Csatlakozás egy virtuális gépre a Bastion és egy Linux natív ügyfél használatával
Ez a cikk segítséget nyújt az Azure Bastionon keresztül egy virtuális géphez való csatlakozáshoz a helyi Linux-számítógépen található natív ügyfél használatával. A natív ügyfélfunkció lehetővé teszi a cél virtuális gépekhez való csatlakozást a Bastionon keresztül az Azure CLI használatával, és kibővíti a bejelentkezési lehetőségeket, hogy tartalmazza a helyi SSH-kulcspárt és a Microsoft Entra-azonosítót. A Bastion natív ügyfélkapcsolatokhoz való konfigurálására vonatkozó további információkért és lépésekért lásd : Bastion konfigurálása natív ügyfélkapcsolatokhoz. A natív ügyfélen keresztüli Csatlakozás a Bastion Standard termékváltozatra van szükség.
Miután konfigurálta a Bastiont a natív ügyféltámogatáshoz, natív Linux-ügyfél használatával csatlakozhat egy virtuális géphez. A kapcsolódás módja attól függ, hogy melyik ügyfélről csatlakozik, és hogy melyik virtuális géphez csatlakozik. Az alábbi lista néhány elérhető módszert mutat be a Linux natív ügyfélről való csatlakozáshoz. Az elérhető ügyfélkapcsolatokat/szolgáltatáskombinációkat megjelenítő teljes lista Csatlakozás a virtuális gépekre vonatkozóan.
- Csatlakozás linuxos virtuális gépre az az network bastion ssh használatával.
- Csatlakozás egy Windows rendszerű virtuális gépre az az network bastion tunnel használatával.
- Csatlakozás bármely virtuális géphez az az network bastion tunnel használatával.
- Fájlok feltöltése a cél virtuális gépre SSH-val az az network bastion tunnel használatával. A parancs jelenleg nem támogatja a fájlletöltést a cél virtuális gépről a helyi ügyfélre.
Előfeltételek
Mielőtt hozzákezdene, ellenőrizze, hogy rendelkezik-e a következő előfeltételekkel:
- A cli-parancsok legújabb verziója (2.32-es vagy újabb verzió) telepítve van. A Bastion parancssori felületét a következővel
az extension update --name bastionfrissítheti: . Információk a CLI-parancsok telepítéséről: Az Azure CLI telepítése és Bevezetés az Azure CLI használatába. - Az Azure Bastion már telepítve van és konfigurálva van a virtuális hálózathoz. A lépésekért lásd : Bastion konfigurálása natív ügyfélkapcsolatokhoz.
- Virtuális gép a virtuális hálózaton.
- A virtuális gép erőforrás-azonosítója. Az erőforrás-azonosító könnyen elhelyezhető az Azure Portalon. Nyissa meg a virtuális gép Áttekintés lapját, és válassza a JSON nézet hivatkozását az erőforrás JSON-fájljának megnyitásához. Másolja a lap tetején található erőforrás-azonosítót a vágólapra, hogy később használhassa a virtuális géphez való csatlakozáskor.
- Ha a Microsoft Entra hitelesítő adataival szeretne bejelentkezni a virtuális gépre, győződjön meg arról, hogy a virtuális gép az alábbi módszerek egyikével van beállítva:
- A Microsoft Entra bejelentkezésének engedélyezése Windows rendszerű vagy Linux rendszerű virtuális gépekhez.
- Konfigurálja a Windows rendszerű virtuális gépet úgy, hogy a Microsoft Entra csatlakozik.
- Konfigurálja a Windows rendszerű virtuális gépet úgy, hogy a Microsoft Entra hibrid csatlakoztatású legyen.
Szerepkörök és portok ellenőrzése
Ellenőrizze, hogy a következő szerepkörök és portok vannak-e konfigurálva a virtuális géphez való csatlakozáshoz.
Kötelező szerepkörök
Olvasói szerepkör a virtuális gépen.
Olvasói szerepkör a hálózati adapteren a virtuális gép privát IP-címével.
Olvasói szerepkör az Azure Bastion-erőforráson.
Virtuális gép Rendszergazda istrator bejelentkezési vagy virtuálisgép-felhasználói bejelentkezési szerepkör, ha a Microsoft Entra bejelentkezési módszert használja. Ezt csak akkor kell megtennie, ha engedélyezi a Microsoft Entra-bejelentkezést az alábbi cikkekben ismertetett folyamatok használatával:
Ports
Ha natív ügyféltámogatással szeretne csatlakozni Egy Linux rendszerű virtuális géphez, a következő portokat kell megnyitnia a Linux rendszerű virtuális gépen:
- Bejövő port: SSH (22) vagy
- Bejövő port: Egyéni érték (ezt az egyéni portot kell megadnia, amikor az Azure Bastionon keresztül csatlakozik a virtuális géphez)
Ha natív ügyféltámogatással szeretne csatlakozni egy Windows rendszerű virtuális géphez, a következő portokat kell megnyitnia a Windows rendszerű virtuális gépen:
- Bejövő port: RDP (3389) vagy
- Bejövő port: Egyéni érték (ezt az egyéni portot kell megadnia, amikor az Azure Bastionon keresztül csatlakozik a virtuális géphez)
Az NSG-k Azure Bastionnal való legjobb konfigurálásáról további információt az NSG-hozzáférés és az Azure Bastion használata című témakörben talál.
