ノート:

Oracle Cloud VMware Solution ESXiホストのSSHキーの置換

イントロダクション

Oracle Cloud VMware Solutionは、顧客管理のネイティブなVMwareベースのクラウド環境を提供し、使い慣れたVMwareツールを使用して完全な制御を提供します。ただし、ESXiホストへのアクセスに使用されたSSHキーが失われる場合は、別の方法でアクセスを取り戻す必要があります。このチュートリアルでは、ESXiホストへのパスワードベースのログインの有効化およびSSHキーの置換に関連するタスクの概要を示します。

Oracle Cloud VMware Solution (OCVS) SDDCコンピュート・インスタンスおよびESXiホストへのSSHアクセスは、通常、プロビジョニング中に指定された公開キーに対応する秘密キーを使用して実現されます。ただし、秘密SSHキーが失われた場合や使用できない場合は、ESXiホストへの直接SSHアクセスが不可能になります。このような場合の回避方法は、ESXiホストのDirect Consoleユーザー・インタフェース(DCUI)にアクセスし、パスワードベースのログインを有効にしてから、ESXiホストにSSH接続して、認可されたキー・セクションの公開キーを置き換えることです。新しい公開キーが期待どおりに機能していることを確認したら、セキュリティを向上させるためにパスワードベースのログインを無効にできます。

目標

前提条件

タスク1: ESXiホストへのコンソール接続の作成

  1. Oracle Cloudコンソールのナビゲーション・メニューを開き、「コンピュート」をクリックし、「インスタンス」をクリックします。

  2. Oracle Cloud VMware Solution SDDCの最初のESXiホストを選択します。

  3. 「コンソール接続」をクリックします。

  4. 「ローカル接続の作成」をクリックします。

    「コンピュート」セクションでESXiホストのローカル・コンソール接続を作成します

  5. SSHキー・ペアを生成するか、コンソール接続用の独自の公開キーをアップロードします。この例では、新しいキー・ペアを作成します。

    コンソール接続用の新しいキー・ペアの生成

  6. 「コンソール接続の作成」をクリックし、接続の状態が「アクティブ」に変わるのを待ちます。

タスク2: ESXiホストのコンソール接続またはDCUIへのアクセス

コンソール接続がアクティブ状態に変更されたら、次の手順を実行します。

  1. 接続の右側にあるケバブ・アイコンをクリックし、「WindowsのVNC接続のコピー」をクリックします。

    ノート: Linux/Macマシンを使用している場合は、適切なステップに従います。

    接続のVNC接続コマンドのコピー

  2. コピーしたコマンドをテキスト・エディタに貼り付けます。

    Start-Job { Echo N | plink.exe -i $env:homedrive$env:homepath\oci\console.ppk -N -ssh -P 443 -l ocid1.instanceconsoleconnection.oc1.ap-melbourne-1.anwwkljxyzxyzxyzxyzhatrpp5gdhi75lunwazur6vlkost37m2rxa -L 5905:ocid1.instance.oc1.ap-melbourne-1.anwwkljrxyzxyzxyzxyzoua6cxxfbtqbg2tvhkogyusd6scnb2wfdnfcfmzq:5905 instance-console.ap-melbourne-1.oci.oraclecloud.com }; sleep 5; plink.exe -i $env:homedrive$env:homepath\oci\console.ppk -N -L 5900:localhost:5900 -P 5905 localhost -l ur6vlkost37m2rxa

  3. 次のコマンドの2つの$env:homedrive$env:homepath\oci\console.ppkセクションを、秘密キーを指すように置き換えます。

    Start-Job { Echo N | plink.exe -i C:\Keys\ssh-key-2022-06-11-converted.ppk -N -ssh -P 443 -l ocid1.instanceconsoleconnection.oc1.ap-melbourne-1.anwwkljxyzxyzxyzxyzhatrpp5gdhi75lunwazur6vlkost37m2rxa -L 5905:ocid1.instance.oc1.ap-melbourne-1.anwwkljrxyzxyzxyzxyzoua6cxxfbtqbg2tvhkogyusd6scnb2wfdnfcfmzq:5905 instance-console.ap-melbourne-1.oci.oraclecloud.com }; sleep 5; plink.exe -i C:\Keys\ssh-key-2022-06-11-converted.ppk -N -L 5900:localhost:5900 -P 5905 localhost -l ur6vlkost37m2rxa

