KOPS Kubernetes kann sich nicht beim Bastion-Host anmelden, Berechtigungsfehler für öffentlichen SSH-Schlüssel

Question

Wie Sie in der ausführlichen Ausgabe sehen können, wurde der Zugriff verweigert, basierend auf dem, publickeywas beim Authentifizierungsversuch verwendet wurde:

debug1: Authentications that can continue: publickey
debug1: Trying private key: /root/.ssh/id_dsa
debug3: no such identity: /root/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /root/.ssh/id_ecdsa
debug3: no such identity: /root/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /root/.ssh/id_ed25519
debug3: no such identity: /root/.ssh/id_ed25519: No such file or directory
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey).

Sie können oben sehen, dass alle Dateien, die standardmäßig aktiviert sind (wenn die jeweilige Datei nicht mit dem Flag angegeben wurde ), nicht in Ihrem Verzeichnis -igefunden wurden ./root/.ssh/

Wie bereits in den Kommentaren erläutert, stellte sich heraus, dass Sie den adminBenutzer verwendet haben, der auf dem Remote-Host nicht definiert war. Sie haben bestätigt, dass ubuntuSie sich mit dem Benutzer erfolgreich anmelden konnten:„jetzt mit Ubuntu-Benutzer versucht und erfolgreich beim Bastion-Host angemeldet“Da es ausreichend geklärt wurde, werde ich mich nur auf die Beantwortung Ihrer zusätzlichen Frage konzentrieren, die in den Kommentaren gepostet wurde:

Dann musste ich den Vorgang wiederholen, die Schlüssel vom Host -> Bastion kopieren und dann per SSH von Bastion zum Kubernetes-Master. Das hat jetzt funktioniert, aber ich hatte erwartet, dass das Flag -A, wie offiziell dokumentiert, irgendwie an den Master weiterleitet, aber das ist nicht passiert. Musste per SSH manuell verdoppeln und die Schlüssel in Bastion kopieren – Kristi Jorgji 31. Dez. 2020 um 19:35

Der sshvon Ihnen beschriebene Anmeldevorgang wird als SSH-Verfahren über einen sogenannten Jump-Host bezeichnet. Beachten Sie, dass dies nicht von vornherein so funktioniert und zusätzliche Konfigurationen erfordert. Sehen Sie sich Folgendes an:Dieser Artikel, da es alles klar erklärt, was Sie wissen müssen überEinrichten der SSH-Agent-WeiterleitungDies ist erforderlich, wenn Sie Ihre lokalen Schlüssel sshnicht nur für dieBastion-Host(was zufällig einSprunghostin diesem Szenario), sondern auch automatisch sshvon dort zu einem anderenRemote-Host.

Kurz gesagt müssen Sie eine Datei auf Ihrem lokalen Computer erstellen ~/.ssh/config(falls sie noch nicht vorhanden ist) und den Host festlegen, an den Ihre lokalen SSH-Schlüssel weitergeleitet werden dürfen, und ForwardAgentFolgendes festlegen yes:

Host example.com # it can be either domain name or IP address
  ForwardAgent yes

Stellen Sie außerdem sicher, dass Ihr Jump-Hostermöglicht SSH-Agent-Weiterleitung bei eingehenden Verbindungen:

Die Agentenweiterleitung kann auch auf Ihrem Server blockiert sein. Sie können überprüfen, ob die Agentenweiterleitung zulässig ist, indem Sie sich per SSH mit dem Server verbinden und ausführen sshd_config. Die Ausgabe dieses Befehls sollte anzeigen, dass AllowAgentForwardingfestgelegt ist.

Jetzt sollten Sie in der Lage sein, mit einem Befehl direkt von Ihrem lokalen Rechner aus über einen Jumphost per SSH auf Ihren Ziel-Remote-Host zuzugreifen ssh. Es ist gut beschriebenHier:

Dynamische Jumphost-Liste

Mit der Option -J können Sie durch einen Host springen:
user $ ssh -J host1 host2
Wenn Benutzernamen oder Ports auf den Computern unterschiedlich sind, geben Sie diese an:
user $ ssh -J user1@host1:port1 user2@host2:port2
Mehrere Sprünge
Die gleiche Syntax kann verwendet werden, um Sprünge über mehrere Maschinen hinweg durchzuführen:
user $ ssh -J user1@host1:port1,user2@host2:port2 user3@host3

Answer 1

Wie Sie in der ausführlichen Ausgabe sehen können, wurde der Zugriff verweigert, basierend auf dem, publickeywas beim Authentifizierungsversuch verwendet wurde:

debug1: Authentications that can continue: publickey
debug1: Trying private key: /root/.ssh/id_dsa
debug3: no such identity: /root/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /root/.ssh/id_ecdsa
debug3: no such identity: /root/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /root/.ssh/id_ed25519
debug3: no such identity: /root/.ssh/id_ed25519: No such file or directory
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey).