Csatlakozás Linux rendszerű virtuális géphez
A következő szakaszok lépései segítenek csatlakozni egy Linux rendszerű virtuális géphez egy natív Linux-ügyfélről az az network bastion paranccsal. Ez a bővítmény a következő futtatásával telepíthető: az extension add --name bastion.
Ha ezzel a paranccsal csatlakozik, a fájlátvitelek nem támogatottak. Ha fájlokat szeretne feltölteni, csatlakozzon inkább az az network bastion tunnel paranccsal.
Ez a parancs a következőket teszi lehetővé:
- Csatlakozás linuxos virtuális gépre SSH használatával.
- Hitelesítés Microsoft Entra-azonosítóval
- Csatlakozás a virtuális hálózaton belüli egyidejű virtuálisgép-munkamenetekre.
A bejelentkezéshez használja az alábbi példák egyikét. Miután bejelentkezett a cél virtuális gépre, a számítógépen lévő natív ügyfél megnyílik a virtuális gép munkamenetével.
SSH-kulcspár
Ha SSH-kulcspár használatával szeretne bejelentkezni a virtuális gépre, használja az alábbi példát.
az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"
Microsoft Entra hitelesítés
Ha bejelentkezik egy Microsoft Entra bejelentkezéssel kompatibilis virtuális gépre, használja az alábbi példát. További információ: Azure Linux rendszerű virtuális gépek és Microsoft Entra-azonosító.
az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "AAD"
Felhasználónév/jelszó
Ha helyi felhasználónévvel és jelszóval jelentkezik be a virtuális gépre, használja az alábbi példát. Ezután a rendszer kérni fogja a cél virtuális gép jelszavát.
az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "password" --username "<Username>"
SSH linuxos virtuális gép IP-címére
Az erőforrás-azonosító helyett a virtuális gép privát IP-címéhez is csatlakozhat. Vegye figyelembe, hogy a Microsoft Entra-hitelesítés, valamint az egyéni portok és protokollok nem támogatottak ilyen típusú kapcsolat használatakor. További információ az IP-alapú kapcsolatokról: Csatlakozás virtuális gép ip-címére.
az network bastion A parancs használatával cserélje le --target-resource-id--target-ip-address és adja meg a megadott IP-címet a virtuális géphez való csatlakozáshoz. Az alábbi példa a --ssh-key-t használja a hitelesítési módszerhez.
az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-addres "<VMIPAddress>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"
Csatlakozás virtuális gépre – alagútparancs
Az az network bastion tunnel parancs egy másik módszer, amellyel csatlakozhat a virtuális gépekhez. Ha ezt a parancsot használja, a következőket teheti:
- Csatlakozás natív ügyfelektől, nem Windows rendszerű helyi számítógépeken. (Például linuxos számítógép.)
- Csatlakozás egy virtuális gépre SSH vagy RDP használatával. (A megerősített alagút nem továbbít webkiszolgálókat vagy gazdagépeket.)
- Használja a választott natív ügyfelet.
- Fájlok feltöltése a cél virtuális gépre a helyi számítógépről. A parancs jelenleg nem támogatja a fájlletöltést a cél virtuális gépről a helyi ügyfélre.
Korlátozások:
- Ezzel a funkcióval nem lehet bejelentkezni az Azure Key Vaultban tárolt SSH titkos kulcs használatával. Mielőtt SSH-kulcspár használatával jelentkezik be Linux rendszerű virtuális gépére, töltse le a titkos kulcsot a helyi gépen található fájlba.
- Ez a funkció a Cloud Shellben nem támogatott.
Lépések:
Jelentkezzen be az Azure-fiókjába a következő használatával
az login: . Ha több előfizetéssel rendelkezik, megtekintheti őket,az account listés kiválaszthatja azt az előfizetést, amely a Bastion-erőforrástaz account set --subscription "<subscription ID>"tartalmazza.Nyissa meg az alagutat a cél virtuális gép felé.
az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"Csatlakozás a cél virtuális gépre az SSH vagy RDP használatával, a választott natív ügyféllel és az előző lépésben megadott helyi gépporttal.
A következő parancsot például akkor használhatja, ha az OpenSSH-ügyfél telepítve van a helyi számítógépen:
ssh <username>@127.0.0.1 -p <LocalMachinePort>
Alagút egy virtuális gép IP-címéhez
Az erőforrás-azonosító helyett a virtuális gép privát IP-címéhez is csatlakozhat. A Microsoft Entra-hitelesítés, valamint az egyéni portok és protokollok nem támogatottak ilyen típusú kapcsolat használatakor. További információ az IP-alapú kapcsolatokról: Csatlakozás virtuális gép ip-címére.
az network bastion tunnel A parancs használatával cserélje le --target-resource-id--target-ip-address és adja meg a megadott IP-címet a virtuális géphez való csatlakozáshoz.
az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"
Többkapcsolatos alagút
Adja hozzá a következőket a $HOME.ssh\config fájlhoz.
Host tunneltunnel HostName 127.0.0.1 Port 2222 User mylogin StrictHostKeyChecking=No UserKnownHostsFile=\\.\NULAdja hozzá az alagútkapcsolatot a létrehozott alagútkapcsolathoz.
az network bastion tunnel --name mybastion --resource-group myrg --target-resource-id /subscriptions/<mysubscription>/resourceGroups/myrg/providers/Microsoft.Compute/virtualMachines/myvm --resource-port 22 --port 22Hozzon létre egy ssh-alagutat a megerősített alagútban.
ssh -L 2222:127.0.0.1:22 mylogin@127.0.0.1A VS Code használatával csatlakozzon az alagútkapcsolathoz.