Compartir a través de

Administración de SSH para el acceso seguro a los nodos de Azure Kubernetes Service (AKS)

En este artículo se describe cómo configurar el acceso SSH (versión preliminar) en los clústeres o grupos de nodos de AKS, durante la implementación inicial o en un momento posterior.

AKS admite las siguientes opciones de configuración para administrar el acceso SSH en los nodos del clúster:

  • SSH deshabilitado: deshabilite completamente el acceso SSH a los nodos de clúster para mejorar la seguridad.
  • SSH basado en Entra ID: use las credenciales de ID de Microsoft Entra para la autenticación SSH. Ventajas de usar SSH basado en Entra ID:
    • Administración centralizada de identidades: use las identidades de Id. de Entra existentes para acceder a los nodos del clúster.
    • Sin administración de claves SSH: elimina la necesidad de generar, distribuir y girar claves SSH.
    • Seguridad mejorada: aproveche las características de seguridad de Entra ID, como el acceso condicional y MFA.
    • Auditoría y cumplimiento: registro centralizado de eventos de acceso a través de registros de Id. de Entra
    • Acceso Just-In-Time: combinación con RBAC de Azure para el control de acceso pormenorizado
  • SSH de usuario local: autenticación tradicional basada en claves SSH para el acceso a nodos

Importante

Las características en versión preliminar de AKS están disponibles como opción de participación y autoservicio. Las versiones preliminares se proporcionan "tal cual" y "como están disponibles", y están excluidas de los Acuerdos de nivel de servicio y la garantía limitada. Las versiones preliminares de AKS reciben cobertura parcial del soporte al cliente en la medida de lo posible. Por lo tanto, estas características no están diseñadas para su uso en producción. Para más información, consulte los siguientes artículos de soporte:

Importante

Las características en versión preliminar de AKS están disponibles como opción de participación y autoservicio. Las versiones preliminares se proporcionan "tal cual" y "como están disponibles", y están excluidas de los Acuerdos de nivel de servicio y la garantía limitada. Las versiones preliminares de AKS reciben cobertura parcial del soporte al cliente en la medida de lo posible. Por lo tanto, estas características no están diseñadas para su uso en producción. Para más información, consulte los siguientes artículos de soporte:

Prerrequisitos

  • En este artículo se requiere la versión 2.61.0 o posterior de la CLI de Azure. Si usa Azure Cloud Shell, la versión más reciente ya está instalada allí.

  • Necesita la aks-preview versión 9.0.0b1 o posterior.

    • Si aún no tiene la aks-preview extensión, instálela mediante el az extension add comando : 
      az extension add --name aks-preview
    • Si ya tiene la aks-preview extensión, actualícela para asegurarse de que tiene la versión más reciente mediante el az extension update comando : 
      az extension update --name aks-preview

  • Registre la marca de características de DisableSSHPreview mediante el comando az feature register.

    az feature register --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"

    Tarda unos minutos en que el estado muestre Registrado.

  • Comprobar el estado del registro mediante el comando az feature show.

    az feature show --namespace "Microsoft.ContainerService" --name "DisableSSHPreview"

  • Cuando aparezca el estado Registrado, actualice el registro del proveedor de recursos Microsoft.ContainerService mediante el comando az provider register.

    az provider register --namespace Microsoft.ContainerService

  • Este artículo requiere la versión 2.73.0 o posterior de la CLI de Azure. Si usa Azure Cloud Shell, la versión más reciente ya está instalada allí.

  • Necesita la versión aks-preview 19.0.0b7 o posterior para SSH de Entra ID.

