Создание SSH-подключения к виртуальной машине Windows с помощью Бастиона Azure

  • Статья

В этой статье описано, как безопасно и легко создать SSH-подключение к виртуальным машинам Windows, расположенным в виртуальной сети Azure, непосредственно через портал Azure. Когда вы используете Бастион Azure, вашим виртуальным машинам не требуется клиент, агент или дополнительное программное обеспечение. Также к виртуальной машине Windows можно подключиться с помощью RDP. Дополнительные сведения см. в статье Создание RDP-подключения к виртуальной машине Windows.

Бастион Azure обеспечивает безопасное подключение ко всем виртуальным машинам в виртуальной сети, в которой он подготовлен. Бастион Azure позволяет защитить порты RDP и SSH ваших виртуальных машин от внешних проникновений, обеспечивая при этом безопасный доступ с использованием этих протоколов. Подробнее см. в статье Что такое Бастион Azure?.

Примечание.

Если вы хотите создать SSH-подключение к виртуальной машине Windows, Бастион Azure необходимо настроить с помощью номера SKU "Стандартный".

При подключении к виртуальной машине Windows по протоколу SSH можно использовать для проверки подлинности как имя пользователя и пароль, так и ключи SSH.

Закрытый ключ SSH должен начинаться с "-----BEGIN RSA PRIVATE KEY-----" и заканчиваться на "-----END RSA PRIVATE KEY-----".

Необходимые компоненты

Вы должны настроить узел Бастиона Azure для виртуальной сети, в которой находится виртуальная машина. Дополнительные сведения см. в статье о создании узла Бастиона Azure. Когда служба "Бастион Azure" будет подготовлена и развернута в вашей виртуальной сети, вы сможете подключаться с ее помощью к любой виртуальной машине в этой сети.

Чтобы установить SSH-подключение к виртуальной машине Windows, необходимо также убедиться в том, что:

  • Виртуальная машина Windows работает под управлением Windows Server 2019 или более поздней версии.
  • На виртуальной машине Windows установлен и запущен сервер OpenSSH. Сведения об этом см. в статье Установка OpenSSH.
  • Служба "Бастион Azure" настроена для использования номера SKU "Стандартный".

Обязательные роли

Для подключения нужны такие роли:

  • роль читателя на виртуальной машине;
  • роль читателя на сетевом адаптере с частным IP-адресом для виртуальной машины;
  • роль читателя в ресурсе Бастиона Azure.
  • Роль читателя в виртуальной сети целевой виртуальной машины (если развертывание Бастиона находится в одноранговой виртуальной сети).

Порты

Чтобы можно было подключиться к виртуальной машине Windows по протоколу SSH, на ней должны быть открыты следующие порты:

  • Входящий порт: SSH (22) или.
  • Входящий порт: пользовательское значение (при подключении к виртуальной машине через Бастион Azure необходимо указать этот пользовательский порт)

Дополнительные требования см. в разделе " Бастион Azure".

Поддерживаемые конфигурации

В настоящее время Бастион Azure поддерживает подключение только к виртуальным машинам Windows через SSH с помощью OpenSSH.

Страница подключений Бастиона

  1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться. На странице Обзор выберите Подключиться, а затем в раскрывающемся списке выберите Бастион, чтобы открыть страницу подключений Бастиона. Вы также можете выбрать пункт Бастион в области слева.

    Screenshot shows the overview for a virtual machine in Azure portal with Connect selected.

  2. На странице подключений Бастиона щелкните стрелку Параметры подключения, чтобы развернуть все доступные параметры. Обратите внимание, что если вы используете номер SKU "Бастион стандартный ", у вас есть дополнительные параметры.

    Screenshot shows connection settings.

  3. Используйте один из методов, описанных в следующих разделах, для проверки подлинности и подключения.

Имя пользователя и пароль

Выполните следующие действия для проверки подлинности с помощью имени пользователя и пароля.

Screenshot shows Password authentication.

  1. Для проверки подлинности с помощью имени пользователя и пароля настройте следующие параметры:

    • Протокол: выберите SSH.
    • Порт: укажите номер порта. Подключения к пользовательским портам доступны только на уровне "Стандартный".
    • Тип проверки подлинности: в раскрывающемся списке выберите Пароль.
    • Имя пользователя: введите имя пользователя.
    • Пароль: введите пароль.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Закрытый ключ из локального файла

Выполните следующие действия для проверки подлинности с помощью закрытого ключа SSH из локального файла.

