Поделиться через

Создание SSH-подключения к виртуальной машине Linux с помощью Бастиона Azure

  • Статья

В этой статье описано, как безопасно и легко создать SSH-подключение к виртуальным машинам Linux, расположенным в виртуальной сети Azure, непосредственно через портал Azure. Когда вы используете Бастион Azure, вашим виртуальным машинам не требуется клиент, агент или дополнительное программное обеспечение.

Бастион Azure обеспечивает безопасное подключение ко всем виртуальным машинам в виртуальной сети, в которой он подготовлен. Бастион Azure защищает виртуальные машины от предоставления портов RDP/SSH внешним пользователям, обеспечивая при этом безопасный доступ с помощью протокола RDP/SSH. Дополнительные сведения см. в статье "Что такое Бастион Azure?" .

При подключении к виртуальной машине Linux по протоколу SSH можно использовать для проверки подлинности как имя пользователя и пароль, так и ключи SSH.

Предварительные условия

Убедитесь, что вы настроили узел Azure Bastion для виртуальной сети, в которой находится виртуальная машина. Более подробную информацию см. в разделе Создание узла Бастиона Azure. Когда служба "Бастион Azure" будет подготовлена и развернута в вашей виртуальной сети, вы сможете подключаться с ее помощью к любой виртуальной машине в этой сети.

Параметры подключения и функции, доступные, зависят от используемой вами SKU Bastion. Убедитесь, что ваше развертывание Бастиона использует необходимый SKU (идентификатор продукта).

  • См. раздел "SKU и функции" статьи "Обзор Бастиона" для получения сведений о доступных функциях и параметрах на уровне SKU.
  • Чтобы проверить уровень SKU развертывания Бастиона и обновить при необходимости, ознакомьтесь с разделом "Обновление SKU Бастиона".

Обязательные роли

Чтобы осуществить подключение, требуются следующие роли:

  • роль читателя на виртуальной машине;
  • роль читателя на сетевом адаптере с частным IP-адресом для виртуальной машины;
  • роль читателя для ресурса Azure Bastion.
  • Роль читателя в виртуальной сети целевой виртуальной машины (если развертывание Бастиона находится в одноранговой виртуальной сети).

Порты

Чтобы можно было подключиться к виртуальной машине Linux по протоколу SSH, на ней должны быть открыты следующие порты:

  • Входящий порт: SSH (22) или.
  • Входящий порт: настраиваемое значение (при подключении к виртуальной машине через Бастион Azure необходимо указать этот пользовательский порт). Этот параметр недоступен для номера SKU "Базовый" или "Разработчик".

Страница подключений Бастиона

  1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться. В верхней части страницы обзора виртуальной машины выберите "Подключиться", а затем выберите "Подключиться через бастион" в раскрывающемся списке. Откроется страница Бастиона . Вы можете перейти на страницу Бастиона непосредственно в левой области.

  2. На странице Бастиона параметры, которые можно настроить, зависят от уровня SKU, который настроен для использования узлом бастиона.

    • Если вы используете SKU выше, чем номер SKU уровня "Базовый", значения параметров подключения (порты и протоколы) отображаются и могут быть настроены.

    • Если вы используете номер SKU "Базовый" или "Номер SKU разработчика", нельзя настроить значения параметров подключения. Вместо этого подключение использует следующие параметры по умолчанию: SSH и порт 22.

    • Чтобы просмотреть и выбрать доступный тип проверки подлинности, используйте раскрывающийся список.

  3. Используйте следующие разделы в этой статье, чтобы настроить параметры проверки подлинности и подключиться к виртуальной машине.

Проверка подлинности идентификатора Microsoft Entra

Примечание.

Поддержка аутентификации Microsoft Entra ID для подключений SSH на портале доступна только для виртуальных машин Linux.

Если выполнены следующие предварительные требования, идентификатор Microsoft Entra становится параметром по умолчанию для подключения к виртуальной машине. Если нет, идентификатор Microsoft Entra ID не будет отображаться в качестве параметра.

Необходимые условия:

  • На виртуальной машине должен быть включен вход в Microsoft Entra ID. Вход в Microsoft Entra ID можно включить во время создания виртуальной машины или добавив расширение Microsoft Entra ID Login в существующую виртуальную машину.

  • Для пользователя необходимо настроить одну из следующих обязательных ролей на виртуальной машине:

    • Имя входа администратора виртуальной машины. Эта роль необходима, если вы хотите войти с правами администратора.
    • Имя входа пользователя виртуальной машины. Эта роль необходима, если вы хотите войти с помощью обычных привилегий пользователя.

Выполните следующие действия для проверки подлинности с помощью идентификатора Microsoft Entra.

  1. Чтобы пройти проверку подлинности с помощью идентификатора Microsoft Entra, настройте следующие параметры.

    Настройки Описание
    Параметры подключения Доступно только для номеров SKU, превышающих уровень "Базовый".
    Протокол Выберите SSH.
    порт Укажите номер порта.
    Тип проверки подлинности Выберите идентификатор Microsoft Entra в раскрывающемся списке.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Проверка пароля

Выполните следующие действия для проверки подлинности с помощью имени пользователя и пароля.

