Поделиться через

Создание SSH-подключения к виртуальной машине Windows с помощью Бастиона Azure

  • Статья

В этой статье описано, как безопасно и легко создать SSH-подключение к виртуальным машинам Windows, расположенным в виртуальной сети Azure, непосредственно через портал Azure. Когда вы используете Бастион Azure, вашим виртуальным машинам не требуется клиент, агент или дополнительное программное обеспечение. Также к виртуальной машине Windows можно подключиться с помощью RDP. Дополнительные сведения см. в статье Создание RDP-подключения к виртуальной машине Windows.

Бастион Azure обеспечивает безопасное подключение ко всем виртуальным машинам в виртуальной сети, в которой он подготовлен. Бастион Azure защищает виртуальные машины от предоставления портов RDP/SSH внешним пользователям, обеспечивая при этом безопасный доступ с помощью протокола RDP/SSH. Подробнее см. в статье Что такое Бастион Azure?.

Примечание.

Если вы хотите создать SSH-подключение к виртуальной машине Windows, нужно настроить Azure Bastion на уровне SKU "Стандартный" или выше.

При подключении к виртуальной машине Windows по протоколу SSH можно использовать для проверки подлинности как имя пользователя и пароль, так и ключи SSH.

Закрытый ключ SSH должен начинаться с "-----BEGIN RSA PRIVATE KEY-----" и заканчиваться на "-----END RSA PRIVATE KEY-----".

Предварительные условия

Убедитесь, что вы настроили узел Azure Bastion для виртуальной сети, в которой находится виртуальная машина. Дополнительные сведения см. статью Создание узла Azure Bastion. Когда служба "Бастион Azure" будет подготовлена и развернута в вашей виртуальной сети, вы сможете подключаться с ее помощью к любой виртуальной машине в этой сети.

Чтобы установить SSH-подключение к виртуальной машине Windows, необходимо также убедиться в том, что:

  • Виртуальная машина Windows работает под управлением Windows Server 2019 или более поздней версии.
  • На виртуальной машине Windows установлен и запущен сервер OpenSSH. Сведения об этом см. в статье Установка OpenSSH.
  • Бастион Azure настроен для использования SKU "Стандартный" или более высокого уровня.

Обязательные роли

Для подключения требуются следующие роли:

  • роль читателя на виртуальной машине;
  • роль читателя на сетевом адаптере с частным IP-адресом для виртуальной машины;
  • роль читателя для ресурса Azure Bastion.
  • Роль читателя в виртуальной сети целевой виртуальной машины (если развертывание Bastion находится в одноранговой виртуальной сети).

Порты

Чтобы можно было подключиться к виртуальной машине Windows по протоколу SSH, на ней должны быть открыты следующие порты:

  • Входящий порт: SSH (22) или.
  • Входящий порт: пользовательское значение (при подключении к виртуальной машине через Бастион Azure необходимо указать этот пользовательский порт)

Дополнительные требования см. в разделе " Бастион Azure".

Поддерживаемые конфигурации

В настоящее время Бастион Azure поддерживает подключение только к виртуальным машинам Windows через SSH с помощью OpenSSH.

Страница подключений Бастиона

  1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться. На странице Обзор выберите Подключиться, а затем в раскрывающемся списке выберите Бастион, чтобы открыть страницу подключений Бастиона. Вы также можете выбрать пункт Бастион в области слева.

  2. На странице подключений Бастиона щелкните стрелку Параметры подключения, чтобы развернуть все доступные параметры. Обратите внимание, что если вы используете Бастион уровня "Стандартный" или выше, у вас есть больше доступных параметров.

  3. Используйте один из методов, описанных в следующих разделах, для проверки подлинности и подключения.

Имя пользователя и пароль

Выполните следующие действия для проверки подлинности с помощью имени пользователя и пароля.

  1. Для проверки подлинности с помощью имени пользователя и пароля настройте следующие параметры:

    Настройка Значение
    Протокол Выбор SSH
    порт. Введите номер порта. Пользовательские подключения портов доступны для SKU уровня "Стандартный" или выше.
    Тип проверки подлинности Выбор пароля из раскрывающегося списка
    Username Введите имя пользователя
    Пароль Введите пароль

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Закрытый ключ из локального файла

Выполните следующие действия для проверки подлинности с помощью закрытого ключа SSH из локального файла.

