Jak se připojit pomocí SSH (Secure Shell) a přihlásit se k virtuálnímu počítači Azure s Windows

Článek
11/16/2023

Platí pro: ✔️ Flexibilní škálovací sady virtuálních ✔️ počítačů s Windows

Projekt Win32 OpenSSH zajišťuje vzdálené připojení s prostředím Secure Shell všudypřítomným poskytováním nativní podpory ve Windows. Tato funkce je k dispozici ve Windows Serveru verze 2019 a novější a dá se přidat do starších verzí Windows pomocí rozšíření virtuálního počítače.

Následující příklady používají proměnné. Proměnné můžete ve svém prostředí nastavit následujícím způsobem.

Prostředí	Příklad
Bash/ZSH	myResourceGroup='resGroup10'
PowerShell	$myResourceGroup='resGroup10'

Povolení SSH

Nejprve budete muset na svém počítači s Windows povolit SSH.

Nasaďte rozšíření SSH pro Windows. Rozšíření poskytuje automatizovanou instalaci řešení Win32 OpenSSH, podobně jako povolení funkce v novějších verzích Windows. K nasazení rozšíření použijte následující příklady.

az vm extension set --resource-group $myResourceGroup --vm-name $myVM --name WindowsOpenSSH --publisher Microsoft.Azure.OpenSSH --version 3.0

Set-AzVMExtension -ResourceGroupName $myResourceGroup -VMName $myVM -Name 'OpenSSH' -Publisher 'Microsoft.Azure.OpenSSH' -Type 'WindowsOpenSSH' -TypeHandlerVersion '3.0'

{
  "type": "Microsoft.Compute/virtualMachines/extensions",
  "name": "[concat(parameters('VMName'), '/WindowsOpenSSH')]",
  "apiVersion": "2020-12-01",
  "location": "[parameters('location')]",
  "properties": {
    "publisher": "Microsoft.Azure.OpenSSH",
    "type": "WindowsOpenSSH",
    "typeHandlerVersion": "3.0"
  }
}

resource windowsOpenSSHExtension 'Microsoft.Compute/virtualMachines/extensions@2020-12-01' = {
  parent: virtualMachine
  name: 'WindowsOpenSSH'
  location: resourceGroup().location
  properties: {
    publisher: 'Microsoft.Azure.OpenSSH'
    type: 'WindowsOpenSSH'
    typeHandlerVersion: '3.0'
  }
}

Otevření portu TCP

Ujistěte se, že je otevřený příslušný port (ve výchozím nastavení TCP 22), který umožňuje připojení k virtuálnímu počítači.

az network nsg rule create -g $myResourceGroup --nsg-name $myNSG -n allow-SSH --priority 1000 --source-address-prefixes 208.130.28.4/32 --destination-port-ranges 22 --protocol TCP

Get-AzNetworkSecurityGroup -Name $MyNSG -ResourceGroupName $myResourceGroup | Add-AzNetworkSecurityRuleConfig -Name allow-SSH -access Allow -Direction Inbound -Priority 1000 -SourceAddressPrefix 208.130.28.4/32 -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange 22 -Protocol TCP | Set-AzNetworkSecurityGroup

{
  "type": "Microsoft.Network/networkSecurityGroups/securityRules",
  "apiVersion": "2021-08-01",
  "name": "allow-SSH",
  "properties": {
    "access": "Allow",
    "destinationAddressPrefix": "*",
    "destinationPortRange": "22",
    "direction": "Inbound",
    "priority": "1000",
    "protocol": "TCP",
    "sourceAddressPrefix": "208.130.28.4/32",
    "sourcePortRange": "*"
  }
}

resource allowSSH 'Microsoft.Network/networkSecurityGroups/securityRules@2021-08-01' = {
  name: 'allowSSH'
  parent: MyNSGSymbolicName
  properties: {
    access: 'Allow'
    destinationAddressPrefix: '*'
    destinationPortRange: 'string'
    destinationPortRanges: [
      '22'
    ]
    direction: 'Inbound'
    priority: 1000
    protocol: 'TCP'
    sourceAddressPrefix: '208.130.28.4/32'
    sourcePortRange: '*'
  }
}

Váš virtuální počítač musí mít veřejnou IP adresu. Pokud chcete zkontrolovat, jestli má váš virtuální počítač veřejnou IP adresu, v nabídce vlevo vyberte Přehled a podívejte se do části Sítě . Pokud se vedle veřejné IP adresy zobrazí IP adresa, váš virtuální počítač má veřejnou IP adresu. Další informace o přidání veřejné IP adresy do existujícího virtuálního počítače najdete v tématu Přidružení veřejné IP adresy k virtuálnímu počítači.
Ověřte, že je váš virtuální počítač spuštěný. Na kartě Přehled v části Základy ověřte, že je virtuální počítač spuštěný. Pokud chcete virtuální počítač spustit, vyberte Spustit v horní části stránky.

Authentication

K ověření na počítačích s Windows můžete použít uživatelské jméno a heslo nebo klíče SSH. Azure nepodporuje automatické zřizování veřejných klíčů pro počítače s Windows, ale klíč můžete zkopírovat pomocí rozšíření RunCommand.

