Compartilhar via


Criar uma conexão SSH com uma VM do Windows usando o Azure Bastion

Este artigo mostra como criar de modo seguro e direto uma conexão SSH para as VMs do Windows localizadas em uma rede virtual do Azure diretamente por meio do portal do Azure. Ao usar o Azure Bastion, suas VMs não exigem um cliente, agente ou software adicional. Você também pode se conectar a uma VM do Windows usando o RDP. Para obter mais informações, consulte Criar uma conexão RDP com uma VM do Windows.

O Azure Bastion fornece conectividade segura a todas as VMs na rede virtual nas quais ele é provisionado. O uso do Azure Bastion protege suas máquinas virtuais contra a exposição das portas RDP/SSH ao mundo externo, fornecendo acesso seguro usando o RDP/o SSH. Para saber mais, consulte O que é o Azure Bastion?.

Observação

Se você quiser criar uma conexão SSH com uma VM do Windows, o Azure Bastion deverá ser configurado usando o SKU Standard ou superior.

Ao se conectar a uma máquina virtual do Windows usando SSH, você pode usar o nome de usuário/senha e as chaves SSH para autenticação.

A chave privada SSH deve estar em um formato que comece com "-----BEGIN RSA PRIVATE KEY-----" e termine com "-----END RSA PRIVATE KEY-----".

Pré-requisitos

Não deixe de configurar um host do Azure Bastion para a rede virtual na qual a VM está localizada. Para saber mais, confira Criar um host do Azure Bastion. Depois que o serviço do Bastion é provisionado e implantado na sua rede virtual, você pode usá-lo para se conectar diretamente a qualquer VM nessa rede virtual.

Para SSH em uma máquina virtual do Windows, você também deve garantir que:

  • A máquina virtual do Windows está executando o Windows Server 2019 ou posterior.
  • Você tenha o Servidor OpenSSH instalado e em execução na sua máquina virtual do Windows. Para saber como fazer isso, consulte Instalar o OpenSSH.
  • O Azure Bastion foi configurado para usar o SKU Standard ou superior.

Funções necessárias

Para fazer uma conexão, são necessárias as seguintes funções:

  • Função de leitor na máquina virtual
  • Função de leitor na placa de interface de rede com endereço IP privado da máquina virtual
  • Função de leitor no recurso do Azure Bastion
  • Função de leitor na rede virtual da máquina virtual alvo (se a implantação do Bastion estiver em uma rede virtual emparelhada).

Portas

Para se conectar à VM do Windows via SSH, você deve ter as seguintes portas abertas em sua VM:

  • Porta de Entrada: SSH (22) ou
  • Porta de entrada: valor personalizado (você precisará especificar essa porta personalizada ao se conectar à VM por meio do Azure Bastion)

Confira as Perguntas frequentes sobre o Azure Bastion para obter requisitos adicionais.

Configurações com suporte

Atualmente, o Azure Bastion dá suporte apenas à conexão a VMs do Windows por meio de SSH usando o OpenSSH.

Página de conexão do Azure Bastion

  1. No portal do Azure, navegue até a máquina virtual à qual deseja se conectar. Na página de Visão geral, selecioneConectar e, em seguida, Bastion no menu suspenso para abrir a página de conexão do Bastion. Você também pode selecionar Bastion no painel esquerdo.

    Captura de tela mostra a visão geral de uma máquina virtual no portal do Azure com o Connect selecionado.

  2. Na página de conexão do Bastion, clique na seta Configurações de Conexão para expandir todas as configurações disponíveis. Observe que, se você estiver usando o SKU Standard ou superior do Bastion, terá mais configurações disponíveis.

    A captura de tela mostra as configurações de conexão.

  3. Autentique e conecte usando um dos métodos nas seções a seguir.

Nome de usuário e senha

Use as etapas a seguir para autenticar usando nome de usuário e senha.

A captura de tela mostra a Autenticação de senha.