    • Si aún no tiene la aks-preview extensión, instálela mediante el az extension add comando : 
      az extension add --name aks-preview
    • Si ya tiene la aks-preview extensión, actualícela para asegurarse de que tiene la versión más reciente mediante el az extension update comando : 
      az extension update --name aks-preview

  • Permisos de RBAC de Azure adecuados para acceder a los nodos:

    • Acción necesaria: Microsoft.Compute/virtualMachineScaleSets/*/read para leer la información de Virtual Machine Scale Sets
      • Acción de datos requerida:
        • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/login/action : para autenticar e iniciar sesión en máquinas virtuales como usuario normal.
        • Microsoft.Compute/virtualMachines/loginAsAdmin/action : para iniciar sesión con privilegios de usuario raíz.
      • Rol integrado: inicio de sesión de administrador de máquinas virtuales o inicio de sesión de usuario de máquina virtual (para el acceso no administrador)

  • Registre la marca de características de EntraIdSSHPreview mediante el comando az feature register.

    az feature register --namespace "Microsoft.ContainerService" --name "EntraIdSSHPreview"

    Tarda unos minutos en que el estado muestre Registrado.

  • Comprobar el estado del registro mediante el comando az feature show.

    az feature show --namespace "Microsoft.ContainerService" --name "EntraIdSSHPreview"

  • Cuando aparezca el estado Registrado, actualice el registro del proveedor de recursos Microsoft.ContainerService mediante el comando az provider register.

    az provider register --namespace Microsoft.ContainerService
  • En este artículo se requiere la versión 2.61.0 o posterior de la CLI de Azure. Si usa Azure Cloud Shell, la versión más reciente ya está instalada allí.
  • Para actualizar el método de acceso SSH en grupos de nodos, necesita la aks-preview versión 9.0.0b1 o posterior.
    • Si aún no tiene la aks-preview extensión, instálela mediante el az extension add comando : 
      az extension add --name aks-preview
    • Si ya tiene la aks-preview extensión, actualícela para asegurarse de que tiene la versión más reciente mediante el az extension update comando : 
      az extension update --name aks-preview

Establecimiento de variables de entorno

Establezca las siguientes variables de entorno para el grupo de recursos, el nombre del clúster y la ubicación:

export RESOURCE_GROUP="<your-resource-group-name>"
export CLUSTER_NAME="<your-cluster-name>"
export LOCATION="<your-azure-region>"

Limitaciones

  • Entra ID SSH a nodos aún no está disponible para el grupo de nodos de Windows.
  • No se admite Entra ID SSH en nodos para la automatización de AKS debido al bloqueo del grupo de recursos de nodo que impide las asignaciones de roles.

Configuración del acceso SSH

Para mejorar la seguridad y cumplir con tus requisitos o estrategias de seguridad corporativa, AKS permite desactivar SSH tanto en el clúster como en los grupos de nodos. Deshabilitar SSH presenta un enfoque simplificado en comparación con la configuración de reglas de grupo de seguridad de red en la tarjeta de interfaz de red (NIC) de subred o nodo de AKS. Deshabilitar SSH solo es compatible con conjuntos de nodos Virtual Machine Scale Sets.

Al deshabilitar SSH en el momento de la creación del clúster, surte efecto cuando se crea el clúster. Sin embargo, al deshabilitar SSH en un grupo de nodos o clústeres existente, AKS no deshabilita SSH automáticamente. En cualquier momento, puede optar por realizar una operación de actualización del grupo de nodos. La operación disable/enable SSH surte efecto una vez completada la actualización de la imagen del nodo.

Nota:

Al deshabilitar SSH en el nivel de clúster, se aplica a todos los grupos de nodos existentes. Los grupos de nodos creados después de esta operación tendrán SSH habilitado de forma predeterminada y tendrá que volver a ejecutar estos comandos para deshabilitarlo.

Nota:

El nodo de depuración de kubectl sigue funcionando después de deshabilitar SSH porque no depende del servicio SSH.

Creación de un grupo de recursos

Cree un grupo de recursos con el comando az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Deshabilitación de SSH en una nueva implementación de clúster

De forma predeterminada, el servicio SSH en los nodos del clúster de AKS está abierto a todos los usuarios y pods que se ejecutan en el clúster. Puede impedir el acceso directo de SSH desde cualquier red a los nodos de clúster para ayudar a limitar el vector de ataque si un contenedor de un pod está en peligro.

Use el comando az aks create para crear un nuevo clúster e incluya el argumento --ssh-access disabled para deshabilitar SSH (versión preliminar) en todos los grupos de nodos durante la creación del clúster.

