Создание SSH-подключения к виртуальной машине Linux с помощью Бастиона Azure

В этой статье описано, как безопасно и легко создать SSH-подключение к виртуальным машинам Linux, расположенным в виртуальной сети Azure, непосредственно через портал Azure. Когда вы используете Бастион Azure, вашим виртуальным машинам не требуется клиент, агент или дополнительное программное обеспечение.

Бастион Azure обеспечивает безопасное подключение ко всем виртуальным машинам в виртуальной сети, в которой он подготовлен. Бастион Azure позволяет защитить порты RDP и SSH ваших виртуальных машин от внешних проникновений, обеспечивая при этом безопасный доступ с использованием этих протоколов. Подробнее см. в обзорной статье Что такое Бастион Azure?.

При подключении к виртуальной машине Linux по протоколу SSH можно использовать для проверки подлинности как имя пользователя и пароль, так и ключи SSH. Закрытый ключ SSH должен начинаться с "-----BEGIN RSA PRIVATE KEY-----" и заканчиваться на "-----END RSA PRIVATE KEY-----".

Необходимые компоненты

Вы должны настроить узел Бастиона Azure для виртуальной сети, в которой находится виртуальная машина. Дополнительные сведения см. в статье о создании узла Бастиона Azure. Когда служба "Бастион Azure" будет подготовлена и развернута в вашей виртуальной сети, вы сможете подключаться с ее помощью к любой виртуальной машине в этой сети.

Параметры подключения и функции, доступные в зависимости от используемого номера SKU Бастиона. Убедитесь, что развертывание Бастиона использует необходимый номер SKU.

• Сведения о доступных функциях и параметрах на уровне SKU см . в разделе "Номера SKU" и "Функции " статьи "Обзор бастиона".
• Чтобы проверка уровень SKU развертывания Бастиона и обновления при необходимости, см. раздел "Обновление номера SKU бастиона".

Обязательные роли

Для подключения нужны такие роли:

• роль читателя на виртуальной машине;
• роль читателя на сетевом адаптере с частным IP-адресом для виртуальной машины;
• роль читателя для ресурса "Бастион Azure".
• Роль читателя в виртуальной сети целевой виртуальной машины (если развертывание Бастиона находится в одноранговой виртуальной сети).

Порты

Чтобы можно было подключиться к виртуальной машине Linux по протоколу SSH, на ней должны быть открыты следующие порты:

• Входящий порт: SSH (22) или.
• Входящий порт: настраиваемое значение (при подключении к виртуальной машине через Бастион Azure необходимо указать этот пользовательский порт). Для этого параметра требуется уровень SKU "Стандартный".

Страница подключений Бастиона

1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться. На странице обзора виртуальной машины выберите Подключение, а затем выберите Бастион в раскрывающемся списке, чтобы открыть страницу Бастиона.

   

2. На странице Бастиона параметры, которые можно настроить, зависят от уровня SKU Бастиона, который настроен для использования узлом бастиона.

   • Если вы используете стандартный номер SKU, Подключение ion Параметры значения (порты и протоколы) отображаются и могут быть настроены.

     

   • Если вы используете номер SKU "Базовый", нельзя настроить Подключение значения Параметры. Вместо этого подключение использует следующие параметры по умолчанию: SSH и порт 22.

     

   • Чтобы просмотреть и выбрать доступный тип проверки подлинности, используйте раскрывающийся список.

     

3. Используйте следующие разделы в этой статье, чтобы настроить параметры проверки подлинности и подключиться к виртуальной машине.

   • Имя пользователя и пароль
   • Пароль из Azure Key Vault
   • Закрытый ключ SSH из локального файла
   • Закрытый ключ SSH — Azure Key Vault

Проверка пароля

Выполните следующие действия для проверки подлинности с помощью имени пользователя и пароля.

1. Чтобы пройти проверку подлинности с помощью имени пользователя и пароля, настройте следующие параметры.

   • Подключение ion Параметры (только номер SKU категории "Стандартный")

     • Протокол: выберите SSH.
     • Порт: укажите номер порта.

   • Тип проверки подлинности: в раскрывающемся списке выберите Пароль.

   • Имя пользователя: введите имя пользователя.

   • Пароль: введите пароль.

2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Проверка подлинности паролей — Azure Key Vault

Выполните следующие действия, чтобы настроить проверку подлинности с помощью пароля из Azure Key Vault.

