Compartilhar via


Criar uma conexão SSH com uma VM do Linux usando o Azure Bastion

Este artigo mostra como criar, de maneira segura e direta, uma conexão SSH com as VMs do Linux localizadas em uma rede virtual do Azure diretamente por meio do portal do Azure. Ao usar o Azure Bastion, suas VMs não exigem um cliente, agente ou software adicional.

O Azure Bastion fornece conectividade segura a todas as VMs na rede virtual nas quais ele é provisionado. O uso do Azure Bastion protege suas máquinas virtuais contra a exposição das portas RDP/SSH ao mundo externo, fornecendo acesso seguro usando o RDP/o SSH. Para saber mais, consulte o artigo O que é o Azure Bastion?

Ao se conectar a uma máquina virtual do Linux usando SSH, você pode usar o nome de usuário/senha e as chaves SSH para autenticação. A chave privada SSH deve estar em um formato que comece com "-----BEGIN RSA PRIVATE KEY-----" e termine com "-----END RSA PRIVATE KEY-----".

Pré-requisitos

Não deixe de configurar um host do Azure Bastion para a rede virtual na qual a VM está localizada. Para saber mais, confira Criar um host do Azure Bastion. Depois que o serviço do Bastion é provisionado e implantado na sua rede virtual, você pode usá-lo para se conectar diretamente a qualquer VM nessa rede virtual.

As configurações de conexão e os recursos disponíveis dependem do SKU do Bastion que você está usando. Certifique-se de que a implantação do Bastion esteja usando a SKU necessária.

  • Para ver os recursos e as configurações disponíveis por nível de SKU, consulte a seção SKUs e recursos do artigo de visão geral do Bastion.
  • Para verificar o nível de SKU da sua implantação e upgrade do Bastion, se necessário, confira Fazer o upgrade de um SKU do Bastion.

Funções necessárias

Para fazer uma conexão, são necessárias as seguintes funções:

  • A função de leitor na máquina virtual.
  • A função de leitor na placa de interface de rede com endereço IP privado da máquina virtual.
  • Função de leitor no recurso do Azure Bastion.
  • Função de leitor na rede virtual da máquina virtual alvo (se a implantação do Bastion estiver em uma rede virtual emparelhada).

Portas

Para se conectar à VM do Linux via SSH, você deve ter as seguintes portas abertas em sua VM:

  • Porta de entrada: SSH (22) ou
  • Porta de entrada: valor personalizado (você precisará especificar essa porta personalizada ao se conectar à VM por meio do Azure Bastion). Essa configuração não está disponível para o SKU Básico ou de Desenvolvedor.

Página de conexão do Azure Bastion

  1. No portal do Azure, acesse a máquina virtual à qual deseja se conectar. Na parte superior da página Visão geral da máquina virtual, selecione Conectare selecione Conectar via Bastion na lista suspensa. Isso abre a página doBastion. Você pode ir para a página do Bastion diretamente no painel esquerdo.

    Captura de tela mostrando a página Visão Geral de uma máquina virtual.

  2. Na página do Bastion, as configurações que você pode configurar dependem do nível do SKU do Bastion que o host do seu bastion foi configurado para utilizar.

    A captura de tela mostra as configurações de conexão para SKUs superiores à SKU Básica.

    • Se você estiver usando um SKU maior que o SKU Básico, os valores de Configurações de conexão (portas e protocolos) ficarão visíveis e poderão ser configurados.

    • Se você estiver usando o SKU Básico ou o SKU do Desenvolvedor, não poderá definir valores de Configurações de conexão. Alternativamente, sua conexão usa as seguintes configurações padrão: SSH e porta 22.

    • Para ver e selecionar um Tipo de Autenticação disponível, use a lista suspensa.

  3. Use as seguintes seções neste artigo para definir as configurações de autenticação e se conectar à sua VM.

Autenticação do Microsoft Entra ID (versão prévia)

Observação

O suporte à Autenticação do Microsoft Entra ID para conexões SSH no portal está em versão prévia e está sendo distribuído no momento.

Se os pré-requisitos a seguir forem atendidos, o Microsoft Entra ID se tornará a opção padrão para se conectar à sua VM. Caso contrário, o Microsoft Entra ID não aparecerá como uma opção.

Pré-requisitos:

  • O logon do Microsoft Entra ID deve ser habilitado na VM. O Logon do Microsoft Entra ID pode ser habilitado durante a criação da VM ou adicionando a extensão de logon do Microsoft Entra ID a uma VM pré-existente.

  • Uma das seguintes funções necessárias deve ser configurada na VM para o usuário:

    • Logon do Administrador da Máquina Virtual: essa função será necessária se você quiser entrar com privilégios de administrador.
    • Logon do Usuário da Máquina Virtual: essa função será necessária se você quiser entrar com privilégios regulares de usuário.

Use as etapas a seguir para autenticar usando o Microsoft Entra ID.

