Csatlakozás virtuális gépre a Bastion és a Windows natív ügyfele használatával

Ez a cikk segítséget nyújt a virtuális hálózatban lévő virtuális géphez a helyi Windows-számítógépen található natív ügyfél (SSH vagy RDP) használatával. A natív ügyfélfunkció lehetővé teszi a cél virtuális gépekhez való csatlakozást a Bastionon keresztül az Azure CLI használatával, és kibővíti a bejelentkezési lehetőségeket, hogy tartalmazza a helyi SSH-kulcspárt és a Microsoft Entra-azonosítót. A Bastion natív ügyfélkapcsolatokhoz való konfigurálására vonatkozó további információkért és lépésekért lásd : Bastion konfigurálása natív ügyfélkapcsolatokhoz. a natív ügyfélen keresztüli Csatlakozás a Bastion Standard termékváltozatot vagy annál magasabb verziót igényelnek.

Miután konfigurálta a Bastiont a natív ügyféltámogatáshoz, natív Windows-ügyféllel csatlakozhat egy virtuális géphez. A kapcsolódás módja attól függ, hogy melyik ügyfélről csatlakozik, és hogy melyik virtuális géphez csatlakozik. Az alábbi lista néhány elérhető módszert mutat be a Windows natív ügyfélprogramból való csatlakozáshoz. Az elérhető ügyfélkapcsolatokat/szolgáltatáskombinációkat megjelenítő teljes lista Csatlakozás a virtuális gépekre vonatkozóan.

• Csatlakozás windowsos virtuális gépre az az network bastion rdp használatával.
• Csatlakozás linuxos virtuális gépre az az network bastion ssh használatával.
• Csatlakozás egy virtuális gépre az az network bastion tunnel használatával.
• Fájlok feltöltése és letöltése RDP-vel.
• Fájlok feltöltése SSH-ra az az network bastion tunnel használatával.

Előfeltételek

Mielőtt hozzákezdene, ellenőrizze, hogy rendelkezik-e a következő előfeltételekkel:

• A cli-parancsok legújabb verziója (2.32-es vagy újabb verzió) telepítve van. A Bastion parancssori felületét a következővel az extension update --name bastionfrissítheti: . Információk a CLI-parancsok telepítéséről: Az Azure CLI telepítése és Bevezetés az Azure CLI használatába.
• Az Azure Bastion már telepítve van és konfigurálva van a virtuális hálózathoz. A lépésekért lásd : Bastion konfigurálása natív ügyfélkapcsolatokhoz.
• Virtuális gép a virtuális hálózaton.
• A virtuális gép erőforrás-azonosítója. Az erőforrás-azonosító könnyen elhelyezhető az Azure Portalon. Nyissa meg a virtuális gép Áttekintés lapját, és válassza a JSON nézet hivatkozását az erőforrás JSON-fájljának megnyitásához. Másolja a lap tetején található erőforrás-azonosítót a vágólapra, hogy később használhassa a virtuális géphez való csatlakozáskor.
• Ha a Microsoft Entra hitelesítő adataival szeretne bejelentkezni a virtuális gépre, győződjön meg arról, hogy a virtuális gép az alábbi módszerek egyikével van beállítva:
  • A Microsoft Entra bejelentkezésének engedélyezése Windows rendszerű vagy Linux rendszerű virtuális gépekhez.
  • Konfigurálja a Windows rendszerű virtuális gépet úgy, hogy a Microsoft Entra csatlakozik.
  • Konfigurálja a Windows rendszerű virtuális gépet úgy, hogy a Microsoft Entra hibrid csatlakoztatású legyen.

Szerepkörök és portok ellenőrzése

Ellenőrizze, hogy a következő szerepkörök és portok vannak-e konfigurálva a virtuális géphez való csatlakozáshoz.

Kötelező szerepkörök

• Olvasói szerepkör a virtuális gépen.

• Olvasói szerepkör a hálózati adapteren a virtuális gép privát IP-címével.

• Olvasói szerepkör az Azure Bastion-erőforráson.

• Virtuális gép Rendszergazda istrator bejelentkezési vagy virtuálisgép-felhasználói bejelentkezési szerepkör, ha a Microsoft Entra bejelentkezési módszert használja. Ezt csak akkor kell megtennie, ha engedélyezi a Microsoft Entra-bejelentkezést az alábbi cikkekben ismertetett folyamatok használatával:

  • Azure Windows rendszerű virtuális gépek és Microsoft Entra-azonosító
  • Azure Linux rendszerű virtuális gépek és Microsoft Entra-azonosító

Portok

Ha natív ügyféltámogatással szeretne csatlakozni Egy Linux rendszerű virtuális géphez, a következő portokat kell megnyitnia a Linux rendszerű virtuális gépen:

• Bejövő port: SSH (22) vagy
• Bejövő port: Egyéni érték (ezt az egyéni portot kell megadnia, amikor az Azure Bastionon keresztül csatlakozik a virtuális géphez)

Ha natív ügyféltámogatással szeretne csatlakozni egy Windows rendszerű virtuális géphez, a következő portokat kell megnyitnia a Windows rendszerű virtuális gépen:

• Bejövő port: RDP (3389) vagy
• Bejövő port: Egyéni érték (ezt az egyéni portot kell megadnia, amikor az Azure Bastionon keresztül csatlakozik a virtuális géphez)

Az NSG-k Azure Bastionnal való legjobb konfigurálásáról további információt az NSG-hozzáférés és az Azure Bastion használata című témakörben talál.

