Creare una connessione SSH a una macchina virtuale Linux usando Azure Bastion

Questo articolo illustra come creare in modo sicuro e senza problemi una connessione SSH alle macchine virtuali Linux che si trovano in una rete virtuale di Azure direttamente tramite il portale di Azure. Quando si usa Azure Bastion, le macchine virtuali non richiedono un client, un agente o un software aggiuntivo.

Azure Bastion offre connettività sicura a tutte le macchine virtuali nella rete virtuale in cui viene effettuato il provisioning. L'utilizzo di Azure Bastion consente di proteggere le macchine virtuali dall'esposizione delle porte RDP/SSH all'esterno, offrendo al tempo stesso l'accesso sicuro tramite RDP/SSH. Per altre informazioni, vedere l'articolo Che cos'è Azure Bastion?

Quando ci si connette a una macchina virtuale Linux tramite SSH, è possibile usare sia il nome utente che la password e le chiavi SSH per l'autenticazione. La chiave privata SSH deve essere in un formato che inizia con "-----BEGIN RSA PRIVATE KEY-----" e termina con "-----END RSA PRIVATE KEY-----".

Prerequisiti

Assicurarsi di aver configurato un host Azure Bastion per la rete virtuale in cui risiede la macchina virtuale. Per altre informazioni, vedere Creare un host Azure Bastion. Dopo aver effettuato il provisioning e la distribuzione del servizio Bastion nella rete virtuale, è possibile usarlo per connettersi a qualsiasi macchina virtuale in questa rete virtuale.

Le impostazioni e le funzionalità di connessione disponibili dipendono dallo SKU Bastion in uso. Assicurarsi che la distribuzione di Bastion usi lo SKU richiesto.

• Per visualizzare le funzionalità e le impostazioni disponibili per livello SKU, vedere la sezione SKU e funzionalità dell'articolo Panoramica di Bastion.
• Per controllare il livello SKU della distribuzione di Bastion e aggiornare, se necessario, vedere Aggiornare uno SKU Bastion.

Ruoli richiesti

Per stabilire una connessione, sono necessari i ruoli seguenti:

• Ruolo Lettore nella macchina virtuale.
• Ruolo Lettore nella scheda di interfaccia di rete con l'indirizzo IP privato della macchina virtuale.
• Ruolo Lettore nella risorsa Azure Bastion.
• Ruolo lettore nella rete virtuale della macchina virtuale di destinazione (se la distribuzione Bastion si trova in una rete virtuale con peering).

Porti

Per connettersi alla macchina virtuale Linux tramite SSH, è necessario che nella macchina virtuale siano aperte le porte seguenti:

• Porta in ingresso: SSH (22) o
• Porta in ingresso: valore personalizzato (sarà quindi necessario specificare questa porta personalizzata quando ci si connette alla macchina virtuale tramite Azure Bastion). Questa impostazione non è disponibile per lo SKU Basic o Developer.

Pagina connessione Bastion

1. Nella portale di Azure passare alla macchina virtuale a cui si vuole connettersi. Nella parte superiore della pagina Panoramica della macchina virtuale selezionare Connessione e quindi selezionare Connessione tramite Bastion nell'elenco a discesa. Verrà aperta la pagina Bastion . È possibile passare alla pagina Bastion direttamente nel riquadro sinistro.

   

2. Nella pagina Bastion le impostazioni che è possibile configurare dipendono dal livello SKU Bastion che l'host bastion è stato configurato per l'uso.

   

   • Se si usa uno SKU superiore allo SKU Basic, Connessione ion Impostazioni valori (porte e protocolli) sono visibili e possono essere configurati.

   • Se si usa lo SKU Basic o lo SKU per sviluppatori, non è possibile configurare Connessione valori Impostazioni. La connessione usa invece le impostazioni predefinite seguenti: SSH e porta 22.

   • Per visualizzare e selezionare un tipo di autenticazione disponibile, usare l'elenco a discesa.

