Udostępnij przez

Tworzenie połączenia SSH z maszyną wirtualną z systemem Windows przy użyciu usługi Azure Bastion

W tym artykule pokazano, jak bezpiecznie i bezproblemowo utworzyć połączenie SSH z maszynami wirtualnymi z systemem Windows znajdującymi się w sieci wirtualnej platformy Azure bezpośrednio za pośrednictwem witryny Azure Portal. W przypadku korzystania z usługi Azure Bastion maszyny wirtualne nie wymagają klienta, agenta ani dodatkowego oprogramowania. Możesz również nawiązać połączenie z maszyną wirtualną z systemem Windows przy użyciu protokołu RDP. Aby uzyskać informacje, zobacz Tworzenie połączenia RDP z maszyną wirtualną z systemem Windows.

Usługa Azure Bastion zapewnia bezpieczną łączność ze wszystkimi maszynami wirtualnymi w sieci wirtualnej, w której jest aprowizowana. Usługa Azure Bastion chroni maszyny wirtualne przed ujawnieniem portów RDP/SSH na zewnątrz, jednocześnie zapewniając bezpieczny dostęp przy użyciu protokołu RDP/SSH. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion?.

Uwaga

Jeśli chcesz utworzyć połączenie SSH z maszyną wirtualną z systemem Windows, usługa Azure Bastion musi być skonfigurowana przy użyciu SKU w wersji Standardowa lub wyższej.

Podczas nawiązywania połączenia z maszyną wirtualną z systemem Windows przy użyciu protokołu SSH można użyć zarówno nazwy użytkownika/hasła, jak i kluczy SSH do uwierzytelniania.

Klucz prywatny SSH musi mieć format, który rozpoczyna się od "-----BEGIN RSA PRIVATE KEY-----" i kończy "-----END RSA PRIVATE KEY-----".

Wymagania wstępne

Upewnij się, że skonfigurowaliśmy hosta usługi Azure Bastion dla sieci wirtualnej, w której znajduje się maszyna wirtualna. Aby uzyskać więcej informacji, zobacz Tworzenie hosta usługi Azure Bastion. Po aprowizacji i wdrożeniu usługi Bastion w sieci wirtualnej można jej użyć do nawiązania połączenia z dowolną maszyną wirtualną w tej sieci wirtualnej.

Aby połączyć protokół SSH z maszyną wirtualną z systemem Windows, należy również upewnić się, że:

  • Na maszynie wirtualnej z systemem Windows działa system Windows Server 2019 lub nowszy.
  • Masz zainstalowany i uruchomiony serwer OpenSSH na maszynie wirtualnej z systemem Windows. Aby dowiedzieć się, jak to zrobić, zobacz Instalowanie protokołu OpenSSH.
  • Usługa Azure Bastion została skonfigurowana do korzystania ze SKU Standard lub nowszego.

Wymagane role

Aby nawiązać połączenie, wymagane są następujące role:

  • Rola czytelnika na maszynie wirtualnej
  • Rola czytelnika na karcie sieciowej z prywatnym adresem IP maszyny wirtualnej
  • Rola Reader na zasobie usługi Azure Bastion
  • Rola czytelnika w sieci wirtualnej maszyny docelowej (jeśli wdrożenie usługi Bastion znajduje się w połączonej sieci wirtualnej).

Porty

Aby nawiązać połączenie z maszyną wirtualną z systemem Windows za pośrednictwem protokołu SSH, musisz mieć otwarte następujące porty na maszynie wirtualnej:

  • Port przychodzący: SSH (22) lub
  • Port przychodzący: wartość niestandardowa (następnie należy określić ten port niestandardowy podczas nawiązywania połączenia z maszyną wirtualną za pośrednictwem usługi Azure Bastion)

Aby uzyskać dodatkowe wymagania, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.

Obsługiwane konfiguracje

Obecnie usługa Azure Bastion obsługuje tylko łączenie się z maszynami wirtualnymi z systemem Windows za pośrednictwem protokołu SSH przy użyciu protokołu OpenSSH.

