Vytvoření připojení SSH k virtuálnímu počítači s Linuxem pomocí služby Azure Bastion

  • Článek

V tomto článku se dozvíte, jak bezpečně a bezproblémově vytvořit připojení SSH k virtuálním počítačům s Linuxem umístěným ve virtuální síti Azure přímo prostřednictvím webu Azure Portal. Pokud používáte Azure Bastion, vaše virtuální počítače nevyžadují klienta, agenta ani další software.

Azure Bastion poskytuje zabezpečené připojení ke všem virtuálním počítačům ve virtuální síti, ve které je zřízená. Použití služby Azure Bastion chrání vaše virtuální počítače před vystavením portů RDP/SSH vnějšímu světu a přitom zajišťuje zabezpečený přístup pomocí protokolu RDP/SSH. Další informace najdete v článku Co je Azure Bastion?

Při připojování k virtuálnímu počítači s Linuxem pomocí SSH můžete k ověřování použít uživatelské jméno a heslo i klíče SSH. Privátní klíč SSH musí být ve formátu, který začíná "-----BEGIN RSA PRIVATE KEY-----" a končí na "-----END RSA PRIVATE KEY-----".

Požadavky

Ujistěte se, že jste pro virtuální síť, ve které se nachází virtuální počítač, nastavili hostitele služby Azure Bastion. Další informace najdete v tématu Vytvoření hostitele služby Azure Bastion. Jakmile je služba Bastion zřízená a nasazená ve vaší virtuální síti, můžete ji použít k připojení k libovolnému virtuálnímu počítači v této virtuální síti.

Nastavení připojení a funkce, které jsou k dispozici, závisí na skladové poště Bastionu, kterou používáte. Ujistěte se, že vaše nasazení Bastionu používá požadovanou skladovou položku.

  • Informace o dostupných funkcích a nastaveních na úrovni skladové položky najdete v části SKU a funkce v článku přehledu bastionu.
  • Pokud chcete zkontrolovat úroveň skladové položky nasazení Bastionu a v případě potřeby upgradovat, přečtěte si téma Upgrade skladové položky Bastionu.

Požadované role

Aby bylo možné vytvořit připojení, jsou vyžadovány následující role:

  • Role čtenáře na virtuálním počítači.
  • Role čtenáře na síťové kartě s privátní IP adresou virtuálního počítače.
  • Role čtenáře prostředku Azure Bastion.
  • Role čtenáře ve virtuální síti cílového virtuálního počítače (pokud je nasazení Bastionu v partnerské virtuální síti).

Porty

Pokud se chcete připojit k virtuálnímu počítači s Linuxem přes SSH, musíte mít na virtuálním počítači otevřené následující porty:

  • Příchozí port: SSH (22) nebo
  • Příchozí port: Vlastní hodnota (tento vlastní port pak budete muset zadat při připojování k virtuálnímu počítači přes Azure Bastion). Toto nastavení není k dispozici pro skladovou položku Basic nebo Developer.

Stránka připojení bastionu

  1. Na webu Azure Portal přejděte na virtuální počítač, ke kterému se chcete připojit. V horní části stránky Přehled virtuálního počítače vyberte Připojení a pak v rozevíracím seznamu vyberte Připojení přes Bastion. Otevře se stránka Bastion . Přímo v levém podokně můžete přejít na stránku Bastionu.

    Snímek obrazovky se stránkou Přehled virtuálního počítače

  2. Na stránce Bastionu závisí nastavení, které můžete nakonfigurovat, na úrovni skladové položky Bastionu, kterou má váš hostitel bastionu nakonfigurovanou pro použití.

    Snímek obrazovky ukazuje nastavení připojení pro skladové položky vyšší než skladová položka Basic.

    • Pokud používáte skladovou položku vyšší než skladová položka Basic, Připojení hodnoty Nastavení (porty a protokoly) jsou viditelné a je možné je nakonfigurovat.

    • Pokud používáte skladovou položku Basic nebo skladovou položku pro vývojáře, nemůžete nakonfigurovat Připojení hodnoty Nastavení. Místo toho vaše připojení používá následující výchozí nastavení: SSH a port 22.

    • Pokud chcete zobrazit a vybrat dostupný typ ověřování, použijte rozevírací seznam.

  3. V následujících částech tohoto článku můžete nakonfigurovat nastavení ověřování a připojit se k virtuálnímu počítači.

Ověřování Microsoft Entra ID (Preview)

Poznámka:

Podpora ověřování Microsoft Entra ID pro připojení SSH na portálu je ve verzi Preview a aktuálně se zavádí.

