Creación de una conexión SSH a una máquina virtual Windows mediante Azure Bastion

  • Artículo

En este artículo se muestra cómo crear de forma segura y sin problemas una conexión SSH a las máquinas virtuales Windows ubicadas en una red virtual de Azure directamente desde Azure Portal. Cuando se usa Azure Bastion, las máquinas virtuales no necesitan un cliente, un agente o software adicional. También puede conectarse a una máquina virtual Windows mediante RDP. Si desea información, consulte Creación de una conexión RDP a una máquina virtual Windows.

Azure Bastion proporciona conectividad segura a todas las máquinas virtuales de la red virtual en la que se aprovisiona. El uso de Azure Bastion protege las máquinas virtuales frente a la exposición de los puertos de RDP/SSH al mundo exterior, al tiempo que ofrece acceso seguro mediante RDP/SSH. Para obtener más información, vea ¿Qué es Azure Bastion?

Nota

Si desea crear una conexión SSH a una máquina virtual Windows, se debe configurar Azure Bastion mediante la SKU estándar.

Al conectarse a una máquina virtual Windows mediante SSH, puede usar el nombre de usuario y la contraseña, y las claves SSH para la autenticación.

La clave privada SSH debe tener un formato que empieza con "-----BEGIN RSA PRIVATE KEY-----" y finaliza con "-----END RSA PRIVATE KEY-----".

Prerrequisitos

Asegúrese de haber configurado un host de Azure Bastion para la red virtual donde reside la máquina virtual. Para más información, consulte Create an Azure Bastion host (Creación de un host de Azure Bastion). Cuando el servicio Bastion se aprovisiona e implementa en la red virtual, puede usarlo para conectarse a cualquier máquina virtual de esta red virtual.

Para conectarse mediante SSH a una máquina virtual Windows, también debe asegurarse de que:

  • La máquina virtual Windows ejecuta Windows Server 2019 o posterior.
  • Tiene instalado el servidor OpenSSH y ejecutándose en la máquina virtual Windows. Para información sobre cómo hacerlo, consulte el artículo sobre la instalación de OpenSSH.
  • Azure Bastion está configurado para utilizar la SKU estándar.

Roles necesarios

Para crear una conexión, se requieren los siguientes roles:

  • Rol de lector en la máquina virtual
  • Rol de lector en la tarjeta de interfaz de red con la dirección IP privada de la máquina virtual
  • Rol de lector en el recurso de Azure Bastion
  • Rol Lector en la red virtual de la máquina virtual de destino (si la implementación de Bastion está en una red virtual emparejada).

Puertos

Para conectarse a la máquina virtual Windows mediante SSH, debe tener abiertos estos puertos en la máquina virtual:

  • Puerto de entrada: SSH (22) o
  • Puerto de entrada: valor personalizado (tiene que especificar este puerto personalizado al conectarse a la máquina virtual por medio de Azure Bastion)

Consulte las Preguntas más frecuentes sobre Azure Bastion para conocer los requisitos adicionales.

Configuraciones admitidas

Actualmente, Azure Bastion solo admite la conexión a máquinas virtuales Windows mediante SSH a través de OpenSSH.

Página de conexión de Bastion

  1. En Azure Portal, vaya a la máquina virtual a la que quiera conectarse. En la página Información general, seleccione Conectar y, luego, seleccione Bastion del menú desplegable para abrir la página de conexión de Bastion. También puede seleccionar Bastion en el panel izquierdo.

    Screenshot shows the overview for a virtual machine in Azure portal with Connect selected.

  2. En la página conexión de Bastion , haga clic en la flecha Configuración de conexión para expandir toda la configuración disponible. Tenga en cuenta que si usa la SKU estándar de Bastion, tiene más opciones de configuración disponibles.

    Screenshot shows connection settings.

  3. Autentíquese y conéctese mediante uno de los métodos de las secciones siguientes.

Nombre de usuario y contraseña

Siga estos pasos para autenticarse mediante el nombre de usuario y la contraseña.

Screenshot shows Password authentication.

  1. Para autenticarse mediante un nombre de usuario y una contraseña, configure las siguientes opciones:

    • Protocolo: seleccione SSH.
    • Puerto: introduzca el número de puerto. Las conexiones de puerto personalizadas están disponibles solo para la SKU estándar.
    • Tipo de autenticación: seleccione contraseña en la lista desplegable.
    • Nombre de usuario: introduzca el nombre de usuario.
    • Contraseña: escriba la contraseña.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Clave privada del archivo local

Siga estos pasos para autenticarse mediante una clave privada SSH desde un archivo local.

