Criar uma conexão SSH com uma VM Linux usando o Azure Bastion

  • Artigo

Este artigo mostra como criar de forma segura e transparente uma conexão SSH para suas VMs Linux localizadas em uma rede virtual do Azure diretamente por meio do portal do Azure. Quando você usa o Azure Bastion, suas VMs não exigem um cliente, agente ou software adicional.

O Azure Bastion fornece conectividade segura para todas as VMs na rede virtual na qual ele é provisionado. Usar o Azure Bastion protege suas máquinas virtuais contra a exposição de portas RDP/SSH para o mundo exterior, enquanto ainda fornece acesso seguro usando RDP/SSH. Para obter mais informações, consulte o artigo O que é o Azure Bastion?

Ao se conectar a uma máquina virtual Linux usando SSH, você pode usar o nome de usuário/senha e as chaves SSH para autenticação. A chave privada SSH deve estar em um formato que começa com "-----BEGIN RSA PRIVATE KEY-----" e termina com "-----END RSA PRIVATE KEY-----".

Pré-requisitos

Verifique se você configurou um host do Azure Bastion para a rede virtual na qual a VM reside. Para obter mais informações, consulte Criar um host do Azure Bastion. Depois que o serviço Bastion for provisionado e implantado em sua rede virtual, você poderá usá-lo para se conectar a qualquer VM nessa rede virtual.

As configurações de conexão e os recursos disponíveis dependem do Bastion SKU que você está usando. Verifique se a implantação do Bastion está usando a SKU necessária.

  • Para ver os recursos e configurações disponíveis por camada de SKU, consulte a seção SKUs e recursos do artigo Visão geral do Bastion.
  • Para verificar a camada de SKU da implantação do Bastion e atualizar, se necessário, consulte Atualizar um SKU Bastion.

Funções necessárias

Para estabelecer uma ligação, são necessárias as seguintes funções:

  • Função de leitor na máquina virtual.
  • Função de leitor na NIC com IP privado da máquina virtual.
  • Função de leitor no recurso Azure Bastion.
  • Função de leitor na rede virtual da máquina virtual de destino (se a implantação Bastion estiver em uma rede virtual emparelhada).

Portas

Para se conectar à VM Linux via SSH, você deve ter as seguintes portas abertas em sua VM:

  • Porta de entrada: SSH (22) ou
  • Porta de entrada: valor personalizado (você precisará especificar essa porta personalizada quando se conectar à VM por meio do Azure Bastion). Essa configuração não está disponível para o Basic ou o Developer SKU.

Página de conexão Bastion

  1. No portal do Azure, vá para a máquina virtual à qual você deseja se conectar. Na parte superior da página Visão geral da máquina virtual, selecione Conectar e, em seguida, selecione Conectar via Bastion na lista suspensa. Isso abre a página Bastion . Você pode ir para a página Bastion diretamente no painel esquerdo.

    A captura de tela mostra a página Visão geral de uma máquina virtual.

  2. Na página Bastion, as configurações que você pode configurar dependem da camada Bastion SKU que seu host bastion foi configurado para usar.

    A captura de tela mostra as configurações de conexão para SKUs superiores à SKU básica.

    • Se você estiver usando uma SKU superior à SKU básica, os valores de Configurações de Conexão (portas e protocolos) estarão visíveis e poderão ser configurados.

    • Se você estiver usando o SKU Básico ou o SKU do Desenvolvedor, não poderá definir os valores das Configurações de Conexão. Em vez disso, sua conexão usa as seguintes configurações padrão: SSH e porta 22.

    • Para visualizar e selecionar um Tipo de Autenticação disponível, use a lista suspensa.

  3. Use as seções a seguir neste artigo para definir as configurações de autenticação e conectar-se à sua VM.

Autenticação do Microsoft Entra ID (Pré-visualização)

Nota

O suporte à Autenticação de ID do Microsoft Entra para conexões SSH dentro do portal está em Visualização e está sendo implementado no momento.

Se os seguintes pré-requisitos forem atendidos, o Microsoft Entra ID se tornará a opção padrão para se conectar à sua VM. Caso contrário, o Microsoft Entra ID não aparecerá como uma opção.

Pré-requisitos:

  • O Login do Microsoft Entra ID deve ser habilitado na VM. O Login do Microsoft Entra ID pode ser habilitado durante a criação da VM ou adicionando a extensão de Login do Microsoft Entra ID a uma VM pré-existente.

  • Uma das seguintes funções necessárias deve ser configurada na VM para o usuário:

    • Login de Administrador de Máquina Virtual: essa função é necessária se você quiser entrar com privilégios de administrador.
    • Login de usuário de máquina virtual: essa função é necessária se você quiser entrar com privilégios de usuário regular.

Use as etapas a seguir para autenticar usando o Microsoft Entra ID.

A captura de tela mostra o tipo de autenticação como ID do Microsoft Entra.

  1. Para autenticar usando o Microsoft Entra ID, defina as seguintes configurações.

    • Configurações de conexão: Disponível apenas para SKUs superiores ao SKU básico.

      • Protocolo: Selecione SSH.
      • Porta: especifique o número da porta.

    • Tipo de autenticação: Selecione Microsoft Entra ID na lista suspensa.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir na nova guia do navegador.

