适用于:Azure Local 上的 AKS
本文介绍 AKS Arc 中的一项新安全功能,该功能限制对底层虚拟机 (VM) 的安全外壳协议 (SSH) 访问。 该功能限制仅对某些 IP 地址进行访问,并限制你可以通过 SSH 运行的命令集。
概述
目前,若有人具有对 Arc 启用的 AKS 的管理员访问权限,则此人还可以在任何计算机上通过 SSH 访问 VM。 在某些情况下,你可能希望限制该访问,因为无限制访问会难以通过合规性检查。
注意
目前,此功能仅适用于新安装的 AKS Arc,不适用于升级。 只有新安装的 AKS Arc 才能传递受限的 IP 并限制通过 SSH 运行的命令。
启用 SSH 限制
以下命令将限制可以授权为 SSH 客户端的主机集。 只能在这些主机上运行 SSH 命令,并且可以运行的命令集受限制。 主机通过 IP 地址或 CIDR 范围进行设计:
az aksarc create --ssh-authorized-ip-ranges CIDR format
CIDR 格式为 0.0.0.0/32。
此命令将执行两项操作:限制命令的范围,并且还会限制可以从中运行此命令的主机。
后续步骤
- 限制 SSH 访问(Azure Local 22H2 上的 AKS)
- Arc 启用的 AKS 概述
- 通过遵循 Azure Arc 启用的 AKS 安全手册中的指导,以其他方式来帮助保护群集。