Kazuki Takai, profile picture
Uploaded byKazuki Takai
PDF, PPTX106 views

Arc 対応サーバーへの SSH アクセス

SSH access to Arc enabled servers. Windows Server & Cloud User Group Japan 第31回勉強会の資料です。 Arc 対応サーバーへ外部から SSH アクセスする機能について説明します。外部に SSH ポートを公開しなくても Azure の管理エンドポイント経由で SSH 接続を行いサーバーを管理することができます。

Embed presentation

Download as PDF, PPTX
Arc 対応サーバーへの SSH アクセス SCUGJ (wSCUGJ) 勉強会 #31 2022-09-17 Kazuki Takai - Windows Server & Cloud User Group Japan
始める前に • Azure 仮想マシン(IaaS VM) 使ったことがある方 • Azure Arc enabled servers 触ったことがある方 • az ssh 使ったことがある方
お話しすること •az ssh コマンド •Arc enabled servers への SSH / RDP 接続 •以下はお話ししません • Azure Arc enabled servers のオンボード方法
自己紹介 • たかい (Kazuki Takai) • 会社員 (某ISP勤務) • サービス基盤開発、技術開発 • ライセンス関連 • wSCUGJ • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • 趣味:カメラ(風景写真)、ビデオゲーム、旅行(温泉) • Microsoft MVP for Cloud and Datacenter Management
注意点 • 本セッションでは、リリース前の機能についてお話しします • 仕様等が変更となる可能性があります • 本セッションのほとんどのコマンド(az コマンド)は、 PowerShell から実行しています • 記載されているコマンドのエスケープは PowerShell 仕様です • Bash 等から実行する場合は、適宜読み替えてください
Azure CLI SSH Extension • Azure CLI (Az コマンド)の拡張機能の一つ • az ssh コマンド(コンテキスト)を利用可能 • 接続先のリソースは以下の2種類 • Azure 仮想マシン(Virtual Machine) • az ssh vm • Azure Arc 対応サーバー(Arc enabled servers) • az ssh arc
Azure VM に対する Azure CLI からの SSH • az ssh vm • Azure の仮想マシンに対して SSH で接続 • IP アドレスや DNS 名ではなく VM 名で接続可能 • 但し、VM が保持する IP への Reachability は必要 • (条件を満たせば)シングルサインオンが可能 • az login しているアカウントで VM へログイン • RDP over SSH が可能(トンネリング)
az ssh を使うには • Azure CLI 2.4.0 以降が必要 • az --version • Azure CLI SSH extension が必要 • extension が入っていない場合、コマンド実行時に インストール可能 • az extension で明示的なインストールも可能
az ssh コマンドを実行するための事前準備 • az --version • az login • az account show | Select-String -Pattern '[Nn]ame' | Select-String -Pattern '@' –NotMatch • az account set -n "<Subscription Name>" • az ssh –help • az extension list
Azure CLI のバージョン確認 • バージョンが 2.4.0 以上であること
Azure CLI のログイン • az login で Web ブラウザが起動するので、サインイン • 環境によっては --use-device-code オプションを使用 • ログイン後、利用したいサブスクリプションが選択され ていることを確認 • 異なる場合は、明示的にサブスクリプションを選択
Extension の確認 • 現在インストールされている Extension を表示 • az extension list • 利用可能な Extension を表示 • az extension list-available --query "[].{Name:name, Preview:preview, Experimental:experimental, Installed:installed}" --output table • SSH Extension のインストール状態を表示 • az extension list-available --query "[?(name == 'ssh')].{Name:name, Preview:preview, Experimental:experimental, Installed:installed}" -- output table
SSH Extension のインストール • コマンド実行時、必要であればインストールされる
SSH Extension インストール後の確認 • $env:USERPROFILE 配下にインストールされる • インストールに管理者権限は不要
SSH 接続の前提(az ssh vm) • 接続先に対して IP Reachability があること • Global IP or Private IP • Private IP の場合、VPN 等で直接疎通があること • 接続先で SSH Server が稼働していること • 到達可能な IP で Listen していること • Azure RBAC でアクセスが許可されていること • SSH の公開鍵認証でログインできること • ローカルユーザーでログインする場合のみ必要
Azure RBAC • 接続先に対して以下のロール(何れか)が必要 • 仮想マシンの管理者ログイン • 仮想マシンのユーザー ログイン
