Azure Bastion kullanarak Linux VM'sine SSH bağlantısı oluşturma

Bu makalede, Azure Bastion kullanarak Linux sanal makinelerinize güvenli bir SSH bağlantısının nasıl oluşturulacağı açıklanır. Azure portalı (tarayıcı tabanlı), belirtilen IP adresi aracılığıyla veya yerel bilgisayarınızda yerel bir istemci kullanarak bağlanabilirsiniz. Azure Bastion'ı kullandığınızda sanal makineleriniz için istemci, aracı veya ek yazılım gerekmez. Azure Bastion, RDP/SSH bağlantı noktalarını genel İnternet'e göstermeden sanal ağdaki tüm sanal makinelere güvenli bir şekilde bağlanır. Daha fazla bilgi için bkz. Azure Bastion nedir?

Azure CLI kullanan yerel istemci bağlantıları için bkz. Linux yerel istemcisi kullanarak VM'ye bağlanma veya Windows yerel istemcisi kullanarak VM'ye bağlanma. RDP kullanarak bir Linux VM'ye bağlanmak için bkz. Linux VM'sine RDP bağlantısı oluşturma.

Aşağıdaki diyagramda SSH bağlantısı kullanan ayrılmış dağıtım mimarisi gösterilmektedir.

Önkoşullar

Başlamadan önce aşağıdaki ölçütleri karşıladığınızdan emin olun:

• Sanal makinenin bulunduğu sanal ağda veya eşlenmiş sanal ağda dağıtılan bir Azure Bastion konağı. Bastion konağı ayarlamak için bkz. Bastion konağı oluşturma. İhtiyacınız olan SKU, bağlantı yönteminize bağlıdır:

  Bağlantı yöntemi	En düşük SKU	Ek yapılandırma
  Azure portalı (tarayıcı)	Basic	Hiçbiri
  Özel bağlantı noktalarıyla Azure portalı	Standart	Hiçbiri
  IP tabanlı bağlantı	Standart	IP tabanlı bağlantı etkinleştirildi
  Yerel istemci (SSH)	Standart	Yerel istemci desteği etkin

• Sanal ağdaki bir Linux sanal makinesi (veya IP tabanlı bağlantılar için sanal ağdan erişilebilir).

• Gerekli roller:

  • Sanal makinedeki okuyucu rolü.
  • Sanal makinenin özel IP'sine sahip NIC'de okuyucu rolü.
  • Azure Bastion kaynağındaki okuyucu rolü.
  • Hedef sanal makinenin sanal ağında okuyucu rolü (Bastion dağıtımı eşlenmiş bir sanal ağdaysa).
  • Sanal Makine Yöneticisi Oturum Açma veya Sanal Makine Kullanıcı Oturum Açma rolü (yalnızca Microsoft Entra Id kimlik doğrulaması için gereklidir).

• Bağlantı nokta -ları: Linux VM'ye SSH aracılığıyla bağlanmak için VM'nizde aşağıdaki bağlantı noktalarının açık olması gerekir:

  • Gelen bağlantı noktası: SSH (22) veya
  • Gelen bağlantı noktası: Özel değer (daha sonra Azure Bastion aracılığıyla VM'ye bağlanırken bu özel bağlantı noktasını belirtmeniz gerekir). Bu ayar Temel veya Geliştirici SKU'su için kullanılamaz.

Ek gereksinimler hakkında daha fazla bilgi için Azure Bastion SSS'ye bakın.

Kimlik doğrulama yöntemleri

Aşağıdaki tabloda, her bağlantı yöntemi için hangi kimlik doğrulama yöntemlerinin kullanılabildiği gösterilmektedir.

Kimlik doğrulama yöntemi	Desteklenen bağlantı yöntemleri	En düşük SKU
Microsoft Entra ID	Azure portalı, yerel istemci	Temel (portal), Standart (yerel istemci)
Kullanıcı adı ve parola	Azure portalı, IP adresi (portal), yerel istemci	Temel (portal), Standart (IP adresi, yerel istemci)
Azure Key Vault'tan parola	Azure portalı	Basic
Yerel dosyadan SSH özel anahtarı	Azure portalı, IP adresi (portal), yerel istemci	Temel (portal), Standart (IP adresi, yerel istemci)
Azure Key Vault'tan SSH özel anahtarı	Azure portalı	Basic

Kimlik doğrulaması ayrıntıları

Bağlantınız için kimlik doğrulama ayarlarını yapılandırın. Her bağlantı yöntemi için tüm kimlik doğrulama yöntemleri kullanılamaz. Kullanılabilirlik için kimlik doğrulama yöntemleri tablosuna bakın.

Microsoft Entra ID

Mevcut: Azure portalı, yerel istemci. IP tabanlı bağlantılar için desteklenmez.

Önkoşullar, kurulum adımları ve bağlantı yönergeleri için bkz. Azure Bastion için Microsoft Entra ID kimlik doğrulamasını yapılandırma.

Kullanıcı adı ve parola

Şu süreler için kullanılabilir: Azure portalı, IP adresi (portal), yerel istemci.

Kullanıcı adı ve parola kullanarak kimlik doğrulaması yapmak için aşağıdaki ayarları yapılandırın.

Ayar	Açıklama
Kimlik doğrulaması türü	Açılan listeden Parola'ya tıklayın.
Kullanıcı adı	Kullanıcı adını girin.
Parola	Parolayı girin.

