Criar uma conexão SSH com uma VM do Linux usando o Azure Bastion
Este artigo mostra como criar, de maneira segura e direta, uma conexão SSH com as VMs do Linux localizadas em uma rede virtual do Azure diretamente por meio do portal do Azure. Ao usar o Azure Bastion, suas VMs não exigem um cliente, agente ou software adicional.
O Azure Bastion fornece conectividade segura a todas as VMs na rede virtual nas quais ele é provisionado. O uso do Azure Bastion protege suas máquinas virtuais contra a exposição das portas RDP/SSH ao mundo externo, fornecendo acesso seguro usando o RDP/o SSH. Para saber mais, consulte o artigo O que é o Azure Bastion?
Ao se conectar a uma máquina virtual do Linux usando SSH, você pode usar o nome de usuário/senha e as chaves SSH para autenticação. A chave privada SSH deve estar em um formato que comece com "-----BEGIN RSA PRIVATE KEY-----"
e termine com "-----END RSA PRIVATE KEY-----"
.
Pré-requisitos
Não deixe de configurar um host do Azure Bastion para a rede virtual na qual a VM está localizada. Para saber mais, confira Criar um host do Azure Bastion. Depois que o serviço do Bastion é provisionado e implantado na sua rede virtual, você pode usá-lo para se conectar diretamente a qualquer VM nessa rede virtual.
As configurações de conexão e os recursos disponíveis dependem do SKU do Bastion que você está usando. Certifique-se de que a implantação do Bastion esteja usando a SKU necessária.
- Para ver os recursos e as configurações disponíveis por nível de SKU, consulte a seção SKUs e recursos do artigo de visão geral do Bastion.
- Para verificar o nível de SKU da sua implantação e upgrade do Bastion, se necessário, confira Fazer o upgrade de um SKU do Bastion.
Funções necessárias
Para fazer uma conexão, são necessárias as seguintes funções:
- A função de leitor na máquina virtual.
- A função de leitor na placa de interface de rede com endereço IP privado da máquina virtual.
- Função de leitor no recurso do Azure Bastion.
- Função de leitor na rede virtual da máquina virtual alvo (se a implantação do Bastion estiver em uma rede virtual emparelhada).
Portas
Para se conectar à VM do Linux via SSH, você deve ter as seguintes portas abertas em sua VM:
- Porta de entrada: SSH (22) ou
- Porta de entrada: valor personalizado (você precisará especificar essa porta personalizada ao se conectar à VM por meio do Azure Bastion). Essa configuração não está disponível para o SKU Básico ou de Desenvolvedor.
Página de conexão do Azure Bastion
No portal do Azure, acesse a máquina virtual à qual deseja se conectar. Na parte superior da página Visão geral da máquina virtual, selecione Conectare selecione Conectar via Bastion na lista suspensa. Isso abre a página doBastion. Você pode ir para a página do Bastion diretamente no painel esquerdo.
Na página do Bastion, as configurações que você pode configurar dependem do nível do SKU do Bastion que o host do seu bastion foi configurado para utilizar.
Se você estiver usando um SKU maior que o SKU Básico, os valores de Configurações de conexão (portas e protocolos) ficarão visíveis e poderão ser configurados.
Se você estiver usando o SKU Básico ou o SKU do Desenvolvedor, não poderá definir valores de Configurações de conexão. Alternativamente, sua conexão usa as seguintes configurações padrão: SSH e porta 22.
Para ver e selecionar um Tipo de Autenticação disponível, use a lista suspensa.
Use as seguintes seções neste artigo para definir as configurações de autenticação e se conectar à sua VM.
Autenticação do Microsoft Entra ID (versão prévia)
Observação
O suporte à Autenticação do Microsoft Entra ID para conexões SSH no portal está em versão prévia e está sendo distribuído no momento.
Se os pré-requisitos a seguir forem atendidos, o Microsoft Entra ID se tornará a opção padrão para se conectar à sua VM. Caso contrário, o Microsoft Entra ID não aparecerá como uma opção.
Pré-requisitos:
O logon do Microsoft Entra ID deve ser habilitado na VM. O Logon do Microsoft Entra ID pode ser habilitado durante a criação da VM ou adicionando a extensão de logon do Microsoft Entra ID a uma VM pré-existente.
Uma das seguintes funções necessárias deve ser configurada na VM para o usuário:
- Logon do Administrador da Máquina Virtual: essa função será necessária se você quiser entrar com privilégios de administrador.
- Logon do Usuário da Máquina Virtual: essa função será necessária se você quiser entrar com privilégios regulares de usuário.
Use as etapas a seguir para autenticar usando o Microsoft Entra ID.