Windows に対する SSH アクセス • Windows の機能で OpenSSH.Server をインストール • sshd サービスを開始 • サービスを自動起動するよう設定 • (Windows Defender Firewall で通信を許可) • 公開鍵認証ができるよう、適切なパスに公開鍵を配置
Windows における公開鍵のパス • Administrators グループに所属しているユーザー • $env:ProgramData¥ssh¥administrators_authorized_keys • NTFS アクセス権の個別設定が必要 • 継承を無効化 • Administrators と SYSTEM にフルコントロール • それ以外のユーザー • $env:USERPROFILE¥.ssh¥authorized_keys
Azure AD ユーザーによるログイン • 設定が必要
Azure VM に対する接続 • 接続先のローカルユーザーを指定してログイン • az ssh vm -g <RGName> -n <VMName> --local-user <UserName> -i <PrivateKeyFilePath> -p <PublicKeyFilePath> • Azure AD ユーザーでログイン • az ssh vm -g <RGName> -n <VMName> • RDP アクセス • az ssh vm -g <RGName> -n <VMName> --local-user <UserName> -i <PrivateKeyFilePath> -p <PublicKeyFilePath> --rdp
Arc 対応サーバーに対する SSH • az ssh arc • Azure Arc enabled servers に対して SSH で接続 • Arc enabled servers マシン名で接続 • 外部から接続先 IP への Reachability 不要 • (条件を満たせば)シングルサインオンが可能 • az login しているアカウントで VM へログイン • RDP over SSH が可能(トンネリング)
SSH 接続の前提(az ssh arc) • Hybrid Connectivity RP が登録済み • Connected Agent のバージョンが 1.13.21320.014 以上 • SSH Server が稼働 • Azure RBAC でアクセスが許可されている • SSH の公開鍵認証でログインできる • ローカルユーザーでログインする場合のみ必要 • Azure AD 連携用 Extension がインストール済み • Azure AD ユーザーで SSO する場合のみ必要
対応 OS (az ssh arc) • Windows • Windows 7+ • Windows Server 2012+ • Linux • CentOS 7, CentOS 8 • RHEL 7.4 ~ 7.10, RHEL 8.3+ • SLES 12, SLES 15.1+ • Ubuntu Server 16.04 ~ 20.04
対応リージョン (az ssh arc) eastus2euap eastus eastus2 westus2 southeastasia westeurope northeurope westcentralus southcentralus uksouth australiaeast francecentral japaneast eastasia koreacentral westus3 westus centralus northcentralus
Agent のバージョン確認 • azcmagent show | grep -v ID
Hybrid Connectivity Resource Provider • サブスクリプションに対して1回のみ必要 • az provider show -n Microsoft.HybridConnectivity | Select-String -Pattern "namespace|registration" • az provider register -n Microsoft.HybridConnectivity
接続エンドポイントの作成 • 接続対象の Arc 対応サーバー マシンごとに必要 • az rest --method put --uri https://management.azure.com/subscriptions/<subscri ption>/resourceGroups/<resourcegroup>/providers/Mic rosoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoi nts/default?api-version=2021-10-06-preview --body '{¥"properties¥": {¥"type¥": ¥"default¥"}}'
Hybrid Agent の設定変更 • 接続対象の Arc 対応サーバー上で、Agent 経由の SSH 接続を受け付けるよう設定を変更 • azcmagent config set incomingconnections.ports 22 • azcmagent config list
Azure AD based SSH Login Extension • Azure Arc enabled servers リソースに対して Azure AD ユーザーがログインするために必要 • 拡張機能から追加
まとめ • az ssh を使用すると VM や Arc 対応サーバーに SSH 接続が可能 • az ssh arc では、外部から SSH Listen Port への 到達性は不要 • SSH トンネリングにより RDP 接続も可能 • 使わなくても、機能があることを知っておくこと が重要(セキュリティ等の観点からも)
参考資料 • az ssh • https://docs.microsoft.com/ja-jp/cli/azure/ssh • Azure Arc 対応サーバーへの SSH アクセス • https://docs.microsoft.com/ja-jp/azure/azure-arc/servers/ssh-arc- overview • Azure AD と OpenSSH を使用して Azure の Linux 仮想マシンにログインする • https://docs.microsoft.com/ja-jp/azure/active- directory/devices/howto-vm-sign-in-azure-ad-linux