Strona połączenia usługi Bastion

  1. W witrynie Azure Portal przejdź do maszyny wirtualnej, z którą chcesz nawiązać połączenie. Na stronie Przegląd wybierz pozycję Połącz, a następnie z listy rozwijanej wybierz pozycję Bastion, aby otworzyć stronę połączenia usługi Bastion. Możesz również wybrać pozycję Bastion w okienku po lewej stronie.

  2. Na stronie połączenia Bastion kliknij strzałkę ustawień połączenia, aby rozwinąć wszystkie dostępne ustawienia. Zwróć uwagę, że jeśli używasz SKU Bastion Standard lub wyższej, masz więcej dostępnych ustawień.

  3. Uwierzytelnianie i nawiązywanie połączenia przy użyciu jednej z metod w poniższych sekcjach.

Nazwa użytkownika i hasło

Wykonaj poniższe kroki, aby uwierzytelnić się przy użyciu nazwy użytkownika i hasła.

  1. Aby uwierzytelnić się przy użyciu nazwy użytkownika i hasła, skonfiguruj następujące ustawienia:

    Ustawienie Wartość
    Protokół Wybieranie protokołu SSH
    Port Wprowadź numer portu. Połączenia portów niestandardowych są dostępne dla SKU w wersji Standard lub wyższej.
    Authentication type (Typ uwierzytelniania) Wybierz Hasło z listy rozwijanej
    Nazwa użytkownika Wprowadź nazwę użytkownika
    Hasło Wprowadź hasło

  2. Aby pracować z maszyną wirtualną na nowej karcie przeglądarki, wybierz pozycję Otwórz na nowej karcie przeglądarki.

  3. Kliknij przycisk Połącz, aby nawiązać połączenie z maszyną wirtualną.

Klucz prywatny z pliku lokalnego

Wykonaj poniższe kroki, aby uwierzytelnić się przy użyciu klucza prywatnego SSH z pliku lokalnego.

  1. Aby uwierzytelnić się przy użyciu klucza prywatnego z pliku lokalnego, skonfiguruj następujące ustawienia:

    Ustawienie Wartość
    Protokół Wybieranie protokołu SSH
    Port Wprowadź numer portu. Niestandardowe połączenia portów są dostępne dla SKU w wersji Standardowej lub wyższej.
    Authentication type (Typ uwierzytelniania) Z rozwijanej listy wybierz Klucz prywatny SSH z lokalnego pliku
    Plik lokalny Wybierz plik lokalny
    Hasło SSH W razie potrzeby wprowadź hasło SSH

  2. Aby pracować z maszyną wirtualną na nowej karcie przeglądarki, wybierz pozycję Otwórz na nowej karcie przeglądarki.

  3. Kliknij przycisk Połącz, aby nawiązać połączenie z maszyną wirtualną.

Hasło — Azure Key Vault

Wykonaj poniższe kroki, aby uwierzytelnić się przy użyciu hasła z usługi Azure Key Vault.

  1. Aby uwierzytelnić się przy użyciu hasła z usługi Azure Key Vault, skonfiguruj następujące ustawienia:

    Ustawienie Wartość
    Protokół Wybieranie protokołu SSH
    Port Wprowadź numer portu. Połączenia portów niestandardowych są dostępne dla SKU w warstwie Standard lub wyższej.
    Authentication type (Typ uwierzytelniania) Z listy rozwijanej wybierz Hasło z Azure Key Vault
    Nazwa użytkownika Wprowadź nazwę użytkownika
    Subskrypcja Wybierz subskrypcję
    Azure Key Vault Wybierz usługę Key Vault
    Wpis tajny usługi Azure Key Vault Wybierz sekret Key Vault zawierający wartość klucza prywatnego SSH

    • Jeśli nie skonfigurowałeś zasobu usługi Azure Key Vault, zobacz Tworzenie magazynu kluczy i przechowaj swój klucz prywatny SSH jako wartość nowej tajemnicy w Key Vault.

