Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se para: AKS no Windows Server
Este artigo descreve um novo recurso de segurança no AKS Arc que restringe o acesso do Secure Shell Protocol (SSH) a máquinas virtuais (VMs) subjacentes. O recurso limita o acesso a apenas determinados endereços IP e restringe o conjunto de comandos que você pode executar em SSH.
Visão geral
Atualmente, qualquer pessoa com acesso de administrador ao AKS no Windows Server tem acesso a VMs por SSH em qualquer máquina. Em alguns cenários, talvez você queira limitar esse acesso, porque o acesso ilimitado dificulta a aprovação da conformidade.
Observação
Atualmente, esse recurso está disponível apenas para uma nova instalação do AKS Arc, e não para atualizações. Apenas uma nova instalação do AKS Arc pode passar os IPs restritos e restringir os comandos que são executados sobre SSH.
Ativar restrições SSH
Para habilitar restrições SSH, execute as seguintes etapas:
Crie uma configuração SSH usando o cmdlet New-AksHciSSHConfiguration , com os endereços IP de origem permitidos ou CIDR que você deseja permitir o acesso às VMs:
$ssh = New-AksHciSSHConfiguration -name sshConfig -cidr 172.16.0.0/24ou
$ssh = New-AksHciSSHConfiguration -name sshConfig -ipAddresses 4.4.4.4,8.8.8.8ou, para restringir o acesso SSH:
$ssh = New-AksHciSSHConfiguration -name sshConfig –restrictSSHCommandsObservação
Se as chaves SSH não forem passadas, as chaves SSH do cluster de gerenciamento serão reutilizadas.
Adicione a configuração SSH executando o cmdlet Set-AksHciConfig , passando a configuração SSH criada na etapa anterior:
Set-AksHciConfig -ssh $ssh
Validação: cluster de destino
Depois de criar o cluster, você pode validar manualmente que a restrição SSH foi adicionada tentando SSH em uma das VMs. Por exemplo:
ssh -i (get-MocConfig).sshPrivateKey clouduser@<vm-ipaddress>
Você pode executar esta etapa dentro da lista de endereços IP/CIDRs especificados ou fora da lista de endereços IP. O SSH de dentro do intervalo de endereços IP / CIDRs tem acesso. As tentativas de SSH de fora da lista não têm acesso.
Você também pode executar comandos diretamente do SSH. Este comando retorna a data.
Sudo Os comandos não funcionam:
ssh -i (get-mocconfig).sshPrivateKey clouduser@<ip> date
Validação: coleta de log
Este comando retorna os logs da VM, como cloudinit, lb logs, etc.
Get-AksHciLogs –virtualMachineLogs
Considerações
- A configuração SSH individual para clusters de carga de trabalho já está disponível. A configuração para clusters de carga de trabalho usa o cmdlet New-AksHciSSHConfiguration PowerShell.
- A restrição é apenas para Linux. Os nós do Windows não têm essa restrição; você deve ser capaz de SSH com sucesso.
- Você só pode definir a configuração durante a fase de instalação do AKS Arc.
- Você deve executar uma reinstalação se você configurar incorretamente quaisquer configurações de SSH.
- Não há suporte para atualizações.
- Você pode adicionar CIDRs ou endereços IP aos quais o acesso SSH pode ser restrito.
- A configuração SSH fornecida é reutilizada para todos os clusters de destino. A configuração SSH individual para clusters de carga de trabalho não está disponível.