More Related Content

PDF
ArcBox のおさらいと最新情報
byKazuki Takai
 
PPTX
PowerShell de Azure
byAtsushi Kojima
 
PDF
マルチプラットホームになった PowerShell 6 でクロスプラットホームする
bySyuichi Murashima
 
PDF
マルチプラットホームになった PowerShell 6 でクロスプラットホームする
bySyuichi Murashima
 
PDF
最近の PowerShell のお話
byKazuki Takai
 
PPTX
20161022 Linux on Azureの世界
byTakayoshi Tanaka
 
PDF
沢山のスマホサービス環境を カジュアルにセキュアに運用する
byHirotomo Oi
 
PDF
Infrastructure as code for azure
byKeiji Kamebuchi
 
ArcBox のおさらいと最新情報
byKazuki Takai
 
PowerShell de Azure
byAtsushi Kojima
 
マルチプラットホームになった PowerShell 6 でクロスプラットホームする
bySyuichi Murashima
 
マルチプラットホームになった PowerShell 6 でクロスプラットホームする
bySyuichi Murashima
 
最近の PowerShell のお話
byKazuki Takai
 
20161022 Linux on Azureの世界
byTakayoshi Tanaka
 
沢山のスマホサービス環境を カジュアルにセキュアに運用する
byHirotomo Oi
 
Infrastructure as code for azure
byKeiji Kamebuchi
 

Similar to Arc 対応サーバーへの SSH アクセス

PDF
Azure Arc Jumpstart Update - HCIBox Edition
byKazuki Takai
 
PDF
SSH力をつかおう
by(^-^) togakushi
 
PDF
SSH力をつけよう
by(^-^) togakushi
 
PDF
SSH Tips & Tricks
byNobutoshi Ogata
 
PDF
S15 コマンドラインおよび API による Microsoft Azure の管理
byMicrosoft Azure Japan
 
PPTX
Jenkins cicdテンプレートazure版の利用方法解説
byChanghwan Lee
 
PDF
Azure CLI あずにゃんの CLI を使ってみた結果www
byMasahito Zembutsu
 
PDF
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack 基礎操作編
byirix_jp
 
PPTX
AKS on Azure Stack HCI/Windows Serverの準備と監視 _ Preparing and monitoring AKS on...
byNorio Sashizaki
 
PDF
Hyper-V を Windows PowerShell から管理する
byjunichi anno
 
PDF
AnsibleでAzureの インフラを管理する話 + α
byyaegashi
 
PPTX
20181027 ws meetup2_hybrid
byOsamu Takazoe
 
PPTX
Azure Arc Enabled Serverの活用
byTomoya Katayama
 
PDF
20200610 hccjp azure-stackhci
byosamut
 
PDF
そろそろSSH/Telnetを離れて自動化したい
bynetopscoding
 
PDF
GitHub Actions と Azure PaaS でプルリクエストごとに環境を ~ Azure Static Web Apps と Containe...
byKazumi OHIRA
 
PDF
ArcBoxライブ構築デモ!Azure Arcをフル体験できる環境をAzure上に爆速で展開 !
byMasahiko Ebisuda
 
PDF
Janog33.5
by(^-^) togakushi
 
PPTX
Build 2014 Azure インフラエンジニア向けアップデート
bykekekekenta
 
PDF
Oss on Azure, Websites, WordPress
byMicrosoft Openness Japan
 
Azure Arc Jumpstart Update - HCIBox Edition
byKazuki Takai
 
SSH力をつかおう
by(^-^) togakushi
 
SSH力をつけよう
by(^-^) togakushi
 
SSH Tips & Tricks
byNobutoshi Ogata
 
S15 コマンドラインおよび API による Microsoft Azure の管理
byMicrosoft Azure Japan
 
Jenkins cicdテンプレートazure版の利用方法解説
byChanghwan Lee
 
Azure CLI あずにゃんの CLI を使ってみた結果www
byMasahito Zembutsu
 
H26第1回 沖縄オープンラボラトリ・ハンズオンセミナー:OpenStack 基礎操作編
byirix_jp
 
AKS on Azure Stack HCI/Windows Serverの準備と監視 _ Preparing and monitoring AKS on...
byNorio Sashizaki
 