  1. Для проверки подлинности с помощью закрытого ключа из локального файла настройте следующие параметры:

    Настройка Значение
    Протокол Выбор SSH
    порт. Введите номер порта. Пользовательские подключения портов доступны для стандартного SKU или более высокого уровня.
    Тип проверки подлинности Выберите закрытый ключ SSH из локального файла в раскрывающемся списке
    Локальный файл Выберите локальный файл
    Парольная фраза SSH При необходимости введите парольную фразу SSH

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Пароль из Azure Key Vault

Выполните следующие действия, чтобы настроить проверку подлинности с помощью пароля из Azure Key Vault.

  1. Для проверки подлинности с помощью пароля из Azure Key Vault настройте следующие параметры:

    Настройка Значение
    Протокол Выбор SSH
    порт. Введите номер порта. Пользовательские подключения портов доступны для SKU категории "Стандарт" или выше.
    Тип проверки подлинности Выбор пароля из Azure Key Vault в раскрывающемся списке
    Username Введите имя пользователя
    Подписка Выбор подписки
    Azure Key Vault Выберите Хранилище ключей
    Секрет Azure Key Vault Выберите секрет Key Vault, содержащий значение закрытого ключа SSH

    • Если вы не настроили ресурс Azure Key Vault, ознакомьтесь со статьей Создание хранилища ключей и сохраните закрытый ключ SSH как значение нового секрета Key Vault.

    • Убедитесь, что у вас есть доступ для операций List и Get к секретам, хранящимся в ресурсе Key Vault. Сведения о том, как назначить и изменить политики доступа для ресурса Key Vault, см. в статье Назначение политики доступа для Key Vault.

      Примечание.

      Сохраните закрытый ключ SSH в качестве секрета в Azure Key Vault с помощью PowerShell или Azure CLI. Сохранение закрытого ключа с помощью портала Azure Key Vault повлияет на форматирование и приведет к невозможности входа. Если вы все же сохранили закрытый ключ в качестве секрета с помощью портала и у вас больше нет доступа к исходному файлу закрытого ключа, см. инструкции по восстановлению доступа к целевой виртуальной машине с помощью новой пары ключей SSH в разделе Обновление ключа SSH.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Закрытый ключ из Azure Key Vault

Выполните следующие действия, чтобы настроить проверку подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault.

  1. Для проверки подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault, настройте следующие параметры:

    Настройка Значение
    Протокол Выбор SSH
    порт. Введите номер порта. Пользовательские подключения портов доступны для номера SKU категории "Стандартный" или более поздней версии.
    Тип проверки подлинности Выберите закрытый ключ SSH из Azure Key Vault из раскрывающегося списка
    Username Введите имя пользователя
    Подписка Выбор подписки
    Azure Key Vault Выберите хранилище ключей
    Секрет Azure Key Vault Выберите секрет Key Vault, содержащий значение закрытого ключа SSH

    • Если вы не настроили ресурс Azure Key Vault, ознакомьтесь со статьей Создание хранилища ключей и сохраните закрытый ключ SSH как значение нового секрета Key Vault.

    • Убедитесь, что у вас есть доступ к операциям List и Get для секретов, хранящихся в ресурсе Key Vault. Сведения о том, как назначить и изменить политики доступа для ресурса Key Vault, см. в статье Назначение политики доступа для Key Vault.

      Примечание.

      Сохраните закрытый ключ SSH в качестве секрета в Azure Key Vault с помощью PowerShell или Azure CLI. Сохранение закрытого ключа с помощью портала Azure Key Vault повлияет на форматирование и приведет к невозможности входа. Если вы все же сохранили закрытый ключ в качестве секрета с помощью портала и у вас больше нет доступа к исходному файлу закрытого ключа, см. инструкции по восстановлению доступа к целевой виртуальной машине с помощью новой пары ключей SSH в разделе Обновление ключа SSH.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Следующие шаги

Дополнительные сведения о Бастионе Azure см. в статье Бастион Azure: часто задаваемые вопросы.