Note:

• Este tutorial requiere acceso a Oracle Cloud. Para registrarse en una cuenta gratuita, consulte Introducción a la cuenta gratuita de Oracle Cloud Infrastructure.
• Utiliza valores de ejemplo para credenciales, arrendamiento y compartimentos de Oracle Cloud Infrastructure. Al finalizar el laboratorio, sustituya estos valores por otros específicos del entorno en la nube.

Sustituya las claves SSH para los hosts de Oracle Cloud VMware Solution ESXi

Introducción

Oracle Cloud VMware Solution proporciona un entorno en la nube basado en VMware nativo gestionado por el cliente, que ofrece un control completo con herramientas VMware conocidas. Sin embargo, si se pierden las claves SSH utilizadas para acceder a los hosts ESXi, necesitará un método alternativo para recuperar el acceso. En este tutorial se describen las tareas implicadas en la activación de la conexión basada en contraseña en el host ESXi y la sustitución de las claves SSH.

El acceso SSH a las instancias informáticas del SDDC de Oracle Cloud VMware Solution (OCVS) y los hosts ESXi se suele lograr mediante una clave privada correspondiente a la clave pública proporcionada durante el aprovisionamiento. Sin embargo, si la clave SSH privada se pierde o no está disponible, el acceso SSH directo al host ESXi se vuelve imposible. En estos casos, la solución alternativa es acceder a la interfaz de usuario de consola directa (DCUI) del host ESXi, activar el inicio de sesión basado en contraseña y, a continuación, utilizar SSH en el host ESXi para sustituir la clave pública en la sección de claves autorizadas. Después de validar que la nueva clave pública funciona como se esperaba, puede desactivar el inicio de sesión basado en contraseña para mejorar la seguridad.

Objetivo

• Reemplace las claves SSH perdidas para los hosts ESXi de Oracle Cloud VMware Solution activando temporalmente la conexión basada en contraseña.

Requisitos

• Cree un nuevo par de claves SSH (clave pública y clave privada) para los hosts ESXi y guárdelo de forma segura según sus necesidades.

• Configure los permisos necesarios para acceder al SDDC de Oracle Cloud VMware Solution.

• Configure los permisos adecuados para gestionar instancias informáticas a fin de crear conexiones de consola de instancia.

• Instale PuTTY o plink.exe (una interfaz de línea de comandos para el backend PuTTY).

• Instale el visor VNC.

Tarea 1: Creación de una conexión de consola al host ESXi

1. Abra el menú de navegación de la consola de Oracle Cloud y haga clic en Recursos informáticos y, a continuación, en Instancias.

2. Seleccione el primer host ESXi del SDDC de Oracle Cloud VMware Solution.

3. Haga clic en Conexión de consola.

4. Haga clic en Crear conexión local.

   

5. Genere un par de claves SSH o cargue su propia clave pública para la conexión de consola. En este ejemplo, crearemos un nuevo par de claves.

   

6. Haga clic en Crear conexión de consola y espere a que el estado de la conexión cambie a Activo.

Tarea 2: Acceso a la conexión de la consola o DCUI del host ESXi

Una vez que la conexión de consola haya cambiado al estado activo, complete los siguientes pasos.

1. Haga clic en el icono de kebab situado a la derecha de la conexión y, a continuación, en Copy VNC connection for Windows (Copiar conexión VNC para Windows).

   Nota: Si utiliza una máquina Linux/Mac, siga los pasos adecuados.

   

2. Pegue el comando copiado en un editor de texto.

   Start-Job { Echo N | plink.exe -i $env:homedrive$env:homepath\oci\console.ppk -N -ssh -P 443 -l ocid1.instanceconsoleconnection.oc1.ap-melbourne-1.anwwkljxyzxyzxyzxyzhatrpp5gdhi75lunwazur6vlkost37m2rxa -L 5905:ocid1.instance.oc1.ap-melbourne-1.anwwkljrxyzxyzxyzxyzoua6cxxfbtqbg2tvhkogyusd6scnb2wfdnfcfmzq:5905 instance-console.ap-melbourne-1.oci.oraclecloud.com }; sleep 5; plink.exe -i $env:homedrive$env:homepath\oci\console.ppk -N -L 5900:localhost:5900 -P 5905 localhost -l ur6vlkost37m2rxa
   

3. Sustituya las dos secciones $env:homedrive$env:homepath\oci\console.ppk del siguiente comando para que apunten a su clave privada.

