Creación de una conexión SSH a una máquina virtual Linux mediante Azure Bastion

En este artículo se muestra cómo crear de forma segura y sin problemas una conexión SSH a las máquinas virtuales Linux ubicadas en una red virtual de Azure directamente desde Azure Portal. Cuando se usa Azure Bastion, las máquinas virtuales no necesitan un cliente, un agente o software adicional.

Azure Bastion proporciona conectividad segura a todas las máquinas virtuales de la red virtual en la que se aprovisiona. El uso de Azure Bastion protege las máquinas virtuales frente a la exposición de los puertos de RDP/SSH al mundo exterior, al tiempo que ofrece acceso seguro mediante RDP/SSH. Para más información, consulte el artículo ¿Qué es Azure Bastion?.

Al conectarse a una máquina virtual Linux mediante SSH, puede usar el nombre de usuario y la contraseña, y las claves SSH para la autenticación. La clave privada SSH debe tener un formato que empieza con "-----BEGIN RSA PRIVATE KEY-----" y finaliza con "-----END RSA PRIVATE KEY-----".

Prerrequisitos

Asegúrese de haber configurado un host de Azure Bastion para la red virtual donde reside la máquina virtual. Para más información, consulte Create an Azure Bastion host (Creación de un host de Azure Bastion). Cuando el servicio Bastion se aprovisiona e implementa en la red virtual, puede usarlo para conectarse a cualquier máquina virtual de esta red virtual.

La configuración de conexión y las características disponibles dependen de la SKU de Bastion que esté usando. Asegúrese de que la implementación de Bastion usa la SKU necesaria.

• Para ver las características y la configuración disponibles por nivel de SKU, consulte la sección SKU y características del artículo de información general de Bastion.
• Para comprobar el nivel de SKU de la implementación de Bastion y actualizar si es necesario, consulte Actualizar una SKU de Bastion.

Roles necesarios

Para crear una conexión, se requieren los siguientes roles:

• Rol Lector en la máquina virtual.
• Rol de lector en la tarjeta de interfaz de red con la dirección IP privada de la máquina virtual.
• Rol Lector en el recurso de Azure Bastion.
• Rol Lector en la red virtual de la máquina virtual de destino (si la implementación de Bastion está en una red virtual emparejada).

Puertos

Para conectarse a la máquina virtual Linux mediante SSH, debe tener abiertos los siguientes puertos en la máquina virtual:

• Puerto de entrada: SSH (22) o
• Puerto de entrada: valor personalizado (tiene que especificar este puerto personalizado al conectarse a la máquina virtual por medio de Azure Bastion). Esta configuración no está disponible para la SKU básica o para desarrolladores.

Página de conexión de Bastion

1. En Azure Portal, vaya a la máquina virtual a la que desea conectarse. En la parte superior de la página Información general de la máquina virtual, seleccione Conectar, y a continuación, seleccione Conectar a través de Bastion en la lista desplegable. Se abrirá la página Bastion. Puede ir a la página Bastión directamente en el panel izquierdo.

   

2. En la página Bastion, los valores que puede configurar dependen del nivel de SKU de Bastion que se haya configurado para usar su host bastion.

   

   • Si usa una SKU superior a la SKU básica, los valoresConfiguración de conexión (puertos y protocolos) están visibles y se pueden configurar.

   • Si usa la SKU básica o la SKU para desarrolladores, no puede configurar los valores Configuración de conexión. En su lugar, la conexión usa la siguiente configuración predeterminada: SSH y el puerto 22.

   • Para ver y seleccionar un tipo de autenticación disponible, use la lista desplegable.

3. Use las secciones siguientes de este artículo para configurar los valores de autenticación y conectarse a la máquina virtual.

   • Autenticación de Microsoft Entra ID
   • Nombre de usuario y contraseña
   • Contraseña - Azure Key Vault
   • Clave privada SSH del archivo local
   • Clave privada SSH: Azure Key Vault

Autenticación de Microsoft Entra ID (versión preliminar)

Nota:

La compatibilidad de autenticación de Microsoft Entra ID con conexiones SSH en el portal está en versión preliminar y se está implementando actualmente.

Si se cumplen los siguientes requisitos previos, Microsoft Entra ID se convierte en la opción predeterminada para conectarse a la máquina virtual. Si no es así, Microsoft Entra ID no aparecerá como una opción.

Requisitos previos:

• El inicio de sesión de Microsoft Entra ID debe estar habilitado en la máquina virtual. El inicio de sesión de Microsoft Entra ID se puede habilitar durante la creación de la máquina virtual o agregando el Inicio de sesión de Microsoft Entra ID extensión a una máquina virtual existente.

• Uno de los siguientes roles necesarios debe configurarse en la máquina virtual para el usuario:

  • Inicio de sesión de administrador de máquina virtual: este rol es necesario si desea iniciar sesión con privilegios de administrador.
  • Inicio de sesión de usuario de máquina virtual: este rol es necesario si desea iniciar sesión con privilegios de usuario normales.

Siga estos pasos para autenticarse mediante Microsoft Entra ID.

1. Para autenticarse mediante Microsoft Entra ID, configure las opciones siguientes.

   • Configuración de conexión: solo está disponible para las SKU superiores a la SKU básica.