Importante

Después de deshabilitar el servicio SSH, no puede conectarse mediante SSH al clúster para realizar tareas administrativas o solucionar problemas.

Nota:

En un clúster recién creado, deshabilite SSH solo configurará el primer grupo de nodos del sistema. Todos los demás grupos de nodos deben configurarse en el nivel de grupo de nodos.

az aks create --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --ssh-access disabled

Transcurridos unos minutos, el comando se completa y devuelve información en formato JSON sobre el clúster. El ejemplo siguiente es similar a la salida y los resultados relacionados con la deshabilitación de SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Deshabilitación de SSH para un nuevo grupo de nodos

Use el comando az aks nodepool add para agregar un grupo de nodos e incluya el argumento --ssh-access disabled para deshabilitar SSH durante la creación del grupo de nodos.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access disabled

Transcurridos unos minutos, el comando se completa y devuelve información en formato JSON sobre el clúster, lo que indica que mynodepool se creó correctamente. El ejemplo siguiente es similar a la salida y los resultados relacionados con la deshabilitación de SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Deshabilitación de SSH para un grupo de nodos existente

Importante

Las características en versión preliminar de AKS están disponibles como opción de participación y autoservicio. Las versiones preliminares se proporcionan "tal cual" y "como están disponibles", y están excluidas de los Acuerdos de nivel de servicio y la garantía limitada. Las versiones preliminares de AKS reciben cobertura parcial del soporte al cliente en la medida de lo posible. Por lo tanto, estas características no están diseñadas para su uso en producción. Para más información, consulte los siguientes artículos de soporte:

Use el comando az aks nodepool update con el argumento --ssh-access disabled para deshabilitar SSH (versión preliminar) en un grupo de nodos existente.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access disabled

Después de unos minutos, el comando finaliza y devuelve información con formato JSON sobre el clúster que indica que mynodepool se actualizó correctamente. El ejemplo siguiente es similar a la salida y los resultados relacionados con la deshabilitación de SSH:

"securityProfile": {
  "sshAccess": "Disabled"
},

Para que el cambio surta efecto, debe restablecer la imagen inicial del grupo de nodos mediante el comando az aks nodepool upgrade.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Importante

Para deshabilitar SSH en un clúster existente, debe deshabilitar SSH para cada grupo de nodos de este clúster.

Volver a habilitar el acceso SSH

Para volver a habilitar el acceso SSH en un grupo de nodos, actualice el grupo de nodos con --ssh-access localuser (para el acceso tradicional basado en claves SSH) o --ssh-access entraid (para el acceso basado en id. entra). Consulte las secciones correspondientes para obtener instrucciones detalladas.

Puede configurar el clúster de AKS para que use microsoft Entra ID (anteriormente Azure AD) para la autenticación SSH en los nodos de clúster. Esto elimina la necesidad de administrar claves SSH y permite usar las credenciales de Id. de Entra para acceder a los nodos de forma segura.

Creación de un grupo de recursos

Cree un grupo de recursos con el comando az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Habilitación de Entra ID basado en SSH en un nuevo clúster

Use el comando az aks create con el argumento --ssh-access entraid para habilitar la autenticación SSH basada en Entra ID durante la creación del clúster.

az aks create \
    --resource-group $RESOURCE_GROUP \
    --name $CLUSTER_NAME \
    --ssh-access entraid

Transcurridos unos minutos, el comando se completa y devuelve información en formato JSON sobre el clúster. El siguiente ejemplo es similar al resultado:

"securityProfile": {
  "sshAccess": "EntraID"
},

Habilitar SSH basado en Entra ID para un nuevo conjunto de nodos

Utiliza el comando az aks nodepool add con el argumento --ssh-access entraid para habilitar SSH basado en Entra ID al crear el grupo de nodos.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access entraid

Después de unos minutos, el comando finaliza y devuelve información con formato JSON que indica que mynodepool se creó correctamente con SSH basado en Entra ID. El siguiente ejemplo se asemeja a la salida:

