Criar uma conexão SSH com uma VM do Windows usando o Azure Bastion
Este artigo mostra como criar de modo seguro e direto uma conexão SSH para as VMs do Windows localizadas em uma rede virtual do Azure diretamente por meio do portal do Azure. Ao usar o Azure Bastion, suas VMs não exigem um cliente, agente ou software adicional. Você também pode se conectar a uma VM do Windows usando o RDP. Para obter mais informações, consulte Criar uma conexão RDP com uma VM do Windows.
O Azure Bastion fornece conectividade segura a todas as VMs na rede virtual nas quais ele é provisionado. O uso do Azure Bastion protege suas máquinas virtuais contra a exposição das portas RDP/SSH ao mundo externo, fornecendo acesso seguro usando o RDP/o SSH. Para saber mais, consulte O que é o Azure Bastion?.
Observação
Se você quiser criar uma conexão SSH com uma VM do Windows, o Azure Bastion deverá ser configurado usando o SKU Standard ou superior.
Ao se conectar a uma máquina virtual do Windows usando SSH, você pode usar o nome de usuário/senha e as chaves SSH para autenticação.
A chave privada SSH deve estar em um formato que comece com "-----BEGIN RSA PRIVATE KEY-----"
e termine com "-----END RSA PRIVATE KEY-----"
.
Pré-requisitos
Não deixe de configurar um host do Azure Bastion para a rede virtual na qual a VM está localizada. Para saber mais, confira Criar um host do Azure Bastion. Depois que o serviço do Bastion é provisionado e implantado na sua rede virtual, você pode usá-lo para se conectar diretamente a qualquer VM nessa rede virtual.
Para SSH em uma máquina virtual do Windows, você também deve garantir que:
- A máquina virtual do Windows está executando o Windows Server 2019 ou posterior.
- Você tenha o Servidor OpenSSH instalado e em execução na sua máquina virtual do Windows. Para saber como fazer isso, consulte Instalar o OpenSSH.
- O Azure Bastion foi configurado para usar o SKU Standard ou superior.
Funções necessárias
Para fazer uma conexão, são necessárias as seguintes funções:
- Função de leitor na máquina virtual
- Função de leitor na placa de interface de rede com endereço IP privado da máquina virtual
- Função de leitor no recurso do Azure Bastion
- Função de leitor na rede virtual da máquina virtual alvo (se a implantação do Bastion estiver em uma rede virtual emparelhada).
Portas
Para se conectar à VM do Windows via SSH, você deve ter as seguintes portas abertas em sua VM:
- Porta de Entrada: SSH (22) ou
- Porta de entrada: valor personalizado (você precisará especificar essa porta personalizada ao se conectar à VM por meio do Azure Bastion)
Confira as Perguntas frequentes sobre o Azure Bastion para obter requisitos adicionais.
Configurações com suporte
Atualmente, o Azure Bastion dá suporte apenas à conexão a VMs do Windows por meio de SSH usando o OpenSSH.
Página de conexão do Azure Bastion
No portal do Azure, navegue até a máquina virtual à qual deseja se conectar. Na página de Visão geral, selecioneConectar e, em seguida, Bastion no menu suspenso para abrir a página de conexão do Bastion. Você também pode selecionar Bastion no painel esquerdo.
Na página de conexão do Bastion, clique na seta Configurações de Conexão para expandir todas as configurações disponíveis. Observe que, se você estiver usando o SKU Standard ou superior do Bastion, terá mais configurações disponíveis.
Autentique e conecte usando um dos métodos nas seções a seguir.
Nome de usuário e senha
Use as etapas a seguir para autenticar usando nome de usuário e senha.
Para autenticar usando um nome de usuário e senha, defina as seguintes configurações:
- Protocolo: selecione SSH.
- Porta: insira o número da porta. As conexões de porta personalizadas estão disponíveis apenas para a SKU Standard ou superior.
- Tipo de autenticação: selecione Senha na lista suspensa.
- Nome de usuário: insira o nome de usuário.
- Senha: insira a Senha.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.
Clique em Conectar para conectar a VM.
Chave privada do arquivo local
Use as etapas a seguir para autenticar usando uma chave privada de SSH de um arquivo local.
Para autenticar usando uma chave privada de um arquivo local, defina as seguintes configurações:
- Protocolo: selecione SSH.
- Porta: insira o número da porta. As conexões de porta personalizadas estão disponíveis apenas para a SKU Standard ou superior.
- Tipo de autenticação: selecione Chave Privada de SSH do Arquivo Local na lista suspensa.
- Arquivo Local: selecione o arquivo local.
- Frase secreta de SSH: insira a frase secreta de SSH, se necessário.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.
Clique em Conectar para conectar a VM.
Senha − Azure Key Vault
Use as etapas a seguir para autenticar usando uma senha do Azure Key Vault.
Para autenticar usando uma senha do Azure Key Vault, defina as seguintes configurações:
Protocolo: selecione SSH.
Porta: insira o número da porta. As conexões de porta personalizadas estão disponíveis apenas para a SKU Standard ou superior.
Tipo de autenticação: selecione Senha do Azure Key Vault na lista suspensa.
Nome de usuário: insira o nome de usuário.
Assinatura: selecione a assinatura.
Azure Key Vault: selecione o Key Vault.
Segredo do Azure Key Vault: selecione o segredo do Key Vault que contém o valor da chave privada de SSH.
Se você não configurou um recurso de Azure Key Vault, consulte criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo de Key Vault.
Verifique se você tem a lista e obtenha acesso aos segredos armazenados no recurso de Key Vault. Para atribuir e modificar políticas de acesso para o recurso Key Vault, consulte atribuir uma política de acesso Key Vault.
Observação
Armazene sua chave privada SSH como um segredo no Azure Key Vault usando a experiência do PowerShell ou da CLI do Azure. Armazenar sua chave privada por meio da experiência do portal de Azure Key Vault interferirá na formatação e resultará em um logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à sua VM de destino com um novo par de chaves SSH.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.
Clique em Conectar para conectar a VM.
Chave privada − Azure Key Vault
Use as etapas a seguir para autenticar usando uma chave privada armazenada no Azure Key Vault.
Para autenticar usando uma chave privada armazenada no Azure Key Vault, defina as seguintes configurações:
Protocolo: selecione SSH.
Porta: insira o número da porta. As conexões de porta personalizadas estão disponíveis apenas para a SKU Standard ou superior.
Tipo de autenticação: selecione Chave privada de SSH do Azure Key Vault na lista suspensa.
Nome de usuário: insira o nome de usuário.
Assinatura: selecione a assinatura.
Azure Key Vault: selecione o Key Vault.
Se você não configurou um recurso de Azure Key Vault, consulte criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo de Key Vault.
Verifique se você tem a lista e obtenha acesso aos segredos armazenados no recurso de Key Vault. Para atribuir e modificar políticas de acesso para o recurso Key Vault, consulte atribuir uma política de acesso Key Vault.
Observação
Armazene sua chave privada SSH como um segredo no Azure Key Vault usando a experiência do PowerShell ou da CLI do Azure. Armazenar sua chave privada por meio da experiência do portal de Azure Key Vault interferirá na formatação e resultará em um logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à sua VM de destino com um novo par de chaves SSH.
Segredo do Azure Key Vault: selecione o segredo do Key Vault que contém o valor da chave privada de SSH.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.
Clique em Conectar para conectar a VM.
Próximas etapas
Para saber mais sobre o Azure Bastion, consulte as Perguntas frequentes do Bastion.