Pokud jsou splněny následující požadavky, stane se ID Microsoft Entra výchozí možností pro připojení k virtuálnímu počítači. Pokud ne, id Microsoft Entra se nezobrazí jako možnost.

Požadavky:

  • Na virtuálním počítači by mělo být povolené přihlášení k Microsoft Entra ID. Přihlášení pomocí Microsoft Entra ID je možné povolit při vytváření virtuálního počítače nebo přidáním rozšíření Microsoft Entra ID Login do existujícího virtuálního počítače.

  • Na virtuálním počítači pro uživatele by se měla nakonfigurovat jedna z následujících požadovaných rolí:

    • Virtuální počítač Správa istrator Login: Tato role je nutná, pokud se chcete přihlásit pomocí oprávnění správce.
    • Přihlášení uživatele virtuálního počítače: Tato role je nezbytná, pokud se chcete přihlásit s běžnými uživatelskými oprávněními.

Pomocí následujícího postupu se ověřte pomocí ID Microsoft Entra.

Snímek obrazovky ukazuje typ ověřování jako ID Microsoft Entra.

  1. Pokud chcete provést ověření pomocí ID Microsoft Entra, nakonfigurujte následující nastavení.

    • Připojení ion Nastavení: K dispozici pouze pro skladové položky vyšší než skladová položka Basic.

      • Protokol: Vyberte SSH.
      • Port: Zadejte číslo portu.

    • Typ ověřování: V rozevíracím seznamu vyberte ID Microsoft Entra.

  2. Pokud chcete s virtuálním počítačem pracovat na nové kartě prohlížeče, vyberte Otevřít na nové kartě prohlížeče.

  3. Kliknutím na Připojení se připojte k virtuálnímu počítači.

Ověřování heslem

Pomocí následujícího postupu se ověřte pomocí uživatelského jména a hesla.

Snímek obrazovky znázorňující ověřování heslem

  1. Pokud se chcete ověřit pomocí uživatelského jména a hesla, nakonfigurujte následující nastavení.

    • Připojení ion Nastavení: K dispozici pouze pro skladové položky vyšší než skladová položka Basic.

      • Protokol: Vyberte SSH.
      • Port: Zadejte číslo portu.

    • Typ ověřování: V rozevíracím seznamu vyberte Heslo .

    • Uživatelské jméno: Zadejte uživatelské jméno.

    • Heslo: Zadejte heslo.

  2. Pokud chcete s virtuálním počítačem pracovat na nové kartě prohlížeče, vyberte Otevřít na nové kartě prohlížeče.

  3. Kliknutím na Připojení se připojte k virtuálnímu počítači.

Ověřování heslem – Azure Key Vault

Pomocí následujících kroků se ověřte pomocí hesla ze služby Azure Key Vault.

Snímek obrazovky znázorňující heslo z ověřování ve službě Azure Key Vault

  1. Pokud se chcete ověřit pomocí hesla ze služby Azure Key Vault, nakonfigurujte následující nastavení.

    • Připojení ion Nastavení: K dispozici pouze pro skladové položky vyšší než skladová položka Basic.

      • Protokol: Vyberte SSH.
      • Port: Zadejte číslo portu.

    • Typ ověřování: V rozevíracím seznamu vyberte heslo ze služby Azure Key Vault .

    • Uživatelské jméno: Zadejte uživatelské jméno.

    • Předplatné: Vyberte předplatné.

    • Azure Key Vault: Vyberte službu Key Vault.

    • Tajný klíč služby Azure Key Vault: Vyberte tajný klíč služby Key Vault obsahující hodnotu vašeho privátního klíče SSH.

      • Pokud jste nenastavili prostředek služby Azure Key Vault, přečtěte si téma Vytvoření trezoru klíčů a uložení privátního klíče SSH jako hodnoty nového tajného klíče služby Key Vault.

      • Ujistěte se, že máte seznam a získat přístup k tajným kódům uloženým v prostředku služby Key Vault. Pokud chcete přiřadit a upravit zásady přístupu pro prostředek služby Key Vault, přečtěte si téma Přiřazení zásad přístupu ke službě Key Vault.

