Создание подключения SSH к виртуальной машине Linux с помощью Azure Bastion

Доступно для: Портал Azure, собственный клиент. Не поддерживается для IP-подключений.

Предварительные требования, действия по настройке и инструкции по подключению см. в разделе "Настройка проверки подлинности идентификатора Microsoft Entra для Бастиона Azure".

Доступно для: Портал Azure, IP-адрес (портал), собственный клиент.

Чтобы пройти проверку подлинности с помощью имени пользователя и пароля, настройте следующие параметры.

При подключении через портал при необходимости выберите "Открыть" на новой вкладке браузера, а затем нажмите кнопку "Подключить".

Доступно для: Только портал Azure.

Чтобы пройти проверку подлинности с помощью пароля из Azure Key Vault, настройте следующие параметры.

Требования к настройке Key Vault см. в разделе "Конфигурация Key Vault".

Выберите "Открыть" на новой вкладке браузера, если это нужно, а затем нажмите кнопку "Подключить".

Доступно для: Портал Azure, IP-адрес (портал), собственный клиент.

Чтобы выполнить проверку подлинности с помощью закрытого ключа из локального файла, настройте следующие параметры.

При подключении через портал при необходимости выберите "Открыть" на новой вкладке браузера, а затем нажмите кнопку "Подключить".

Доступно для: Только портал Azure. Не поддерживается для нативных клиентских или IP-основанных подключений.

Чтобы выполнить проверку подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault, настройте следующие параметры.

Требования к настройке Key Vault см. в разделе "Конфигурация Key Vault".

Выберите "Открыть" на новой вкладке браузера, если это нужно, а затем нажмите кнопку "Подключить".

Используйте портал Azure для создания подключения SSH на основе браузера к виртуальной машине Linux. Этот метод подключается непосредственно через браузер. На локальном компьютере не требуется собственный клиент SSH или дополнительное программное обеспечение. SKU "Базовый" или выше требуется, или SKU "Стандартный", если вам нужны пользовательские порты.

1. На портале Azure перейдите на виртуальную машину, к которой требуется подключиться. В верхней части страницы обзора виртуальной машины выберите "Подключиться", а затем выберите "Подключиться через бастион" в раскрывающемся списке. Откроется страница Бастиона . Вы также можете перейти на страницу Бастиона непосредственно в левой области.

2. На странице Бастиона параметры, которые можно настроить, зависят от номера SKU Бастиона, который настроен для использования узлом бастиона.

   • Если вы используете SKU выше, чем номер SKU уровня "Базовый", значения параметров подключения (порты и протоколы) отображаются и могут быть настроены.
   • Если вы используете номер SKU "Базовый" или "Номер SKU разработчика", нельзя настроить значения параметров подключения. Вместо этого подключение использует следующие параметры по умолчанию: SSH и порт 22.
   • Чтобы просмотреть и выбрать доступный тип проверки подлинности, используйте раскрывающийся список.

3. Настройте параметры проверки подлинности. Дополнительные сведения см. в разделе " Сведения о проверке подлинности". Нажмите Подключиться.

Используйте портал Azure для создания подключения SSH на основе браузера к виртуальной машине Linux с помощью указанного IP-адреса. Этот метод подключается через браузер и не требует собственного клиента SSH или дополнительного программного обеспечения на локальном компьютере. Требуется SKU уровня Standard или выше, и необходимо включить подключение на основе IP-адресов.

Включение IP-подключения

Перед тем как подключиться по IP-адресу, необходимо включить подключение на основе IP в системе Bastion.

1. На портале Azure перейдите к развертыванию Бастиона.

2. На странице "Конфигурация" для Tier убедитесь, что SKU установлен на Standard или выше. Если номер SKU имеет значение "Базовый", выберите более высокий номер SKU в раскрывающемся списке.

3. Выберите подключение на основе IP-адресов.

4. Нажмите Применить, чтобы применить изменения. Завершение настройки Бастиона занимает несколько минут.

После включения подключения на основе IP-адресов указываете IP-адрес целевой виртуальной машины непосредственно на странице Connect Бастиона, вместо выбора виртуальной машины на портале Azure.