Hyper-V を Windows PowerShell から管理する
byjunichi anno
 
AnsibleでAzureの インフラを管理する話 + α
byyaegashi
 
20181027 ws meetup2_hybrid
byOsamu Takazoe
 
Azure Arc Enabled Serverの活用
byTomoya Katayama
 
20200610 hccjp azure-stackhci
byosamut
 
そろそろSSH/Telnetを離れて自動化したい
bynetopscoding
 
GitHub Actions と Azure PaaS でプルリクエストごとに環境を ~ Azure Static Web Apps と Containe...
byKazumi OHIRA
 
ArcBoxライブ構築デモ!Azure Arcをフル体験できる環境をAzure上に爆速で展開 !
byMasahiko Ebisuda
 
Janog33.5
by(^-^) togakushi
 
Build 2014 Azure インフラエンジニア向けアップデート
bykekekekenta
 
Oss on Azure, Websites, WordPress
byMicrosoft Openness Japan
 

More from Kazuki Takai

PDF
Azure Arc Automanage Machine Configuration による構成の管理と適用
byKazuki Takai
 
PDF
Azure Arc Jumpstart - Azure ArcBox を使った Azure Arc 対応 SQL MI 学習環境の構築
byKazuki Takai
 
PDF
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
byKazuki Takai
 
PDF
Insight into Azure Active Directory - Azure AD Custom Role & Scope
byKazuki Takai
 
PDF
最近の PowerShell について
byKazuki Takai
 
PDF
Windows Server 2022 Datacenter Azure Edition Overview
byKazuki Takai
 
PDF
Azure Arc 概要
byKazuki Takai
 
PDF
Past and Future of PowerShell
byKazuki Takai
 
PDF
Introducing Windows Terminal
byKazuki Takai
 
PDF
Recap: Windows Server 2019 Failover Clustering
byKazuki Takai
 
PDF
使ってみよう PowerShell
byKazuki Takai
 
PDF
5分で分かる Windows Server 2019 HCI 超概要
byKazuki Takai
 
PDF
Application Platform としての Windows Server 2019
byKazuki Takai
 
PDF
Windows Server 2019 で Container を使ってみる
byKazuki Takai
 
PDF
Getting started with Windows Containers
byKazuki Takai
 
PDF
Recap: PowerShell Core
byKazuki Takai
 
PDF
Windows とコンテナの話
byKazuki Takai
 
PDF
DSC 再入門
byKazuki Takai
 
PDF
Azure Stack の使い道 - 2017年11月版 -
byKazuki Takai
 
PDF
Nano Server First Step
byKazuki Takai
 
Azure Arc Automanage Machine Configuration による構成の管理と適用
byKazuki Takai
 
Azure Arc Jumpstart - Azure ArcBox を使った Azure Arc 対応 SQL MI 学習環境の構築
byKazuki Takai
 
Insight into Azure Active Directory #02 - Azure AD B2B Collaboration New Feat...
byKazuki Takai
 
Insight into Azure Active Directory - Azure AD Custom Role & Scope
byKazuki Takai
 
最近の PowerShell について
byKazuki Takai
 
Windows Server 2022 Datacenter Azure Edition Overview
byKazuki Takai
 
Azure Arc 概要
byKazuki Takai
 
Past and Future of PowerShell
byKazuki Takai
 
Introducing Windows Terminal
byKazuki Takai
 
Recap: Windows Server 2019 Failover Clustering
byKazuki Takai
 
使ってみよう PowerShell
byKazuki Takai
 
5分で分かる Windows Server 2019 HCI 超概要
byKazuki Takai
 
Application Platform としての Windows Server 2019
byKazuki Takai
 
Windows Server 2019 で Container を使ってみる
byKazuki Takai
 
Getting started with Windows Containers
byKazuki Takai
 
Recap: PowerShell Core
byKazuki Takai
 
Windows とコンテナの話
byKazuki Takai
 
DSC 再入門
byKazuki Takai
 
Azure Stack の使い道 - 2017年11月版 -
byKazuki Takai
 
Nano Server First Step
byKazuki Takai
 

Recently uploaded

PDF
論文紹介:HiLoRA: Adaptive Hierarchical LoRA Routing for Training-Free Domain Gene...
byToru Tamaki
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ3「『TrinityX』 AI時代のクラスターマネジメ...
byPC Cluster Consortium
 
