ContainerLab中SR Linux节点SSH公钥认证配置问题解析

在ContainerLab网络仿真环境中使用SR Linux节点时，版本差异会导致SSH公钥认证配置出现兼容性问题。本文将深入分析该问题的技术背景、产生原因及解决方案。

问题现象

当使用SR Linux 23.7及更早版本时，虽然用户主目录存在.ssh/authorized_keys文件，但该配置不会自动生效。具体表现为：

1. 授权密钥文件未正确挂载到容器内部
2. 传统绑定挂载方式在最新ContainerLab版本中已被移除
3. 仅SR Linux 23.10+版本支持通过CLI配置密钥

技术背景

SR Linux节点的SSH认证涉及两个层面：

1. Linux系统层：通过linuxadmin用户访问底层Linux系统
2. CLI应用层：通过admin用户访问网络设备CLI

在23.10版本之前，SR Linux的YANG模型虽然包含密钥配置路径，但实际功能未完全实现。ContainerLab为保持兼容性，早期版本采用直接挂载密钥文件到容器文件系统的方式。

解决方案

方案一：升级SR Linux版本

推荐将节点升级至23.10或更高版本，该版本正式支持通过以下配置方式管理密钥：

system {
    aaa {
        authentication {
            user admin {
                ssh-key "..."
            }
            user linuxadmin {
                ssh-key "..."
            }
        }
    }
}

方案二：降级ContainerLab版本

使用ContainerLab v0.51或更早版本，这些版本仍保留传统的文件挂载机制。

方案三：手动配置（兼容方案）

在拓扑文件中添加以下配置，手动完成密钥部署：

binds:
  - ~/.ssh/authorized_keys:/authorized_keys:ro
exec:
  - mkdir -p /home/admin/.ssh
  - cp /authorized_keys /home/admin/.ssh/
  - chown -R admin:ntwkadmin /home/admin/.ssh
  - chmod 600 /home/admin/.ssh/authorized_keys
  - mkdir -p /home/linuxadmin/.ssh
  - cp /authorized_keys /home/linuxadmin/.ssh/
  - chown -R linuxadmin:linuxadmin /home/linuxadmin/.ssh
  - chmod 600 /home/linuxadmin/.ssh/authorized_keys
  - cp /authorized_keys /root/.ssh/
  - chown -R root:root /root/.ssh
  - chmod 600 /root/.ssh/authorized_keys

最佳实践建议

1. 生产环境建议统一使用SR Linux 23.10+版本
2. 测试环境如需使用旧版本，建议采用方案三的兼容配置
3. 定期检查ContainerLab和SR Linux的版本兼容性矩阵
4. 密钥文件权限应严格设置为600，目录权限为700

通过理解这些技术细节，用户可以更灵活地在不同版本环境中配置SSH公钥认证，确保网络设备的安全访问。