Een SSH-verbinding maken met een Linux-VM met behulp van Azure Bastion

  • Artikel

In dit artikel leest u hoe u veilig en naadloos een SSH-verbinding maakt met uw Virtuele Linux-machines die zich in een virtueel Azure-netwerk bevinden, rechtstreeks via Azure Portal. Wanneer u Azure Bastion gebruikt, hebben uw VM's geen client, agent of extra software nodig.

Azure Bastion biedt beveiligde connectiviteit met alle VM's in het virtuele netwerk waarin het is ingericht. Azure Bastion beschermt uw virtuele machines tegen blootstelling van RDP-/SSH-poorten aan de buitenwereld, terwijl u toch beveiligde toegang krijgt geboden met behulp van RDP/SSH. Zie het artikel Wat is Azure Bastion? voor meer informatie.

Wanneer u verbinding maakt met een virtuele Linux-machine met behulp van SSH, kunt u zowel gebruikersnaam/wachtwoord als SSH-sleutels gebruiken voor verificatie. De persoonlijke SSH-sleutel moet een indeling hebben die begint met "-----BEGIN RSA PRIVATE KEY-----" en eindigt met "-----END RSA PRIVATE KEY-----".

Vereisten

Zorg ervoor dat u een Azure Bastion-host hebt ingesteld voor het virtuele netwerk waarin de VIRTUELE machine zich bevindt. Zie Een Azure Bastion-host maken voor meer informatie. Zodra de Bastion-service is ingericht en geïmplementeerd in uw virtuele netwerk, kunt u deze gebruiken om verbinding te maken met elke virtuele machine in dit virtuele netwerk.

De verbindingsinstellingen en -functies die beschikbaar zijn, zijn afhankelijk van de Bastion-SKU die u gebruikt. Zorg ervoor dat uw Bastion-implementatie gebruikmaakt van de vereiste SKU.

  • Als u de beschikbare functies en instellingen per SKU-laag wilt zien, raadpleegt u de sectie SKU's en functies van het overzichtsartikel van Bastion.
  • Zie Een Bastion-SKU upgraden om de SKU-laag van uw Bastion-implementatie te controleren en indien nodig een upgrade uit te voeren.

Vereiste rollen

De volgende rollen zijn vereist om verbinding te maken:

  • De lezerrol op de virtuele machine.
  • De lezerrol op de NIC met het privé-IP-adres van de virtuele machine.
  • De rol van Lezer in de Azure Bastion-resource.
  • Lezerrol in het virtuele netwerk van de doel-VM (als de Bastion-implementatie zich in een gekoppeld virtueel netwerk bevindt).

Poorten

Als u via SSH verbinding wilt maken met de Virtuele Linux-machine, moet u de volgende poorten hebben geopend op uw VM:

  • Binnenkomende poort: SSH (22) of
  • Inkomende poort: aangepaste waarde (u moet deze aangepaste poort opgeven wanneer u verbinding maakt met de virtuele machine via Azure Bastion). Deze instelling is niet beschikbaar voor de Basic- of Developer-SKU.

Bastion-verbindingspagina

  1. Ga in Azure Portal naar de virtuele machine waarmee u verbinding wilt maken. Selecteer bovenaan de overzichtspagina van de virtuele machineVerbinding maken en selecteer vervolgens Verbinding maken via Bastion in de vervolgkeuzelijst. Hiermee opent u de Bastion-pagina . U kunt rechtstreeks in het linkerdeelvenster naar de Bastion-pagina gaan.

    Schermopname van de pagina Overzicht voor een virtuele machine.

  2. Op de Bastion-pagina zijn de instellingen die u kunt configureren afhankelijk van de Bastion-SKU-laag die uw bastionhost heeft geconfigureerd voor gebruik.

    Schermopname van verbindingsinstellingen voor SKU's die hoger zijn dan de Basic-SKU.

    • Als u een SKU gebruikt die hoger is dan de Basic-SKU, zijn Verbinding maken ion Instellingen waarden (poorten en protocollen) zichtbaar en kunnen worden geconfigureerd.

    • Als u de Basic SKU of developer-SKU gebruikt, kunt u Verbinding maken ion Instellingen waarden niet configureren. In plaats daarvan gebruikt uw verbinding de volgende standaardinstellingen: SSH en poort 22.

    • Als u een beschikbaar verificatietype wilt weergeven en selecteren, gebruikt u de vervolgkeuzelijst.

  3. Gebruik de volgende secties in dit artikel om verificatie-instellingen te configureren en verbinding te maken met uw virtuele machine.

Microsoft Entra ID-verificatie (preview)

Notitie

Microsoft Entra ID Authentication-ondersteuning voor SSH-verbindingen in de portal is in preview en wordt momenteel geïmplementeerd.