3. Usare le sezioni seguenti in questo articolo per configurare le impostazioni di autenticazione e connettersi alla macchina virtuale.

   • Autenticazione DELL'ID Di Microsoft Entra
   • Nome utente e password
   • Password - Azure Key Vault
   • Chiave privata SSH dal file locale
   • Chiave privata SSH - Azure Key Vault

Autenticazione CON ID Microsoft Entra (anteprima)

Nota

Il supporto per l'autenticazione CON ID Entra di Microsoft per le connessioni SSH all'interno del portale è in fase di anteprima ed è attualmente in fase di implementazione.

Se vengono soddisfatti i prerequisiti seguenti, Microsoft Entra ID diventa l'opzione predefinita per connettersi alla macchina virtuale. In caso contrario, Microsoft Entra ID non verrà visualizzato come opzione.

Prerequisiti:

• L'account di accesso microsoft Entra ID deve essere abilitato nella macchina virtuale. L'account di accesso microsoft Entra ID può essere abilitato durante la creazione della macchina virtuale o aggiungendo l'estensione Microsoft Entra ID Login a una macchina virtuale preesistente.

• È necessario configurare uno dei ruoli necessari seguenti nella macchina virtuale per l'utente:

  • Accesso alla macchina virtuale Amministrazione istrator: questo ruolo è necessario se si vuole accedere con privilegi di amministratore.
  • Accesso utente macchina virtuale: questo ruolo è necessario se si vuole accedere con privilegi utente normali.

Per eseguire l'autenticazione con Microsoft Entra ID, seguire questa procedura.

1. Per eseguire l'autenticazione con Microsoft Entra ID, configurare le impostazioni seguenti.

   • Connessione ion Impostazioni: disponibile solo per SKU superiori allo SKU Basic.

     • Protocollo: selezionare SSH.
     • Porta: specificare il numero di porta.

   • Tipo di autenticazione: selezionare Microsoft Entra ID nell'elenco a discesa.

2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

3. Fare clic su Connessione per connettersi alla macchina virtuale.

Autenticazione della password

Usare la procedura seguente per eseguire l'autenticazione usando nome utente e password.

1. Per eseguire l'autenticazione usando un nome utente e una password, configurare le impostazioni seguenti.

   • Connessione ion Impostazioni: disponibile solo per SKU superiori allo SKU Basic.

     • Protocollo: selezionare SSH.
     • Porta: specificare il numero di porta.

   • Tipo di autenticazione: selezionare Password dall'elenco a discesa.

   • Nome utente: immettere il nome utente.

   • Password: immettere la password.

2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

3. Fare clic su Connessione per connettersi alla macchina virtuale.

Autenticazione password - Azure Key Vault

Usare la procedura seguente per eseguire l'autenticazione usando una password da Azure Key Vault.

1. Per eseguire l'autenticazione usando una password da Azure Key Vault, configurare le impostazioni seguenti.

   • Connessione ion Impostazioni: disponibile solo per SKU superiori allo SKU Basic.

     • Protocollo: selezionare SSH.
     • Porta: specificare il numero di porta.

   • Tipo di autenticazione: selezionare Password da Azure Key Vault nell'elenco a discesa.

   • Nome utente: immettere il nome utente.

   • Sottoscrizione: selezionare la sottoscrizione.

   • Azure Key Vault: selezionare l'insieme di credenziali delle chiavi.

   • Segreto di Azure Key Vault: selezionare il segreto dell'insieme di credenziali delle chiavi contenente il valore della chiave privata SSH.

     • Se non è stata configurata una risorsa di Azure Key Vault, vedere Creare un insieme di credenziali delle chiavi e archiviare la chiave privata SSH come valore di un nuovo segreto di Key Vault.

     • Assicurarsi di disporre di List e Get access to the secrets stored in the Key Vault resource (Ottenere l'accesso ai segreti archiviati nella risorsa Key Vault). Per assegnare e modificare i criteri di accesso per la risorsa di Key Vault, vedere Assegnare criteri di accesso di Key Vault.

