Tworzenie połączenia SSH z maszyną wirtualną z systemem Linux przy użyciu usługi Azure Bastion

W tym artykule pokazano, jak bezpiecznie i bezproblemowo utworzyć połączenie SSH z maszynami wirtualnymi z systemem Linux znajdującymi się w sieci wirtualnej platformy Azure bezpośrednio za pośrednictwem witryny Azure Portal. W przypadku korzystania z usługi Azure Bastion maszyny wirtualne nie wymagają klienta, agenta ani dodatkowego oprogramowania.

Usługa Azure Bastion zapewnia bezpieczną łączność ze wszystkimi maszynami wirtualnymi w sieci wirtualnej, w której jest aprowizowana. Usługa Azure Bastion chroni maszyny wirtualne przed ujawnieniem portów RDP/SSH na zewnątrz, jednocześnie zapewniając bezpieczny dostęp przy użyciu protokołu RDP/SSH. Aby uzyskać więcej informacji, zobacz artykuł Co to jest usługa Azure Bastion?

Podczas nawiązywania połączenia z maszyną wirtualną z systemem Linux przy użyciu protokołu SSH możesz użyć zarówno nazwy użytkownika,hasła, jak i kluczy SSH do uwierzytelniania. Klucz prywatny SSH musi mieć format rozpoczynający się od i kończący się "-----BEGIN RSA PRIVATE KEY-----" ciągiem "-----END RSA PRIVATE KEY-----".

Wymagania wstępne

Upewnij się, że skonfigurowaliśmy hosta usługi Azure Bastion dla sieci wirtualnej, w której znajduje się maszyna wirtualna. Aby uzyskać więcej informacji, zobacz Tworzenie hosta usługi Azure Bastion. Po aprowizacji i wdrożeniu usługi Bastion w sieci wirtualnej można jej użyć do nawiązania połączenia z dowolną maszyną wirtualną w tej sieci wirtualnej.

Dostępne ustawienia połączenia i funkcje zależą od używanej jednostki SKU usługi Bastion. Upewnij się, że wdrożenie usługi Bastion korzysta z wymaganej jednostki SKU.

• Aby wyświetlić dostępne funkcje i ustawienia dla warstwy jednostki SKU, zobacz sekcję Jednostki SKU i funkcje w artykule Omówienie usługi Bastion.
• Aby sprawdzić warstwę jednostki SKU wdrożenia i uaktualnienia usługi Bastion w razie potrzeby, zobacz Uaktualnianie jednostki SKU usługi Bastion.

Wymagane role

Aby nawiązać połączenie, wymagane są następujące role:

• Rola czytelnika na maszynie wirtualnej.
• Rola czytelnika na karcie sieciowej z prywatnym adresem IP maszyny wirtualnej.
• Rola czytelnika w zasobie usługi Azure Bastion.
• Rola czytelnika w sieci wirtualnej docelowej maszyny wirtualnej (jeśli wdrożenie usługi Bastion znajduje się w równorzędnej sieci wirtualnej).

Porty

Aby nawiązać połączenie z maszyną wirtualną z systemem Linux za pośrednictwem protokołu SSH, musisz mieć otwarte następujące porty na maszynie wirtualnej:

• Port przychodzący: SSH (22) lub
• Port przychodzący: wartość niestandardowa (następnie należy określić ten port niestandardowy podczas nawiązywania połączenia z maszyną wirtualną za pośrednictwem usługi Azure Bastion). To ustawienie nie jest dostępne dla jednostki SKU podstawowa ani dewelopera.

Strona połączenia usługi Bastion

1. W witrynie Azure Portal przejdź do maszyny wirtualnej, z którą chcesz nawiązać połączenie. W górnej części strony Przegląd maszyny wirtualnej wybierz pozycję Połączenie, a następnie wybierz pozycję Połączenie za pośrednictwem usługi Bastion z listy rozwijanej. Spowoduje to otwarcie strony usługi Bastion . Możesz przejść do strony bastionu bezpośrednio w okienku po lewej stronie.

   

2. Na stronie Bastion ustawienia, które można skonfigurować, zależą od warstwy jednostki SKU usługi Bastion skonfigurowanej do użycia przez hosta bastionu.

   

   • Jeśli używasz jednostki SKU wyższej niż podstawowa jednostka SKU, wartości Ustawienia Połączenie ion (porty i protokoły) są widoczne i można je skonfigurować.

   • Jeśli używasz podstawowej jednostki SKU lub jednostki SKU dewelopera, nie możesz skonfigurować wartości Ustawienia Połączenie ion. Zamiast tego połączenie używa następujących ustawień domyślnych: SSH i port 22.

   • Aby wyświetlić i wybrać dostępny typ uwierzytelniania, użyj listy rozwijanej.

