Akses SSH ke server dengan dukungan Azure Arc
SSH untuk server berkemampuan Arc memungkinkan koneksi berbasis SSH ke server berkemampuan Arc tanpa memerlukan alamat IP publik atau port terbuka tambahan. Fungsionalitas ini dapat digunakan secara interaktif, otomatis, atau dengan alat berbasis SSH yang ada, memungkinkan alat manajemen yang ada memiliki dampak yang lebih besar pada server dengan dukungan Azure Arc.
Manfaat utama
Akses SSH ke server yang didukung Arc memberikan manfaat utama berikut:
- Tidak diperlukan alamat IP publik atau port SSH terbuka
- Akses ke komputer Windows dan Linux
- Kemampuan untuk masuk sebagai pengguna lokal atau pengguna Azure (hanya Linux)
- Dukungan untuk alat berbasis OpenSSH lainnya dengan dukungan file konfigurasi
Prasyarat
Untuk mengaktifkan fungsionalitas ini, pastikan hal berikut:
- Pastikan server berkemampuan Arc memiliki versi agen hibrid "1.31.xxxx" atau yang lebih tinggi. Jalankan:
azcmagent show
di server yang didukung Arc Anda. - Pastikan server yang diaktifkan Arc mengaktifkan layanan "sshd".
- Untuk komputer Linux,
openssh-server
dapat diinstal melalui manajer paket dan perlu diaktifkan. - SSHD perlu diaktifkan pada Windows.
- Untuk komputer Linux,
- Pastikan Anda memiliki peran Pemilik atau Kontributor yang ditetapkan.
Mengautentikasi dengan kredensial Microsoft Entra memiliki persyaratan tambahan:
aadsshlogin
danaadsshlogin-selinux
(sebagaimana mestinya) harus diinstal pada server yang diaktifkan Arc. Paket ini diinstal denganAzure AD based SSH Login – Azure Arc
ekstensi VM.Mengonfigurasi penetapan peran untuk mesin virtual. Dua peran Azure digunakan untuk mengotorisasi log masuk VM:
- Masuk Administrator Mesin Virtual: Pengguna yang ditetapkan peran ini dapat masuk ke mesin virtual Azure dengan hak istimewa administrator.
- Masuk Pengguna Mesin Virtual: Pengguna yang ditetapkan peran ini dapat masuk ke mesin virtual Azure dengan hak istimewa pengguna.
Pengguna Azure yang memiliki peran Pemilik atau Kontributor yang ditetapkan untuk VM tidak secara otomatis memiliki hak istimewa untuk masuk Microsoft Entra ke VM melalui SSH. Ada pemisahan yang disengaja (dan diaudit) antara sekumpulan orang yang mengontrol mesin virtual dan sekumpulan orang yang dapat mengakses mesin virtual.
Catatan
Peran Masuk Administrator Mesin Virtual dan Masuk Pengguna Mesin Virtual menggunakan
dataActions
dan dapat ditetapkan pada grup manajemen, langganan, grup sumber daya, atau cakupan sumber daya. Kami menyarankan agar Anda menetapkan peran di tingkat grup manajemen, langganan, atau sumber daya dan bukan di tingkat mesin virtual individual. Praktik ini menghindari risiko mencapai batas penetapan peran Azure per langganan.
Ketersediaan
Akses SSH ke server berkemampuan Arc saat ini didukung di semua wilayah cloud publik yang didukung oleh server berkemampuan Arc.
Catatan
Saat ini tidak ada dukungan untuk cloud non-publik.
Memulai
Mendaftarkan penyedia sumber daya HybridConnectivity
Catatan
Ini adalah operasi satu kali yang perlu dilakukan pada setiap langganan.
Periksa apakah penyedia sumber daya HybridConnectivity (RP) telah terdaftar:
az provider show -n Microsoft.HybridConnectivity -o tsv --query registrationState
Jika RP belum terdaftar, jalankan hal berikut:
az provider register -n Microsoft.HybridConnectivity
Operasi ini dapat memakan waktu 2-5 menit untuk diselesaikan. Sebelum melanjutkan, periksa apakah RP telah terdaftar.
Membuat titik akhir konektivitas default
Catatan
Langkah berikut tidak perlu dijalankan untuk sebagian besar pengguna karena harus diselesaikan secara otomatis pada koneksi pertama. Langkah ini harus diselesaikan untuk setiap server yang diaktifkan Arc.
az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{"properties": {"type": "default"}}'
Catatan
Jika menggunakan Azure CLI dari PowerShell, berikut ini harus digunakan.
az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{\"properties\":{\"type\":\"default\"}}'
Validasi pembuatan titik akhir:
az rest --method get --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15
Menginstal alat baris perintah lokal
Fungsionalitas ini saat ini dimas dalam ekstensi Azure CLI dan modul Azure PowerShell.
az extension add --name ssh
Catatan
Versi ekstensi Azure CLI harus lebih besar dari 2.0.0.
Mengaktifkan fungsionalitas di server berkemampuan Arc Anda
Untuk menggunakan fitur sambungkan SSH, Anda harus memperbarui Konfigurasi Layanan di Titik Akhir Konektivitas di server berkemampuan Arc untuk mengizinkan koneksi SSH ke port tertentu. Anda hanya dapat mengizinkan koneksi ke satu port. Alat CLI mencoba memperbarui port yang diizinkan saat runtime, tetapi port dapat dikonfigurasi secara manual dengan yang berikut ini:
Catatan
Mungkin ada penundaan setelah memperbarui Konfigurasi Layanan hingga Anda dapat tersambung.
az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 --body "{\"properties\": {\"serviceName\": \"SSH\", \"port\": 22}}"
Jika Anda menggunakan port nondefault untuk koneksi SSH Anda, ganti port 22 dengan port yang Anda inginkan di perintah sebelumnya.
Opsional: Menginstal ekstensi masuk Azure ACTIVE Directory
Azure AD based SSH Login – Azure Arc
Ekstensi VM dapat ditambahkan dari menu ekstensi server Arc. Ekstensi masuk Azure ACTIVE Directory juga dapat diinstal secara lokal melalui manajer paket melalui: apt-get install aadsshlogin
atau perintah berikut.
az connectedmachine extension create --machine-name <arc enabled server name> --resource-group <resourcegroup> --publisher Microsoft.Azure.ActiveDirectory --name AADSSHLogin --type AADSSHLoginForLinux --location <location>
Contoh
Untuk melihat contoh, lihat halaman dokumentasi Az CLI untuk az ssh atau halaman dokumentasi Azure PowerShell untuk Az.Ssh.
Menonaktifkan SSH ke server dengan dukungan Arc
Fungsionalitas ini dapat dinonaktifkan dengan menyelesaikan tindakan berikut:
Hapus port dan fungsionalitas SSH dari server berkemampuan Arc:
az rest --method delete --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 --body '{\"properties\": {\"serviceName\": \"SSH\", \"port\": \"22\"}}'
Hapus titik akhir konektivitas default:
az rest --method delete --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15
Langkah berikutnya
- Pelajari tentang OpenSSH untuk Windows
- Pelajari tentang pemecahan masalah akses SSH ke server dengan dukungan Azure Arc.
- Pelajari tentang pemecahan masalah koneksi agen.