Creación de una conexión SSH a una máquina virtual Linux mediante Azure Bastion

  • Artículo

En este artículo se muestra cómo crear de forma segura y sin problemas una conexión SSH a las máquinas virtuales Linux ubicadas en una red virtual de Azure directamente desde Azure Portal. Cuando se usa Azure Bastion, las máquinas virtuales no necesitan un cliente, un agente o software adicional.

Azure Bastion proporciona conectividad segura a todas las máquinas virtuales de la red virtual en la que se aprovisiona. El uso de Azure Bastion protege las máquinas virtuales frente a la exposición de los puertos de RDP/SSH al mundo exterior, al tiempo que ofrece acceso seguro mediante RDP/SSH. Para obtener más información, consulte el artículo genera ¿Qué es Azure Bastion?

Al conectarse a una máquina virtual Linux mediante SSH, puede usar el nombre de usuario y la contraseña, y las claves SSH para la autenticación. La clave privada SSH debe tener un formato que empieza con "-----BEGIN RSA PRIVATE KEY-----" y finaliza con "-----END RSA PRIVATE KEY-----".

Prerrequisitos

Asegúrese de haber configurado un host de Azure Bastion para la red virtual donde reside la máquina virtual. Para más información, consulte Create an Azure Bastion host (Creación de un host de Azure Bastion). Cuando el servicio Bastion se aprovisiona e implementa en la red virtual, puede usarlo para conectarse a cualquier máquina virtual de esta red virtual.

La configuración de conexión y las características disponibles dependen de la SKU de Bastion que esté usando. Asegúrese de que la implementación de Bastion usa la SKU necesaria.

  • Para ver las características y la configuración disponibles por nivel de SKU, consulte la sección SKU y características del artículo de información general de Bastion.
  • Para comprobar el nivel de SKU de la implementación de Bastion y actualizar si es necesario, consulte Actualizar una SKU de Bastion.

Roles necesarios

Para crear una conexión, se requieren los siguientes roles:

  • Rol Lector en la máquina virtual.
  • Rol de lector en la tarjeta de interfaz de red con la dirección IP privada de la máquina virtual.
  • Rol Lector en el recurso de Azure Bastion.
  • Rol Lector en la red virtual de la máquina virtual de destino (si la implementación de Bastion está en una red virtual emparejada).

Puertos

Para conectarse a la máquina virtual Linux mediante SSH, debe tener abiertos los siguientes puertos en la máquina virtual:

  • Puerto de entrada: SSH (22) o
  • Puerto de entrada: valor personalizado (tiene que especificar este puerto personalizado al conectarse a la máquina virtual por medio de Azure Bastion). Esta configuración requiere el nivel de SKU Estándar.

Página de conexión de Bastion

  1. En Azure Portal, vaya a la máquina virtual a la que desea conectarse. En la página Información general de la máquina virtual, seleccione Conectar y, luego, seleccione Bastion del menú desplegable para abrir la página de Bastion.

    Screenshot shows the Overview page for a virtual machine.

  2. En la página Bastion, los valores que puede configurar dependen del nivel de SKU de Bastion que se haya configurado para usar su host bastion.

    • Si usa la SKU Estándar, los valores de Configuración de conexión (puertos y protocolos) están visibles y se pueden configurar.

      Screenshot shows connection settings for the Standard SKU.

    • Si usa la SKU Básica, no puede configurar los valores de Configuración de conexión . En su lugar, la conexión usa la siguiente configuración predeterminada: SSH y el puerto 22.

      Screenshot shows connection settings for the Basic SKU.

    • Para ver y seleccionar un tipo de autenticación disponible, use la lista desplegable.

      Screenshot shows authentication type settings.

  3. Use las secciones siguientes de este artículo para configurar los valores de autenticación y conectarse a la máquina virtual.

Autenticación de contraseña

Siga estos pasos para autenticarse mediante el nombre de usuario y la contraseña.

Screenshot shows Password authentication.

  1. Para autenticarse mediante un nombre de usuario y una contraseña, configure los siguientes valores.

    • Configuración de conexión (solo SKU Estándar)

      • Protocolo: seleccione SSH.
      • Puerto: especifique el número de puerto.

    • Tipo de autenticación: seleccione contraseña en la lista desplegable.

    • Nombre de usuario: introduzca el nombre de usuario.

    • Contraseña: escriba la contraseña.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de contraseña: Azure Key Vault

Siga estos pasos para autenticarse mediante una contraseña de Azure Key Vault.

