Limitare l'accesso SSH alle macchine virtuali nel servizio Azure Kubernetes abilitato da Azure Arc (servizio Azure Kubernetes in locale di Azure, versione 23H2)
Si applica a: Locale di Azure, versione 23H2
Questo articolo descrive una nuova funzionalità di sicurezza in AKS Arc che limita l'accesso SSH (Secure Shell Protocol) alle macchine virtuali sottostanti. La funzionalità limita l'accesso solo a determinati indirizzi IP e limita il set di comandi che è possibile eseguire tramite SSH.
Panoramica
Attualmente, chiunque abbia accesso amministratore al servizio Azure Kubernetes abilitato da Arc può accedere alle macchine virtuali tramite SSH in qualsiasi computer. In alcuni scenari potrebbe essere necessario limitare l'accesso, perché l'accesso illimitato rende difficile passare la conformità.
Nota
Attualmente, questa funzionalità è disponibile solo per una nuova installazione del servizio Azure Kubernetes Arc e non per gli aggiornamenti. Solo una nuova installazione di AKS Arc può passare gli INDIRIZZI IP limitati e limitare i comandi eseguiti su SSH.
Abilitare le restrizioni SSH
Il comando seguente limita il set di host che possono essere autorizzati a essere client SSH. È possibile eseguire solo i comandi SSH in tali host e il set di comandi che è possibile eseguire è limitato. Gli host sono progettati tramite indirizzi IP o intervalli CIDR:
az aksarc create --ssh-authorized-ip-ranges CIDR format
Il formato CIDR è 0.0.0.0/32.
Questo comando esegue due operazioni: limita l'ambito del comando e limita anche gli host da cui è possibile eseguire questo comando.