Подключение с помощью IP-адреса

1. Чтобы подключиться к виртуальной машине с помощью указанного IP-адреса, сделайте подключение из Бастиона, а не непосредственно на странице виртуальной машины. В ресурсе Бастиона выберите "Подключиться" , чтобы открыть страницу Connect.

2. На странице Connect Bastion, в разделе IP-адрес, введите IP-адрес целевой виртуальной машины.

3. Настройте параметры подключения в соответствии с требуемым протоколом (SSH) и портом.

4. Доступные типы проверки подлинности для подключений SSH на основе IP-адресов на портале — это пароль и закрытый ключ SSH из локального файла. Настройте параметры проверки подлинности. Дополнительные сведения см. в разделе " Сведения о проверке подлинности". Нажмите Подключиться.

Подключитесь к виртуальной машине Linux с локального компьютера с помощью Azure CLI (az network bastion ssh). Для этого метода требуется набор SKU "Стандартный" или выше с включенной поддержкой собственного клиента.

Прежде чем начать, убедитесь, что у вас есть следующие предварительные требования:

• Установлена последняя версия команд CLI (версия 2.32 или более поздняя). Вы можете обновить интерфейс командной строки для бастиона с помощью az extension update --name bastion. Сведения об установке команд CLI см. в разделах Установка Azure CLI и Начало работы с Azure CLI.
• Бастион Azure уже развернут и настроен для виртуальной сети. Инструкции см. в разделе "Настройка бастиона" для собственных подключений клиентов.
• Виртуальная машина в виртуальной сети.
• Идентификатор ресурса виртуальной машины. Идентификатор ресурса можно легко найти на портале Azure. Перейдите на страницу "Обзор" для виртуальной машины и щелкните ссылку Представление JSON, чтобы открыть JSON-файл ресурса. Скопируйте идентификатор ресурса в верхней части страницы в буфер обмена, чтобы использовать его позже при подключении к виртуальной машине.
• Если вы планируете войти на виртуальную машину с помощью учетных данных Microsoft Entra, убедитесь, что виртуальная машина настроена с помощью одного из следующих методов:
  • Включите вход Microsoft Entra для виртуальной машины Windows или виртуальной машины Linux.
  • Настройте виртуальную машину Windows для присоединения к Microsoft Entra.
  • Настройте виртуальную машину Windows для гибридного присоединения к Microsoft Entra.

Обязательные роли

• роль читателя на виртуальной машине;

• роль читателя на сетевом адаптере с частным IP-адресом для виртуальной машины;

• Роль читателя в ресурсе Azure Bastion.

• Роль администратора виртуальной машины или роль пользователя виртуальной машины, если вы используете метод входа Microsoft Entra. Это необходимо сделать только в том случае, если вы включаете вход в Microsoft Entra с помощью процессов, описанных в одной из следующих статей:

  • Виртуальные машины Windows Azure и идентификатор Microsoft Entra
  • Виртуальные машины Linux Azure и идентификатор Microsoft Entra

Порты

Чтобы подключиться к виртуальной машине Linux с помощью собственной поддержки клиентов, необходимо открыть следующие порты на виртуальной машине Linux:

• Входящий порт: SSH (22) или.
• Входящий порт: пользовательское значение (при подключении к виртуальной машине через Бастион Azure необходимо указать этот пользовательский порт).

Чтобы подключиться к виртуальной машине Windows с помощью собственной поддержки клиентов, необходимо открыть следующие порты на виртуальной машине Windows:

• Входящий порт: RDP (3389) или
• Входящий порт: пользовательское значение (при подключении к виртуальной машине через Бастион Azure необходимо указать этот пользовательский порт).

Сведения об оптимальной настройке групп безопасности сети с помощью Бастиона Azure см. в статье Работа с доступом группы безопасности сети и Бастионом Azure.

Инструкции по подключению с помощью собственного клиента см. в статье "Подключение к виртуальной машине с помощью бастиона" и собственного клиента Linux.

Сведения о поддерживаемых типах проверки подлинности см. в разделе "Сведения о проверке подлинности".