Csatlakozás virtuális géphez

A következő szakaszokban ismertetett lépések segítenek csatlakozni egy windowsos natív Windows-ügyfélről származó virtuális géphez az az network bastion paranccsal.

RDP windowsos virtuális gépre

Amikor egy felhasználó RDP-n keresztül csatlakozik egy Windows rendszerű virtuális géphez, jogosultságokkal kell rendelkeznie a cél virtuális gépen. Ha a felhasználó nem helyi rendszergazda, vegye fel a felhasználót a cél virtuális gép Távoli asztali felhasználók csoportjába.

1. Jelentkezzen be az Azure-fiókjába a következő használatával az login: . Ha több előfizetéssel rendelkezik, megtekintheti őket, az account list és kiválaszthatja azt az előfizetést, amely a Bastion-erőforrást az account set --subscription "<subscription ID>"tartalmazza.

2. Az RDP-vel való csatlakozáshoz használja az alábbi példát.

   az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>"
   

3. A parancs futtatása után a rendszer kérni fogja, hogy adja meg a hitelesítő adatait. Használhat helyi felhasználónevet és jelszót, vagy a Microsoft Entra hitelesítő adatait. Miután bejelentkezett a cél virtuális gépre, a számítógépen lévő natív ügyfél megnyílik a virtuálisgép-munkamenettel az MSTSC-n keresztül.

   Fontos

   A Microsoft Entra ID-hoz csatlakoztatott virtuális gépek távoli kapcsolata csak a Microsoft Entra által regisztrált Windows 10 vagy újabb számítógépekről engedélyezett (a Windows 10 20H1-től kezdve), a Microsoft Entra-hoz csatlakozik, vagy a Microsoft Entra hibrid csatlakozik a virtuális géptel azonos könyvtárhoz.

Hitelesítési módszer megadása

Opcionálisan megadhatja a hitelesítési módszert is a parancs részeként.

• Microsoft Entra-hitelesítés: A Windows 10 20H2+, Windows 11 21H2+ és Windows Server 2022 verziójához használja a .--enable-mfa További információ: az network bastion rdp – opcionális paraméterek.

Egyéni port megadása

Egyéni portot akkor adhat meg, ha RDP-vel csatlakozik egy Windows rendszerű virtuális géphez.

Az egyik olyan forgatókönyv, amelyben ez különösen hasznos lehet, ha a 22-s porton keresztül csatlakozik egy Windows rendszerű virtuális géphez. Ez az az network bastion ssh-parancs korlátozásának lehetséges megkerülő megoldása, amelyet egy natív Windows-ügyfél nem használhat Windows rendszerű virtuális géphez való csatlakozáshoz.

Egyéni port megadásához adja meg az --resource-port mezőt a bejelentkezési parancsban, ahogy az az alábbi példában is látható.

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>" --resource-port "22"

RDP egy Windows rendszerű virtuális gép IP-címére

Az erőforrás-azonosító helyett a virtuális gép privát IP-címéhez is csatlakozhat. A Microsoft Entra-hitelesítés, valamint az egyéni portok és protokollok nem támogatottak ilyen típusú kapcsolat használatakor. További információ az IP-alapú kapcsolatokról: Csatlakozás virtuális gép ip-címére.

az network bastion A parancs használatával cserélje le --target-resource-id--target-ip-address és adja meg a megadott IP-címet a virtuális géphez való csatlakozáshoz.

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>"

SSH Linux rendszerű virtuális gépre

1. Jelentkezzen be az Azure-fiókjába a következő használatával az login: . Ha több előfizetéssel rendelkezik, megtekintheti őket, az account list és kiválaszthatja azt az előfizetést, amely a Bastion-erőforrást az account set --subscription "<subscription ID>"tartalmazza.

2. Jelentkezzen be a cél Linux rendszerű virtuális gépre az alábbi példabeállítások egyikével. Ha egyéni portértéket szeretne megadni, adja meg a --resource-port mezőt a bejelentkezési parancsban.

