Remarques :

• Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction au niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeur pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. A la fin de l'exercice, remplacez ces valeurs par des valeurs propres à votre environnement cloud.

Remplacer les clés SSH pour les hôtes ESXi d'Oracle Cloud VMware Solution

Introduction

Oracle Cloud VMware Solution fournit un environnement cloud natif géré par le client et basé sur VMware, offrant un contrôle total à l'aide des outils VMware habituels. Toutefois, si les clés SSH utilisées pour accéder aux hôtes ESXi sont perdues, vous aurez besoin d'une autre méthode pour récupérer l'accès. Ce tutoriel décrit les tâches liées à l'activation de la connexion par mot de passe à l'hôte ESXi et au remplacement des clés SSH.

L'accès SSH aux instances de calcul du SDDC Oracle Cloud VMware Solution (OCVS) et aux hôtes ESXi est généralement obtenu à l'aide d'une clé privée correspondant à la clé publique fournie lors du provisionnement. Toutefois, si la clé SSH privée est perdue ou indisponible, l'accès SSH direct à l'hôte ESXi devient impossible. Dans ce cas, la solution de contournement consiste à accéder à l'interface utilisateur de console directe (DCUI) de l'hôte ESXi, à activer la connexion par mot de passe, puis à utiliser SSH dans l'hôte ESXi pour remplacer la clé publique dans la section des clés autorisées. Une fois que la validation de la nouvelle clé publique fonctionne comme prévu, vous pouvez désactiver la connexion par mot de passe pour une meilleure sécurité.

Objectif

• Remplacez les clés SSH perdues pour les hôtes ESXi d'Oracle Cloud VMware Solution en activant temporairement la connexion basée sur un mot de passe.

Prérequis

• Créez une paire de clés SSH (clé publique et clé privée) pour vos hôtes ESXi et enregistrez-la en toute sécurité selon vos besoins.

• Configurez les droits d'accès requis pour accéder au SDDC Oracle Cloud VMware Solution.

• Configurez les droits d'accès appropriés pour la gestion des instances de calcul afin de créer des connexions à la console pour les instances.

• Installez PuTTY ou plink.exe (une interface de ligne de commande vers le back-end PuTTY).

• Installez VNC viewer.

Tâche 1 : créer une connexion de console à l'hôte ESXi

1. Ouvrez le menu de navigation de la console Oracle Cloud, cliquez sur Compute, puis sur Instances.

2. Sélectionnez le premier hôte ESXi du SDDC Oracle Cloud VMware Solution.

3. Cliquez sur Connexion à la console.

4. Cliquez sur Créer une connexion à la console.

   

5. Générez une paire de clés SSH ou téléchargez votre propre clé publique pour la connexion à la console. Dans cet exemple, nous allons créer une paire de clés.

   

6. Cliquez sur Créer une connexion à la console et attendez que l'état de la connexion passe à Actif.

Tâche 2 : accès à la connexion à la console ou à DCUI de l'hôte ESXi

Une fois que la connexion à la console est passée à l'état Actif, procédez comme suit.

1. Cliquez sur l'icône en forme de kebab à droite de la connexion, puis cliquez sur Copier la connexion VNC pour Windows.

   Remarque : si vous utilisez un ordinateur Linux/Mac, suivez les étapes appropriées.

   

2. Collez la commande copiée dans un éditeur de texte.

   Start-Job { Echo N | plink.exe -i $env:homedrive$env:homepath\oci\console.ppk -N -ssh -P 443 -l ocid1.instanceconsoleconnection.oc1.ap-melbourne-1.anwwkljxyzxyzxyzxyzhatrpp5gdhi75lunwazur6vlkost37m2rxa -L 5905:ocid1.instance.oc1.ap-melbourne-1.anwwkljrxyzxyzxyzxyzoua6cxxfbtqbg2tvhkogyusd6scnb2wfdnfcfmzq:5905 instance-console.ap-melbourne-1.oci.oraclecloud.com }; sleep 5; plink.exe -i $env:homedrive$env:homepath\oci\console.ppk -N -L 5900:localhost:5900 -P 5905 localhost -l ur6vlkost37m2rxa
   

3. Remplacez les deux sections $env:homedrive$env:homepath\oci\console.ppk dans la commande suivante pour pointer vers votre clé privée.