Sie können oben sehen, dass alle Dateien, die standardmäßig aktiviert sind (wenn die jeweilige Datei nicht mit dem Flag angegeben wurde ), nicht in Ihrem Verzeichnis -igefunden wurden ./root/.ssh/

Wie bereits in den Kommentaren erläutert, stellte sich heraus, dass Sie den adminBenutzer verwendet haben, der auf dem Remote-Host nicht definiert war. Sie haben bestätigt, dass ubuntuSie sich mit dem Benutzer erfolgreich anmelden konnten:„jetzt mit Ubuntu-Benutzer versucht und erfolgreich beim Bastion-Host angemeldet“Da es ausreichend geklärt wurde, werde ich mich nur auf die Beantwortung Ihrer zusätzlichen Frage konzentrieren, die in den Kommentaren gepostet wurde:

Dann musste ich den Vorgang wiederholen, die Schlüssel vom Host -> Bastion kopieren und dann per SSH von Bastion zum Kubernetes-Master. Das hat jetzt funktioniert, aber ich hatte erwartet, dass das Flag -A, wie offiziell dokumentiert, irgendwie an den Master weiterleitet, aber das ist nicht passiert. Musste per SSH manuell verdoppeln und die Schlüssel in Bastion kopieren – Kristi Jorgji 31. Dez. 2020 um 19:35

Der sshvon Ihnen beschriebene Anmeldevorgang wird als SSH-Verfahren über einen sogenannten Jump-Host bezeichnet. Beachten Sie, dass dies nicht von vornherein so funktioniert und zusätzliche Konfigurationen erfordert. Sehen Sie sich Folgendes an:Dieser Artikel, da es alles klar erklärt, was Sie wissen müssen überEinrichten der SSH-Agent-WeiterleitungDies ist erforderlich, wenn Sie Ihre lokalen Schlüssel sshnicht nur für dieBastion-Host(was zufällig einSprunghostin diesem Szenario), sondern auch automatisch sshvon dort zu einem anderenRemote-Host.

Kurz gesagt müssen Sie eine Datei auf Ihrem lokalen Computer erstellen ~/.ssh/config(falls sie noch nicht vorhanden ist) und den Host festlegen, an den Ihre lokalen SSH-Schlüssel weitergeleitet werden dürfen, und ForwardAgentFolgendes festlegen yes:

Host example.com # it can be either domain name or IP address
  ForwardAgent yes

Stellen Sie außerdem sicher, dass Ihr Jump-Hostermöglicht SSH-Agent-Weiterleitung bei eingehenden Verbindungen:

Die Agentenweiterleitung kann auch auf Ihrem Server blockiert sein. Sie können überprüfen, ob die Agentenweiterleitung zulässig ist, indem Sie sich per SSH mit dem Server verbinden und ausführen sshd_config. Die Ausgabe dieses Befehls sollte anzeigen, dass AllowAgentForwardingfestgelegt ist.

Jetzt sollten Sie in der Lage sein, mit einem Befehl direkt von Ihrem lokalen Rechner aus über einen Jumphost per SSH auf Ihren Ziel-Remote-Host zuzugreifen ssh. Es ist gut beschriebenHier:

Dynamische Jumphost-Liste

Mit der Option -J können Sie durch einen Host springen:
user $ ssh -J host1 host2
Wenn Benutzernamen oder Ports auf den Computern unterschiedlich sind, geben Sie diese an:
user $ ssh -J user1@host1:port1 user2@host2:port2
Mehrere Sprünge
Die gleiche Syntax kann verwendet werden, um Sprünge über mehrere Maschinen hinweg durchzuführen:
user $ ssh -J user1@host1:port1,user2@host2:port2 user3@host3

KOPS Kubernetes kann sich nicht beim Bastion-Host anmelden, Berechtigungsfehler für öffentlichen SSH-Schlüssel

Antwort1

Dynamische Jumphost-Liste

verwandte Informationen