  1. Чтобы пройти проверку подлинности с помощью имени пользователя и пароля, настройте следующие параметры.

    Настройки Описание
    Параметры подключения Доступно только для SKU выше, чем "Базовый".
    Протокол Выберите SSH.
    порт. Укажите номер порта.
    Тип проверки подлинности Выберите пароль из раскрывающегося списка.
    Username Введите имя пользователя.
    Пароль Введите пароль.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Проверка подлинности паролей — Azure Key Vault

Выполните следующие действия, чтобы настроить проверку подлинности с помощью пароля из Azure Key Vault.

  1. Чтобы пройти проверку подлинности с помощью пароля из Azure Key Vault, настройте следующие параметры.

    Настройки Описание
    Параметры подключения Доступно только для SKU, превышающих уровень "Базовый".
    Протокол Выберите SSH.
    порт. Укажите номер порта.
    Тип проверки подлинности Выберите пароль из Azure Key Vault в раскрывающемся списке.
    Username Введите имя пользователя.
    Подписка Выберите подписку.
    Azure Key Vault Выберите хранилище ключей Key Vault.
    Секрет Azure Key Vault Выберите секрет Key Vault, содержащий значение закрытого ключа SSH.

    • Если вы не настроили ресурс Azure Key Vault, ознакомьтесь со статьей Создание хранилища ключей и сохраните закрытый ключ SSH как значение нового секрета Key Vault.

    • Убедитесь, что у вас есть разрешения на выполнение операций List и Get с секретами, хранящимися в ресурсе Key Vault. Сведения о том, как назначить и изменить политики доступа для ресурса Key Vault, см. в статье Назначение политики доступа для Key Vault.

    • Сохраните закрытый ключ SSH в виде секрета в Azure Key Vault с помощью PowerShell или Azure CLI. Хранение закрытого ключа через интерфейс портала Azure Key Vault мешает правильному форматированию и приводит к неудачным попыткам входа. Если вы все же сохранили закрытый ключ в качестве секрета с помощью портала и у вас больше нет доступа к исходному файлу закрытого ключа, см. инструкции по восстановлению доступа к целевой виртуальной машине с помощью новой пары ключей SSH в разделе Обновление ключа SSH.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Проверка подлинности закрытого ключа SSH — локальный файл

Выполните следующие действия для проверки подлинности с помощью закрытого ключа SSH из локального файла.

  1. Чтобы выполнить проверку подлинности с помощью закрытого ключа из локального файла, настройте следующие параметры.

    Настройка Описание
    Параметры подключения Доступно только для SKU уровня выше "Базовый".
    Протокол Выберите SSH.
    порт. Укажите номер порта.
    Тип проверки подлинности Выберите закрытый ключ SSH из локального файла в раскрывающемся списке.
    Username Введите имя пользователя.
    Локальный файл Выберите локальный файл.
    Парольная фраза SSH При необходимости введите парольную фразу SSH.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Проверка подлинности закрытого ключа SSH — Azure Key Vault

Выполните следующие действия, чтобы настроить проверку подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault.

  1. Чтобы пройти проверку подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault, настройте следующие параметры. Для номера SKU "Базовый" параметры подключения не могут быть настроены и вместо этого будут использоваться параметры подключения по умолчанию: SSH и порт 22.

    Настройка Описание
    Параметры подключения Доступно только для уровней SKU выше уровня "Базовый".
    Протокол Выберите SSH.
    порт. Укажите номер порта.
    Тип проверки подлинности В раскрывающемся списке выберите закрытый ключ SSH из Azure Key Vault .
    Username Введите имя пользователя.
    Подписка Выберите подписку.
    Azure Key Vault Выберите Key Vault.
    Секрет Azure Key Vault Выберите секрет Key Vault, содержащий значение закрытого ключа SSH.

    • Если вы не настроили ресурс Azure Key Vault, ознакомьтесь со статьей Создание хранилища ключей и сохраните закрытый ключ SSH как значение нового секрета Key Vault.

    • Убедитесь, что у вас есть List и Get доступ к секретам, хранящимся в ресурсе Key Vault. Сведения о том, как назначить и изменить политики доступа для ресурса Key Vault, см. в статье Назначение политики доступа для Key Vault.

    • Сохраните закрытый ключ SSH в виде секрета в Azure Key Vault с помощью PowerShell или Azure CLI. Хранение закрытого ключа через портал Azure Key Vault мешает форматированию и приводит к неудачным попыткам входа. Если вы все же сохранили закрытый ключ в качестве секрета с помощью портала и у вас больше нет доступа к исходному файлу закрытого ключа, см. инструкции по восстановлению доступа к целевой виртуальной машине с помощью новой пары ключей SSH в разделе Обновление ключа SSH.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Следующие шаги

Дополнительные сведения о Бастионе Azure см. в статье Бастион Azure: часто задаваемые вопросы.