Azure Arc tarafından etkinleştirilen AKS'deki sanal makinelere SSH erişimini kısıtlama (Azure Yerel 22H2 üzerinde AKS)
Şunlar için geçerlidir: Azure Yerel 22H2'de AKS, Windows Server'da AKS
Bu makalede, AKS Arc'ta temel alınan sanal makinelere (VM) Güvenli Kabuk Protokolü (SSH) erişimini kısıtlayan yeni bir güvenlik özelliği açıklanmaktadır. Özellik, erişimi yalnızca belirli IP adresleriyle sınırlar ve SSH üzerinden çalıştırabileceğiniz komut kümesini kısıtlar.
Genel bakış
Şu anda Arc tarafından etkinleştirilen AKS'ye yönetici erişimi olan herkes herhangi bir makinede SSH aracılığıyla VM'lere erişebilir. Bazı senaryolarda, sınırsız erişim uyumluluğun geçirilmesini zorlaştırdığından bu erişimi sınırlamak isteyebilirsiniz.
Not
Şu anda bu özellik yalnızca AKS Arc'ın yeni bir yüklemesi için kullanılabilir ve yükseltmeler için kullanılamaz. Yalnızca yeni bir AKS Arc yüklemesi kısıtlanmış IP'leri geçirebilir ve SSH üzerinden çalışan komutları kısıtlayabilir.
SSH kısıtlamalarını etkinleştirme
SSH kısıtlamalarını etkinleştirmek için aşağıdaki adımları uygulayın:
vm'lere erişim izni vermek istediğiniz izin verilen kaynak IP adresleri veya CIDR ile New-AksHciSSHConfiguration cmdlet'ini kullanarak bir SSH yapılandırması oluşturun:
$ssh = New-AksHciSSHConfiguration -name sshConfig -cidr 172.16.0.0/24veya
$ssh = New-AksHciSSHConfiguration -name sshConfig -ipAddresses 4.4.4.4,8.8.8.8veya SSH erişimini kısıtlamak için:
$ssh = New-AksHciSSHConfiguration -name sshConfig –restrictSSHCommandsNot
SSH anahtarları geçirilmezse, yönetim kümesi SSH anahtarları yeniden kullanılır.
Önceki adımda oluşturduğunuz SSH yapılandırmasını geçirerek Set-AksHciConfig cmdlet'ini çalıştırarak SSH yapılandırmasını ekleyin:
Set-AksHciConfig -ssh $ssh
Doğrulama: hedef küme
Kümeyi oluşturduktan sonra, VM'lerden birine SSH'yi deneyerek SSH kısıtlamasının eklendiğini el ile doğrulayabilirsiniz. Örneğin:
ssh -i (get-MocConfig).sshPrivateKey clouduser@<vm-ipaddress>
Bu adımı belirtilen IP adresleri/CIDR'ler listesinde veya IP adresleri listesinin dışında gerçekleştirebilirsiniz. IP adresleri/CIDR'ler aralığındaki SSH erişime sahiptir. Listenin dışından yapılan SSH girişimlerine erişim yoktur.
Komutları doğrudan SSH'den de çalıştırabilirsiniz. Bu komut tarihi döndürür.
Sudo komutları çalışmaz:
ssh -i (get-mocconfig).sshPrivateKey clouduser@<ip> date
Doğrulama: kayıt toplama
Bu komut, cloudinit, lb günlükleri vb. gibi VM günlüklerini döndürür.
Get-AksHciLogs –virtualMachineLogs
Dikkat Edilmesi Gerekenler
- İş yükü kümeleri için tek tek SSH yapılandırması artık kullanılabilir. İş yükü kümeleri için yapılandırma, New-AksHciSSHConfiguration PowerShell cmdlet'ini kullanır.
- Kısıtlama yalnızca Linux içindir. Windows düğümlerinin bu kısıtlaması yoktur; SSH'yi başarıyla kullanabilmeniz gerekir.
- Yapılandırmayı yalnızca AKS Arc'ın yükleme aşamasında ayarlayabilirsiniz.
- SSH ayarlarını yanlış yapılandırdıysanız yeniden yükleme yapmanız gerekir.
- Yükseltmeler için destek yoktur.
- SSH erişiminin kısıtlanabileceği CIDR'ler veya IP adresleri ekleyebilirsiniz.
- Sağladığınız SSH ayarı tüm hedef kümeler için yeniden kullanılır. İş yükü kümeleri için tek tek SSH yapılandırması kullanılamaz.