  3. Clique em Conectar para se conectar à VM.

Autenticação da palavra-passe

Use as etapas a seguir para autenticar usando nome de usuário e senha.

A captura de tela mostra a autenticação de senha.

  1. Para autenticar usando um nome de usuário e senha, defina as seguintes configurações.

    • Configurações de conexão: Disponível apenas para SKUs superiores ao SKU básico.

      • Protocolo: Selecione SSH.
      • Porta: especifique o número da porta.

    • Tipo de autenticação: Selecione Senha na lista suspensa.

    • Nome de usuário: digite o nome de usuário.

    • Palavra-passe: Introduza a palavra-passe.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir na nova guia do navegador.

  3. Clique em Conectar para se conectar à VM.

Autenticação de senha - Azure Key Vault

Use as etapas a seguir para autenticar usando uma senha do Cofre de Chaves do Azure.

A captura de tela mostra a senha da autenticação do Cofre de Chaves do Azure.

  1. Para autenticar usando uma senha do Cofre de Chaves do Azure, defina as seguintes configurações.

    • Configurações de conexão: Disponível apenas para SKUs superiores ao SKU básico.

      • Protocolo: Selecione SSH.
      • Porta: especifique o número da porta.

    • Tipo de autenticação: selecione Senha no Cofre de Chaves do Azure na lista suspensa.

    • Nome de usuário: digite o nome de usuário.

    • Assinatura: Selecione a assinatura.

    • Azure Key Vault: selecione o Key Vault.

    • Segredo do Cofre da Chave do Azure: selecione o segredo do Cofre da Chave que contém o valor da sua chave privada SSH.

      • Se você não configurou um recurso do Cofre de Chaves do Azure, consulte Criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo do Cofre de Chaves.

      • Certifique-se de que tem acesso a Listar e Obter aos segredos armazenados no recurso Cofre de Chaves. Para atribuir e modificar políticas de acesso para seu recurso do Cofre da Chave, consulte Atribuir uma política de acesso ao Cofre da Chave.

      • Armazene sua chave privada SSH como um segredo no Cofre de Chaves do Azure usando a experiência PowerShell ou CLI do Azure. Armazenar a sua chave privada através da experiência do portal do Azure Key Vault interfere com a formatação e resulta num início de sessão malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à VM de destino com um novo par de chaves SSH.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir na nova guia do navegador.

  3. Clique em Conectar para se conectar à VM.

Autenticação de chave privada SSH - arquivo local

Use as etapas a seguir para autenticar usando uma chave privada SSH de um arquivo local.

A captura de tela mostra a chave privada da autenticação de arquivo local.

  1. Para autenticar usando uma chave privada de um arquivo local, defina as seguintes configurações.

    • Configurações de conexão: Disponível apenas para SKUs superiores ao SKU básico.

      • Protocolo: Selecione SSH.
      • Porta: especifique o número da porta.

    • Tipo de autenticação: Selecione Chave Privada SSH do Arquivo Local na lista suspensa.

    • Nome de usuário: digite o nome de usuário.

    • Arquivo local: Selecione o arquivo local.

    • Senha SSH: Insira a senha SSH, se necessário.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir na nova guia do navegador.

  3. Clique em Conectar para se conectar à VM.

Autenticação de chave privada SSH - Azure Key Vault

Use as etapas a seguir para autenticar usando uma chave privada armazenada no Cofre de Chaves do Azure.

A captura de tela mostra a chave privada armazenada na autenticação do Cofre de Chaves do Azure.

  1. Para autenticar usando uma chave privada armazenada no Cofre de Chaves do Azure, defina as seguintes configurações. Para o SKU Básico, as configurações de conexão não podem ser configuradas e, em vez disso, usarão as configurações de conexão padrão: SSH e porta 22.

    • Configurações de conexão: Disponível apenas para SKUs superiores ao SKU básico.

      • Protocolo: Selecione SSH.
      • Porta: especifique o número da porta.

    • Tipo de autenticação: selecione Chave Privada SSH no Cofre de Chaves do Azure na lista suspensa.

    • Nome de usuário: digite o nome de usuário.

    • Assinatura: Selecione a assinatura.

    • Azure Key Vault: selecione o Key Vault.

      • Se você não configurou um recurso do Cofre de Chaves do Azure, consulte Criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo do Cofre de Chaves.

      • Certifique-se de que tem acesso a Listar e Obter aos segredos armazenados no recurso Cofre de Chaves. Para atribuir e modificar políticas de acesso para seu recurso do Cofre da Chave, consulte Atribuir uma política de acesso ao Cofre da Chave.

      • Armazene sua chave privada SSH como um segredo no Cofre de Chaves do Azure usando a experiência PowerShell ou CLI do Azure. Armazenar a sua chave privada através da experiência do portal do Azure Key Vault interfere com a formatação e resulta num início de sessão malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à VM de destino com um novo par de chaves SSH.

    • Segredo do Cofre da Chave do Azure: selecione o segredo do Cofre da Chave que contém o valor da sua chave privada SSH.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir na nova guia do navegador.

  3. Clique em Conectar para se conectar à VM.

Próximos passos

Para obter mais informações sobre o Azure Bastion, consulte as Perguntas frequentes do Bastion.