      • Privátní klíč SSH uložte ve službě Azure Key Vault jako tajný klíč pomocí Prostředí PowerShellu nebo Azure CLI . Ukládání privátního klíče prostřednictvím portálu Azure Key Vault koliduje s formátováním a vede k neúspěšným přihlášením. Pokud jste privátní klíč uložili jako tajný klíč pomocí prostředí portálu a už nemáte přístup k původnímu souboru privátního klíče, přečtěte si téma Aktualizace klíče SSH pro aktualizaci přístupu k cílovému virtuálnímu počítači pomocí nové dvojice klíčů SSH.

  2. Pokud chcete s virtuálním počítačem pracovat na nové kartě prohlížeče, vyberte Otevřít na nové kartě prohlížeče.

  3. Kliknutím na Připojení se připojte k virtuálnímu počítači.

Ověřování privátního klíče SSH – místní soubor

Pomocí následujícího postupu se můžete ověřit pomocí privátního klíče SSH z místního souboru.

Snímek obrazovky ukazuje privátní klíč z místního ověřování souborů.

  1. Pokud se chcete ověřit pomocí privátního klíče z místního souboru, nakonfigurujte následující nastavení.

    • Připojení ion Nastavení: K dispozici pouze pro skladové položky vyšší než skladová položka Basic.

      • Protokol: Vyberte SSH.
      • Port: Zadejte číslo portu.

    • Typ ověřování: V rozevíracím seznamu vyberte privátní klíč SSH z místního souboru .

    • Uživatelské jméno: Zadejte uživatelské jméno.

    • Místní soubor: Vyberte místní soubor.

    • Heslo SSH: V případě potřeby zadejte heslo SSH.

  2. Pokud chcete s virtuálním počítačem pracovat na nové kartě prohlížeče, vyberte Otevřít na nové kartě prohlížeče.

  3. Kliknutím na Připojení se připojte k virtuálnímu počítači.

Ověřování privátního klíče SSH – Azure Key Vault

Pomocí následujících kroků se ověřte pomocí privátního klíče uloženého ve službě Azure Key Vault.

Snímek obrazovky znázorňující privátní klíč uložený v ověřování ve službě Azure Key Vault

  1. Pokud se chcete ověřit pomocí privátního klíče uloženého ve službě Azure Key Vault, nakonfigurujte následující nastavení. Pro skladovou položku Basic není možné konfigurovat nastavení připojení a místo toho použije výchozí nastavení připojení: SSH a port 22.

    • Připojení ion Nastavení: K dispozici pouze pro skladové položky vyšší než skladová položka Basic.

      • Protokol: Vyberte SSH.
      • Port: Zadejte číslo portu.

    • Typ ověřování: V rozevíracím seznamu vyberte privátní klíč SSH ze služby Azure Key Vault .

    • Uživatelské jméno: Zadejte uživatelské jméno.

    • Předplatné: Vyberte předplatné.

    • Azure Key Vault: Vyberte službu Key Vault.

      • Pokud jste nenastavili prostředek služby Azure Key Vault, přečtěte si téma Vytvoření trezoru klíčů a uložení privátního klíče SSH jako hodnoty nového tajného klíče služby Key Vault.

      • Ujistěte se, že máte seznam a získat přístup k tajným kódům uloženým v prostředku služby Key Vault. Pokud chcete přiřadit a upravit zásady přístupu pro prostředek služby Key Vault, přečtěte si téma Přiřazení zásad přístupu ke službě Key Vault.

      • Privátní klíč SSH uložte ve službě Azure Key Vault jako tajný klíč pomocí Prostředí PowerShellu nebo Azure CLI . Ukládání privátního klíče prostřednictvím portálu Azure Key Vault koliduje s formátováním a vede k neúspěšným přihlášením. Pokud jste privátní klíč uložili jako tajný klíč pomocí prostředí portálu a už nemáte přístup k původnímu souboru privátního klíče, přečtěte si téma Aktualizace klíče SSH pro aktualizaci přístupu k cílovému virtuálnímu počítači pomocí nové dvojice klíčů SSH.

    • Tajný klíč služby Azure Key Vault: Vyberte tajný klíč služby Key Vault obsahující hodnotu vašeho privátního klíče SSH.

  2. Pokud chcete s virtuálním počítačem pracovat na nové kartě prohlížeče, vyberte Otevřít na nové kartě prohlížeče.

  3. Kliknutím na Připojení se připojte k virtuálnímu počítači.

Další kroky

Další informace o službě Azure Bastion najdete v nejčastějších dotazech ke službě Bastion.