Verbinding maken naar een VIRTUELE machine met bastion en een systeemeigen Linux-client

Dit artikel helpt u om via Azure Bastion verbinding te maken met een VIRTUELE machine in VNet met behulp van de systeemeigen client op uw lokale Linux-computer. Met de systeemeigen clientfunctie kunt u verbinding maken met uw doel-VM's via Bastion met behulp van Azure CLI en worden uw aanmeldingsopties uitgebreid met lokale SSH-sleutelpaar en Microsoft Entra-id. Zie Bastion configureren voor systeemeigen clientverbindingen voor meer informatie en stappen voor het configureren van Bastion voor systeemeigen clientverbindingen. voor Verbinding maken ions via een systeemeigen client is de Bastion Standard-SKU vereist.

Nadat u Bastion hebt geconfigureerd voor systeemeigen clientondersteuning, kunt u verbinding maken met een virtuele machine met behulp van een systeemeigen Linux-client. De methode die u gebruikt om verbinding te maken, is afhankelijk van zowel de client van waaruit u verbinding maakt als de VM waarmee u verbinding maakt. In de volgende lijst ziet u enkele van de beschikbare manieren waarop u verbinding kunt maken vanaf een systeemeigen Linux-client. Zie Verbinding maken naar VM's voor de volledige lijst met beschikbare combinaties van clientverbindingen/functies.

• Verbinding maken naar een Virtuele Linux-machine met behulp van az network bastion ssh.
• Verbinding maken naar een Windows-VM met behulp van az network bastion tunnel.
• Verbinding maken naar een virtuele machine met behulp van az network bastion tunnel.
• Upload bestanden naar uw doel-VM via SSH met behulp van az network bastion tunnel. Het downloaden van bestanden van de doel-VM naar de lokale client wordt momenteel niet ondersteund voor deze opdracht.

Vereisten

Controleer voordat u begint of u over de volgende vereisten beschikt:

• De nieuwste versie van de CLI-opdrachten (versie 2.32 of hoger) is geïnstalleerd. U kunt uw CLI voor Bastion bijwerken met behulp van az extension update --name bastion. Zie Azure CLI installeren en Aan de slag met Azure CLI voor meer informatie over de CLI-opdrachten.
• Azure Bastion is al geïmplementeerd en geconfigureerd voor uw virtuele netwerk. Zie Bastion configureren voor systeemeigen clientverbindingen voor stappen.
• Een virtuele machine in het virtuele netwerk.
• De resource-id van de virtuele machine. De resource-id kan zich eenvoudig in Azure Portal bevinden. Ga naar de overzichtspagina voor uw VIRTUELE machine en selecteer de koppeling JSON-weergave om de resource-JSON te openen. Kopieer de resource-id boven aan de pagina naar het Klembord om deze later te gebruiken wanneer u verbinding maakt met uw virtuele machine.
• Als u zich wilt aanmelden bij uw virtuele machine met uw Microsoft Entra-referenties, moet u ervoor zorgen dat uw virtuele machine is ingesteld met een van de volgende methoden:
  • Schakel Microsoft Entra-aanmelding in voor een Windows-VM of Linux-VM.
  • Configureer uw Windows-VM zodat deze lid is van Microsoft Entra.
  • Configureer uw Virtuele Windows-machine als hybride Microsoft Entra-koppeling.

Rollen en poorten controleren

Controleer of de volgende rollen en poorten zijn geconfigureerd om verbinding te maken met de VIRTUELE machine.

Vereiste rollen

• De lezerrol op de virtuele machine.

• De lezerrol op de NIC met het privé-IP-adres van de virtuele machine.

• De rol van Lezer in de Azure Bastion-resource.

• Virtual Machine Beheer istrator Login or Virtual Machine User Login role, if you's using the Microsoft Entra sign-in method. U hoeft dit alleen te doen als u Microsoft Entra-aanmelding inschakelt met behulp van de processen die worden beschreven in een van deze artikelen:

  • Azure Windows-VM's en Microsoft Entra-id
  • Virtuele Azure Linux-machines en Microsoft Entra-id

Poorten

Als u verbinding wilt maken met een Linux-VM met behulp van systeemeigen clientondersteuning, moet u de volgende poorten hebben geopend op uw Linux-VM:

• Binnenkomende poort: SSH (22) of
• Binnenkomende poort: aangepaste waarde (u moet deze aangepaste poort opgeven wanneer u verbinding maakt met de virtuele machine via Azure Bastion)

Als u verbinding wilt maken met een Windows-VM met behulp van systeemeigen clientondersteuning, moet u de volgende poorten hebben geopend op uw Windows-VM:

• Binnenkomende poort: RDP (3389) of
• Binnenkomende poort: aangepaste waarde (u moet deze aangepaste poort opgeven wanneer u verbinding maakt met de virtuele machine via Azure Bastion)

Zie Werken met NSG-toegang en Azure Bastion voor meer informatie over het configureren van NSG's met Azure Bastion.

Verbinding maken met een Linux-VM

De stappen in de volgende secties helpen u verbinding te maken met een Linux-VM vanuit een systeemeigen Linux-client met behulp van de opdracht az network bastion . Deze extensie kan worden geïnstalleerd door uit te voeren, az extension add --name bastion.

Wanneer u verbinding maakt met deze opdracht, worden bestandsoverdrachten niet ondersteund. Als u bestanden wilt uploaden, maakt u verbinding met behulp van de opdracht az network bastion tunnel .

