SSH.
  • Anda hanya dapat mengatur konfigurasi selama fase penginstalan AKS Arc.
  • Anda harus melakukan instalasi ulang jika Anda salah mengonfigurasi pengaturan SSH apa pun.
  • Tidak ada dukungan untuk peningkatan.
  • Anda dapat menambahkan CIDR atau alamat IP tempat akses SSH dapat dibatasi.
  • Pengaturan SSH yang Anda berikan digunakan kembali untuk semua kluster target. Konfigurasi SSH individual untuk kluster beban kerja tidak tersedia.

Langkah berikutnya