  1. Para autenticar usando um nome de usuário e senha, defina as seguintes configurações:

    • Protocolo: selecione SSH.
    • Porta: insira o número da porta. As conexões de porta personalizadas estão disponíveis apenas para a SKU Standard ou superior.
    • Tipo de autenticação: selecione Senha na lista suspensa.
    • Nome de usuário: insira o nome de usuário.
    • Senha: insira a Senha.
  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Chave privada do arquivo local

Use as etapas a seguir para autenticar usando uma chave privada de SSH de um arquivo local.

A captura de tela mostra a chave privada da autenticação de arquivo local.

  1. Para autenticar usando uma chave privada de um arquivo local, defina as seguintes configurações:

    • Protocolo: selecione SSH.
    • Porta: insira o número da porta. As conexões de porta personalizadas estão disponíveis apenas para a SKU Standard ou superior.
    • Tipo de autenticação: selecione Chave Privada de SSH do Arquivo Local na lista suspensa.
    • Arquivo Local: selecione o arquivo local.
    • Frase secreta de SSH: insira a frase secreta de SSH, se necessário.
  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Senha − Azure Key Vault

Use as etapas a seguir para autenticar usando uma senha do Azure Key Vault.

A captura de tela mostra a senha da autenticação do Azure Key Vault.

  1. Para autenticar usando uma senha do Azure Key Vault, defina as seguintes configurações:

    • Protocolo: selecione SSH.

    • Porta: insira o número da porta. As conexões de porta personalizadas estão disponíveis apenas para a SKU Standard ou superior.

    • Tipo de autenticação: selecione Senha do Azure Key Vault na lista suspensa.

    • Nome de usuário: insira o nome de usuário.

    • Assinatura: selecione a assinatura.

    • Azure Key Vault: selecione o Key Vault.

    • Segredo do Azure Key Vault: selecione o segredo do Key Vault que contém o valor da chave privada de SSH.

      • Se você não configurou um recurso de Azure Key Vault, consulte criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo de Key Vault.

      • Verifique se você tem a lista e obtenha acesso aos segredos armazenados no recurso de Key Vault. Para atribuir e modificar políticas de acesso para o recurso Key Vault, consulte atribuir uma política de acesso Key Vault.

        Observação

        Armazene sua chave privada SSH como um segredo no Azure Key Vault usando a experiência do PowerShell ou da CLI do Azure. Armazenar sua chave privada por meio da experiência do portal de Azure Key Vault interferirá na formatação e resultará em um logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à sua VM de destino com um novo par de chaves SSH.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Chave privada − Azure Key Vault

Use as etapas a seguir para autenticar usando uma chave privada armazenada no Azure Key Vault.

A captura de tela mostra a chave privada armazenada na autenticação do Azure Key Vault.

  1. Para autenticar usando uma chave privada armazenada no Azure Key Vault, defina as seguintes configurações:

    • Protocolo: selecione SSH.

    • Porta: insira o número da porta. As conexões de porta personalizadas estão disponíveis apenas para a SKU Standard ou superior.

    • Tipo de autenticação: selecione Chave privada de SSH do Azure Key Vault na lista suspensa.

    • Nome de usuário: insira o nome de usuário.

    • Assinatura: selecione a assinatura.

    • Azure Key Vault: selecione o Key Vault.

      • Se você não configurou um recurso de Azure Key Vault, consulte criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo de Key Vault.

      • Verifique se você tem a lista e obtenha acesso aos segredos armazenados no recurso de Key Vault. Para atribuir e modificar políticas de acesso para o recurso Key Vault, consulte atribuir uma política de acesso Key Vault.

        Observação

        Armazene sua chave privada SSH como um segredo no Azure Key Vault usando a experiência do PowerShell ou da CLI do Azure. Armazenar sua chave privada por meio da experiência do portal de Azure Key Vault interferirá na formatação e resultará em um logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à sua VM de destino com um novo par de chaves SSH.

    • Segredo do Azure Key Vault: selecione o segredo do Key Vault que contém o valor da chave privada de SSH.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Próximas etapas

Para saber mais sobre o Azure Bastion, consulte as Perguntas frequentes do Bastion.