"securityProfile": {
  "sshAccess": "EntraID"
},

Habilitar SSH basado en ID de Entra para un grupo de nodos existente

Utilice el comando az aks nodepool update con el argumento --ssh-access entraid para habilitar SSH basado en Entra ID en un grupo existente de nodos.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access entraid

Después de unos minutos, el comando finaliza y devuelve información con formato JSON que indica que mynodepool se actualizó correctamente con SSH basado en Entra ID. El siguiente ejemplo ilustra la salida:

"securityProfile": {
  "sshAccess": "EntraID"
},

Para que el cambio surta efecto, debe restablecer la imagen inicial del grupo de nodos mediante el comando az aks nodepool upgrade.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Importante

Para habilitar SSH basado en Entra ID en un clúster existente, debe habilitar SSH basado en Entra ID para cada grupo de nodos individualmente.

El acceso SSH de usuario local usa la autenticación tradicional basada en claves SSH. Este es el método de acceso SSH predeterminado para los clústeres de AKS.

Creación de un grupo de recursos

Cree un grupo de recursos con el comando az group create.

az group create --name $RESOURCE_GROUP --location $LOCATION

Creación de un clúster de AKS con claves SSH

Use el comando az aks create para implementar un clúster de AKS con una clave pública SSH. Puede especificar la clave o un archivo de clave mediante el --ssh-key-value argumento o usar --ssh-access localuser para establecer explícitamente el acceso SSH de usuario local.

Parámetro SSH Descripción Valor predeterminado
--generate-ssh-key Si no tiene sus propias claves SSH, especifique --generate-ssh-key. La CLI de Azure genera automáticamente un conjunto de claves SSH y las guarda en el directorio predeterminado ~/.ssh/.
--ssh-key-value Ruta de acceso de clave pública o contenido de la clave que se va a instalar en máquinas virtuales de nodo para el acceso SSH. Por ejemplo, ssh-rsa AAAAB...snip...UcyupgH azureuser@linuxvm. ~/.ssh/id_rsa.pub
--ssh-access localuser Habilite explícitamente el acceso SSH de usuario local con autenticación basada en claves.
--no-ssh-key Si no necesita claves SSH, especifique este argumento. Sin embargo, AKS genera automáticamente un conjunto de claves SSH porque la dependencia de recursos de máquina virtual de Azure no admite un archivo de claves SSH vacío. Como resultado, las claves no se devuelven y no se pueden usar para SSH en las máquinas virtuales del nodo. La clave privada se descarta y no se guarda.

Nota:

Si no se especifica ningún parámetro, la CLI de Azure tiene como valor predeterminado hacer referencia a las claves SSH almacenadas en el archivo ~/.ssh/id_rsa.pub. Si no se encuentran las claves, el comando devuelve el mensaje An RSA key file or key value must be supplied to SSH Key Value.

Ejemplos:

  • Para crear un clúster y usar las claves SSH generadas predeterminadas:

    az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --generate-ssh-key

  • Para especificar un archivo de clave pública SSH:

    az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value ~/.ssh/id_rsa.pub

  • Para habilitar explícitamente el acceso SSH de usuario local:

    az aks create --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-access localuser --generate-ssh-key

Habilitación de SSH de usuario local para un nuevo grupo de nodos

Use el az aks nodepool add comando con el --ssh-access localuser argumento para habilitar SSH de usuario local durante la creación del grupo de nodos.

az aks nodepool add \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access localuser

Habilitación de SSH de usuario local para un grupo de nodos existente

Importante

Las características en versión preliminar de AKS están disponibles como opción de participación y autoservicio. Las versiones preliminares se proporcionan "tal cual" y "como están disponibles", y están excluidas de los Acuerdos de nivel de servicio y la garantía limitada. Las versiones preliminares de AKS reciben cobertura parcial del soporte al cliente en la medida de lo posible. Por lo tanto, estas características no están diseñadas para su uso en producción. Para más información, consulte los siguientes artículos de soporte:

Use el az aks nodepool update comando con el --ssh-access localuser argumento para habilitar SSH de usuario local en un grupo de nodos existente.

