Vytvoření připojení SSH k virtuálnímu počítači s Linuxem pomocí Azure Bastion

Tento článek popisuje, jak vytvořit zabezpečené připojení SSH k virtuálním počítačům s Linuxem pomocí služby Azure Bastion. Můžete se připojit přes Azure Portal (na základě prohlížeče), přes zadanou IP adresu nebo pomocí nativního klienta na místním počítači. Pokud používáte Azure Bastion, vaše virtuální počítače nevyžadují klienta, agenta ani další software. Azure Bastion se bezpečně připojí ke všem virtuálním počítačům ve virtuální síti bez vystavení portů RDP/SSH na veřejný internet. Další informace najdete v tématu Co je Azure Bastion?

Informace o nativních klientských připojeních pomocí Azure CLI najdete v tématu Připojení k virtuálnímu počítači pomocí nativního klienta s Linuxem nebo připojení k virtuálnímu počítači pomocí nativního klienta Windows. Pokud se chcete připojit k virtuálnímu počítači s Linuxem pomocí protokolu RDP, přečtěte si téma Vytvoření připojení RDP k virtuálnímu počítači s Linuxem.

Následující diagram znázorňuje vyhrazenou architekturu nasazení pomocí připojení SSH.

Požadavky

Než začnete, ověřte, že splňujete následující kritéria:

• Hostitel služby Azure Bastion nasazený ve virtuální síti, ve které se nachází virtuální počítač, nebo v partnerské virtuální síti. Pokud chcete nastavit hostitele Bastionu, přečtěte si téma Vytvoření hostitele bastionu. Skladová položka, kterou potřebujete, závisí na vaší metodě připojení:

  Způsob připojení	Minimální skladová položka	Další konfigurace
  Azure Portal (prohlížeč)	Basic	None
  Azure Portal s vlastními porty	Standard	None
  Připojení založené na PROTOKOLU IP	Standard	Povolené připojení založené na PROTOKOLU IP
  Nativní klient (SSH)	Standard	Povolená podpora nativního klienta

• Virtuální počítač s Linuxem ve virtuální síti (nebo dostupný z virtuální sítě pro připojení založená na PROTOKOLU IP).

• Požadované role:

  • Role čtenáře na virtuálním počítači.
  • Role čtenáře na síťovém rozhraní s privátní IP adresou virtuálního počítače.
  • Role čtenáře prostředku Azure Bastion
  • Role čtenáře v rámci virtuální sítě, kterou využívá cílový virtuální počítač (pokud je nasazení Bastionu v partnerské virtuální síti).
  • Přihlašovací role správce virtuálního počítače nebo přihlašovací role uživatele virtuálního počítače (vyžaduje se pouze pro ověřování Microsoft Entra ID).

• Porty: Pokud se chcete připojit k virtuálnímu počítači s Linuxem přes SSH, musíte mít na virtuálním počítači otevřené následující porty:

  • Příchozí port: SSH (22) nebo
  • Příchozí port: Vlastní hodnota (tento vlastní port budete muset zadat při připojení k virtuálnímu počítači přes Azure Bastion). Toto nastavení není k dispozici pro skladovou položku Basic nebo Developer.

Další požadavky najdete v nejčastějších dotazech ke službě Azure Bastion .

Metody ověřování

Následující tabulka ukazuje, které metody ověřování jsou dostupné pro každou metodu připojení.

Metoda ověřování	Podporované metody připojení	Minimální skladová položka
Microsoft Entra ID	Azure Portal, nativní klient	Basic (portál), Standard (nativní klient)
Uživatelské jméno a heslo	Azure Portal, IP adresa (portál), nativní klient	Basic (portál), Standard (IP adresa, nativní klient)
Heslo ze služby Azure Key Vault	Azure Portal	Basic
Privátní klíč SSH z místního souboru	Azure Portal, IP adresa (portál), nativní klient	Basic (portál), Standard (IP adresa, nativní klient)
Privátní klíč SSH ze služby Azure Key Vault	Azure Portal	Basic

Podrobnosti o ověřování

Nakonfigurujte nastavení ověřování pro vaše připojení. Pro každou metodu připojení nejsou k dispozici všechny metody ověřování. Dostupnost najdete v tabulce metod ověřování .

Microsoft Entra ID

K dispozici pro: Azure Portal, nativní klient. Nepodporuje se pro připojení založená na PROTOKOLU IP.

Požadavky, kroky nastavení a pokyny k připojení najdete v tématu Konfigurace ověřování ID Microsoft Entra pro Azure Bastion.

Uživatelské jméno a heslo

K dispozici pro: Azure Portal, IP adresa (portál), nativní klient.