   Start-Job { Echo N | plink.exe -i C:\Keys\ssh-key-2022-06-11-converted.ppk -N -ssh -P 443 -l ocid1.instanceconsoleconnection.oc1.ap-melbourne-1.anwwkljxyzxyzxyzxyzhatrpp5gdhi75lunwazur6vlkost37m2rxa -L 5905:ocid1.instance.oc1.ap-melbourne-1.anwwkljrxyzxyzxyzxyzoua6cxxfbtqbg2tvhkogyusd6scnb2wfdnfcfmzq:5905 instance-console.ap-melbourne-1.oci.oraclecloud.com }; sleep 5; plink.exe -i C:\Keys\ssh-key-2022-06-11-converted.ppk -N -L 5900:localhost:5900 -P 5905 localhost -l ur6vlkost37m2rxa
   

4. Inicie Windows PowerShell o Terminal, ejecute el siguiente comando y siga las indicaciones para iniciar la sesión.

   

5. Una vez iniciada la conexión, abra VNC Viewer y establezca una conexión a la consola mediante el comando localhost:localport. Para este tutorial, utilizaremos localhost:5900.

6. Una vez establecida la conexión, puede ver la DCUI.

   

7. Pulse ALT+F1 para acceder a la consola e iniciar sesión con el usuario opc y la contraseña del SDDC.

   

Tarea 3: Activar la autenticación basada en contraseña para el host ESXi

1. Para activar el inicio de sesión basado en contraseña para el usuario opc, edite el archivo /etc/ssh/sshd_config.

2. Cambie la configuración de PasswordAuthentication a yes y guarde el archivo.

3. Vuelva a cargar el servicio SSH ejecutando el comando: /etc/init.d/SSH restart.

4. Configure una contraseña para el usuario opc.

   

Tarea 4: Agregar la nueva clave pública en el host ESXi

1. Utilice SSH en el host ESXi con la contraseña configurada en el paso anterior.

   

2. Edite el archivo authorized_keys ubicado en /etc/ssh/keys-opc/.

   

3. Sustituya la clave pública existente o agregue una clave pública nueva.

   

Tarea 5: Prueba del acceso mediante el nuevo par de claves SSH

1. Establezca una nueva sesión SSH en el host ESXi mediante el nuevo par de claves SSH.

   

Tarea 6: Desactivar conexión basada en contraseña

Después de probar el acceso con las nuevas claves SSH en la tarea 5, debe desactivar el inicio de sesión basado en contraseña por motivos de seguridad.

1. Edite el archivo /etc/ssh/sshd_config y cambie la configuración de PasswordAuthentication a no.

2. Reinicie el servicio SSH.

   

3. Valide que el inicio de sesión basado en contraseña no funcione.

   

Tarea 7: Activación de claves SSH públicas persistentes

Para asegurarse de que la configuración se mantenga incluso después de reiniciar el host ESXi, siga estos pasos para agregar la nueva clave pública al archivo authorized_keys:

1. Antes de continuar, establezca una conexión SSH con el host ESXi, si aún no lo ha hecho.

2. Copie la nueva clave pública en una variable.

   NEW_PUB_KEY = "Paste New Public Key here"

3. Agregue la nueva clave pública al archivo authorized_keys en el host ESXi.

   echo "<$NEW_PUB_KEY>" >> /etc/ssh/keys-root/authorized_keys

4. Active el bit adhesivo para el archivo authorized_keys para evitar modificaciones involuntarias.

   chmod +t /etc/ssh/keys-root/authorized_keys

5. Ejecute el script de copia de seguridad automática para que el archivo authorized_keys sea persistente.

   /sbin/auto-backup.sh

Pasos Siguientes

Realice las tareas de la 1 a la 7 de forma consecutiva en todos los hosts ESXi del SDDC de Oracle Cloud VMware Solution.

Enlaces relacionados

• Oracle Cloud VMware Solution

• VMware vSphere Interfaz de usuario de consola directa

• Conexiones de consola de instancias

Agradecimientos

• Autor: Praveen Kumar Pedda Vakkalam (Arquitecto principal de soluciones)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en Oracle Learning Explorer.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Replace SSH Keys for Oracle Cloud VMware Solution ESXi hosts

F59851-03

December 2023

Copyright © 2023, Oracle and/or its affiliates.