Creare una connessione SSH a una macchina virtuale Windows con Azure Bastion

  • Articolo

Questo articolo illustra come creare in modo sicuro e facile una connessione SSH alle macchine virtuali Windows che si trovano in una rete virtuale di Azure direttamente tramite il portale di Azure. Quando si usa Azure Bastion, le macchine virtuali non richiedono un client, un agente o un software aggiuntivo. È anche possibile connettersi a una macchina virtuale Windows usando RDP. Per informazioni, vedere Creare una connessione RDP a una macchina virtuale Windows.

Azure Bastion offre connettività sicura a tutte le macchine virtuali nella rete virtuale in cui viene effettuato il provisioning. L'uso di Azure Bastion consente di proteggere le macchine virtuali dall'esposizione delle porte RDP/SSH all'esterno, offrendo al tempo stesso l'accesso sicuro tramite RDP/SSH. Per altre informazioni, vedere Informazioni su Azure Bastion.

Nota

Se si vuole creare una connessione SSH a una macchina virtuale Windows, Azure Bastion deve essere configurato usando lo SKU Standard.

Quando ci si connette a una macchina virtuale Windows tramite SSH, è possibile usare sia il nome utente che la password e le chiavi SSH per l'autenticazione.

La chiave privata SSH deve essere in un formato che inizia con "-----BEGIN RSA PRIVATE KEY-----" e termina con "-----END RSA PRIVATE KEY-----".

Prerequisiti

Assicurarsi di aver configurato un host Azure Bastion per la rete virtuale in cui risiede la macchina virtuale. Per altre informazioni, vedere Creare un host Azure Bastion. Dopo aver effettuato il provisioning e la distribuzione del servizio Bastion nella rete virtuale, è possibile usarlo per connettersi a qualsiasi macchina virtuale in questa rete virtuale.

Per connettersi tramite SSH a una macchina virtuale Windows, è anche necessario assicurarsi che:

  • La macchina virtuale Windows esegue Windows Server 2019 o versione successiva.
  • È installato e in esecuzione OpenSSH Server nella macchina virtuale Windows. Per informazioni su come eseguire questa operazione, vedere Installare OpenSSH.
  • Azure Bastion è stato configurato per l'uso dello SKU Standard.

Ruoli richiesti

Per stabilire una connessione, sono necessari i ruoli seguenti:

  • Ruolo Lettore nella macchina virtuale
  • Ruolo Lettore nella scheda di interfaccia di rete con l'indirizzo IP privato della macchina virtuale
  • Ruolo Lettore nella risorsa Azure Bastion
  • Ruolo lettore nella rete virtuale della macchina virtuale di destinazione (se la distribuzione Bastion si trova in una rete virtuale con peering).

Porti

Per connettersi alla macchina virtuale Windows tramite SSH, è necessario che nella macchina virtuale siano aperte le porte seguenti:

  • Porta in ingresso: SSH (22) o
  • Porta in ingresso: valore personalizzato (sarà quindi necessario specificare questa porta personalizzata quando ci si connette alla macchina virtuale tramite Azure Bastion)

Per altri requisiti, vedere Domande frequenti su Azure Bastion.

Configurazioni supportate

Attualmente, Azure Bastion supporta solo la connessione alle macchine virtuali Windows tramite SSH tramite OpenSSH.

Pagina connessione Bastion

  1. Nella portale di Azure passare alla macchina virtuale a cui connettersi. Nella pagina Panoramica selezionare Connessione, quindi selezionare Bastion nell'elenco a discesa per aprire la pagina connessione Bastion. È anche possibile selezionare Bastion nel riquadro sinistro.

    Screenshot shows the overview for a virtual machine in Azure portal with Connect selected.

  2. Nella pagina Connessione Bastion fare clic sulla freccia Impostazioni Connessione ion per espandere tutte le impostazioni disponibili. Si noti che se si usa lo SKU Bastion Standard , sono disponibili altre impostazioni.

    Screenshot shows connection settings.

  3. Eseguire l'autenticazione e la connessione usando uno dei metodi nelle sezioni seguenti.

Nome utente e password

Usare la procedura seguente per eseguire l'autenticazione usando nome utente e password.

Screenshot shows Password authentication.

  1. Per eseguire l'autenticazione usando un nome utente e una password, configurare le impostazioni seguenti:

    • Protocollo: selezionare SSH.
    • Porta: immettere il numero di porta. Le connessioni di porta personalizzate sono disponibili solo per lo SKU Standard.
    • Tipo di autenticazione: selezionare Password dall'elenco a discesa.
    • Nome utente: immettere il nome utente.
    • Password: immettere la password.

  2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

  3. Fare clic su Connessione per connettersi alla macchina virtuale.

Chiave privata dal file locale

Usare la procedura seguente per eseguire l'autenticazione usando una chiave privata SSH da un file locale.

Screenshot shows private key from local file authentication.