Screenshot shows private key from local file authentication.

  1. Para autenticarse mediante una clave privada de un archivo local, configure las siguientes opciones:

    • Protocolo: seleccione SSH.
    • Puerto: introduzca el número de puerto. Las conexiones de puerto personalizadas están disponibles solo para la SKU estándar.
    • Tipo de autenticación: seleccione Clave privada SSH del archivo local en la lista desplegable.
    • Archivo local: seleccione el archivo local.
    • Frase de contraseña SSH: introduzca la frase de contraseña SSH si es necesario.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Contraseña: Azure Key Vault

Siga estos pasos para autenticarse mediante una contraseña de Azure Key Vault.

Screenshot shows password from Azure Key Vault authentication.

  1. Para autenticarse mediante una contraseña de Azure Key Vault, configure las siguientes opciones:

    • Protocolo: seleccione SSH.

    • Puerto: introduzca el número de puerto. Las conexiones de puerto personalizadas están disponibles solo para la SKU estándar.

    • Tipo de autenticación: seleccione Contraseña de Azure Key Vault en la lista desplegable.

    • Nombre de usuario: introduzca el nombre de usuario.

    • Suscripción: seleccione la suscripción.

    • Azure Key Vault: seleccione el Key Vault.

    • Secreto de Azure Key Vault: seleccione el secreto de Key Vault que contiene el valor de la clave privada SSH.

      • Si no ha configurado un recurso de Azure Key Vault, consulte Creación de un almacén de claves y almacene la clave privada SSH como el valor de un nuevo secreto de Key Vault.

      • Asegúrese de que tiene los permisos de acceso Enumerar y Obtener para los secretos almacenados en el recurso de Key Vault. Para asignar y modificar directivas de acceso para el recurso de Key Vault, consulte Asignación de una directiva de acceso de Key Vault.

        Nota

        Almacene la clave privada SSH como un secreto en Azure Key Vault mediante la experiencia de PowerShell o de la CLI de Azure. El almacenamiento de la clave privada mediante la experiencia del portal de Azure Key Vault interferirá con el formato y provocará un inicio de sesión incorrecto. Si ha guardado la clave privada como un secreto mediante la experiencia del portal y ya no tiene acceso al archivo de clave privada original, consulte Actualización de la clave SSH para actualizar el acceso a la máquina virtual de destino con un nuevo par de claves SSH.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Clave privada: Azure Key Vault

Siga estos pasos para autenticarse mediante una clave privada almacenada en Azure Key Vault.

Screenshot shows Private key stored in Azure Key Vault authentication.

  1. Para autenticarse mediante una clave privada almacenada en Azure Key Vault, configure las siguientes opciones:

    • Protocolo: seleccione SSH.

    • Puerto: introduzca el número de puerto. Las conexiones de puerto personalizadas están disponibles solo para la SKU estándar.

    • Tipo de autenticación: seleccione Clave privada SSH en Azure Key Vault en la lista desplegable.

    • Nombre de usuario: introduzca el nombre de usuario.

    • Suscripción: seleccione la suscripción.

    • Azure Key Vault: seleccione el Key Vault.

      • Si no ha configurado un recurso de Azure Key Vault, consulte Creación de un almacén de claves y almacene la clave privada SSH como el valor de un nuevo secreto de Key Vault.

      • Asegúrese de que tiene los permisos de acceso Enumerar y Obtener para los secretos almacenados en el recurso de Key Vault. Para asignar y modificar directivas de acceso para el recurso de Key Vault, consulte Asignación de una directiva de acceso de Key Vault.

        Nota

        Almacene la clave privada SSH como un secreto en Azure Key Vault mediante la experiencia de PowerShell o de la CLI de Azure. El almacenamiento de la clave privada mediante la experiencia del portal de Azure Key Vault interferirá con el formato y provocará un inicio de sesión incorrecto. Si ha guardado la clave privada como un secreto mediante la experiencia del portal y ya no tiene acceso al archivo de clave privada original, consulte Actualización de la clave SSH para actualizar el acceso a la máquina virtual de destino con un nuevo par de claves SSH.

    • Secreto de Azure Key Vault: seleccione el secreto de Key Vault que contiene el valor de la clave privada SSH.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Pasos siguientes

Para más información sobre Azure Bastion, consulte las preguntas frecuentes sobre Bastion.