Pokud se chcete ověřit pomocí uživatelského jména a hesla, nakonfigurujte následující nastavení.

Nastavení	Popis
Typ ověřování	V rozevíracím seznamu vyberte Heslo .
Uživatelské jméno	Zadejte uživatelské jméno.
Heslo	Zadejte heslo.

Při připojování přes portál vyberte v případě potřeby možnost Otevřít na nové kartě prohlížeče a pak vyberte Připojit.

Heslo ze služby Azure Key Vault

K dispozici pro: Pouze Azure portal.

Pokud se chcete ověřit pomocí hesla z Azure Key Vault, nakonfigurujte následující nastavení.

Nastavení	Popis
Typ ověřování	V rozevíracím seznamu vyberte Password z Azure Key Vault.
Uživatelské jméno	Zadejte uživatelské jméno.
Subscription	Vyberte předplatné.
Azure Key Vault	Vyberte Key Vault.
tajný kód Azure Key Vault	Vyberte tajný klíč Key Vault obsahující hodnotu vašeho privátního klíče SSH.

Požadavky na nastavení služby Key Vault najdete v tématu Konfigurace služby Key Vault.

V případě potřeby vyberte Otevřít na nové kartě prohlížeče a pak vyberte Připojit.

Privátní klíč SSH z místního souboru

K dispozici pro: Azure Portal, IP adresa (portál), nativní klient.

Poznámka:

Privátní klíč SSH musí být ve formátu, který začíná "-----BEGIN RSA PRIVATE KEY-----" a končí na "-----END RSA PRIVATE KEY-----".

Pokud se chcete ověřit pomocí privátního klíče z místního souboru, nakonfigurujte následující nastavení.

Nastavení	Popis
Typ ověřování	V rozevíracím seznamu vyberte privátní klíč SSH z místního souboru .
Uživatelské jméno	Zadejte uživatelské jméno.
Místní soubor	Vyberte místní soubor.
Heslo SSH	V případě potřeby zadejte heslo SSH.

Při připojování přes portál vyberte v případě potřeby možnost Otevřít na nové kartě prohlížeče a pak vyberte Připojit.

Privátní klíč SSH ze služby Azure Key Vault

K dispozici pro: pouze Azure portal. Nepodporuje se u nativních klientských nebo IP připojení.

Poznámka:

Privátní klíč SSH musí být ve formátu, který začíná "-----BEGIN RSA PRIVATE KEY-----" a končí na "-----END RSA PRIVATE KEY-----".

Pokud se chcete ověřit pomocí privátního klíče uloženého v Azure Key Vault, nakonfigurujte následující nastavení.

Nastavení	Popis
Typ ověřování	V rozevíracím seznamu vyberte privátní klíč SSH z Azure Key Vault.
Uživatelské jméno	Zadejte uživatelské jméno.
Subscription	Vyberte předplatné.
Azure Key Vault	Vyberte Key Vault.
tajný kód Azure Key Vault	Vyberte tajný klíč Key Vault obsahující hodnotu vašeho privátního klíče SSH.

Požadavky na nastavení služby Key Vault najdete v tématu Konfigurace služby Key Vault.

V případě potřeby vyberte Otevřít na nové kartě prohlížeče a pak vyberte Připojit.

Konfigurace služby Key Vault

Pokud k ukládání hesla nebo privátního klíče SSH používáte Azure Key Vault, nakonfigurujte službu Key Vault pomocí následujících požadavků:

• Pokud jste nenastavili prostředek služby Azure Key Vault, viz Vytvoření trezoru klíčů a uložte své tajemství (heslo nebo privátní klíč SSH) jako hodnotu nového tajemství v Azure Key Vault.
• Ujistěte se, že máte List a Get přístup k tajným kódům uloženým v prostředku Key Vault. Pokud chcete přiřadit a upravit zásady přístupu pro prostředek Key Vault, přečtěte si téma Přiřaďte zásady přístupu Key Vault.
• Uložte své tajemství ve službě Azure Key Vault pomocí PowerShell nebo Azure CLI. Ukládání tajného kódu prostřednictvím portálu Azure Key Vault koliduje s formátováním a výsledkem je neúspěšné přihlášení. Pokud jste privátní klíč uložili jako tajný klíč pomocí prostředí portálu a už nemáte přístup k původnímu souboru privátního klíče, přečtěte si téma Aktualizace klíče SSH pro aktualizaci přístupu k cílovému virtuálnímu počítači pomocí nové dvojice klíčů SSH.

Připojení k virtuálnímu počítači pomocí SSH

Níže zvolte kartu metody připojení a podívejte se na navigační kroky pro připojení k virtuálnímu počítači. Dostupné metody ověřování na metodu připojení najdete v tabulce metod ověřování .

