Bagikan melalui

Akses SSH ke server dengan dukungan Azure Arc

  • Artikel

SSH untuk server berkemampuan Arc memungkinkan koneksi berbasis SSH ke server berkemampuan Arc tanpa memerlukan alamat IP publik atau port terbuka tambahan. Fungsionalitas ini dapat digunakan secara interaktif, otomatis, atau dengan alat berbasis SSH yang ada, memungkinkan alat manajemen yang ada memiliki dampak yang lebih besar pada server dengan dukungan Azure Arc.

Manfaat utama

Akses SSH ke server yang didukung Arc memberikan manfaat utama berikut:

  • Tidak diperlukan alamat IP publik atau port SSH terbuka
  • Akses ke komputer Windows dan Linux
  • Kemampuan untuk masuk sebagai pengguna lokal atau pengguna Azure (hanya Linux)
  • Dukungan untuk alat berbasis OpenSSH lainnya dengan dukungan file konfigurasi

Prasyarat

Untuk mengaktifkan fungsionalitas ini, pastikan hal berikut:

  • Pastikan server berkemampuan Arc memiliki versi agen hibrid "1.31.xxxx" atau yang lebih tinggi. Jalankan: azcmagent show di server yang didukung Arc Anda.
  • Pastikan server yang diaktifkan Arc mengaktifkan layanan "sshd".
    • Untuk komputer Linux, openssh-server dapat diinstal melalui manajer paket dan perlu diaktifkan.
    • SSHD perlu diaktifkan pada Windows.
  • Pastikan Anda memiliki peran Pemilik atau Kontributor yang ditetapkan.

Mengautentikasi dengan kredensial Microsoft Entra memiliki persyaratan tambahan:

  • aadsshlogin dan aadsshlogin-selinux (sebagaimana mestinya) harus diinstal pada server yang diaktifkan Arc. Paket ini diinstal dengan Azure AD based SSH Login – Azure Arc ekstensi VM.

  • Mengonfigurasi penetapan peran untuk mesin virtual. Dua peran Azure digunakan untuk mengotorisasi log masuk VM:

    • Masuk Administrator Mesin Virtual: Pengguna yang ditetapkan peran ini dapat masuk ke mesin virtual Azure dengan hak istimewa administrator.
    • Masuk Pengguna Mesin Virtual: Pengguna yang ditetapkan peran ini dapat masuk ke mesin virtual Azure dengan hak istimewa pengguna.

    Pengguna Azure yang memiliki peran Pemilik atau Kontributor yang ditetapkan untuk VM tidak secara otomatis memiliki hak istimewa untuk masuk Microsoft Entra ke VM melalui SSH. Ada pemisahan yang disengaja (dan diaudit) antara sekumpulan orang yang mengontrol mesin virtual dan sekumpulan orang yang dapat mengakses mesin virtual.

    Catatan

    Peran Masuk Administrator Mesin Virtual dan Masuk Pengguna Mesin Virtual menggunakan dataActions dan dapat ditetapkan pada grup manajemen, langganan, grup sumber daya, atau cakupan sumber daya. Kami menyarankan agar Anda menetapkan peran di tingkat grup manajemen, langganan, atau sumber daya dan bukan di tingkat mesin virtual individual. Praktik ini menghindari risiko mencapai batas penetapan peran Azure per langganan.

Ketersediaan

Akses SSH ke server berkemampuan Arc saat ini didukung di semua wilayah cloud publik yang didukung oleh server berkemampuan Arc.

Catatan

Saat ini tidak ada dukungan untuk cloud non-publik.

Memulai

Mendaftarkan penyedia sumber daya HybridConnectivity

Catatan

Ini adalah operasi satu kali yang perlu dilakukan pada setiap langganan.

Periksa apakah penyedia sumber daya HybridConnectivity (RP) telah terdaftar:

az provider show -n Microsoft.HybridConnectivity -o tsv --query registrationState

Jika RP belum terdaftar, jalankan hal berikut:

az provider register -n Microsoft.HybridConnectivity

Operasi ini dapat memakan waktu 2-5 menit untuk diselesaikan. Sebelum melanjutkan, periksa apakah RP telah terdaftar.

Membuat titik akhir konektivitas default

Catatan

Langkah berikut tidak perlu dijalankan untuk sebagian besar pengguna karena harus diselesaikan secara otomatis pada koneksi pertama. Langkah ini harus diselesaikan untuk setiap server yang diaktifkan Arc.

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{"properties": {"type": "default"}}'

Catatan

Jika menggunakan Azure CLI dari PowerShell, berikut ini harus digunakan.

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15 --body '{\"properties\":{\"type\":\"default\"}}'

Validasi pembuatan titik akhir:

az rest --method get --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15

Menginstal alat baris perintah lokal

Fungsionalitas ini saat ini dimas dalam ekstensi Azure CLI dan modul Azure PowerShell.

az extension add --name ssh

Catatan

Versi ekstensi Azure CLI harus lebih besar dari 2.0.0.

Mengaktifkan fungsionalitas di server berkemampuan Arc Anda

Untuk menggunakan fitur sambungkan SSH, Anda harus memperbarui Konfigurasi Layanan di Titik Akhir Konektivitas di server berkemampuan Arc untuk mengizinkan koneksi SSH ke port tertentu. Anda hanya dapat mengizinkan koneksi ke satu port. Alat CLI mencoba memperbarui port yang diizinkan saat runtime, tetapi port dapat dikonfigurasi secara manual dengan yang berikut ini:

Catatan

Mungkin ada penundaan setelah memperbarui Konfigurasi Layanan hingga Anda dapat tersambung.

az rest --method put --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 --body "{\"properties\": {\"serviceName\": \"SSH\", \"port\": 22}}"

Jika Anda menggunakan port nondefault untuk koneksi SSH Anda, ganti port 22 dengan port yang Anda inginkan di perintah sebelumnya.

Opsional: Menginstal ekstensi masuk Azure ACTIVE Directory

Azure AD based SSH Login – Azure Arc Ekstensi VM dapat ditambahkan dari menu ekstensi server Arc. Ekstensi masuk Azure ACTIVE Directory juga dapat diinstal secara lokal melalui manajer paket melalui: apt-get install aadsshlogin atau perintah berikut.

az connectedmachine extension create --machine-name <arc enabled server name> --resource-group <resourcegroup> --publisher Microsoft.Azure.ActiveDirectory --name AADSSHLogin --type AADSSHLoginForLinux --location <location>

Contoh

Untuk melihat contoh, lihat halaman dokumentasi Az CLI untuk az ssh atau halaman dokumentasi Azure PowerShell untuk Az.Ssh.

Menonaktifkan SSH ke server dengan dukungan Arc

Fungsionalitas ini dapat dinonaktifkan dengan menyelesaikan tindakan berikut:

  • Hapus port dan fungsionalitas SSH dari server berkemampuan Arc:

    az rest --method delete --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default/serviceconfigurations/SSH?api-version=2023-03-15 --body '{\"properties\": {\"serviceName\": \"SSH\", \"port\": \"22\"}}'

  • Hapus titik akhir konektivitas default:

    az rest --method delete --uri https://management.azure.com/subscriptions/<subscription>/resourceGroups/<resourcegroup>/providers/Microsoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoints/default?api-version=2023-03-15

Langkah berikutnya