     • Protocolo: seleccione SSH.
     • Puerto: especifique el número de puerto.

   • Tipo de autenticación: seleccione Microsoft Entra ID en el menú desplegable.

2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de contraseña

Siga estos pasos para autenticarse mediante el nombre de usuario y la contraseña.

1. Para autenticarse mediante un nombre de usuario y una contraseña, configure los siguientes valores.

   • Configuración de conexión: solo está disponible para las SKU superiores a la SKU básica.

     • Protocolo: seleccione SSH.
     • Puerto: especifique el número de puerto.

   • Tipo de autenticación: seleccione contraseña en la lista desplegable.

   • Nombre de usuario: introduzca el nombre de usuario.

   • Contraseña: escriba la contraseña.

2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de contraseña: Azure Key Vault

Siga estos pasos para autenticarse mediante una contraseña de Azure Key Vault.

1. Para autenticarse mediante una contraseña de Azure Key Vault, configure los siguientes valores.

   • Configuración de conexión: solo está disponible para las SKU superiores a la SKU básica.

     • Protocolo: seleccione SSH.
     • Puerto: especifique el número de puerto.

   • Tipo de autenticación: seleccione Contraseña de Azure Key Vault en la lista desplegable.

   • Nombre de usuario: introduzca el nombre de usuario.

   • Suscripción: seleccione la suscripción.

   • Azure Key Vault: seleccione el Key Vault.

   • Secreto de Azure Key Vault: seleccione el secreto de Key Vault que contiene el valor de la clave privada SSH.

     • Si no ha configurado un recurso de Azure Key Vault, consulte Creación de un almacén de claves y almacene la clave privada SSH como el valor de un nuevo secreto de Key Vault.

     • Asegúrese de que tiene los permisos de acceso Enumerar y Obtener para los secretos almacenados en el recurso de Key Vault. Para asignar y modificar directivas de acceso para el recurso de Key Vault, consulte Asignación de una directiva de acceso de Key Vault.

     • Almacene la clave privada SSH como un secreto en Azure Key Vault mediante la experiencia de PowerShell o CLI de Azure. El almacenamiento de la clave privada a través de la experiencia del portal de Azure Key Vault interfiere con el formato y da lugar a un inicio de sesión incorrecto. Si ha guardado la clave privada como un secreto mediante la experiencia del portal y ya no tiene acceso al archivo de clave privada original, consulte Actualización de la clave SSH para actualizar el acceso a la máquina virtual de destino con un nuevo par de claves SSH.

2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de clave privada SSH: archivo local

Siga estos pasos para autenticarse mediante una clave privada SSH desde un archivo local.

1. Para autenticarse mediante una clave privada de un archivo local, configure los siguientes valores.

   • Configuración de conexión: solo está disponible para las SKU superiores a la SKU básica.

     • Protocolo: seleccione SSH.
     • Puerto: especifique el número de puerto.

   • Tipo de autenticación: seleccione Clave privada SSH del archivo local en la lista desplegable.

   • Nombre de usuario: introduzca el nombre de usuario.

   • Archivo local: seleccione el archivo local.

   • Frase de contraseña SSH: introduzca la frase de contraseña SSH si es necesario.

2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de clave privada SSH: Azure Key Vault

Siga estos pasos para autenticarse mediante una clave privada almacenada en Azure Key Vault.

1. Para autenticarse mediante una clave privada almacenada en Azure Key Vault, configure los siguientes valores. En el caso de la SKU Básica, la configuración de conexión no se puede configurar y, en su lugar, usará la configuración de conexión predeterminada: SSH y el puerto 22.

   • Configuración de conexión: solo está disponible para las SKU superiores a la SKU básica.

     • Protocolo: seleccione SSH.
     • Puerto: especifique el número de puerto.

   • Tipo de autenticación: seleccione Clave privada SSH en Azure Key Vault en la lista desplegable.

   • Nombre de usuario: introduzca el nombre de usuario.

   • Suscripción: seleccione la suscripción.

   • Azure Key Vault: seleccione el Key Vault.

     • Si no ha configurado un recurso de Azure Key Vault, consulte Creación de un almacén de claves y almacene la clave privada SSH como el valor de un nuevo secreto de Key Vault.

     • Asegúrese de que tiene los permisos de acceso Enumerar y Obtener para los secretos almacenados en el recurso de Key Vault. Para asignar y modificar directivas de acceso para el recurso de Key Vault, consulte Asignación de una directiva de acceso de Key Vault.

     • Almacene la clave privada SSH como un secreto en Azure Key Vault mediante la experiencia de PowerShell o CLI de Azure. El almacenamiento de la clave privada a través de la experiencia del portal de Azure Key Vault interfiere con el formato y da lugar a un inicio de sesión incorrecto. Si ha guardado la clave privada como un secreto mediante la experiencia del portal y ya no tiene acceso al archivo de clave privada original, consulte Actualización de la clave SSH para actualizar el acceso a la máquina virtual de destino con un nuevo par de claves SSH.

   • Secreto de Azure Key Vault: seleccione el secreto de Key Vault que contiene el valor de la clave privada SSH.

2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Pasos siguientes

Para más información sobre Azure Bastion, consulte las preguntas frecuentes sobre Bastion.