     • Archiviare la chiave privata SSH come segreto in Azure Key Vault usando PowerShell o l'esperienza dell'interfaccia della riga di comando di Azure. L'archiviazione della chiave privata tramite l'esperienza del portale di Azure Key Vault interferisce con la formattazione e genera un accesso non riuscito. Se la chiave privata è stata archiviata come segreto usando l'esperienza del portale e non si ha più accesso al file di chiave privata originale, vedere Aggiornare la chiave SSH per aggiornare l'accesso alla macchina virtuale di destinazione con una nuova coppia di chiavi SSH.

2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

3. Fare clic su Connessione per connettersi alla macchina virtuale.

Autenticazione con chiave privata SSH - File locale

Usare la procedura seguente per eseguire l'autenticazione usando una chiave privata SSH da un file locale.

1. Per eseguire l'autenticazione usando una chiave privata da un file locale, configurare le impostazioni seguenti.

   • Connessione ion Impostazioni: disponibile solo per SKU superiori allo SKU Basic.

     • Protocollo: selezionare SSH.
     • Porta: specificare il numero di porta.

   • Tipo di autenticazione: selezionare Chiave privata SSH da File locale dall'elenco a discesa.

   • Nome utente: immettere il nome utente.

   • File locale: selezionare il file locale.

   • Passphrase SSH: immettere la passphrase SSH, se necessario.

2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

3. Fare clic su Connessione per connettersi alla macchina virtuale.

Autenticazione con chiave privata SSH - Azure Key Vault

Usare la procedura seguente per eseguire l'autenticazione usando una chiave privata archiviata in Azure Key Vault.

1. Per eseguire l'autenticazione usando una chiave privata archiviata in Azure Key Vault, configurare le impostazioni seguenti. Per lo SKU Basic, le impostazioni di connessione non possono essere configurate e useranno invece le impostazioni di connessione predefinite: SSH e la porta 22.

   • Connessione ion Impostazioni: disponibile solo per SKU superiori allo SKU Basic.

     • Protocollo: selezionare SSH.
     • Porta: specificare il numero di porta.

   • Tipo di autenticazione: selezionare Chiave privata SSH da Azure Key Vault nell'elenco a discesa.

   • Nome utente: immettere il nome utente.

   • Sottoscrizione: selezionare la sottoscrizione.

   • Azure Key Vault: selezionare l'insieme di credenziali delle chiavi.

     • Se non è stata configurata una risorsa di Azure Key Vault, vedere Creare un insieme di credenziali delle chiavi e archiviare la chiave privata SSH come valore di un nuovo segreto di Key Vault.

     • Assicurarsi di disporre di List e Get access to the secrets stored in the Key Vault resource (Ottenere l'accesso ai segreti archiviati nella risorsa Key Vault). Per assegnare e modificare i criteri di accesso per la risorsa di Key Vault, vedere Assegnare criteri di accesso di Key Vault.

     • Archiviare la chiave privata SSH come segreto in Azure Key Vault usando PowerShell o l'esperienza dell'interfaccia della riga di comando di Azure. L'archiviazione della chiave privata tramite l'esperienza del portale di Azure Key Vault interferisce con la formattazione e genera un accesso non riuscito. Se la chiave privata è stata archiviata come segreto usando l'esperienza del portale e non si ha più accesso al file di chiave privata originale, vedere Aggiornare la chiave SSH per aggiornare l'accesso alla macchina virtuale di destinazione con una nuova coppia di chiavi SSH.

   • Segreto di Azure Key Vault: selezionare il segreto dell'insieme di credenziali delle chiavi contenente il valore della chiave privata SSH.

2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

3. Fare clic su Connessione per connettersi alla macchina virtuale.

Passaggi successivi

Per altre informazioni su Azure Bastion, vedere Le domande frequenti su Bastion.