Azure Portal

Pomocí webu Azure Portal vytvořte připojení SSH založené na prohlížeči k virtuálnímu počítači s Linuxem. Tato metoda se připojuje přímo přes prohlížeč. Na místním počítači není vyžadován žádný nativní klient SSH ani další software. Vyžaduje se Basic SKU nebo vyšší, nebo Standard SKU, pokud potřebujete vlastní porty.

1. Na webu Azure Portal přejděte na virtuální počítač, ke kterému se chcete připojit. V horní části stránky Přehled virtuálního počítače vyberte Připojit a pak v rozevíracím seznamu vyberte Připojit přes Bastion. Otevře se stránka Bastion . Můžete také přejít na stránku Bastionu přímo v levém podokně.

2. Na stránce Bastion závisí nastavení, která můžete nakonfigurovat, na SKU Bastion, který má váš server bastionu nakonfigurovaný.

   • Pokud používáte skladovou položku vyšší než základní skladová položka, jsou hodnoty nastavení připojení (porty a protokoly) viditelné a je možné je nakonfigurovat.
   • Pokud používáte skladovou položku Basic nebo SKU Developer, nemůžete nakonfigurovat hodnoty nastavení připojení. Místo toho vaše připojení používá následující výchozí nastavení: SSH a port 22.
   • Pokud chcete zobrazit a vybrat dostupný typ ověřování, použijte rozevírací seznam.

3. Nakonfigurujte nastavení ověřování. Podrobnosti najdete v tématu Podrobnosti o ověřování. Vyberte Připojit.

IP adresa (portál)

Pomocí webu Azure Portal vytvořte připojení SSH založené na prohlížeči k virtuálnímu počítači s Linuxem pomocí zadané IP adresy. Tato metoda se připojuje přes prohlížeč a nevyžaduje nativního klienta SSH ani další software na místním počítači. Vyžaduje se skladová položka Standard nebo vyšší a musíte povolit připojení založené na PROTOKOLU IP.

Povolení připojení založeného na PROTOKOLU IP

Než se budete moct připojit pomocí IP adresy, musíte pro nasazení Bastionu povolit připojení založené na PROTOKOLU IP.

1. Na webu Azure Portal přejděte k nasazení Bastionu.

2. Na stránce Konfigurace u položky Úroveň ověřte, zda je SKU nastaveno na SKU Standard nebo vyšší. Pokud je skladová položka nastavená na skladovou položku Basic, vyberte v rozevíracím seznamu vyšší skladovou položku.

3. Vyberte připojení založené na PROTOKOLU IP.

4. Chcete-li použít změny, vyberte Použít . Dokončení konfigurace Bastionu trvá několik minut.

Po povolení připojení založeného na PROTOKOLU IP zadáte IP adresu cílového virtuálního počítače přímo na stránce Bastion Connect a nevyberete virtuální počítač z webu Azure Portal.

Připojení pomocí IP adresy

1. Pokud se chcete připojit k virtuálnímu počítači pomocí zadané IP adresy, nastavte připojení ze služby Bastion, nikoli přímo ze stránky virtuálního počítače. Na prostředku Bastion vyberte Připojit a otevřete stránku Připojit.

2. Na stránce Bastion Connect zadejte IP adresu cílového virtuálního počítače.

3. Upravte nastavení připojení na požadovaný protokol (SSH) a port.

4. Dostupné typy ověřování pro připojení SSH založené na PROTOKOLU IP z portálu jsou heslo a privátní klíč SSH z místního souboru. Nakonfigurujte nastavení ověřování. Podrobnosti najdete v tématu Podrobnosti o ověřování. Vyberte Připojit.

Poznámka:

Ověřování Microsoft Entra ID není podporováno pro připojení SSH založená na PROTOKOLU IP. Další informace najdete v tématu Připojení založená na PROTOKOLU IP.

Nativní klient

Připojte se k virtuálnímu počítači s Linuxem z místního počítače pomocí Azure CLI (az network bastion ssh). Tato metoda vyžaduje skladovou položku Standard nebo vyšší s nakonfigurovanou podporou nativního klienta.