   Microsoft Entra-azonosító:

   Ha bejelentkezik egy Microsoft Entra bejelentkezéssel kompatibilis virtuális gépre, használja az alábbi parancsot. További információ: Azure Linux rendszerű virtuális gépek és Microsoft Entra-azonosító.

   az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "AAD"
   

   SSH-kulcspár:

   A bővítmény a következő futtatásával telepíthető: az extension add --name ssh. Ha SSH-kulcspár használatával szeretne bejelentkezni, használja az alábbi példát.

   az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"
   

   Felhasználónév/jelszó:

   Ha helyi felhasználónévvel és jelszóval jelentkezik be, használja az alábbi parancsot. Ezután a rendszer kérni fogja a cél virtuális gép jelszavát.

   az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "password" --username "<Username>"
   

3. Miután bejelentkezett a cél virtuális gépre, a számítógépen lévő natív ügyfél megnyílik a virtuálisgép-munkamenettel az SSH CLI-bővítmény (az ssh) használatával.

SSH linuxos virtuális gép IP-címére

Az erőforrás-azonosító helyett a virtuális gép privát IP-címéhez is csatlakozhat. A Microsoft Entra-hitelesítés, valamint az egyéni portok és protokollok nem támogatottak ilyen típusú kapcsolat használatakor. További információ az IP-alapú kapcsolatokról: Csatlakozás virtuális gép ip-címére.

az network bastion A parancs használatával cserélje le --target-resource-id--target-ip-address és adja meg a megadott IP-címet a virtuális géphez való csatlakozáshoz.

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"

Csatlakozás virtuális gépre – alagútparancs

Az az network bastion tunnel parancs egy másik módszer, amellyel csatlakozhat a virtuális gépekhez. Ha ezt a parancsot használja, a következőket teheti:

• Csatlakozás natív ügyfelektől, nem Windows rendszerű helyi számítógépeken. (Például linuxos számítógép.)
• Csatlakozás egy virtuális gépre SSH vagy RDP használatával. (A megerősített alagút nem továbbít webkiszolgálókat vagy gazdagépeket.)
• Használja a választott natív ügyfelet.
• Fájlok feltöltése a cél virtuális gépre a helyi számítógépről. A parancs jelenleg nem támogatja a fájlletöltést a cél virtuális gépről a helyi ügyfélre.

Korlátozások:

• Ezzel a funkcióval nem lehet bejelentkezni az Azure Key Vaultban tárolt SSH titkos kulcs használatával. Mielőtt SSH-kulcspár használatával jelentkezik be Linux rendszerű virtuális gépére, töltse le a titkos kulcsot a helyi gépen található fájlba.
• Ez a funkció a Cloud Shellben nem támogatott.

Lépések:

1. Jelentkezzen be az Azure-fiókjába a következő használatával az login: . Ha több előfizetéssel rendelkezik, megtekintheti őket, az account list és kiválaszthatja azt az előfizetést, amely a Bastion-erőforrást az account set --subscription "<subscription ID>"tartalmazza.

2. Nyissa meg az alagutat a cél virtuális gép felé.

   az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"
   

3. Csatlakozás a cél virtuális gépre az SSH vagy RDP használatával, a választott natív ügyféllel és az előző lépésben megadott helyi gépporttal.

   A következő parancsot például akkor használhatja, ha az OpenSSH-ügyfél telepítve van a helyi számítógépen:

   ssh <username>@127.0.0.1 -p <LocalMachinePort>
   

Alagút egy virtuális gép IP-címéhez

Az erőforrás-azonosító helyett a virtuális gép privát IP-címéhez is csatlakozhat. A Microsoft Entra-hitelesítés, valamint az egyéni portok és protokollok nem támogatottak ilyen típusú kapcsolat használatakor. További információ az IP-alapú kapcsolatokról: Csatlakozás virtuális gép ip-címére.

az network bastion tunnel A parancs használatával cserélje le --target-resource-id--target-ip-address és adja meg a megadott IP-címet a virtuális géphez való csatlakozáshoz.

az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"

Többkapcsolatos alagút

1. Adja hozzá a következőket a $HOME.ssh\config fájlhoz.

   Host tunneltunnel
     HostName 127.0.0.1
     Port 2222
     User mylogin
     StrictHostKeyChecking=No
     UserKnownHostsFile=\\.\NUL
   

2. Adja hozzá az alagútkapcsolatot a létrehozott alagútkapcsolathoz.

   az network bastion tunnel --name mybastion --resource-group myrg --target-resource-id /subscriptions/<mysubscription>/resourceGroups/myrg/providers/Microsoft.Compute/virtualMachines/myvm --resource-port 22 --port 22
   

3. Hozzon létre egy ssh-alagutat a megerősített alagútban.

   ssh -L 2222:127.0.0.1:22 mylogin@127.0.0.1
   

4. A VS Code használatával csatlakozzon az alagútkapcsolathoz.

Következő lépések

Fájlok feltöltése vagy letöltése