3. W poniższych sekcjach w tym artykule skonfiguruj ustawienia uwierzytelniania i połącz się z maszyną wirtualną.

   • Uwierzytelnianie identyfikatora entra firmy Microsoft
   • Nazwa użytkownika i hasło
   • Hasło — Azure Key Vault
   • Klucz prywatny SSH z pliku lokalnego
   • Klucz prywatny SSH — Azure Key Vault

Uwierzytelnianie identyfikatora Entra firmy Microsoft (wersja zapoznawcza)

Uwaga

Obsługa uwierzytelniania identyfikatora Entra firmy Microsoft dla połączeń SSH w portalu jest dostępna w wersji zapoznawczej i jest obecnie wdrażana.

Jeśli zostaną spełnione następujące wymagania wstępne, identyfikator entra firmy Microsoft stanie się domyślną opcją nawiązywania połączenia z maszyną wirtualną. Jeśli nie, identyfikator Entra firmy Microsoft nie będzie wyświetlany jako opcja.

Wymagania wstępne:

• Identyfikator logowania firmy Microsoft powinien być włączony na maszynie wirtualnej. Identyfikator logowania entra firmy Microsoft można włączyć podczas tworzenia maszyny wirtualnej lub dodając rozszerzenie Microsoft Entra ID Login do istniejącej maszyny wirtualnej.

• Na maszynie wirtualnej należy skonfigurować jedną z następujących wymaganych ról dla użytkownika:

  • Logowanie Administracja istratora maszyny wirtualnej: ta rola jest niezbędna, jeśli chcesz zalogować się przy użyciu uprawnień administratora.
  • Logowanie użytkownika maszyny wirtualnej: ta rola jest niezbędna, jeśli chcesz zalogować się przy użyciu zwykłych uprawnień użytkownika.

Wykonaj poniższe kroki, aby uwierzytelnić się przy użyciu identyfikatora Entra firmy Microsoft.

1. Aby uwierzytelnić się przy użyciu identyfikatora Entra firmy Microsoft, skonfiguruj następujące ustawienia.

   • Połączenie ion Ustawienia: dostępne tylko dla jednostek SKU wyższych niż podstawowa jednostka SKU.

     • Protokół: wybierz pozycję SSH.
     • Port: określ numer portu.

   • Typ uwierzytelniania: wybierz pozycję Microsoft Entra ID z listy rozwijanej.

2. Aby pracować z maszyną wirtualną na nowej karcie przeglądarki, wybierz pozycję Otwórz na nowej karcie przeglądarki.

3. Kliknij Połączenie, aby nawiązać połączenie z maszyną wirtualną.

Uwierzytelnianie hasłem

Wykonaj poniższe kroki, aby uwierzytelnić się przy użyciu nazwy użytkownika i hasła.

1. Aby uwierzytelnić się przy użyciu nazwy użytkownika i hasła, skonfiguruj następujące ustawienia.

   • Połączenie ion Ustawienia: dostępne tylko dla jednostek SKU wyższych niż podstawowa jednostka SKU.

     • Protokół: wybierz pozycję SSH.
     • Port: określ numer portu.

   • Typ uwierzytelniania: wybierz pozycję Hasło z listy rozwijanej.

   • Nazwa użytkownika: wprowadź nazwę użytkownika.

   • Hasło: wprowadź hasło.

2. Aby pracować z maszyną wirtualną na nowej karcie przeglądarki, wybierz pozycję Otwórz na nowej karcie przeglądarki.

3. Kliknij Połączenie, aby nawiązać połączenie z maszyną wirtualną.

Uwierzytelnianie za pomocą hasła — Azure Key Vault

Wykonaj poniższe kroki, aby uwierzytelnić się przy użyciu hasła z usługi Azure Key Vault.

1. Aby uwierzytelnić się przy użyciu hasła z usługi Azure Key Vault, skonfiguruj następujące ustawienia.

   • Połączenie ion Ustawienia: dostępne tylko dla jednostek SKU wyższych niż podstawowa jednostka SKU.

     • Protokół: wybierz pozycję SSH.
     • Port: określ numer portu.

   • Typ uwierzytelniania: z listy rozwijanej wybierz pozycję Hasło z usługi Azure Key Vault .

   • Nazwa użytkownika: wprowadź nazwę użytkownika.

   • Subskrypcja: wybierz subskrypcję.

   • Azure Key Vault: wybierz usługę Key Vault.

   • Wpis tajny usługi Azure Key Vault: wybierz wpis tajny usługi Key Vault zawierający wartość klucza prywatnego SSH.

     • Jeśli nie skonfigurowaliśmy zasobu usługi Azure Key Vault, zobacz Tworzenie magazynu kluczy i przechowywanie klucza prywatnego SSH jako wartości nowego wpisu tajnego usługi Key Vault.

     • Upewnij się, że masz listę i uzyskaj dostęp do wpisów tajnych przechowywanych w zasobie usługi Key Vault. Aby przypisać i zmodyfikować zasady dostępu dla zasobu usługi Key Vault, zobacz Przypisywanie zasad dostępu usługi Key Vault.