PDF
ニューラルプロセッサによるAI処理の高速化と、未知の可能性を切り拓く未来の人工知能
byData Source
 
PPTX
2025年11月24日情報ネットワーク法学会大井哲也発表「API利用のシステム情報」
byTetsuya Oi
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ1「大規模AIの能力を最大限に活用するHPE Comp...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ3「IT運用とデータサイエンティストを強力に支援するH...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):富士通株式会社 テーマ1「HPC&AI: Accelerating material develo...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):コアマイクロシステムズ株式会社 テーマ 「AI HPC時代のトータルソリューションプロバイダ」
byPC Cluster Consortium
 
PDF
膨大なデータ時代を制する鍵、セグメンテーションAIが切り拓く解析精度と効率の革新
byData Source
 
PPTX
ChatGPTのコネクタ開発から学ぶ、外部サービスをつなぐMCPサーバーの仕組み
byRyuji Egashira
 
PDF
AI開発の最前線を変えるニューラルネットワークプロセッサと、未来社会における応用可能性
byData Source
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ2「『Slinky』 SlurmとクラウドのKuber...
byPC Cluster Consortium
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):エヌビディア合同会社 テーマ1「NVIDIA 最新発表製品等のご案内」
byPC Cluster Consortium
 
PDF
論文紹介:DiffusionRet: Generative Text-Video Retrieval with Diffusion Model
byToru Tamaki
 
PDF
論文紹介:MotionMatcher: Cinematic Motion Customizationof Text-to-Video Diffusion ...
byToru Tamaki
 
論文紹介:HiLoRA: Adaptive Hierarchical LoRA Routing for Training-Free Domain Gene...
byToru Tamaki
 
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ3「『TrinityX』 AI時代のクラスターマネジメ...
byPC Cluster Consortium
 
ニューラルプロセッサによるAI処理の高速化と、未知の可能性を切り拓く未来の人工知能
byData Source
 
2025年11月24日情報ネットワーク法学会大井哲也発表「API利用のシステム情報」
byTetsuya Oi
 
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ1「大規模AIの能力を最大限に活用するHPE Comp...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):日本ヒューレット・パッカード合同会社 テーマ3「IT運用とデータサイエンティストを強力に支援するH...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):富士通株式会社 テーマ1「HPC&AI: Accelerating material develo...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):コアマイクロシステムズ株式会社 テーマ 「AI HPC時代のトータルソリューションプロバイダ」
byPC Cluster Consortium
 
膨大なデータ時代を制する鍵、セグメンテーションAIが切り拓く解析精度と効率の革新
byData Source
 
ChatGPTのコネクタ開発から学ぶ、外部サービスをつなぐMCPサーバーの仕組み
byRyuji Egashira
 
AI開発の最前線を変えるニューラルネットワークプロセッサと、未来社会における応用可能性
byData Source
 
PCCC25(設立25年記念PCクラスタシンポジウム):Pacific Teck Japan テーマ2「『Slinky』 SlurmとクラウドのKuber...
byPC Cluster Consortium
 
PCCC25(設立25年記念PCクラスタシンポジウム):エヌビディア合同会社 テーマ1「NVIDIA 最新発表製品等のご案内」
byPC Cluster Consortium
 
論文紹介:DiffusionRet: Generative Text-Video Retrieval with Diffusion Model
byToru Tamaki
 
論文紹介:MotionMatcher: Cinematic Motion Customizationof Text-to-Video Diffusion ...
byToru Tamaki
 