Met deze opdracht kunt u het volgende doen:

• Verbinding maken naar een Virtuele Linux-machine met behulp van SSH.
• Verifiëren via Microsoft Entra-id
• Verbinding maken gelijktijdige VM-sessies binnen het virtuele netwerk.

Gebruik een van de volgende voorbeelden om u aan te melden. Zodra u zich hebt aangemeld bij uw doel-VM, wordt de systeemeigen client op uw computer geopend met uw VM-sessie.

SSH-sleutelpaar

Gebruik het volgende voorbeeld om u aan te melden bij uw virtuele machine met behulp van een SSH-sleutelpaar.

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"

Microsoft Entra-verificatie

Als u zich aanmeldt bij een vm met Microsoft Entra-aanmelding, gebruikt u het volgende voorbeeld. Zie Azure Linux-VM's en Microsoft Entra-id voor meer informatie.

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "AAD"

Gebruikersnaam/wachtwoord

Als u zich aanmeldt bij uw virtuele machine met een lokale gebruikersnaam en wachtwoord, gebruikt u het volgende voorbeeld. Vervolgens wordt u gevraagd om het wachtwoord voor de doel-VM.

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "password" --username "<Username>"

SSH naar een IP-adres van een Linux-VM

U kunt verbinding maken met een privé-IP-adres van een virtuele machine in plaats van de resource-id. Houd er rekening mee dat Microsoft Entra-verificatie en aangepaste poorten en protocollen niet worden ondersteund bij het gebruik van dit type verbinding. Zie Verbinding maken naar een VM - IP-adres voor meer informatie over IP-verbindingen.

Vervang de az network bastion opdracht door --target-resource-id--target-ip-address en het opgegeven IP-adres om verbinding te maken met uw VIRTUELE machine. In het volgende voorbeeld wordt --ssh-key gebruikt voor de verificatiemethode.

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-addres "<VMIPAddress>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"

Verbinding maken naar een VM - tunnelopdracht

De opdracht az network bastion tunnel is een andere manier waarop u verbinding kunt maken met uw VM's. Wanneer u deze opdracht gebruikt, kunt u het volgende doen:

• Verbinding maken van systeemeigen clients op niet-Windows-lokale computers. (Bijvoorbeeld een Linux-computer.)
• Verbinding maken naar een virtuele machine met behulp van SSH of RDP. (De bastiontunnel stuurt geen webservers of hosts door.)
• Gebruik de systeemeigen client van uw keuze.
• Upload bestanden naar uw doel-VM vanaf uw lokale computer. Het downloaden van bestanden van de doel-VM naar de lokale client wordt momenteel niet ondersteund voor deze opdracht.

Beperkingen:

• Aanmelden met een persoonlijke SSH-sleutel die is opgeslagen in Azure Key Vault, wordt niet ondersteund met deze functie. Voordat u zich aanmeldt bij uw Linux-VM met behulp van een SSH-sleutelpaar, downloadt u uw persoonlijke sleutel naar een bestand op uw lokale computer.
• Deze functie wordt niet ondersteund in Cloud Shell.

Stappen:

1. Meld u aan bij uw Azure-account met behulp van az login. Als u meer dan één abonnement hebt, kunt u deze bekijken met behulp az account list van en het abonnement selecteren dat uw Bastion-resource bevat.az account set --subscription "<subscription ID>"

2. Open de tunnel naar uw doel-VM.

   az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"
   

3. Verbinding maken naar uw doel-VM met behulp van SSH of RDP, de systeemeigen client van uw keuze en de lokale computerpoort die u in de vorige stap hebt opgegeven.

   U kunt bijvoorbeeld de volgende opdracht gebruiken als de OpenSSH-client is geïnstalleerd op uw lokale computer:

   ssh <username>@127.0.0.1 -p <LocalMachinePort>
   

Tunnel naar een IP-adres van een VIRTUELE machine

U kunt ook verbinding maken met een privé-IP-adres van een virtuele machine in plaats van de resource-id. Microsoft Entra-verificatie en aangepaste poorten en protocollen worden niet ondersteund bij het gebruik van dit type verbinding. Zie Verbinding maken naar een VM - IP-adres voor meer informatie over IP-verbindingen.

Vervang de az network bastion tunnel opdracht door --target-resource-id--target-ip-address en het opgegeven IP-adres om verbinding te maken met uw VIRTUELE machine.

az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"

Tunnel met meerdere verbindingen

1. Voeg het volgende toe aan uw $HOME.ssh\config.

   Host tunneltunnel
     HostName 127.0.0.1
     Port 2222
     User mylogin
     StrictHostKeyChecking=No
     UserKnownHostsFile=\\.\NUL
   

2. Voeg de tunnelverbinding toe aan de tot stand gebrachte tunnelverbinding.

   az network bastion tunnel --name mybastion --resource-group myrg --target-resource-id /subscriptions/<mysubscription>/resourceGroups/myrg/providers/Microsoft.Compute/virtualMachines/myvm --resource-port 22 --port 22
   

3. Maak een ssh-tunnel in de bastiontunnel.

   ssh -L 2222:127.0.0.1:22 mylogin@127.0.0.1
   

4. Gebruik VS Code om verbinding te maken met uw tunnelverbinding.

Volgende stappen

Bestanden uploaden of downloaden