Než začnete, ověřte, že máte následující požadavky:

• Nainstaluje se nejnovější verze příkazů rozhraní příkazového řádku (verze 2.32 nebo novější). Můžete aktualizovat rozhraní příkazového řádku pro Bastion pomocí az extension update --name bastion. Informace o instalaci příkazů rozhraní příkazového řádku najdete v tématech Instalace Azure CLI a Začínáme s Azure CLI.
• Azure Bastion je už nasazený a nakonfigurovaný pro vaši virtuální síť. Postup najdete v tématu Konfigurace Bastionu pro nativní klientská připojení.
• Virtuální počítač ve virtuální síti.
• ID prostředku virtuálního počítače. ID prostředku se dá snadno najít v portálu Azure. Přejděte na stránku Přehled vašeho virtuálního počítače a vyberte odkaz Zobrazení JSON, abyste otevřeli JSON prostředku. Zkopírujte ID prostředku v horní části stránky do schránky, abyste ho mohli použít později při připojování k virtuálnímu počítači.
• Pokud se chcete přihlásit k virtuálnímu počítači pomocí přihlašovacích údajů Microsoft Entra, ujistěte se, že je váš virtuální počítač nastavený pomocí jedné z následujících metod:
  • Povolte přihlášení Microsoft Entra pro virtuální počítač s Windows nebo virtuální počítač s Linuxem.
  • Nakonfigurujte virtuální počítač s Windows tak, aby byl připojený k Microsoft Entra.
  • Nakonfigurujte virtuální počítač s Windows, aby byl hybridně připojený ke službě Microsoft Entra.

Požadované role

• Role čtenáře na virtuálním počítači.

• Role čtenáře na síťovém rozhraní s privátní IP adresou virtuálního počítače.

• Role čtenáře prostředku Azure Bastion

• Pokud používáte přihlašovací metodu Microsoft Entra, použijte roli správce přihlášení virtuálního počítače nebo roli uživatelského přihlášení virtuálního počítače. Musíte to udělat jenom v případě, že povolíte přihlášení k Microsoft Entra pomocí procesů popsaných v jednom z těchto článků:

  • Virtuální počítače Azure s Windows a Microsoft Entra ID
  • Virtuální počítače Azure s Linuxem a ID Microsoft Entra

Porty

Pokud se chcete připojit k virtuálnímu počítači s Linuxem pomocí nativní podpory klienta, musíte mít na virtuálním počítači s Linuxem otevřené následující porty:

• Příchozí port: SSH (22) nebo
• Příchozí port: Vlastní hodnota (při připojení k virtuálnímu počítači přes Azure Bastion pak budete muset zadat tento vlastní port).

Pokud se chcete připojit k virtuálnímu počítači s Windows pomocí nativní podpory klienta, musíte mít na virtuálním počítači s Windows otevřené následující porty:

• Příchozí port: RDP (3389) nebo
• Příchozí port: Vlastní hodnota (při připojení k virtuálnímu počítači přes Azure Bastion pak budete muset zadat tento vlastní port).

Chcete-li se dozvědět, jak nejlépe nakonfigurovat skupiny zabezpečení sítě se službou Azure Bastion, podívejte se na Práce s přístupem k NSG a službou Azure Bastion.

Úplný postup připojení pomocí nativního klienta najdete v tématu Připojení k virtuálnímu počítači pomocí Bastionu a nativního klienta s Linuxem.

Podporované typy ověřování najdete v podrobnostech o ověřování.

Poznámka:

Přihlášení pomocí privátního klíče SSH uloženého ve službě Azure Key Vault se u nativních klientských připojení nepodporuje. Před přihlášením k virtuálnímu počítači s Linuxem pomocí páru klíčů SSH stáhněte privátní klíč do souboru na místním počítači.

Omezení

• Připojení založená na PROTOKOLU IP: Připojení založené na PROTOKOLU IP nefunguje s vynuceným tunelováním přes síť VPN nebo při inzerování výchozí trasy přes okruh ExpressRoute. Azure Bastion vyžaduje přístup k internetu. Vynucení tunelování nebo inzerce výchozí trasy má za následek vyřazení provozu.
• Připojení založená na PROTOKOLU IP: UDR se nepodporuje v podsíti Bastion, včetně připojení založených na PROTOKOLU IP.
• Připojení založená na PROTOKOLU IP: Ověřování Microsoft Entra ID není podporováno pro připojení SSH založená na PROTOKOLU IP. Další informace naleznete v tématu Ověřování Pomocí entra ID společnosti Microsoft.
• Nativní klient: Přihlášení pomocí privátního klíče SSH uloženého ve službě Azure Key Vault se u nativních klientských připojení nepodporuje.
• Nativní klient: Tato funkce není v Cloud Shellu podporovaná.

Další kroky

• Připojení k virtuálnímu počítači s Linuxem pomocí protokolu RDP
• Co je Azure Bastion?
• Nakonfigurujte ověřování Microsoft Entra ID pro přístup na základě identity.
• Přenos souborů do virtuálního počítače pomocí nativního klienta
• Nakonfigurujte odkaz ke sdílení pro uživatele bez přístupu k webu Azure Portal.
• Nejčastější dotazy ke službě Azure Bastion