Nutanix CE の CVM / AHV に、SSH 鍵認証でログインしてみます。今回もバージョンは ce-2018.05.01-stable です。
ログイン元は、Linux の踏み台サーバを想定しています。
SSH 鍵の生成
まず、SSH で利用するために鍵ファイルのペアを生成します。
[gowatana@infra-jbox-01 ~]$ cat /etc/oracle-release Oracle Linux Server release 7.5 [gowatana@infra-jbox-01 ~]$ ssh-keygen -t rsa -P '' -f ntnx-lockdown
ファイルができました。
[gowatana@infra-jbox-01 ~]$ ls -l ntnx-lockdown* -rw------- 1 gowatana ldap-users 1679 12月 19 23:24 ntnx-lockdown -rw-r--r-- 1 gowatana ldap-users 404 12月 19 23:24 ntnx-lockdown.pub
Prism で SSH 鍵を登録
生成した鍵のうち、公開鍵(.pub)の方を Prism で登録します。
「クラスタ ロックダウン」から登録します。
(ただし、今回はロックダウンまではしません)
「新規公開鍵」をクリックします。
登録する名前を入力して、公開鍵をはりつけて保存します。
公開鍵が登録されました。
今回は、「パスワードによるリモートログインを有効」が ON のままなので、SSH 秘密鍵を指定しなければ、パスワードでのログインもできます。
踏み台から SSH 鍵認証でログイン(CVM / AHV)
確認のため、CVM / AHV に SSH でログインして、ホスト名を確認するコマンド(uname -n)を実行してみます。
まず、クラスタ VIP アドレス宛で Prism に SSH でログインしてみると、パスワード入力なしで CVM にログインできました。
- ログインするユーザは nutanix です。
- 「-i」で秘密鍵ファイルを指定しています。
- fingerprint の確認が出ますが、一度 yes で応答するか、「-o StrictHostKeyChecking=no」オプションなどで回避できます。
[gowatana@infra-jbox-01 ~]$ ssh -i ntnx-lockdown nutanix@ntnx-n-10.go-lab.jp The authenticity of host 'ntnx-n-10.go-lab.jp (192.168.20.20)' can't be established. ECDSA key fingerprint is SHA256:AUr31iJ7bNmyyZ8Tr5p/s7lLtRIJR+OWeFCdpbwNc6U. ECDSA key fingerprint is MD5:94:81:32:ed:20:13:96:d1:c9:67:0d:cc:5a:2a:f3:b1. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'ntnx-n-10.go-lab.jp' (ECDSA) to the list of known hosts. Nutanix Controller VM Last login: Wed Dec 19 13:11:42 2018 nutanix@NTNX-01a8888b-A-CVM:192.168.20.31:~$ nutanix@NTNX-01a8888b-A-CVM:192.168.20.31:~$ uname -n ntnx-01a8888b-a-cvm
CVM のリアル アドレス直接(VIP のアドレスでなく)でも、鍵認証でログインできます。
[gowatana@infra-jbox-01 ~]$ ssh -i ntnx-lockdown nutanix@ntnx-n-11-cvm.go-lab.jp uname -n Nutanix Controller VM ntnx-01a8888b-a-cvm
AHV にも、鍵認証で SSH ログインできました。
- AHV には root ユーザでログインします。
- 以前にSSHログインしていたので、fingerprint の警告はでていません。
[gowatana@infra-jbox-01 ~]$ ssh -i ntnx-lockdown root@ntnx-n-11-ahv.go-lab.jp uname -n NTNX-01a8888b-A
以上。
