Skapa en SSH-anslutning till en virtuell Linux-dator med Azure Bastion

Artikel
04/27/2024

Den här artikeln visar hur du på ett säkert och smidigt sätt skapar en SSH-anslutning till dina virtuella Linux-datorer som finns i ett virtuellt Azure-nätverk direkt via Azure-portalen. När du använder Azure Bastion behöver dina virtuella datorer inte någon klient, agent eller ytterligare programvara.

Azure Bastion ger säker anslutning till alla virtuella datorer i det virtuella nätverk där den etableras. Genom att använda Azure Bastion skyddas dina virtuella datorer från att exponera RDP/SSH-portar för omvärlden, samtidigt som de ger säker åtkomst med RDP/SSH. Mer information finns i artikeln Vad är Azure Bastion?

När du ansluter till en virtuell Linux-dator med SSH kan du använda både användarnamn/lösenord och SSH-nycklar för autentisering. Den privata SSH-nyckeln måste vara i ett format som börjar med "-----BEGIN RSA PRIVATE KEY-----" och slutar med "-----END RSA PRIVATE KEY-----".

Förutsättningar

Kontrollera att du har konfigurerat en Azure Bastion-värd för det virtuella nätverk där den virtuella datorn finns. Mer information finns i Skapa en Azure Bastion-värd. När Bastion-tjänsten har etablerats och distribuerats i ditt virtuella nätverk kan du använda den för att ansluta till valfri virtuell dator i det här virtuella nätverket.

Vilka anslutningsinställningar och funktioner som är tillgängliga beror på vilken Bastion SKU du använder. Kontrollera att Bastion-distributionen använder den nödvändiga SKU:n.

Information om tillgängliga funktioner och inställningar per SKU-nivå finns i avsnittet SKU:er och funktioner i översiktsartikeln Bastion.
Information om hur du kontrollerar SKU-nivån för din Bastion-distribution och uppgradering om det behövs finns i Uppgradera en Bastion SKU.

Roller som krävs

För att upprätta en anslutning krävs följande roller:

Läsarroll på den virtuella datorn.
Läsarroll på nätverkskortet med den virtuella datorns privata IP-adress.
Läsarroll på Azure Bastion-resursen.
Läsarroll i det virtuella nätverket för den virtuella måldatorn (om Bastion-distributionen finns i ett peer-kopplat virtuellt nätverk).

Hamnar

För att kunna ansluta till den virtuella Linux-datorn via SSH måste du ha följande portar öppna på den virtuella datorn:

Inkommande port: SSH (22) eller
Inkommande port: Anpassat värde (du måste sedan ange den här anpassade porten när du ansluter till den virtuella datorn via Azure Bastion). Den här inställningen är inte tillgänglig för SKU:n Basic eller Developer.

Bastion-anslutningssida

I Azure-portalen går du till den virtuella dator som du vill ansluta till. Längst upp på översiktssidan för den virtuella datorn väljer du Anslut och väljer sedan Anslut via Bastion i listrutan. Då öppnas sidan Bastion . Du kan gå till sidan Bastion direkt i den vänstra rutan.
På sidan Bastion beror de inställningar som du kan konfigurera på den Bastion SKU-nivå som skyddsvärden har konfigurerats att använda.
- Om du använder en SKU som är högre än basic-SKU:n visas Anslut ion Inställningar värden (portar och protokoll) och kan konfigureras.
- Om du använder Basic SKU eller Developer SKU kan du inte konfigurera Anslut ion Inställningar värden. I stället använder anslutningen följande standardinställningar: SSH och port 22.
- Om du vill visa och välja en tillgänglig autentiseringstyp använder du listrutan.
Använd följande avsnitt i den här artikeln för att konfigurera autentiseringsinställningar och ansluta till den virtuella datorn.

Microsoft Entra ID-autentisering (förhandsversion)

Kommentar

Microsoft Entra ID-autentiseringsstöd för SSH-anslutningar i portalen är i förhandsversion och distribueras för närvarande.

Om följande krav uppfylls blir Microsoft Entra-ID standardalternativet för att ansluta till den virtuella datorn. Annars visas inte Microsoft Entra-ID som ett alternativ.

Förutsättningar:

Inloggning med Microsoft Entra-ID ska vara aktiverat på den virtuella datorn. Inloggning med Microsoft Entra-ID kan aktiveras när den virtuella datorn skapas eller genom att tillägget Inloggning för Microsoft Entra-ID läggs till i en befintlig virtuell dator.
En av följande obligatoriska roller bör konfigureras på den virtuella datorn för användaren:
- Inloggning med virtuell datoradministratör: Den här rollen är nödvändig om du vill logga in med administratörsbehörighet.
- Användarinloggning för virtuell dator: Den här rollen är nödvändig om du vill logga in med vanliga användarbehörigheter.

Använd följande steg för att autentisera med hjälp av Microsoft Entra-ID.

Om du vill autentisera med Microsoft Entra-ID konfigurerar du följande inställningar.
- Anslut ion Inställningar: Endast tillgängligt för SKU:er som är högre än basic-SKU:n.
  - Protokoll: Välj SSH.
  - Port: Ange portnumret.
- Autentiseringstyp: Välj Microsoft Entra-ID i listrutan.
Om du vill arbeta med den virtuella datorn på en ny webbläsarflik väljer du Öppna på den nya webbläsarfliken.
Klicka på Anslut för att ansluta till den virtuella datorn.

Lösenordsverifiering

Använd följande steg för att autentisera med användarnamn och lösenord.