az aks nodepool update \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --ssh-access localuser

Importante

Para que el cambio surta efecto, debe restablecer la imagen inicial del grupo de nodos mediante el comando az aks nodepool upgrade.

az aks nodepool upgrade \
    --cluster-name $CLUSTER_NAME \
    --name mynodepool \
    --resource-group $RESOURCE_GROUP \
    --node-image-only

Actualización de la clave pública SSH en un clúster de AKS existente

Use el comando az aks update para actualizar la clave pública SSH (versión preliminar) en el clúster. Esta operación actualiza la clave en todos los grupos de nodos. Puede especificar una clave o un archivo de clave mediante el argumento --ssh-key-value.

Nota:

La actualización de las claves SSH se admite en conjuntos de escalado de máquinas virtuales de Azure con clústeres de AKS.

Ejemplos:

  • Para especificar un nuevo valor de clave pública SSH:

    az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value 'ssh-rsa AAAAB3Nza-xxx'

  • Para especificar un archivo de clave pública SSH:

    az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --ssh-key-value ~/.ssh/id_rsa.pub

Importante

Después de actualizar la clave SSH, AKS no vuelve a crear automáticamente la imagen del grupo de nodos. En cualquier momento, puede optar por realizar una operación de actualización del grupo de nodos. La operación de actualización de claves SSH surte efecto después de que se complete una actualización de la imagen del nodo. Para los clústeres con el aprovisionamiento automático de nodos habilitado, se puede realizar una actualización de imagen de nodo aplicando una nueva etiqueta al recurso personalizado NodePool de Kubernetes.

Comprobación del estado del servicio SSH

Después de deshabilitar SSH, puede comprobar que el servicio SSH está inactivo en los nodos del clúster.

Use el comando Conjunto de escalado az vmss run-command invoke de máquinas virtuales para comprobar el estado del servicio SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

En la salida de ejemplo siguiente se muestra el resultado esperado cuando SSH está deshabilitado:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n○ ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; disabled; vendor preset: enabled)\n     Active: inactive (dead) since Wed 2024-01-03 15:36:53 UTC; 25min ago\n..."
    }
  ]
}

Busque la palabra Active y compruebe que su valor es Active: inactive (dead), que confirma que SSH está deshabilitado en el nodo.

Después de habilitar SSH basado en Entra ID, puede comprobar que el servicio SSH está activo y configurado para la autenticación entra ID en los nodos del clúster.

Use el comando Conjunto de escalado az vmss run-command invoke de máquinas virtuales para comprobar el estado del servicio SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

En la salida de ejemplo siguiente se muestra el resultado esperado cuando SSH está habilitado:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n● ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)\n     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago\n..."
    }
  ]
}

Busque la palabra Active y compruebe que su valor es Active: active (running), que confirma que SSH está habilitado en el nodo.

Después de configurar SSH de usuario local, puede comprobar que el servicio SSH está activo en los nodos del clúster.

Use el comando Conjunto de escalado az vmss run-command invoke de máquinas virtuales para comprobar el estado del servicio SSH.

az vmss run-command invoke --resource-group <node-resource-group> --name <vmss-name> --command-id RunShellScript --instance-id 0 --scripts "systemctl status ssh"

En la salida de ejemplo siguiente se muestra el resultado esperado cuando SSH está habilitado:

{
  "value": [
    {
      "code": "ProvisioningState/succeeded",
      "displayStatus": "Provisioning succeeded",
      "level": "Info",
      "message": "Enable succeeded: \n[stdout]\n● ssh.service - OpenBSD Secure Shell server\n     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)\n     Active: active (running) since Wed 2024-01-03 15:40:20 UTC; 19min ago\n..."
    }
  ]
}

Busque la palabra Active y compruebe que su valor es Active: active (running), que confirma que SSH está habilitado en el nodo.

Pasos siguientes

Para ayudar a solucionar cualquier problema con la conectividad SSH a los nodos de clústeres, puede ver los registros de kubelet o ver los registros del nodo maestro de Kubernetes.

  • Last updated on