Criar uma conexão SSH com uma VM do Windows usando o Azure Bastion
Este artigo mostra como criar de forma segura e transparente uma conexão SSH para suas VMs do Windows localizadas em uma rede virtual do Azure diretamente por meio do portal do Azure. Quando você usa o Azure Bastion, suas VMs não exigem um cliente, agente ou software adicional. Você também pode se conectar a uma VM do Windows usando RDP. Para obter informações, consulte Criar uma conexão RDP com uma VM do Windows.
O Azure Bastion fornece conectividade segura para todas as VMs na rede virtual na qual ele é provisionado. Usar o Azure Bastion protege suas máquinas virtuais contra a exposição de portas RDP/SSH para o mundo exterior, enquanto ainda fornece acesso seguro usando RDP/SSH. Para obter mais informações, consulte O que é o Azure Bastion?.
Nota
Se você quiser criar uma conexão SSH com uma VM do Windows, o Azure Bastion deve ser configurado usando a SKU padrão ou superior.
Ao se conectar a uma máquina virtual do Windows usando SSH, você pode usar o nome de usuário/senha e as chaves SSH para autenticação.
A chave privada SSH deve estar em um formato que começa com "-----BEGIN RSA PRIVATE KEY-----"
e termina com "-----END RSA PRIVATE KEY-----"
.
Pré-requisitos
Verifique se você configurou um host do Azure Bastion para a rede virtual na qual a VM reside. Para obter mais informações, consulte Criar um host do Azure Bastion. Depois que o serviço Bastion for provisionado e implantado em sua rede virtual, você poderá usá-lo para se conectar a qualquer VM nessa rede virtual.
Para SSH para uma máquina virtual do Windows, você também deve garantir que:
- Sua máquina virtual do Windows está executando o Windows Server 2019 ou posterior.
- Você tem o OpenSSH Server instalado e em execução em sua máquina virtual Windows. Para saber como fazer isso, consulte Instalar o OpenSSH.
- O Azure Bastion foi configurado para usar a SKU padrão ou superior.
Funções necessárias
Para estabelecer uma ligação, são necessárias as seguintes funções:
- Função de leitor na máquina virtual
- Função de leitor na NIC com IP privado da máquina virtual
- Função de leitor no recurso do Azure Bastion
- Função de leitor na rede virtual da máquina virtual de destino (se a implantação Bastion estiver em uma rede virtual emparelhada).
Portas
Para se conectar à VM do Windows via SSH, você deve ter as seguintes portas abertas na VM:
- Porta de entrada: SSH (22) ou
- Porta de entrada: valor personalizado (você precisará especificar essa porta personalizada quando se conectar à VM por meio do Azure Bastion)
Consulte as Perguntas frequentes do Bastião do Azure para obter requisitos adicionais.
Configurações suportadas
Atualmente, o Azure Bastion suporta apenas a conexão com VMs do Windows via SSH usando OpenSSH.
Página de conexão Bastion
No portal do Azure, vá para a máquina virtual à qual você deseja se conectar. Na página Visão geral, selecione Conectar e, em seguida, selecione Bastion na lista suspensa para abrir a página de conexão Bastion. Você também pode selecionar Bastion no painel esquerdo.
Na página Conexão Bastion, clique na seta Configurações de Conexão para expandir todas as configurações disponíveis. Observe que, se você estiver usando o Bastion Standard SKU ou superior, terá mais configurações disponíveis.
Autentique e conecte-se usando um dos métodos nas seções a seguir.
Nome de utilizador e palavra-passe
Use as etapas a seguir para autenticar usando nome de usuário e senha.
Para autenticar usando um nome de usuário e senha, defina as seguintes configurações:
- Protocolo: Selecione SSH.
- Porta: insira o número da porta. Conexões de porta personalizadas estão disponíveis para o SKU padrão ou superior.
- Tipo de autenticação: Selecione Senha na lista suspensa.
- Nome de usuário: digite o nome de usuário.