Om du vill autentisera med ett användarnamn och lösenord konfigurerar du följande inställningar.
- Anslut ion Inställningar: Endast tillgängligt för SKU:er som är högre än basic-SKU:n.
  - Protokoll: Välj SSH.
  - Port: Ange portnumret.
- Autentiseringstyp: Välj Lösenord i listrutan.
- Användarnamn: Ange användarnamnet.
- Lösenord: Ange lösenordet.
Om du vill arbeta med den virtuella datorn på en ny webbläsarflik väljer du Öppna på den nya webbläsarfliken.
Klicka på Anslut för att ansluta till den virtuella datorn.

Lösenordsautentisering – Azure Key Vault

Använd följande steg för att autentisera med ett lösenord från Azure Key Vault.

Om du vill autentisera med ett lösenord från Azure Key Vault konfigurerar du följande inställningar.
- Anslut ion Inställningar: Endast tillgängligt för SKU:er som är högre än basic-SKU:n.
  - Protokoll: Välj SSH.
  - Port: Ange portnumret.
- Autentiseringstyp: Välj Lösenord från Azure Key Vault i listrutan.
- Användarnamn: Ange användarnamnet.
- Prenumeration: Välj prenumerationen.
- Azure Key Vault: Välj Nyckelvalvet.
- Azure Key Vault-hemlighet: Välj den Key Vault-hemlighet som innehåller värdet för din privata SSH-nyckel.
  - Om du inte har konfigurerat en Azure Key Vault-resurs kan du läsa Skapa ett nyckelvalv och lagra din privata SSH-nyckel som värde för en ny Key Vault-hemlighet.
  - Kontrollera att du har Lista och Få åtkomst till hemligheterna som lagras i Key Vault-resursen. Information om hur du tilldelar och ändrar åtkomstprinciper för din Key Vault-resurs finns i Tilldela en key vault-åtkomstprincip.
  - Lagra din privata SSH-nyckel som en hemlighet i Azure Key Vault med hjälp av PowerShell - eller Azure CLI-upplevelsen . Lagring av din privata nyckel via Azure Key Vault-portalen stör formateringen och resulterar i misslyckad inloggning. Om du lagrade din privata nyckel som en hemlighet med hjälp av portalupplevelsen och inte längre har åtkomst till den ursprungliga privata nyckelfilen kan du läsa Uppdatera SSH-nyckeln för att uppdatera åtkomsten till den virtuella måldatorn med ett nytt SSH-nyckelpar.
Om du vill arbeta med den virtuella datorn på en ny webbläsarflik väljer du Öppna på den nya webbläsarfliken.
Klicka på Anslut för att ansluta till den virtuella datorn.

Autentisering med privat SSH-nyckel – lokal fil

Använd följande steg för att autentisera med en privat SSH-nyckel från en lokal fil.

Om du vill autentisera med en privat nyckel från en lokal fil konfigurerar du följande inställningar.
- Anslut ion Inställningar: Endast tillgängligt för SKU:er som är högre än basic-SKU:n.
  - Protokoll: Välj SSH.
  - Port: Ange portnumret.
- Autentiseringstyp: Välj privat SSH-nyckel från lokal fil i listrutan.
- Användarnamn: Ange användarnamnet.
- Lokal fil: Välj den lokala filen.
- SSH-lösenfras: Ange SSH-lösenfrasen om det behövs.
Om du vill arbeta med den virtuella datorn på en ny webbläsarflik väljer du Öppna på den nya webbläsarfliken.
Klicka på Anslut för att ansluta till den virtuella datorn.

Autentisering med privat SSH-nyckel – Azure Key Vault

Använd följande steg för att autentisera med hjälp av en privat nyckel som lagras i Azure Key Vault.

Om du vill autentisera med en privat nyckel som lagras i Azure Key Vault konfigurerar du följande inställningar. För basic-SKU:n kan anslutningsinställningarna inte konfigureras och använder i stället standardanslutningsinställningarna: SSH och port 22.
- Anslut ion Inställningar: Endast tillgängligt för SKU:er som är högre än basic-SKU:n.
  - Protokoll: Välj SSH.
  - Port: Ange portnumret.
- Autentiseringstyp: Välj privat SSH-nyckel från Azure Key Vault i listrutan.
- Användarnamn: Ange användarnamnet.
- Prenumeration: Välj prenumerationen.
- Azure Key Vault: Välj Nyckelvalvet.
  - Om du inte har konfigurerat en Azure Key Vault-resurs kan du läsa Skapa ett nyckelvalv och lagra din privata SSH-nyckel som värde för en ny Key Vault-hemlighet.
  - Kontrollera att du har Lista och Få åtkomst till hemligheterna som lagras i Key Vault-resursen. Information om hur du tilldelar och ändrar åtkomstprinciper för din Key Vault-resurs finns i Tilldela en key vault-åtkomstprincip.
  - Lagra din privata SSH-nyckel som en hemlighet i Azure Key Vault med hjälp av PowerShell - eller Azure CLI-upplevelsen . Lagring av din privata nyckel via Azure Key Vault-portalen stör formateringen och resulterar i misslyckad inloggning. Om du lagrade din privata nyckel som en hemlighet med hjälp av portalupplevelsen och inte längre har åtkomst till den ursprungliga privata nyckelfilen kan du läsa Uppdatera SSH-nyckeln för att uppdatera åtkomsten till den virtuella måldatorn med ett nytt SSH-nyckelpar.
- Azure Key Vault-hemlighet: Välj den Key Vault-hemlighet som innehåller värdet för din privata SSH-nyckel.
Om du vill arbeta med den virtuella datorn på en ny webbläsarflik väljer du Öppna på den nya webbläsarfliken.
Klicka på Anslut för att ansluta till den virtuella datorn.

Nästa steg

Mer information om Azure Bastion finns i Vanliga frågor och svar om Bastion.