Als aan de volgende vereisten wordt voldaan, wordt Microsoft Entra ID de standaardoptie om verbinding te maken met uw VIRTUELE machine. Als dit niet het gevolg is, wordt de Microsoft Entra-id niet weergegeven als optie.

Vereisten:

  • Microsoft Entra ID-aanmelding moet zijn ingeschakeld op de virtuele machine. Aanmelding via Microsoft Entra-id kan worden ingeschakeld tijdens het maken van een virtuele machine of door de Microsoft Entra ID-aanmeldingsextensie toe te voegen aan een bestaande VIRTUELE machine.

  • Een van de volgende vereiste rollen moet worden geconfigureerd op de VIRTUELE machine voor de gebruiker:

    • Aanmelding voor virtuele machine Beheer istrator: deze rol is nodig als u zich wilt aanmelden met beheerdersbevoegdheden.
    • Gebruikersaanmelding voor virtuele machine: deze rol is nodig als u zich wilt aanmelden met normale gebruikersbevoegdheden.

Gebruik de volgende stappen om te verifiëren met behulp van Microsoft Entra ID.

Schermopname van het verificatietype als Microsoft Entra-id.

  1. Als u wilt verifiëren met behulp van Microsoft Entra ID, configureert u de volgende instellingen.

    • Verbinding maken ion Instellingen: alleen beschikbaar voor SKU's die hoger zijn dan de Basic-SKU.

      • Protocol: Selecteer SSH.
      • Poort: Geef het poortnummer op.

    • Verificatietype: Selecteer Microsoft Entra-id in de vervolgkeuzelijst.

  2. Als u met de VIRTUELE machine wilt werken op een nieuw browsertabblad, selecteert u Openen in nieuw browsertabblad.

  3. Klik op Verbinding maken om verbinding te maken met de virtuele machine.

Wachtwoordverificatie

Gebruik de volgende stappen om te verifiëren met behulp van gebruikersnaam en wachtwoord.

Schermopname van wachtwoordverificatie.

  1. Als u wilt verifiëren met behulp van een gebruikersnaam en wachtwoord, configureert u de volgende instellingen.

    • Verbinding maken ion Instellingen: alleen beschikbaar voor SKU's die hoger zijn dan de Basic-SKU.

      • Protocol: Selecteer SSH.
      • Poort: Geef het poortnummer op.

    • Verificatietype: Selecteer Wachtwoord in de vervolgkeuzelijst.

    • Gebruikersnaam: voer de gebruikersnaam in.

    • Wachtwoord: voer het wachtwoord in.

  2. Als u met de VIRTUELE machine wilt werken op een nieuw browsertabblad, selecteert u Openen in nieuw browsertabblad.

  3. Klik op Verbinding maken om verbinding te maken met de virtuele machine.

Wachtwoordverificatie - Azure Key Vault

Gebruik de volgende stappen om te verifiëren met behulp van een wachtwoord van Azure Key Vault.

Schermopname van wachtwoord van Azure Key Vault-verificatie.

  1. Als u wilt verifiëren met behulp van een wachtwoord van Azure Key Vault, configureert u de volgende instellingen.

    • Verbinding maken ion Instellingen: alleen beschikbaar voor SKU's die hoger zijn dan de Basic-SKU.

      • Protocol: Selecteer SSH.
      • Poort: Geef het poortnummer op.

    • Verificatietype: Selecteer Wachtwoord in Azure Key Vault in de vervolgkeuzelijst.

    • Gebruikersnaam: voer de gebruikersnaam in.

    • Abonnement: selecteer het abonnement.

    • Azure Key Vault: Selecteer de sleutelkluis.

    • Azure Key Vault-geheim: selecteer het Sleutelkluisgeheim met de waarde van uw persoonlijke SSH-sleutel.

      • Als u geen Azure Key Vault-resource hebt ingesteld, raadpleegt u Een sleutelkluis maken en slaat u uw persoonlijke SSH-sleutel op als de waarde van een nieuw Key Vault-geheim.

      • Zorg ervoor dat u Een lijst hebt en toegang krijgt tot de geheimen die zijn opgeslagen in de Key Vault-resource. Als u toegangsbeleid voor uw Key Vault-resource wilt toewijzen en wijzigen, raadpleegt u Toegangsbeleid voor Key Vault toewijzen.

