Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

SSH를 사용하여 클러스터에 액세스합니다

기여자

클러스터에 SSH 요청을 실행하여 관리 작업을 수행할 수 있습니다. SSH는 기본적으로 사용하도록 설정됩니다.

필요한 것
  • 'sh'를 액세스 방법으로 사용하도록 구성된 사용자 계정이 있어야 합니다.

    를 클릭합니다 -application 의 매개 변수입니다 security login 명령은 사용자 계정에 대한 액세스 방법을 지정합니다. 를 클릭합니다 security login "Man 페이지" 추가 정보를 포함합니다.

  • AD(Active Directory) 도메인 사용자 계정을 사용하여 클러스터에 액세스하는 경우 CIFS 지원 스토리지 VM을 통해 클러스터에 대한 인증 터널을 설정해야 하며 AD 도메인 사용자 계정도 를 사용하여 클러스터에 추가되어야 합니다 ssh 액세스 방법 및 로 domain 인증 방법으로 사용합니다.

  • IPv6 연결을 사용하는 경우 IPv6가 이미 클러스터에서 구성 및 활성화되어 있어야 하며, 방화벽 정책이 이미 IPv6 주소로 구성되어 있어야 합니다.

    network options ipv6 show 명령을 실행하면 IPv6의 활성화 여부가 표시됩니다. 'system services firewall policy show' 명령은 방화벽 정책을 표시합니다.

이 작업에 대해
  • OpenSSH 5.7 이상 클라이언트를 사용해야 합니다.

  • SSH v2 프로토콜만 지원되며 SSH v1은 지원되지 않습니다.

  • ONTAP는 노드당 최대 64개의 동시 SSH 세션을 지원합니다.

    클러스터 관리 LIF가 노드에 상주하는 경우 이 제한을 노드 관리 LIF와 공유합니다.

    들어오는 연결의 비율이 초당 10보다 높을 경우 서비스가 60초 동안 일시적으로 비활성화됩니다.

  • ONTAP는 SSH에 대해 AES 및 3DES 암호화 알고리즘(_ciphers _ 라고도 함)만 지원합니다.

    AES는 키 길이가 128, 192 및 256비트인 경우 지원됩니다. 3DES는 원래 DES와 마찬가지로 키 길이가 56비트이지만 세 번 반복됩니다.

  • FIPS 모드가 켜져 있는 경우 SSH 클라이언트는 연결이 성공할 수 있도록 Elliptic Curve Digital Signature Algorithm(ECDSA) 공개 키 알고리즘과 협상해야 합니다.

  • Windows 호스트에서 ONTAP CLI에 액세스하려는 경우 PuTTY와 같은 타사 유틸리티를 사용할 수 있습니다.

  • Windows AD 사용자 이름을 사용하여 ONTAP에 로그인하는 경우 ONTAP에서 AD 사용자 이름과 도메인 이름을 만들 때 사용한 대문자나 소문자를 동일하게 사용해야 합니다.

    AD 사용자 이름과 도메인 이름은 대소문자를 구분하지 않습니다. 그러나 ONTAP 사용자 이름은 대/소문자를 구분합니다. ONTAP에서 생성된 사용자 이름과 AD에서 생성된 사용자 이름 간의 케이스 불일치로 인해 로그인 오류가 발생합니다.

SSH 인증 옵션
  • ONTAP 9.3부터 가능합니다 "SSH 다단계 인증 지원" 로컬 관리자 계정의 경우.

    SSH 다단계 인증을 사용하면 공개 키와 암호를 사용하여 사용자를 인증할 수 있습니다.

  • ONTAP 9.4부터 가능합니다 "SSH 다단계 인증 지원" LDAP 및 NIS 원격 사용자의 경우

  • ONTAP 9.13.1 부터는 선택적으로 SSH 인증 프로세스에 인증서 유효성 검사를 추가하여 로그인 보안을 강화할 수 있습니다. 이렇게 하려면 "X.509 인증서를 공개 키와 연결합니다" 계정이 사용하는 것입니다. SSH 공개 키와 X.509 인증서를 모두 사용하여 SSH에 로그인하는 경우 ONTAP는 SSH 공개 키로 인증하기 전에 X.509 인증서의 유효성을 검사합니다. 인증서가 만료되거나 해지되고 SSH 공개 키가 자동으로 비활성화되면 SSH 로그인이 거부됩니다.

  • ONTAP 9.14.1부터 선택적으로 Cisco Duo 2단계 인증을 SSH 인증 프로세스에 추가하여 로그인 보안을 강화할 수 있습니다. Cisco Duo 인증을 활성화한 후 처음 로그인할 때 사용자는 SSH 세션에 대한 인증자로 사용할 장치를 등록해야 합니다. 을 참조하십시오 "SSH 로그인에 Cisco Duo 2FA를 구성합니다" ONTAP용 Cisco Duo SSH 인증 구성에 대한 자세한 내용은

단계
  1. 관리 호스트에서 'sh' 명령을 다음 형식 중 하나로 입력합니다.

    • '* ssh_username@hostname_or_ip_[command] *'

    • '* ssh-l_username hostname_or_ip_[command] * '

AD 도메인 사용자 계정을 사용하는 경우 'username'을 'domainname\\AD_accountname'(도메인 이름 뒤에 이중 백슬래시를 사용하여) 또는 '"domainname\AD_accountname"'(큰따옴표로 묶고 도메인 이름 뒤에 백슬래시를 하나씩 붙여야 합니다) 형식으로 지정해야 합니다.

'hostname_or_ip'은 클러스터 관리 LIF 또는 노드 관리 LIF의 호스트 이름 또는 IP 주소입니다. 클러스터 관리 LIF를 사용하는 것이 좋습니다. IPv4 또는 IPv6 주소를 사용할 수 있습니다.

SSH-Interactive 세션에는 'command'가 필요하지 않습니다.

SSH 요청의 예

다음 예에서는 사용자 계정 ""Joe""가 클러스터 관리 LIF가 10.72.137.28인 클러스터에 액세스하는 SSH 요청을 발행하는 방법을 보여줍니다.

$ ssh joe@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l joe 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

다음 예에서는 "DOMAIN1" 도메인의 사용자 계정 ""John""이 클러스터 관리 LIF가 10.72.137.28인 클러스터에 액세스하기 위한 SSH 요청을 실행할 수 있는 방법을 보여줍니다.

$ ssh DOMAIN1\\john@10.72.137.28
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.
$ ssh -l "DOMAIN1\john" 10.72.137.28 cluster show
Password:
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.

다음 예에서는 사용자 계정 ""Joe""가 클러스터 관리 LIF가 10.72.137.32인 클러스터에 액세스하는 SSH MFA 요청을 발행하는 방법을 보여줍니다.

$ ssh joe@10.72.137.32
Authenticated with partial success.
Password:
cluster1::> cluster show
Node                  Health  Eligibility
--------------------- ------- ------------
node1                 true    true
node2                 true    true
2 entries were displayed.