1. Чтобы пройти проверку подлинности с помощью пароля из Azure Key Vault, настройте следующие параметры.

   • Подключение ion Параметры (только номер SKU категории "Стандартный")

     • Протокол: выберите SSH.
     • Порт: укажите номер порта.

   • Тип проверки подлинности: выберите Пароль из Azure Key Vault в раскрывающемся списке.

   • Имя пользователя: введите имя пользователя.

   • Подписка: выберите подписку.

   • Azure Key Vault: выберите Key Vault.

   • Секрет Azure Key Vault: выберите секрет Key Vault, содержащий значение закрытого ключа SSH.

     • Если вы не настроили ресурс Azure Key Vault, ознакомьтесь со статьей Создание хранилища ключей и сохраните закрытый ключ SSH как значение нового секрета Key Vault.

     • Убедитесь, что у вас есть доступ к секретам, хранящимся в ресурсе Key Vault, для операций List и Get. Сведения о том, как назначить и изменить политики доступа для ресурса Key Vault, см. в статье Назначение политики доступа для Key Vault.

       Примечание.

       Сохраните закрытый ключ SSH в качестве секрета в Azure Key Vault с помощью PowerShell или Azure CLI. Сохранение закрытого ключа с помощью портала Azure Key Vault повлияет на форматирование и приведет к невозможности входа. Если вы все же сохранили закрытый ключ в качестве секрета с помощью портала и у вас больше нет доступа к исходному файлу закрытого ключа, см. инструкции по восстановлению доступа к целевой виртуальной машине с помощью новой пары ключей SSH в разделе Обновление ключа SSH.

2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Проверка подлинности закрытого ключа SSH — локальный файл

Выполните следующие действия для проверки подлинности с помощью закрытого ключа SSH из локального файла.

1. Чтобы выполнить проверку подлинности с помощью закрытого ключа из локального файла, настройте следующие параметры.

   • Подключение ion Параметры (только номер SKU категории "Стандартный")

     • Протокол: выберите SSH.
     • Порт: укажите номер порта.

   • Тип проверки подлинности: выберите Закрытый ключ SSH из локального файла в раскрывающемся списке.

   • Имя пользователя: введите имя пользователя.

   • Локальный файл: выберите локальный файл.

   • Парольная фраза SSH: при необходимости введите парольную фразу SSH.

2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Проверка подлинности закрытого ключа SSH — Azure Key Vault

Выполните следующие действия, чтобы настроить проверку подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault.

1. Чтобы пройти проверку подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault, настройте следующие параметры. Для номера SKU "Базовый" параметры подключения не могут быть настроены и вместо этого будут использоваться параметры подключения по умолчанию: SSH и порт 22.

   • Подключение ion Параметры (только номер SKU категории "Стандартный")

     • Протокол: выберите SSH.
     • Порт: укажите номер порта.

   • Тип проверки подлинности: выберите Закрытый ключ SSH из Azure Key Vault в раскрывающемся списке.

   • Имя пользователя: введите имя пользователя.

   • Подписка: выберите подписку.

   • Azure Key Vault: выберите Key Vault.

     • Если вы не настроили ресурс Azure Key Vault, ознакомьтесь со статьей Создание хранилища ключей и сохраните закрытый ключ SSH как значение нового секрета Key Vault.

     • Убедитесь, что у вас есть доступ к секретам, хранящимся в ресурсе Key Vault, для операций List и Get. Сведения о том, как назначить и изменить политики доступа для ресурса Key Vault, см. в статье Назначение политики доступа для Key Vault.

       Примечание.

       Сохраните закрытый ключ SSH в качестве секрета в Azure Key Vault с помощью PowerShell или Azure CLI. Сохранение закрытого ключа с помощью портала Azure Key Vault повлияет на форматирование и приведет к невозможности входа. Если вы все же сохранили закрытый ключ в качестве секрета с помощью портала и у вас больше нет доступа к исходному файлу закрытого ключа, см. инструкции по восстановлению доступа к целевой виртуальной машине с помощью новой пары ключей SSH в разделе Обновление ключа SSH.

   • Секрет Azure Key Vault: выберите секрет Key Vault, содержащий значение закрытого ключа SSH.

2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Следующие шаги

Дополнительные сведения о Бастионе Azure см. в статье Бастион Azure: часто задаваемые вопросы.