Arc 対応サーバーへの SSH アクセス

  • 1.
    Arc 対応サーバーへの SSH アクセス SCUGJ(wSCUGJ) 勉強会 #31 2022-09-17 Kazuki Takai - Windows Server & Cloud User Group Japan
  • 2.
    始める前に • Azure 仮想マシン(IaaSVM) 使ったことがある方 • Azure Arc enabled servers 触ったことがある方 • az ssh 使ったことがある方
  • 3.
    お話しすること •az ssh コマンド •Arcenabled servers への SSH / RDP 接続 •以下はお話ししません • Azure Arc enabled servers のオンボード方法
  • 4.
    自己紹介 • たかい (KazukiTakai) • 会社員 (某ISP勤務) • サービス基盤開発、技術開発 • ライセンス関連 • wSCUGJ • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • 趣味:カメラ(風景写真)、ビデオゲーム、旅行(温泉) • Microsoft MVP for Cloud and Datacenter Management
  • 5.
    注意点 • 本セッションでは、リリース前の機能についてお話しします • 仕様等が変更となる可能性があります •本セッションのほとんどのコマンド(az コマンド)は、 PowerShell から実行しています • 記載されているコマンドのエスケープは PowerShell 仕様です • Bash 等から実行する場合は、適宜読み替えてください
  • 6.
    Azure CLI SSHExtension • Azure CLI (Az コマンド)の拡張機能の一つ • az ssh コマンド(コンテキスト)を利用可能 • 接続先のリソースは以下の2種類 • Azure 仮想マシン(Virtual Machine) • az ssh vm • Azure Arc 対応サーバー(Arc enabled servers) • az ssh arc
  • 7.
    Azure VM に対するAzure CLI からの SSH • az ssh vm • Azure の仮想マシンに対して SSH で接続 • IP アドレスや DNS 名ではなく VM 名で接続可能 • 但し、VM が保持する IP への Reachability は必要 • (条件を満たせば)シングルサインオンが可能 • az login しているアカウントで VM へログイン • RDP over SSH が可能(トンネリング)
  • 8.
    az ssh を使うには •Azure CLI 2.4.0 以降が必要 • az --version • Azure CLI SSH extension が必要 • extension が入っていない場合、コマンド実行時に インストール可能 • az extension で明示的なインストールも可能
  • 9.
    az ssh コマンドを実行するための事前準備 •az --version • az login • az account show | Select-String -Pattern '[Nn]ame' | Select-String -Pattern '@' –NotMatch • az account set -n "<Subscription Name>" • az ssh –help • az extension list
  • 10.
    Azure CLI のバージョン確認 •バージョンが 2.4.0 以上であること
  • 11.
    Azure CLI のログイン •az login で Web ブラウザが起動するので、サインイン • 環境によっては --use-device-code オプションを使用 • ログイン後、利用したいサブスクリプションが選択され ていることを確認 • 異なる場合は、明示的にサブスクリプションを選択
  • 12.
    Extension の確認 • 現在インストールされているExtension を表示 • az extension list • 利用可能な Extension を表示 • az extension list-available --query "[].{Name:name, Preview:preview, Experimental:experimental, Installed:installed}" --output table • SSH Extension のインストール状態を表示 • az extension list-available --query "[?(name == 'ssh')].{Name:name, Preview:preview, Experimental:experimental, Installed:installed}" -- output table
  • 13.
    SSH Extension のインストール •コマンド実行時、必要であればインストールされる
  • 14.
    SSH Extension インストール後の確認 •$env:USERPROFILE 配下にインストールされる • インストールに管理者権限は不要
  • 15.
    SSH 接続の前提(az sshvm) • 接続先に対して IP Reachability があること • Global IP or Private IP • Private IP の場合、VPN 等で直接疎通があること • 接続先で SSH Server が稼働していること • 到達可能な IP で Listen していること • Azure RBAC でアクセスが許可されていること • SSH の公開鍵認証でログインできること • ローカルユーザーでログインする場合のみ必要
  • 16.
    Azure RBAC • 接続先に対して以下のロール(何れか)が必要 •仮想マシンの管理者ログイン • 仮想マシンのユーザー ログイン
  • 17.
    Windows に対する SSHアクセス • Windows の機能で OpenSSH.Server をインストール • sshd サービスを開始 • サービスを自動起動するよう設定 • (Windows Defender Firewall で通信を許可) • 公開鍵認証ができるよう、適切なパスに公開鍵を配置
  • 18.