- Palavra-passe: Introduza a palavra-passe.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir na nova guia do navegador.
Clique em Conectar para se conectar à VM.
Chave privada do arquivo local
Use as etapas a seguir para autenticar usando uma chave privada SSH de um arquivo local.
Para autenticar usando uma chave privada de um arquivo local, defina as seguintes configurações:
- Protocolo: Selecione SSH.
- Porta: insira o número da porta. Conexões de porta personalizadas estão disponíveis para o SKU padrão ou superior.
- Tipo de autenticação: Selecione Chave Privada SSH do Arquivo Local na lista suspensa.
- Arquivo local: Selecione o arquivo local.
- Senha SSH: Insira a senha SSH, se necessário.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir na nova guia do navegador.
Clique em Conectar para se conectar à VM.
Palavra-passe - Azure Key Vault
Use as etapas a seguir para autenticar usando uma senha do Cofre de Chaves do Azure.
Para autenticar usando uma senha do Cofre de Chaves do Azure, defina as seguintes configurações:
Protocolo: Selecione SSH.
Porta: insira o número da porta. Conexões de porta personalizadas estão disponíveis para o SKU padrão ou superior.
Tipo de autenticação: selecione Senha no Cofre de Chaves do Azure na lista suspensa.
Nome de usuário: digite o nome de usuário.
Assinatura: Selecione a assinatura.
Azure Key Vault: selecione o Key Vault.
Segredo do Cofre da Chave do Azure: selecione o segredo do Cofre da Chave que contém o valor da sua chave privada SSH.
Se você não configurou um recurso do Cofre de Chaves do Azure, consulte Criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo do Cofre de Chaves.
Certifique-se de que tem acesso a Listar e Obter aos segredos armazenados no recurso Cofre de Chaves. Para atribuir e modificar políticas de acesso para seu recurso do Cofre da Chave, consulte Atribuir uma política de acesso ao Cofre da Chave.
Nota
Armazene sua chave privada SSH como um segredo no Cofre de Chaves do Azure usando a experiência PowerShell ou CLI do Azure. Armazenar sua chave privada por meio da experiência do portal do Cofre de Chaves do Azure interferirá na formatação e resultará em logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à VM de destino com um novo par de chaves SSH.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir na nova guia do navegador.
Clique em Conectar para se conectar à VM.
Chave privada - Azure Key Vault
Use as etapas a seguir para autenticar usando uma chave privada armazenada no Cofre de Chaves do Azure.
Para autenticar usando uma chave privada armazenada no Cofre da Chave do Azure, defina as seguintes configurações:
Protocolo: Selecione SSH.
Porta: insira o número da porta. Conexões de porta personalizadas estão disponíveis para o SKU padrão ou superior.
Tipo de autenticação: selecione Chave Privada SSH no Cofre de Chaves do Azure na lista suspensa.
Nome de usuário: digite o nome de usuário.
Assinatura: Selecione a assinatura.
Azure Key Vault: selecione o Key Vault.
Se você não configurou um recurso do Cofre de Chaves do Azure, consulte Criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo do Cofre de Chaves.
Certifique-se de que tem acesso a Listar e Obter aos segredos armazenados no recurso Cofre de Chaves. Para atribuir e modificar políticas de acesso para seu recurso do Cofre da Chave, consulte Atribuir uma política de acesso ao Cofre da Chave.
Nota
Armazene sua chave privada SSH como um segredo no Cofre de Chaves do Azure usando a experiência PowerShell ou CLI do Azure. Armazenar sua chave privada por meio da experiência do portal do Cofre de Chaves do Azure interferirá na formatação e resultará em logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à VM de destino com um novo par de chaves SSH.
Segredo do Cofre da Chave do Azure: selecione o segredo do Cofre da Chave que contém o valor da sua chave privada SSH.
Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir na nova guia do navegador.
Clique em Conectar para se conectar à VM.
Próximos passos
Para obter mais informações sobre o Azure Bastion, consulte as Perguntas frequentes do Bastion.