   Start-Job { Echo N | plink.exe -i C:\Keys\ssh-key-2022-06-11-converted.ppk -N -ssh -P 443 -l ocid1.instanceconsoleconnection.oc1.ap-melbourne-1.anwwkljxyzxyzxyzxyzhatrpp5gdhi75lunwazur6vlkost37m2rxa -L 5905:ocid1.instance.oc1.ap-melbourne-1.anwwkljrxyzxyzxyzxyzoua6cxxfbtqbg2tvhkogyusd6scnb2wfdnfcfmzq:5905 instance-console.ap-melbourne-1.oci.oraclecloud.com }; sleep 5; plink.exe -i C:\Keys\ssh-key-2022-06-11-converted.ppk -N -L 5900:localhost:5900 -P 5905 localhost -l ur6vlkost37m2rxa
   

4. Démarrez Windows PowerShell ou Terminal, exécutez la commande suivante et suivez les invites pour démarrer la session.

   

5. Une fois la connexion démarrée, ouvrez VNC Viewer et établissez une connexion à la console à l'aide de la commande localhost:localport. Pour ce tutoriel, nous allons utiliser localhost:5900.

6. Une fois la connexion établie, vous pouvez voir la DCUI.

   

7. Appuyez sur ALT+F1 pour accéder à la console, connectez-vous à l'aide de l'utilisateur opc et du mot de passe SDDC.

   

Tâche 3 : activer l'authentification basée sur un mot de passe pour l'hôte ESXi

1. Pour activer la connexion basée sur un mot de passe pour l'utilisateur opc, modifiez le fichier /etc/ssh/sshd_config.

2. Définissez le paramètre PasswordAuthentication sur yes et enregistrez le fichier.

3. Rechargez le service SSH en exécutant la commande /etc/init.d/SSH restart.

4. Configurez un mot de passe pour l'utilisateur opc.

   

Tâche 4 : ajouter la nouvelle clé publique sur l'hôte ESXi

1. Connectez-vous via SSH à l'hôte ESXi à l'aide du mot de passe que vous avez configuré à l'étape précédente.

   

2. Modifiez le fichier authorized_keys situé dans /etc/ssh/keys-opc/.

   

3. Remplacez la clé publique existante ou ajoutez-en une nouvelle.

   

Tâche 5 : tester l'accès à l'aide de la nouvelle paire de clés SSH

1. Etablissez une nouvelle session SSH vers l'hôte ESXi à l'aide de la nouvelle paire de clés SSH.

   

Tâche 6 : désactiver la connexion basée sur un mot de passe

Après avoir testé l'accès avec les nouvelles clés SSH dans la tâche 5, vous devez désactiver la connexion basée sur un mot de passe pour des raisons de sécurité.

1. Modifiez le fichier /etc/ssh/sshd_config et définissez le paramètre PasswordAuthentication sur no.

2. Redémarrez le service SSH.

   

3. Vérifiez que la connexion par mot de passe ne fonctionne pas.

   

Tâche 7 : activer les clés publiques SSH persistantes

Pour vous assurer que la configuration persiste même après la réinitialisation de l'hôte ESXi, procédez comme suit pour ajouter la nouvelle clé publique au fichier authorized_keys :

1. Avant de continuer, établissez une connexion SSH à l'hôte ESXi, si ce n'est déjà fait.

2. Copiez la nouvelle clé publique dans une variable.

   NEW_PUB_KEY = "Paste New Public Key here"

3. Ajoutez la nouvelle clé publique au fichier authorized_keys sur l'hôte ESXi.

   echo "<$NEW_PUB_KEY>" >> /etc/ssh/keys-root/authorized_keys

4. Activez le sticky bit pour le fichier authorized_keys afin d'éviter les modifications involontaires.

   chmod +t /etc/ssh/keys-root/authorized_keys

5. Exécutez le script de sauvegarde automatique pour rendre le fichier authorized_keys persistant.

   /sbin/auto-backup.sh

Etapes suivantes

Effectuez les tâches 1 à 7 consécutivement sur tous les hôtes ESXi du SDDC Oracle Cloud VMware Solution.

Liens connexes

• Oracle Cloud VMware Solution

• VMware vSphere Interface utilisateur de la console directe

• Connexions à la console pour une instance

Remerciements

• Auteur - Praveen Kumar Pedda Vakkalam (architecte principal de solutions)

Ressources de formation supplémentaires

Parcourez d'autres ateliers sur docs.oracle.com/learn ou accédez à davantage de contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, rendez-vous sur education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, visitez Oracle Help Center.

---

Informations relatives au titre et au copyright

Replace SSH Keys for Oracle Cloud VMware Solution ESXi hosts

F59851-03

December 2023

Copyright © 2023, Oracle and/or its affiliates.