A captura de tela mostra o tipo de autenticação como Microsoft Entra ID.

  1. Para autenticar usando o Microsoft Entra ID, defina as seguintes configurações.

    • Configurações de conexão: disponível apenas para SKUs superiores à SKU Básica.

      • Protocolo: selecione SSH.
      • Porta: especifique o número da porta.
    • Tipo de autenticação: selecione Microsoft Entra ID na lista suspensa.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Autenticação de senha

Use as etapas a seguir para autenticar usando nome de usuário e senha.

A captura de tela mostra a Autenticação de senha.

  1. Para autenticar usando um nome de usuário e senha, defina as configurações a seguir.

    • Configurações de conexão: disponível apenas para SKUs superiores à SKU Básica.

      • Protocolo: selecione SSH.
      • Porta: especifique o número da porta.
    • Tipo de autenticação: selecione Senha na lista suspensa.

    • Nome de usuário: insira o nome de usuário.

    • Senha: insira a Senha.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Autenticação de senha: Azure Key Vault

Use as etapas a seguir para autenticar usando uma senha do Azure Key Vault.

A captura de tela mostra a senha da autenticação do Azure Key Vault.

  1. Para autenticar usando uma senha do Azure Key Vault, defina as configurações a seguir.

    • Configurações de conexão: disponível apenas para SKUs superiores à SKU Básica.

      • Protocolo: selecione SSH.
      • Porta: especifique o número da porta.
    • Tipo de autenticação: selecione Senha do Azure Key Vault na lista suspensa.

    • Nome de usuário: insira o nome de usuário.

    • Assinatura: selecione a assinatura.

    • Azure Key Vault: selecione o Key Vault.

    • Segredo do Azure Key Vault: selecione o segredo do Key Vault que contém o valor da chave privada de SSH.

      • Se você não configurou um recurso de Azure Key Vault, consulte criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo de Key Vault.

      • Verifique se você tem a lista e obtenha acesso aos segredos armazenados no recurso de Key Vault. Para atribuir e modificar políticas de acesso para o recurso Key Vault, consulte atribuir uma política de acesso Key Vault.

      • Armazene sua chave privada SSH como um segredo no Azure Key Vault usando a experiência do PowerShell ou da CLI do Azure. Armazenar sua chave privada por meio da experiência do portal de Azure Key Vault interfere na formatação e resultará em um logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à sua VM de destino com um novo par de chaves SSH.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Autenticação por chave SSH privada — arquivo local

Use as etapas a seguir para autenticar usando uma chave privada de SSH de um arquivo local.

A captura de tela mostra a chave privada da autenticação de arquivo local.

  1. Para autenticar usando uma chave privada a partir de um arquivo local, defina as configurações a seguir.

    • Configurações de conexão: disponível apenas para SKUs superiores à SKU Básica.

      • Protocolo: selecione SSH.
      • Porta: especifique o número da porta.
    • Tipo de autenticação: selecione Chave Privada de SSH do Arquivo Local na lista suspensa.

    • Nome de usuário: insira o nome de usuário.

    • Arquivo Local: selecione o arquivo local.

    • Frase secreta de SSH: insira a frase secreta de SSH, se necessário.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Autenticação por chave SSH privada — Azure Key Vault

Use as etapas a seguir para autenticar usando uma chave privada armazenada no Azure Key Vault.

A captura de tela mostra a chave privada armazenada na autenticação do Azure Key Vault.

  1. Para autenticar usando uma chave privada armazenada no Azure Key Vault, defina as configurações a seguir. Para o SKU Básico, as configurações de conexão não podem ser definidas e, alternativamente, usarão as configurações de conexão padrão: SSH e porta 22.

    • Configurações de conexão: disponível apenas para SKUs superiores à SKU Básica.

      • Protocolo: selecione SSH.
      • Porta: especifique o número da porta.
    • Tipo de autenticação: selecione Chave privada de SSH do Azure Key Vault na lista suspensa.

    • Nome de usuário: insira o nome de usuário.

    • Assinatura: selecione a assinatura.

    • Azure Key Vault: selecione o Key Vault.

      • Se você não configurou um recurso de Azure Key Vault, consulte criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo de Key Vault.

      • Verifique se você tem a lista e obtenha acesso aos segredos armazenados no recurso de Key Vault. Para atribuir e modificar políticas de acesso para o recurso Key Vault, consulte atribuir uma política de acesso Key Vault.

      • Armazene sua chave privada SSH como um segredo no Azure Key Vault usando a experiência do PowerShell ou da CLI do Azure. Armazenar sua chave privada por meio da experiência do portal de Azure Key Vault interfere na formatação e resultará em um logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à sua VM de destino com um novo par de chaves SSH.

    • Segredo do Azure Key Vault: selecione o segredo do Key Vault que contém o valor da chave privada de SSH.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Próximas etapas

Para saber mais sobre o Azure Bastion, consulte as Perguntas frequentes do Bastion.