[Azure] AKS Node Pool (Node)에 SSH로 안전하게 접속

디버그 모드로 접속하는 방식

AKS(Azure Kubernetes Service) 클러스터 노드에 연결 - Azure Kubernetes Service

• 디버그 모드는 노드 위에 임시 파드를 띄우고, 그 파드를 통해 노드 파일 시스템에 접근하는 방식
• SSH가 막혀있기에 안전하게 접속은 가능
• 단 노드 커널/시스템 서비스에 대한 루트 권한 제어는 제한적

---

SSH로 안전하게 접속하는 방식

Azure Kubernetes Service 클러스터 노드에서 SSH 액세스 관리 - Azure Kubernetes Service

• 클러스터 SSH 활성화는 기본적으로 Preview 기능
• 사용하기 위해선 az extension add 명령을 사용하여 aks-preview 확장을 설치해야 됨.

az extension add --name aks-preview # aks-preview 확장을 설치
az extension update --name aks-preview # 최신 버전으로 업데이트

 

* 클러스터 생성할 때 SSH 키를 사용하기 위해 수행

az aks create --name myAKSCluster --resource-group MyResourceGroup --ssh-key-value ~/.ssh/id_rsa.pub

 

* 기존 AKS 클러스터에서 SSH 공개 키 업데이트

az aks update --name myAKSCluster --resource-group MyResourceGroup --ssh-key-value ~/.ssh/id_rsa.pub

 

• AKS 클러스터가 업데이트 돼도, AKS에서 노드 풀까지 자동으로 업데이트하지는 않음
• https://learn.microsoft.com/ko-kr/azure/aks/node-image-upgrade

AKS(Azure Kubernetes Service) 노드 이미지 - Azure Kubernetes Service

• 그래서 노드 이미지 업그레이드를 따로 수행해야 함.

az aks nodepool upgrade --resource-group $AKS_RESOURCE_GROUP --cluster-name $AKS_CLUSTER --name $AKS_NODEPOOL --node-image-only

 

• --node-image-only 옵션은 노드 풀의 OS 이미지(노드 VM 이미지)만 업데이트한다는 뜻
• 기본적으로 az aks nodepool upgrase를 수행하면 쿠버네티스 버전까지 업그레이드됨
• 불필요한 업그레이드를 줄이기 위함

* known_hosts에 해당 IP 키 지움

jamong1014@66u6:~/.ssh$ sudo ssh-keygen -f "/root/.ssh/known_hosts" -R "10.224.0.4"
# Host 10.224.0.4 found: line 2
# Host 10.224.0.4 found: line 3
# Host 10.224.0.4 found: line 4
/root/.ssh/known_hosts updated.
Original contents retained as /root/.ssh/known_hosts.old

• SSH는 이전의 접속했던 서버의 호스트키(fingerprint)를 ~/.ssh/known_hosts 파일에 저장해 두고, 다음 접속할 때 키가 다르면 보안상 위험(중간자 공격 가능성)이라고 경고를 띄움.
• 그렇기에 기존에 남아있던 known_hosts에 해당 IP 키를 지움

 

그리고 다시 접속

sudo ssh -i id_rsa azureuser@10.224.0.4

---