Creación de una conexión SSH a una máquina virtual Linux mediante Azure Bastion

  • Artículo
  • Tiempo de lectura: 5 minutos

En este artículo se muestra cómo crear de forma segura y sin problemas una conexión SSH a las máquinas virtuales Linux ubicadas en una red virtual de Azure directamente desde Azure Portal. Cuando se usa Azure Bastion, las máquinas virtuales no necesitan un cliente, un agente o software adicional. También se puede conectar a una máquina virtual Linux mediante RDP. Para obtener información, vea Creación de una conexión RDP a una máquina virtual Linux.

Azure Bastion proporciona conectividad segura a todas las máquinas virtuales de la red virtual en la que se aprovisiona. El uso de Azure Bastion protege las máquinas virtuales frente a la exposición de los puertos de RDP/SSH al mundo exterior, al tiempo que ofrece acceso seguro mediante RDP/SSH. Para obtener más información, vea ¿Qué es Azure Bastion?

Al conectarse a una máquina virtual Linux mediante SSH, puede usar el nombre de usuario y la contraseña, y las claves SSH para la autenticación. Puede conectarse a la máquina virtual con claves SSH mediante una de estas opciones:

  • Una clave privada que se escribe manualmente.
  • Un archivo que contiene la información de la clave privada.

La clave privada SSH debe tener un formato que empieza con "-----BEGIN RSA PRIVATE KEY-----" y finaliza con "-----END RSA PRIVATE KEY-----".

Prerrequisitos

Asegúrese de haber configurado un host de Azure Bastion para la red virtual donde reside la máquina virtual. Para más información, consulte Create an Azure Bastion host (Creación de un host de Azure Bastion). Cuando el servicio Bastion se aprovisiona e implementa en la red virtual, puede usarlo para conectarse a cualquier máquina virtual de esta red virtual.

Roles necesarios

Para crear una conexión, se requieren los siguientes roles:

  • Rol de lector en la máquina virtual
  • Rol de lector en la tarjeta de interfaz de red con la dirección IP privada de la máquina virtual
  • Rol de lector en el recurso de Azure Bastion

Puertos

Para conectarse a la máquina virtual Linux mediante SSH, debe tener abiertos los siguientes puertos en la máquina virtual:

  • Puerto de entrada: SSH (22) o

  • Puerto de entrada: valor personalizado (tendrá que especificar este puerto personalizado al conectarse a la máquina virtual por medio de Azure Bastion)

    Nota

    Si quiere especificar un valor de puerto personalizado, Azure Bastion se debe configurar mediante la SKU estándar. La SKU básica no permite especificar puertos personalizados.

Conexión: mediante un nombre de usuario y una contraseña

  1. Abra Azure Portal. Vaya a la máquina virtual a la que quiere conectarse y, a continuación, haga clic en Conectar y seleccione Bastion en la lista desplegable.

    Screenshot shows the overview for a virtual machine in Azure portal with Connect selected

  2. Después de seleccionar Bastion, haga clic en Usar Bastion. Si no aprovisionó Bastion para la red virtual, consulte Configure Bastion (Configuración de Bastion).

  3. En la página Conectar mediante Azure Bastion, especifique los valores pertinentes en Nombre de usuario y Contraseña.

    Screenshot shows Password authentication.

  4. Seleccione Conectar para conectarse a la máquina virtual.

Conexión: con una clave privada escrita

  1. Abra Azure Portal. Vaya a la máquina virtual a la que quiere conectarse y, a continuación, haga clic en Conectar y seleccione Bastion en la lista desplegable.

    Screenshot of the overview for a virtual machine in Azure portal with Connect selected.

  2. Después de seleccionar Bastion, haga clic en Usar Bastion. Si no aprovisionó Bastion para la red virtual, consulte Configure Bastion (Configuración de Bastion).

  3. En la página Conectar mediante Azure Bastion, especifique los valores pertinentes en Nombre de usuario y Clave privada SSH.

    Screenshot of SSH Private Key authentication.

  4. Escriba la clave privada en el área de texto Clave privada SSH (o péguela directamente).

  5. Seleccione Conectar para conectarse a la máquina virtual.

Conexión: con un archivo de clave privada

  1. Abra Azure Portal. Vaya a la máquina virtual a la que quiere conectarse y, a continuación, haga clic en Conectar y seleccione Bastion en la lista desplegable.

    Screenshot depicts the overview for a virtual machine in Azure portal with Connect selected.

  2. Después de seleccionar Bastion, haga clic en Usar Bastion. Si no aprovisionó Bastion para la red virtual, consulte Configure Bastion (Configuración de Bastion).

  3. En la página Conectar mediante Azure Bastion, especifique los valores pertinentes en Nombre de usuario y Clave privada SSH del archivo local.

    Screenshot depicts SSH Private Key file.

  4. Busque el archivo y, luego, seleccione Abrir.

  5. Seleccione Conectar para conectarse a la máquina virtual. Al hacer clic en Connect (Conectar), la conexión SSH con esta máquina virtual se abrirá directamente en Azure Portal. Esta conexión se realiza a través de HTML5 mediante el puerto 443 en el servicio Bastion a través de la dirección IP privada de la máquina virtual.

Conexión: Uso de una clave privada almacenada en Azure Key Vault

  1. Abra Azure Portal. Vaya a la máquina virtual a la que quiere conectarse y, a continuación, haga clic en Conectar y seleccione Bastion en la lista desplegable.

    Screenshot showing the overview for a virtual machine in Azure portal with Connect selected

  2. Después de seleccionar Bastion, haga clic en Usar Bastion. Si no aprovisionó Bastion para la red virtual, consulte Configure Bastion (Configuración de Bastion).

  3. En la página Conectar mediante Azure Bastion, especifique el valor pertinente en Nombre de usuario y seleccione Clave privada SSH de Azure Key Vault.

    Screenshot showing SSH Private Key from Azure Key Vault.

  4. Seleccione la lista desplegable Azure Key Vault y elija el recurso en el que ha almacenado la clave privada SSH.

    • Si no ha configurado un recurso de Azure Key Vault, consulte Creación de un almacén de claves y almacene la clave privada SSH como el valor de un nuevo secreto de Key Vault.

    • Asegúrese de que tiene los permisos de acceso Enumerar y Obtener para los secretos almacenados en el recurso de Key Vault. Para asignar y modificar directivas de acceso para el recurso de Key Vault, consulte Asignación de una directiva de acceso de Key Vault.

      Nota

      Almacene la clave privada SSH como un secreto en Azure Key Vault mediante la experiencia de PowerShell o de la CLI de Azure. El almacenamiento de la clave privada mediante la experiencia del portal de Azure Key Vault interferirá con el formato y provocará un inicio de sesión incorrecto. Si ha guardado la clave privada como un secreto mediante la experiencia del portal y ya no tiene acceso al archivo de clave privada original, consulte Actualización de la clave SSH para actualizar el acceso a la máquina virtual de destino con un nuevo par de claves SSH.

    Screenshot showing Azure Key Vault.

  5. Seleccione la lista desplegable Azure Key Vault Secret (Secreto de Azure Key Vault) y elija el secreto de Key Vault que contiene el valor de la clave privada SSH.

  6. Seleccione Conectar para conectarse a la máquina virtual. Al hacer clic en Conectar, la conexión SSH con esta máquina virtual se abrirá directamente en Azure Portal. Esta conexión se realiza a través de HTML5 mediante el puerto 443 en el servicio Bastion a través de la dirección IP privada de la máquina virtual.

Pasos siguientes

Para más información sobre Azure Bastion, consulte las preguntas frecuentes sobre Bastion.