Screenshot shows password from Azure Key Vault authentication.

  1. Para autenticarse mediante una contraseña de Azure Key Vault, configure los siguientes valores.

    • Configuración de conexión (solo SKU Estándar)

      • Protocolo: seleccione SSH.
      • Puerto: especifique el número de puerto.

    • Tipo de autenticación: seleccione Contraseña de Azure Key Vault en la lista desplegable.

    • Nombre de usuario: introduzca el nombre de usuario.

    • Suscripción: seleccione la suscripción.

    • Azure Key Vault: seleccione el Key Vault.

    • Secreto de Azure Key Vault: seleccione el secreto de Key Vault que contiene el valor de la clave privada SSH.

      • Si no ha configurado un recurso de Azure Key Vault, consulte Creación de un almacén de claves y almacene la clave privada SSH como el valor de un nuevo secreto de Key Vault.

      • Asegúrese de que tiene los permisos de acceso Enumerar y Obtener para los secretos almacenados en el recurso de Key Vault. Para asignar y modificar directivas de acceso para el recurso de Key Vault, consulte Asignación de una directiva de acceso de Key Vault.

        Nota

        Almacene la clave privada SSH como un secreto en Azure Key Vault mediante la experiencia de PowerShell o de la CLI de Azure. El almacenamiento de la clave privada mediante la experiencia del portal de Azure Key Vault interferirá con el formato y provocará un inicio de sesión incorrecto. Si ha guardado la clave privada como un secreto mediante la experiencia del portal y ya no tiene acceso al archivo de clave privada original, consulte Actualización de la clave SSH para actualizar el acceso a la máquina virtual de destino con un nuevo par de claves SSH.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de clave privada SSH: archivo local

Siga estos pasos para autenticarse mediante una clave privada SSH desde un archivo local.

Screenshot shows private key from local file authentication.

  1. Para autenticarse mediante una clave privada de un archivo local, configure los siguientes valores.

    • Configuración de conexión (solo SKU Estándar)

      • Protocolo: seleccione SSH.
      • Puerto: especifique el número de puerto.

    • Tipo de autenticación: seleccione Clave privada SSH del archivo local en la lista desplegable.

    • Nombre de usuario: introduzca el nombre de usuario.

    • Archivo local: seleccione el archivo local.

    • Frase de contraseña SSH: introduzca la frase de contraseña SSH si es necesario.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de clave privada SSH: Azure Key Vault

Siga estos pasos para autenticarse mediante una clave privada almacenada en Azure Key Vault.

Screenshot shows Private key stored in Azure Key Vault authentication.

  1. Para autenticarse mediante una clave privada almacenada en Azure Key Vault, configure los siguientes valores. En el caso de la SKU Básica, la configuración de conexión no se puede configurar y, en su lugar, usará la configuración de conexión predeterminada: SSH y el puerto 22.

    • Configuración de conexión (solo SKU Estándar)

      • Protocolo: seleccione SSH.
      • Puerto: especifique el número de puerto.

    • Tipo de autenticación: seleccione Clave privada SSH en Azure Key Vault en la lista desplegable.

    • Nombre de usuario: introduzca el nombre de usuario.

    • Suscripción: seleccione la suscripción.

    • Azure Key Vault: seleccione el Key Vault.

      • Si no ha configurado un recurso de Azure Key Vault, consulte Creación de un almacén de claves y almacene la clave privada SSH como el valor de un nuevo secreto de Key Vault.

      • Asegúrese de que tiene los permisos de acceso Enumerar y Obtener para los secretos almacenados en el recurso de Key Vault. Para asignar y modificar directivas de acceso para el recurso de Key Vault, consulte Asignación de una directiva de acceso de Key Vault.

        Nota

        Almacene la clave privada SSH como un secreto en Azure Key Vault mediante la experiencia de PowerShell o de la CLI de Azure. El almacenamiento de la clave privada mediante la experiencia del portal de Azure Key Vault interferirá con el formato y provocará un inicio de sesión incorrecto. Si ha guardado la clave privada como un secreto mediante la experiencia del portal y ya no tiene acceso al archivo de clave privada original, consulte Actualización de la clave SSH para actualizar el acceso a la máquina virtual de destino con un nuevo par de claves SSH.

    • Secreto de Azure Key Vault: seleccione el secreto de Key Vault que contiene el valor de la clave privada SSH.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Pasos siguientes

Para más información sobre Azure Bastion, consulte las preguntas frecuentes sobre Bastion.