     • Zapisz klucz prywatny SSH jako wpis tajny w usłudze Azure Key Vault przy użyciu środowiska programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Przechowywanie klucza prywatnego za pośrednictwem portalu usługi Azure Key Vault zakłóca formatowanie i powoduje niepowodzenie logowania. Jeśli klucz prywatny został przechowywany jako klucz tajny przy użyciu środowiska portalu i nie masz już dostępu do oryginalnego pliku klucza prywatnego, zobacz Aktualizowanie klucza SSH w celu zaktualizowania dostępu do docelowej maszyny wirtualnej przy użyciu nowej pary kluczy SSH.

2. Aby pracować z maszyną wirtualną na nowej karcie przeglądarki, wybierz pozycję Otwórz na nowej karcie przeglądarki.

3. Kliknij Połączenie, aby nawiązać połączenie z maszyną wirtualną.

Uwierzytelnianie za pomocą klucza prywatnego SSH — plik lokalny

Wykonaj poniższe kroki, aby uwierzytelnić się przy użyciu klucza prywatnego SSH z pliku lokalnego.

1. Aby uwierzytelnić się przy użyciu klucza prywatnego z pliku lokalnego, skonfiguruj następujące ustawienia.

   • Połączenie ion Ustawienia: dostępne tylko dla jednostek SKU wyższych niż podstawowa jednostka SKU.

     • Protokół: wybierz pozycję SSH.
     • Port: określ numer portu.

   • Typ uwierzytelniania: wybierz pozycję Klucz prywatny SSH z listy rozwijanej Plik lokalny.

   • Nazwa użytkownika: wprowadź nazwę użytkownika.

   • Plik lokalny: wybierz plik lokalny.

   • Hasło SSH: wprowadź hasło SSH w razie potrzeby.

2. Aby pracować z maszyną wirtualną na nowej karcie przeglądarki, wybierz pozycję Otwórz na nowej karcie przeglądarki.

3. Kliknij Połączenie, aby nawiązać połączenie z maszyną wirtualną.

Uwierzytelnianie za pomocą klucza prywatnego SSH — Azure Key Vault

Wykonaj poniższe kroki, aby uwierzytelnić się przy użyciu klucza prywatnego przechowywanego w usłudze Azure Key Vault.

1. Aby uwierzytelnić się przy użyciu klucza prywatnego przechowywanego w usłudze Azure Key Vault, skonfiguruj następujące ustawienia. W przypadku jednostki SKU w warstwie Podstawowa nie można skonfigurować ustawień połączenia i zamiast tego będą używane domyślne ustawienia połączenia: SSH i port 22.

   • Połączenie ion Ustawienia: dostępne tylko dla jednostek SKU wyższych niż podstawowa jednostka SKU.

     • Protokół: wybierz pozycję SSH.
     • Port: określ numer portu.

   • Typ uwierzytelniania: wybierz z listy rozwijanej pozycję Klucz prywatny SSH z usługi Azure Key Vault .

   • Nazwa użytkownika: wprowadź nazwę użytkownika.

   • Subskrypcja: wybierz subskrypcję.

   • Azure Key Vault: wybierz usługę Key Vault.

     • Jeśli nie skonfigurowaliśmy zasobu usługi Azure Key Vault, zobacz Tworzenie magazynu kluczy i przechowywanie klucza prywatnego SSH jako wartości nowego wpisu tajnego usługi Key Vault.

     • Upewnij się, że masz listę i uzyskaj dostęp do wpisów tajnych przechowywanych w zasobie usługi Key Vault. Aby przypisać i zmodyfikować zasady dostępu dla zasobu usługi Key Vault, zobacz Przypisywanie zasad dostępu usługi Key Vault.

     • Zapisz klucz prywatny SSH jako wpis tajny w usłudze Azure Key Vault przy użyciu środowiska programu PowerShell lub interfejsu wiersza polecenia platformy Azure. Przechowywanie klucza prywatnego za pośrednictwem portalu usługi Azure Key Vault zakłóca formatowanie i powoduje niepowodzenie logowania. Jeśli klucz prywatny został przechowywany jako klucz tajny przy użyciu środowiska portalu i nie masz już dostępu do oryginalnego pliku klucza prywatnego, zobacz Aktualizowanie klucza SSH w celu zaktualizowania dostępu do docelowej maszyny wirtualnej przy użyciu nowej pary kluczy SSH.

   • Wpis tajny usługi Azure Key Vault: wybierz wpis tajny usługi Key Vault zawierający wartość klucza prywatnego SSH.

2. Aby pracować z maszyną wirtualną na nowej karcie przeglądarki, wybierz pozycję Otwórz na nowej karcie przeglądarki.

3. Kliknij Połączenie, aby nawiązać połączenie z maszyną wirtualną.

Następne kroki

Aby uzyskać więcej informacji na temat usługi Azure Bastion, zobacz Często zadawane pytania dotyczące usługi Bastion.