    Windows における公開鍵のパス • Administratorsグループに所属しているユーザー • $env:ProgramData¥ssh¥administrators_authorized_keys • NTFS アクセス権の個別設定が必要 • 継承を無効化 • Administrators と SYSTEM にフルコントロール • それ以外のユーザー • $env:USERPROFILE¥.ssh¥authorized_keys
  • 19.
  • 20.
    Azure VM に対する接続 •接続先のローカルユーザーを指定してログイン • az ssh vm -g <RGName> -n <VMName> --local-user <UserName> -i <PrivateKeyFilePath> -p <PublicKeyFilePath> • Azure AD ユーザーでログイン • az ssh vm -g <RGName> -n <VMName> • RDP アクセス • az ssh vm -g <RGName> -n <VMName> --local-user <UserName> -i <PrivateKeyFilePath> -p <PublicKeyFilePath> --rdp
  • 21.
    Arc 対応サーバーに対する SSH •az ssh arc • Azure Arc enabled servers に対して SSH で接続 • Arc enabled servers マシン名で接続 • 外部から接続先 IP への Reachability 不要 • (条件を満たせば)シングルサインオンが可能 • az login しているアカウントで VM へログイン • RDP over SSH が可能(トンネリング)
  • 22.
    SSH 接続の前提(az ssharc) • Hybrid Connectivity RP が登録済み • Connected Agent のバージョンが 1.13.21320.014 以上 • SSH Server が稼働 • Azure RBAC でアクセスが許可されている • SSH の公開鍵認証でログインできる • ローカルユーザーでログインする場合のみ必要 • Azure AD 連携用 Extension がインストール済み • Azure AD ユーザーで SSO する場合のみ必要
  • 23.
    対応 OS (azssh arc) • Windows • Windows 7+ • Windows Server 2012+ • Linux • CentOS 7, CentOS 8 • RHEL 7.4 ~ 7.10, RHEL 8.3+ • SLES 12, SLES 15.1+ • Ubuntu Server 16.04 ~ 20.04
  • 24.
    対応リージョン (az ssharc) eastus2euap eastus eastus2 westus2 southeastasia westeurope northeurope westcentralus southcentralus uksouth australiaeast francecentral japaneast eastasia koreacentral westus3 westus centralus northcentralus
  • 25.
  • 26.
    Hybrid Connectivity ResourceProvider • サブスクリプションに対して1回のみ必要 • az provider show -n Microsoft.HybridConnectivity | Select-String -Pattern "namespace|registration" • az provider register -n Microsoft.HybridConnectivity
  • 27.
    接続エンドポイントの作成 • 接続対象の Arc対応サーバー マシンごとに必要 • az rest --method put --uri https://management.azure.com/subscriptions/<subscri ption>/resourceGroups/<resourcegroup>/providers/Mic rosoft.HybridCompute/machines/<arc enabled server name>/providers/Microsoft.HybridConnectivity/endpoi nts/default?api-version=2021-10-06-preview --body '{¥"properties¥": {¥"type¥": ¥"default¥"}}'
  • 28.
    Hybrid Agent の設定変更 •接続対象の Arc 対応サーバー上で、Agent 経由の SSH 接続を受け付けるよう設定を変更 • azcmagent config set incomingconnections.ports 22 • azcmagent config list
  • 29.
    Azure AD basedSSH Login Extension • Azure Arc enabled servers リソースに対して Azure AD ユーザーがログインするために必要 • 拡張機能から追加
  • 30.
    まとめ • az sshを使用すると VM や Arc 対応サーバーに SSH 接続が可能 • az ssh arc では、外部から SSH Listen Port への 到達性は不要 • SSH トンネリングにより RDP 接続も可能 • 使わなくても、機能があることを知っておくこと が重要(セキュリティ等の観点からも)
  • 31.
    参考資料 • az ssh •https://docs.microsoft.com/ja-jp/cli/azure/ssh • Azure Arc 対応サーバーへの SSH アクセス • https://docs.microsoft.com/ja-jp/azure/azure-arc/servers/ssh-arc- overview • Azure AD と OpenSSH を使用して Azure の Linux 仮想マシンにログインする • https://docs.microsoft.com/ja-jp/azure/active- directory/devices/howto-vm-sign-in-azure-ad-linux