KOPS Kubernetes não pode fazer login no bastion host, erro de permissão de chave pública ssh

Question

Como você pode ver na saída detalhada, o acesso foi negado com base no publickeyque foi usado ao tentar autenticar:

debug1: Authentications that can continue: publickey
debug1: Trying private key: /root/.ssh/id_dsa
debug3: no such identity: /root/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /root/.ssh/id_ecdsa
debug3: no such identity: /root/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /root/.ssh/id_ed25519
debug3: no such identity: /root/.ssh/id_ed25519: No such file or directory
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey).

Você pode ver acima que todos os arquivos verificados por padrão (se o arquivo específico não foi especificado com -isinalizador) não foram encontrados em seu /root/.ssh/diretório.

Conforme já discutido nos comentários, descobriu-se que você usou o adminusuário que não estava definido no host remoto. Você confirmou que com ubuntuo usuário conseguiu fazer login com sucesso:"agora tentei com o usuário Ubuntu e efetuei login com sucesso no Bastion Host"Como foi suficientemente esclarecido, focarei apenas em responder sua pergunta adicional, postada nos comentários:

Em seguida, foi necessário repetir o processo de cópia das chaves do Host -> bastion e, em seguida, ssh do bastion para o mestre do Kubernetes. Isso funcionou agora, mas eu esperava que o sinalizador -A documentado oficialmente fosse encaminhado de alguma forma para o mestre, mas isso não aconteceu. Tive que duplicar o ssh manualmente e copiar as chaves para o bastião

O sshprocesso de login que você descreveu é conhecido como ssh-ing por meio do chamado host de salto. Lembre-se de que isso não funciona imediatamente e requer configuração adicional. Dê uma olhadaEste artigo, pois explica tudo claramente, você precisa saber sobreconfigurando o encaminhamento do agente SSHo que precisa ser feito se você quiser usar suas chaves locais sshnão apenas para ohospedeiro bastião(que por acaso é umhospedeiro de saltoneste cenário), mas também para ir automaticamente sshde lá para outrohospedeiro remoto.

Resumindo, você precisa criar ~/.ssh/configum arquivo em sua máquina local, se ele não existir, e definir o host para o qual deseja permitir que suas chaves ssh locais sejam encaminhadas e definidas ForwardAgentcomo yes:

Host example.com # it can be either domain name or IP address
  ForwardAgent yes

Além disso, certifique-se de que seu host de saltopermite o encaminhamento do agente SSH em conexões de entrada:

O encaminhamento de agente também pode estar bloqueado em seu servidor. Você pode verificar se o encaminhamento do agente é permitido fazendo SSH no servidor e executando o sshd_config. A saída deste comando deve indicar que AllowAgentForwardingestá definido.

Agora você deve ser capaz de fazer ssh diretamente para seu host remoto de destino por meio de um jumphost diretamente de sua máquina local com um sshcomando. Está bem descritoaqui:

Lista dinâmica de jumphost

Você pode usar a opção -J para passar por um host:
user $ ssh -J host1 host2
Se os nomes de usuário ou portas nas máquinas forem diferentes, especifique-os:
user $ ssh -J user1@host1:port1 user2@host2:port2
Vários saltos
A mesma sintaxe pode ser usada para fazer saltos em múltiplas máquinas:
user $ ssh -J user1@host1:port1,user2@host2:port2 user3@host3

Answer 1

Como você pode ver na saída detalhada, o acesso foi negado com base no publickeyque foi usado ao tentar autenticar:

debug1: Authentications that can continue: publickey
debug1: Trying private key: /root/.ssh/id_dsa
debug3: no such identity: /root/.ssh/id_dsa: No such file or directory
debug1: Trying private key: /root/.ssh/id_ecdsa
debug3: no such identity: /root/.ssh/id_ecdsa: No such file or directory
debug1: Trying private key: /root/.ssh/id_ed25519
debug3: no such identity: /root/.ssh/id_ed25519: No such file or directory
debug2: we did not send a packet, disable method
debug1: No more authentication methods to try.
Permission denied (publickey).

Você pode ver acima que todos os arquivos verificados por padrão (se o arquivo específico não foi especificado com -isinalizador) não foram encontrados em seu /root/.ssh/diretório.

Conforme já discutido nos comentários, descobriu-se que você usou o adminusuário que não estava definido no host remoto. Você confirmou que com ubuntuo usuário conseguiu fazer login com sucesso:"agora tentei com o usuário Ubuntu e efetuei login com sucesso no Bastion Host"Como foi suficientemente esclarecido, focarei apenas em responder sua pergunta adicional, postada nos comentários:

Em seguida, foi necessário repetir o processo de cópia das chaves do Host -> bastion e, em seguida, ssh do bastion para o mestre do Kubernetes. Isso funcionou agora, mas eu esperava que o sinalizador -A documentado oficialmente fosse encaminhado de alguma forma para o mestre, mas isso não aconteceu. Tive que duplicar o ssh manualmente e copiar as chaves para o bastião

O sshprocesso de login que você descreveu é conhecido como ssh-ing por meio do chamado host de salto. Lembre-se de que isso não funciona imediatamente e requer configuração adicional. Dê uma olhadaEste artigo, pois explica tudo claramente, você precisa saber sobreconfigurando o encaminhamento do agente SSHo que precisa ser feito se você quiser usar suas chaves locais sshnão apenas para ohospedeiro bastião(que por acaso é umhospedeiro de saltoneste cenário), mas também para ir automaticamente sshde lá para outrohospedeiro remoto.

Resumindo, você precisa criar ~/.ssh/configum arquivo em sua máquina local, se ele não existir, e definir o host para o qual deseja permitir que suas chaves ssh locais sejam encaminhadas e definidas ForwardAgentcomo yes:

Host example.com # it can be either domain name or IP address
  ForwardAgent yes

Além disso, certifique-se de que seu host de saltopermite o encaminhamento do agente SSH em conexões de entrada:

O encaminhamento de agente também pode estar bloqueado em seu servidor. Você pode verificar se o encaminhamento do agente é permitido fazendo SSH no servidor e executando o sshd_config. A saída deste comando deve indicar que AllowAgentForwardingestá definido.

Agora você deve ser capaz de fazer ssh diretamente para seu host remoto de destino por meio de um jumphost diretamente de sua máquina local com um sshcomando. Está bem descritoaqui:

Lista dinâmica de jumphost

Você pode usar a opção -J para passar por um host:
user $ ssh -J host1 host2
Se os nomes de usuário ou portas nas máquinas forem diferentes, especifique-os:
user $ ssh -J user1@host1:port1 user2@host2:port2
Vários saltos
A mesma sintaxe pode ser usada para fazer saltos em múltiplas máquinas:
user $ ssh -J user1@host1:port1,user2@host2:port2 user3@host3

KOPS Kubernetes não pode fazer login no bastion host, erro de permissão de chave pública ssh

Responder1

Lista dinâmica de jumphost

informação relacionada