Para autenticar usando o Microsoft Entra ID, defina as seguintes configurações.
Configurações de conexão: disponível apenas para SKUs superiores à SKU Básica.
- Protocolo: selecione SSH.
- Porta: especifique o número da porta.
Tipo de autenticação: selecione Microsoft Entra ID na lista suspensa.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.
Clique em Conectar para conectar a VM.
Autenticação de senha
Use as etapas a seguir para autenticar usando nome de usuário e senha.
Para autenticar usando um nome de usuário e senha, defina as configurações a seguir.
Configurações de conexão: disponível apenas para SKUs superiores à SKU Básica.
- Protocolo: selecione SSH.
- Porta: especifique o número da porta.
Tipo de autenticação: selecione Senha na lista suspensa.
Nome de usuário: insira o nome de usuário.
Senha: insira a Senha.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.
Clique em Conectar para conectar a VM.
Autenticação de senha: Azure Key Vault
Use as etapas a seguir para autenticar usando uma senha do Azure Key Vault.
Para autenticar usando uma senha do Azure Key Vault, defina as configurações a seguir.
Configurações de conexão: disponível apenas para SKUs superiores à SKU Básica.
- Protocolo: selecione SSH.
- Porta: especifique o número da porta.
Tipo de autenticação: selecione Senha do Azure Key Vault na lista suspensa.
Nome de usuário: insira o nome de usuário.
Assinatura: selecione a assinatura.
Azure Key Vault: selecione o Key Vault.
Segredo do Azure Key Vault: selecione o segredo do Key Vault que contém o valor da chave privada de SSH.
Se você não configurou um recurso de Azure Key Vault, consulte criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo de Key Vault.
Verifique se você tem a lista e obtenha acesso aos segredos armazenados no recurso de Key Vault. Para atribuir e modificar políticas de acesso para o recurso Key Vault, consulte atribuir uma política de acesso Key Vault.
Armazene sua chave privada SSH como um segredo no Azure Key Vault usando a experiência do PowerShell ou da CLI do Azure. Armazenar sua chave privada por meio da experiência do portal de Azure Key Vault interfere na formatação e resultará em um logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à sua VM de destino com um novo par de chaves SSH.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.
Clique em Conectar para conectar a VM.
Autenticação por chave SSH privada — arquivo local
Use as etapas a seguir para autenticar usando uma chave privada de SSH de um arquivo local.
Para autenticar usando uma chave privada a partir de um arquivo local, defina as configurações a seguir.
Configurações de conexão: disponível apenas para SKUs superiores à SKU Básica.
- Protocolo: selecione SSH.
- Porta: especifique o número da porta.
Tipo de autenticação: selecione Chave Privada de SSH do Arquivo Local na lista suspensa.
Nome de usuário: insira o nome de usuário.
Arquivo Local: selecione o arquivo local.
Frase secreta de SSH: insira a frase secreta de SSH, se necessário.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.
Clique em Conectar para conectar a VM.
Autenticação por chave SSH privada — Azure Key Vault
Use as etapas a seguir para autenticar usando uma chave privada armazenada no Azure Key Vault.
Para autenticar usando uma chave privada armazenada no Azure Key Vault, defina as configurações a seguir. Para o SKU Básico, as configurações de conexão não podem ser definidas e, alternativamente, usarão as configurações de conexão padrão: SSH e porta 22.
Configurações de conexão: disponível apenas para SKUs superiores à SKU Básica.
- Protocolo: selecione SSH.
- Porta: especifique o número da porta.
Tipo de autenticação: selecione Chave privada de SSH do Azure Key Vault na lista suspensa.
Nome de usuário: insira o nome de usuário.
Assinatura: selecione a assinatura.
Azure Key Vault: selecione o Key Vault.
Se você não configurou um recurso de Azure Key Vault, consulte criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo de Key Vault.
Verifique se você tem a lista e obtenha acesso aos segredos armazenados no recurso de Key Vault. Para atribuir e modificar políticas de acesso para o recurso Key Vault, consulte atribuir uma política de acesso Key Vault.
Armazene sua chave privada SSH como um segredo no Azure Key Vault usando a experiência do PowerShell ou da CLI do Azure. Armazenar sua chave privada por meio da experiência do portal de Azure Key Vault interfere na formatação e resultará em um logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à sua VM de destino com um novo par de chaves SSH.
Segredo do Azure Key Vault: selecione o segredo do Key Vault que contém o valor da chave privada de SSH.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.
Clique em Conectar para conectar a VM.
Próximas etapas
Para saber mais sobre o Azure Bastion, consulte as Perguntas frequentes do Bastion.