    • Upewnij się, że masz List i Get dostęp do tajemnic przechowywanych w zasobie Key Vault. Aby przypisać i zmodyfikować zasady dostępu dla zasobu usługi Key Vault, zobacz Przypisywanie zasad dostępu usługi Key Vault.

      Uwaga

      Zapisz swój klucz prywatny SSH jako wpis tajny w usłudze Azure Key Vault, korzystając ze środowiska PowerShell lub Azure CLI. Przechowywanie klucza prywatnego za pośrednictwem środowiska portalu usługi Azure Key Vault zakłóca formatowanie i spowoduje niepowodzenie logowania. Jeśli klucz prywatny został przechowywany jako klucz tajny przy użyciu środowiska portalu i nie masz już dostępu do oryginalnego pliku klucza prywatnego, zobacz Aktualizowanie klucza SSH w celu zaktualizowania dostępu do docelowej maszyny wirtualnej przy użyciu nowej pary kluczy SSH.

  2. Aby pracować z maszyną wirtualną na nowej karcie przeglądarki, wybierz pozycję Otwórz na nowej karcie przeglądarki.

  3. Kliknij przycisk Połącz, aby nawiązać połączenie z maszyną wirtualną.

Klucz prywatny — Azure Key Vault

Wykonaj poniższe kroki, aby uwierzytelnić się przy użyciu klucza prywatnego przechowywanego w usłudze Azure Key Vault.

  1. Aby uwierzytelnić się przy użyciu klucza prywatnego przechowywanego w usłudze Azure Key Vault, skonfiguruj następujące ustawienia:

    Ustawienie Wartość
    Protokół Wybieranie protokołu SSH
    Port Wprowadź numer portu. Połączenia portów niestandardowych są dostępne dla SKU Standardowego lub wyższego poziomu.
    Authentication type (Typ uwierzytelniania) Z listy rozwijanej wybierz pozycję Klucz prywatny SSH z usługi Azure Key Vault
    Nazwa użytkownika Wprowadź nazwę użytkownika
    Subskrypcja Wybierz subskrypcję
    Azure Key Vault Wybierz usługę Key Vault
    Wpis tajny usługi Azure Key Vault Wybierz wpis tajny usługi Key Vault zawierający wartość klucza prywatnego SSH

    • Jeśli nie skonfigurowałeś/-aś zasobu usługi Azure Key Vault, zobacz Tworzenie magazynu kluczy i przechowaj klucz prywatny SSH jako wartość nowego tajnego wpisu w usłudze Azure Key Vault.

    • Upewnij się, że masz listę i uzyskaj dostęp do wpisów tajnych przechowywanych w zasobie usługi Key Vault. Aby przypisać i zmodyfikować zasady dostępu dla zasobu usługi Key Vault, zobacz Przypisywanie zasad dostępu usługi Key Vault.

      Uwaga

      Zapisz klucz prywatny SSH jako sekret w usłudze Azure Key Vault, używając PowerShell lub Azure CLI. Przechowywanie klucza prywatnego za pośrednictwem środowiska portalu usługi Azure Key Vault zakłóca formatowanie i spowoduje niepowodzenie logowania. Jeśli klucz prywatny został przechowywany jako klucz tajny przy użyciu środowiska portalu i nie masz już dostępu do oryginalnego pliku klucza prywatnego, zobacz Aktualizowanie klucza SSH w celu zaktualizowania dostępu do docelowej maszyny wirtualnej przy użyciu nowej pary kluczy SSH.

  2. Aby pracować z maszyną wirtualną na nowej karcie przeglądarki, wybierz pozycję Otwórz na nowej karcie przeglądarki.

  3. Kliknij przycisk Połącz, aby nawiązać połączenie z maszyną wirtualną.

Następne kroki

Aby uzyskać więcej informacji na temat usługi Azure Bastion, zobacz Często zadawane pytania dotyczące usługi Bastion.

  • Last updated on