  4. Windows PowerShellまたはターミナルを起動し、次のコマンドを実行して、プロンプトに従ってセッションを開始します。

    Windows PowerShellを使用してVNCコマンドを使用して確立されたコンソール接続

  5. 接続が開始したら、VNC Viewerを開き、コマンドlocalhost:localportを使用してコンソールへの接続を確立します。このチュートリアルでは、localhost:5900を使用します。

  6. 接続が確立されると、DCUIが表示されます。

    VNC Viewerを使用したVMware DCUIへのアクセス

  7. ALT+F1を押してコンソールにアクセスし、opcユーザーおよびSDDCパスワードを使用してログインします。

    コンソール接続からESXiシェルにログインします

タスク3: ESXiホストのパスワード・ベースの認証の有効化

  1. opcユーザーのパスワード・ベースのログインを有効にするには、/etc/ssh/sshd_configファイルを編集します。

  2. PasswordAuthentication設定を yesに変更し、ファイルを保存します。

  3. コマンド/etc/init.d/SSH restartを実行して、SSHサービスをリロードします。

  4. opcユーザーのパスワードを構成します。

    ESXiホストのパスワード・ベースのログインの有効化

タスク4: ESXiホストでの新しい公開キーの追加

  1. 前のステップで構成したパスワードを使用して、ESXiホストにSSH接続します。

    設定したパスワードを使用してESXiホストにSSH接続します。

  2. /etc/ssh/keys-opc/にあるauthorized_keysファイルを編集します。

    古い鍵または失われた鍵を置き換える新しいSSH公開鍵を追加します

  3. 既存の公開キーを置換するか、新しい公開キーを追加します。

    ESXiホストの認可キーでの新しい公開キーの表示

タスク5: 新しいSSHキー・ペアを使用したアクセスのテスト

  1. 新しいSSHキー・ペアを使用して、ESXiホストへの新しいSSHセッションを確立します。

    新しいSSHキー・ペアを使用して、ESXiホストへのSSHの検証

タスク6: パスワード・ベースのログインの無効化

タスク5で新しいSSHキーを使用してアクセスをテストした後、セキュリティ上の理由からパスワード・ベースのログインを無効にする必要があります。

  1. /etc/ssh/sshd_configファイルを編集し、PasswordAuthentication設定をnoに変更します。

  2. SSHサービスを再起動します。

    ESXiホストへのパスワード・ベースのログインの無効化

  3. パスワードベースのログインが機能しないことを検証します。

    パスワード・ベースのログインが機能しなくなったことを検証

タスク7: 永続SSH公開キーの有効化

ESXiホストの再起動後も構成が維持されるようにするには、次のステップに従って新しい公開キーをauthorized_keysファイルに追加します。

  1. 続行する前に、ESXiホストへのSSH接続を確立します(まだ確立していない場合)。

  2. 新しい公開キーを変数にコピーします。

    NEW_PUB_KEY = "Paste New Public Key here"

  3. 新しい公開キーをESXiホストのauthorized_keysファイルに追加します。

    echo "<$NEW_PUB_KEY>" >> /etc/ssh/keys-root/authorized_keys

  4. authorized_keysファイルのスティッキー・ビットを有効にして、意図しない変更を防止します。

    chmod +t /etc/ssh/keys-root/authorized_keys

  5. 自動バックアップ・スクリプトを実行して、authorized_keysファイルを永続的にします。

    /sbin/auto-backup.sh

次のステップ

Oracle Cloud VMware Solution SDDCのすべてのESXiホストで、タスク1から7を連続して実行します。

確認

その他の学習リソース

docs.oracle.com/learnの他のラボをご覧いただくか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントは、Oracle Help Centerを参照してください。