Přehled SSH a klíčů

SSH je šifrovaný protokol připojení, který poskytuje zabezpečené přihlašování přes nezabezpečená připojení. I když SSH poskytuje šifrované připojení, používání hesel s připojeními SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Doporučujeme připojit se k virtuálnímu počítači přes SSH pomocí páru veřejného privátního klíče, který se označuje také jako klíče SSH.

Veřejný klíč se umístí na virtuální počítač.
Privátní klíč zůstane ve vašem místním systému. Chraňte tento privátní klíč. Nesdílejte ho.

Když použijete klienta SSH pro připojení k virtuálnímu počítači (který má veřejný klíč), vzdálený virtuální počítač otestuje klienta, aby se ujistil, že má správný privátní klíč. Pokud má klient privátní klíč, má udělený přístup k virtuálnímu počítači.

V závislosti na zásadách zabezpečení vaší organizace můžete znovu použít jeden pár veřejného privátního klíče pro přístup k více virtuálním počítačům a službám Azure. Pro každý virtuální počítač nebo službu, ke které chcete získat přístup, nepotřebujete samostatný pár klíčů.

Váš veřejný klíč můžete sdílet s kýmkoli, ale k vašemu privátnímu klíči byste měli mít přístup jenom vy (nebo vaše místní infrastruktura zabezpečení).

Podporované formáty klíčů SSH

Azure v současné době podporuje páry veřejného a privátního klíče RSA protokolu SSH 2 (SSH-2) s minimální délkou 2048 bitů. Jiné klíčové formáty, jako jsou ED25519 a ECDSA, se nepodporují.

Zkopírujte veřejný klíč pomocí rozšíření RunCommand.

Rozšíření RunCommand poskytuje jednoduché řešení pro kopírování veřejného klíče do počítačů s Windows a zajištění správného oprávnění k souboru.

az vm run-command invoke -g $myResourceGroup -n $myVM --command-id RunPowerShellScript --scripts "MYPUBLICKEY | Add-Content 'C:\ProgramData\ssh\administrators_authorized_keys' -Encoding UTF8;icacls.exe 'C:\ProgramData\ssh\administrators_authorized_keys' /inheritance:r /grant 'Administrators:F' /grant 'SYSTEM:F'"

Invoke-AzVMRunCommand -ResourceGroupName $myResourceGroup -VMName $myVM -CommandId 'RunPowerShellScript' -ScriptString "MYPUBLICKEY | Add-Content 'C:\ProgramData\ssh\administrators_authorized_keys' -Encoding UTF8;icacls.exe 'C:\ProgramData\ssh\administrators_authorized_keys' /inheritance:r /grant 'Administrators:F' /grant 'SYSTEM:F'"

{
  "type": "Microsoft.Compute/virtualMachines/runCommands",
  "apiVersion": "2022-03-01",
  "name": "[concat(parameters('VMName'), '/RunPowerShellScript')]",
  "location": "[parameters('location')]",
  "properties": {
    "timeoutInSeconds":600
    "source": {
      "script": "MYPUBLICKEY | Add-Content 'C:\\ProgramData\\ssh\\administrators_authorized_keys -Encoding UTF8';icacls.exe 'C:\\ProgramData\\ssh\\administrators_authorized_keys' /inheritance:r /grant 'Administrators:F' /grant 'SYSTEM:F'"
    }
  }
}

resource runPowerShellScript 'Microsoft.Compute/virtualMachines/runCommands@2022-03-01' = {
  name: 'RunPowerShellScript'
  location: resourceGroup().location
  parent: virtualMachine
  properties: {
    timeoutInSeconds: 600
    source: {
      script: "MYPUBLICKEY | Add-Content 'C:\ProgramData\ssh\administrators_authorized_keys' -Encoding UTF8;icacls.exe 'C:\ProgramData\ssh\administrators_authorized_keys' /inheritance:r /grant 'Administrators:F' /grant 'SYSTEM:F'"
    }
  }
}

Připojení pomocí Az CLI

Připojení k počítačům s Windows pomocí Az SSH příkazů.

az ssh vm  -g $myResourceGroup -n $myVM --local-user $myUsername

Je také možné vytvořit síťový tunel pro konkrétní porty TCP prostřednictvím připojení SSH. Dobrým případem použití je vzdálená plocha, která ve výchozím nastavení používá port 3389.

az ssh vm  -g $myResourceGroup -n $myVM --local-user $myUsername -- -L 3389:localhost:3389

Připojení z webu Azure Portal

Přejděte na web Azure Portal a připojte se k virtuálnímu počítači. Vyhledejte a vyberte Virtuální počítače.
Ze seznamu vyberte virtuální počítač.
V nabídce vlevo vyberte Připojení.
Vyberte možnost, která odpovídá preferovanému způsobu připojení. Portál vám pomůže projít požadavky na připojení.

Další kroky

Informace o přenosu souborů do existujícího virtuálního počítače najdete v tématu Použití SCP k přesunu souborů do a z virtuálního počítače.

Share via