Screenshot shows private key from local file authentication.

  1. Для проверки подлинности с помощью закрытого ключа из локального файла настройте следующие параметры:

    • Протокол: выберите SSH.
    • Порт: укажите номер порта. Подключения к пользовательским портам доступны только на уровне "Стандартный".
    • Тип проверки подлинности: выберите Закрытый ключ SSH из локального файла в раскрывающемся списке.
    • Локальный файл: выберите локальный файл.
    • Парольная фраза SSH: при необходимости введите парольную фразу SSH.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Пароль из Azure Key Vault

Выполните следующие действия, чтобы настроить проверку подлинности с помощью пароля из Azure Key Vault.

Screenshot shows password from Azure Key Vault authentication.

  1. Для проверки подлинности с помощью пароля из Azure Key Vault настройте следующие параметры:

    • Протокол: выберите SSH.

    • Порт: укажите номер порта. Подключения к пользовательским портам доступны только на уровне "Стандартный".

    • Тип проверки подлинности: выберите Пароль из Azure Key Vault в раскрывающемся списке.

    • Имя пользователя: введите имя пользователя.

    • Подписка: выберите подписку.

    • Azure Key Vault: выберите Key Vault.

    • Секрет Azure Key Vault: выберите секрет Key Vault, содержащий значение закрытого ключа SSH.

      • Если вы не настроили ресурс Azure Key Vault, ознакомьтесь со статьей Создание хранилища ключей и сохраните закрытый ключ SSH как значение нового секрета Key Vault.

      • Убедитесь, что у вас есть доступ к секретам, хранящимся в ресурсе Key Vault, для операций List и Get. Сведения о том, как назначить и изменить политики доступа для ресурса Key Vault, см. в статье Назначение политики доступа для Key Vault.

        Примечание.

        Сохраните закрытый ключ SSH в качестве секрета в Azure Key Vault с помощью PowerShell или Azure CLI. Сохранение закрытого ключа с помощью портала Azure Key Vault повлияет на форматирование и приведет к невозможности входа. Если вы все же сохранили закрытый ключ в качестве секрета с помощью портала и у вас больше нет доступа к исходному файлу закрытого ключа, см. инструкции по восстановлению доступа к целевой виртуальной машине с помощью новой пары ключей SSH в разделе Обновление ключа SSH.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Закрытый ключ из Azure Key Vault

Выполните следующие действия, чтобы настроить проверку подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault.

Screenshot shows Private key stored in Azure Key Vault authentication.

  1. Для проверки подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault, настройте следующие параметры:

    • Протокол: выберите SSH.

    • Порт: укажите номер порта. Подключения к пользовательским портам доступны только на уровне "Стандартный".

    • Тип проверки подлинности: выберите Закрытый ключ SSH из Azure Key Vault в раскрывающемся списке.

    • Имя пользователя: введите имя пользователя.

    • Подписка: выберите подписку.

    • Azure Key Vault: выберите Key Vault.

      • Если вы не настроили ресурс Azure Key Vault, ознакомьтесь со статьей Создание хранилища ключей и сохраните закрытый ключ SSH как значение нового секрета Key Vault.

      • Убедитесь, что у вас есть доступ к секретам, хранящимся в ресурсе Key Vault, для операций List и Get. Сведения о том, как назначить и изменить политики доступа для ресурса Key Vault, см. в статье Назначение политики доступа для Key Vault.

        Примечание.

        Сохраните закрытый ключ SSH в качестве секрета в Azure Key Vault с помощью PowerShell или Azure CLI. Сохранение закрытого ключа с помощью портала Azure Key Vault повлияет на форматирование и приведет к невозможности входа. Если вы все же сохранили закрытый ключ в качестве секрета с помощью портала и у вас больше нет доступа к исходному файлу закрытого ключа, см. инструкции по восстановлению доступа к целевой виртуальной машине с помощью новой пары ключей SSH в разделе Обновление ключа SSH.

    • Секрет Azure Key Vault: выберите секрет Key Vault, содержащий значение закрытого ключа SSH.

  2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

  3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Следующие шаги

Дополнительные сведения о Бастионе Azure см. в статье Бастион Azure: часто задаваемые вопросы.