  1. Per eseguire l'autenticazione usando una chiave privata da un file locale, configurare le impostazioni seguenti:

    • Protocollo: selezionare SSH.
    • Porta: immettere il numero di porta. Le connessioni di porta personalizzate sono disponibili solo per lo SKU Standard.
    • Tipo di autenticazione: selezionare Chiave privata SSH da File locale dall'elenco a discesa.
    • File locale: selezionare il file locale.
    • Passphrase SSH: immettere la passphrase SSH, se necessario.

  2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

  3. Fare clic su Connessione per connettersi alla macchina virtuale.

Password - Azure Key Vault

Usare la procedura seguente per eseguire l'autenticazione usando una password da Azure Key Vault.

Screenshot shows password from Azure Key Vault authentication.

  1. Per eseguire l'autenticazione usando una password da Azure Key Vault, configurare le impostazioni seguenti:

    • Protocollo: selezionare SSH.

    • Porta: immettere il numero di porta. Le connessioni di porta personalizzate sono disponibili solo per lo SKU Standard.

    • Tipo di autenticazione: selezionare Password da Azure Key Vault nell'elenco a discesa.

    • Nome utente: immettere il nome utente.

    • Sottoscrizione: selezionare la sottoscrizione.

    • Azure Key Vault: selezionare l'insieme di credenziali delle chiavi.

    • Segreto di Azure Key Vault: selezionare il segreto dell'insieme di credenziali delle chiavi contenente il valore della chiave privata SSH.

      • Se non è stata configurata una risorsa di Azure Key Vault, vedere Creare un insieme di credenziali delle chiavi e archiviare la chiave privata SSH come valore di un nuovo segreto di Key Vault.

      • Assicurarsi di disporre di List e Get access to the secrets stored in the Key Vault resource (Ottenere l'accesso ai segreti archiviati nella risorsa Key Vault). Per assegnare e modificare i criteri di accesso per la risorsa di Key Vault, vedere Assegnare criteri di accesso di Key Vault.

        Nota

        Archiviare la chiave privata SSH come segreto in Azure Key Vault usando PowerShell o l'esperienza dell'interfaccia della riga di comando di Azure. L'archiviazione della chiave privata tramite l'esperienza del portale di Azure Key Vault interferisce con la formattazione e genera un accesso non riuscito. Se la chiave privata è stata archiviata come segreto usando l'esperienza del portale e non si ha più accesso al file di chiave privata originale, vedere Aggiornare la chiave SSH per aggiornare l'accesso alla macchina virtuale di destinazione con una nuova coppia di chiavi SSH.

  2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

  3. Fare clic su Connessione per connettersi alla macchina virtuale.

Chiave privata - Azure Key Vault

Usare la procedura seguente per eseguire l'autenticazione usando una chiave privata archiviata in Azure Key Vault.

Screenshot shows Private key stored in Azure Key Vault authentication.

  1. Per eseguire l'autenticazione usando una chiave privata archiviata in Azure Key Vault, configurare le impostazioni seguenti:

    • Protocollo: selezionare SSH.

    • Porta: immettere il numero di porta. Le connessioni di porta personalizzate sono disponibili solo per lo SKU Standard.

    • Tipo di autenticazione: selezionare Chiave privata SSH da Azure Key Vault nell'elenco a discesa.

    • Nome utente: immettere il nome utente.

    • Sottoscrizione: selezionare la sottoscrizione.

    • Azure Key Vault: selezionare l'insieme di credenziali delle chiavi.

      • Se non è stata configurata una risorsa di Azure Key Vault, vedere Creare un insieme di credenziali delle chiavi e archiviare la chiave privata SSH come valore di un nuovo segreto di Key Vault.

      • Assicurarsi di disporre di List e Get access to the secrets stored in the Key Vault resource (Ottenere l'accesso ai segreti archiviati nella risorsa Key Vault). Per assegnare e modificare i criteri di accesso per la risorsa di Key Vault, vedere Assegnare criteri di accesso di Key Vault.

        Nota

        Archiviare la chiave privata SSH come segreto in Azure Key Vault usando PowerShell o l'esperienza dell'interfaccia della riga di comando di Azure. L'archiviazione della chiave privata tramite l'esperienza del portale di Azure Key Vault interferisce con la formattazione e genera un accesso non riuscito. Se la chiave privata è stata archiviata come segreto usando l'esperienza del portale e non si ha più accesso al file di chiave privata originale, vedere Aggiornare la chiave SSH per aggiornare l'accesso alla macchina virtuale di destinazione con una nuova coppia di chiavi SSH.

    • Segreto di Azure Key Vault: selezionare il segreto dell'insieme di credenziali delle chiavi contenente il valore della chiave privata SSH.

  2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

  3. Fare clic su Connessione per connettersi alla macchina virtuale.

Passaggi successivi

Per altre informazioni su Azure Bastion, vedere Le domande frequenti su Bastion.