      • Sla uw persoonlijke SSH-sleutel op als een geheim in Azure Key Vault met behulp van de PowerShell - of Azure CLI-ervaring . Het opslaan van uw persoonlijke sleutel via de Azure Key Vault-portal heeft invloed op de opmaak en leidt tot een mislukte aanmelding. Als u uw persoonlijke sleutel hebt opgeslagen als een geheim met behulp van de portalervaring en geen toegang meer hebt tot het oorspronkelijke persoonlijke sleutelbestand, raadpleegt u SSH-sleutel bijwerken om de toegang tot uw doel-VM bij te werken met een nieuw SSH-sleutelpaar.

  2. Als u met de VIRTUELE machine wilt werken op een nieuw browsertabblad, selecteert u Openen in nieuw browsertabblad.

  3. Klik op Verbinding maken om verbinding te maken met de virtuele machine.

Verificatie van persoonlijke SSH-sleutels - lokaal bestand

Gebruik de volgende stappen om te verifiëren met behulp van een persoonlijke SSH-sleutel uit een lokaal bestand.

Schermopname van de persoonlijke sleutel van lokale bestandsverificatie.

  1. Als u wilt verifiëren met behulp van een persoonlijke sleutel uit een lokaal bestand, configureert u de volgende instellingen.

    • Verbinding maken ion Instellingen: alleen beschikbaar voor SKU's die hoger zijn dan de Basic-SKU.

      • Protocol: Selecteer SSH.
      • Poort: Geef het poortnummer op.

    • Verificatietype: Selecteer persoonlijke SSH-sleutel uit het lokale bestand in de vervolgkeuzelijst.

    • Gebruikersnaam: voer de gebruikersnaam in.

    • Lokaal bestand: selecteer het lokale bestand.

    • SSH-wachtwoordzin: voer indien nodig de SSH-wachtwoordzin in.

  2. Als u met de VIRTUELE machine wilt werken op een nieuw browsertabblad, selecteert u Openen in nieuw browsertabblad.

  3. Klik op Verbinding maken om verbinding te maken met de virtuele machine.

Verificatie van persoonlijke SSH-sleutels - Azure Key Vault

Gebruik de volgende stappen om te verifiëren met behulp van een persoonlijke sleutel die is opgeslagen in Azure Key Vault.

Schermopname van persoonlijke sleutel die is opgeslagen in Azure Key Vault-verificatie.

  1. Configureer de volgende instellingen om te verifiëren met behulp van een persoonlijke sleutel die is opgeslagen in Azure Key Vault. Voor de Basic-SKU kunnen verbindingsinstellingen niet worden geconfigureerd en worden in plaats daarvan de standaardverbindingsinstellingen gebruikt: SSH en poort 22.

    • Verbinding maken ion Instellingen: alleen beschikbaar voor SKU's die hoger zijn dan de Basic-SKU.

      • Protocol: Selecteer SSH.
      • Poort: Geef het poortnummer op.

    • Verificatietype: Selecteer persoonlijke SSH-sleutel uit Azure Key Vault in de vervolgkeuzelijst.

    • Gebruikersnaam: voer de gebruikersnaam in.

    • Abonnement: selecteer het abonnement.

    • Azure Key Vault: Selecteer de sleutelkluis.

      • Als u geen Azure Key Vault-resource hebt ingesteld, raadpleegt u Een sleutelkluis maken en slaat u uw persoonlijke SSH-sleutel op als de waarde van een nieuw Key Vault-geheim.

      • Zorg ervoor dat u Een lijst hebt en toegang krijgt tot de geheimen die zijn opgeslagen in de Key Vault-resource. Als u toegangsbeleid voor uw Key Vault-resource wilt toewijzen en wijzigen, raadpleegt u Toegangsbeleid voor Key Vault toewijzen.

      • Sla uw persoonlijke SSH-sleutel op als een geheim in Azure Key Vault met behulp van de PowerShell - of Azure CLI-ervaring . Het opslaan van uw persoonlijke sleutel via de Azure Key Vault-portal heeft invloed op de opmaak en leidt tot een mislukte aanmelding. Als u uw persoonlijke sleutel hebt opgeslagen als een geheim met behulp van de portalervaring en geen toegang meer hebt tot het oorspronkelijke persoonlijke sleutelbestand, raadpleegt u SSH-sleutel bijwerken om de toegang tot uw doel-VM bij te werken met een nieuw SSH-sleutelpaar.

    • Azure Key Vault-geheim: selecteer het Sleutelkluisgeheim met de waarde van uw persoonlijke SSH-sleutel.

  2. Als u met de VIRTUELE machine wilt werken op een nieuw browsertabblad, selecteert u Openen in nieuw browsertabblad.

  3. Klik op Verbinding maken om verbinding te maken met de virtuele machine.

Volgende stappen

Zie de veelgestelde vragen over Bastion voor meer informatie over Azure Bastion.