Portal üzerinden bağlanırken, isterseniz Yeni tarayıcı sekmesinde aç'ı ve ardından Bağlan'ı seçin.

Azure Key Vault'tan parola

Geçerlidir: Yalnızca Azure portalı için.

Azure Key Vault bir parola kullanarak kimlik doğrulaması yapmak için aşağıdaki ayarları yapılandırın.

Ayar	Açıklama
Kimlik doğrulaması türü	Açılır listeden Password from Azure Key Vault öğesini seçin.
Kullanıcı adı	Kullanıcı adını girin.
Subscription	Aboneliği seçin.
Azure Key Vault	Key Vault seçin.
Azure Key Vault Gizli Dizi	SSH özel anahtarınızın değerini içeren Key Vault sırrını seçin.

Key Vault kurulum gereksinimleri için bkz. Key Vault yapılandırması.

İsterseniz Yeni tarayıcı sekmesinde aç'ı ve ardından Bağlan'ı seçin.

Yerel dosyadan SSH özel anahtarı

Şu süreler için kullanılabilir: Azure portalı, IP adresi (portal), yerel istemci.

Not

SSH özel anahtarı, "-----BEGIN RSA PRIVATE KEY-----" ile başlayıp "-----END RSA PRIVATE KEY-----" ile biten bir formatta olmalıdır.

Yerel bir dosyadan özel anahtar kullanarak kimlik doğrulaması yapmak için aşağıdaki ayarları yapılandırın.

Ayar	Açıklama
Kimlik doğrulaması türü	Açılan listeden Yerel Dosya'dan SSH Özel Anahtarı'nı seçin.
Kullanıcı adı	Kullanıcı adını girin.
Yerel Dosya	Yerel dosyayı seçin.
SSH Parolası	Gerekirse SSH parolasını girin.

Portal üzerinden bağlanırken, isterseniz Yeni tarayıcı sekmesinde aç'ı ve ardından Bağlan'ı seçin.

Azure Key Vault'tan SSH özel anahtarı

Yalnızca şunlar için kullanılabilir: Azure portalı. Yerel istemci veya IP tabanlı bağlantılar için desteklenmez.

Not

SSH özel anahtarı, "-----BEGIN RSA PRIVATE KEY-----" ile başlayıp "-----END RSA PRIVATE KEY-----" ile biten bir formatta olmalıdır.

Azure Key Vault depolanan özel anahtarı kullanarak kimlik doğrulaması yapmak için aşağıdaki ayarları yapılandırın.

Ayar	Açıklama
Kimlik doğrulaması türü	Açılır listeden Azure Key Vault'tan SSH Özel Anahtarını seçin.
Kullanıcı adı	Kullanıcı adını girin.
Subscription	Aboneliği seçin.
Azure Key Vault	Key Vault seçin.
Azure Key Vault Gizli Dizi	SSH özel anahtarınızın değerini içeren Key Vault sırrını seçin.

Key Vault kurulum gereksinimleri için bkz. Key Vault yapılandırması.

İsterseniz Yeni tarayıcı sekmesinde aç'ı ve ardından Bağlan'ı seçin.

Key Vault yapılandırması

Parolayı veya SSH özel anahtarını depolamak için Azure Key Vault kullanıyorsanız, Key Vault'unuzu aşağıdaki gereksinimleri kullanarak yapılandırın:

• Azure Key Vault kaynağı oluşturmadıysanız bkz. Anahtar kasası oluşturma ve gizli bilginizi (parola veya SSH özel anahtarı) yeni bir Key Vault gizli bilginin değeri olarak depolayın.
• Key Vault kaynağında depolanan gizli verilere Liste ve Getir erişim yetkiniz olduğundan emin olun. Key Vault kaynağınıza erişim ilkeleri atamak ve değiştirmek için bkz. Key Vault erişim ilkesi atama.
• PowerShell veya Azure CLI deneyimini kullanarak gizlilerinizi Azure Key Vault'ta depolayın. Azure Key Vault portalı deneyimi aracılığıyla gizli dizinizi depolamak, biçimlendirmeyi engeller ve başarısız oturum açma işlemlerine neden olur. Portal deneyimini kullanarak özel anahtarınızı gizli dizi olarak depoladıysanız ve artık özgün özel anahtar dosyasına erişiminiz yoksa bkz. Yeni bir SSH anahtar çifti ile hedef VM'nize erişimi güncelleştirmek için SSH anahtarını güncelleştirme.

SSH kullanarak sanal makineye bağlanma

VM'nize bağlanmaya yönelik gezinti adımlarını görmek için aşağıdaki bağlantı yöntemi sekmenizi seçin. Bağlantı yöntemi başına kullanılabilir kimlik doğrulama yöntemleri için kimlik doğrulama yöntemleri tablosuna bakın.

Azure portalı

Linux sanal makinenize tarayıcı tabanlı bir SSH bağlantısı oluşturmak için Azure portalını kullanın. Bu yöntem doğrudan tarayıcınız üzerinden bağlanır. Yerel bilgisayarınızda yerel SSH istemcisi veya ek yazılım gerekmez. Temel SKU veya üzeri, özel bağlantı noktalarına ihtiyacınız varsa Standart SKU gereklidir.

1. Azure portalında bağlanmak istediğiniz sanal makineye gidin. Sanal makineye Genel Bakış sayfasının üst kısmında Bağlan'ı ve ardından açılan listeden Bastion aracılığıyla bağlan'ı seçin. Bu işlem , Bastion sayfasını açar. Bastion sayfasına doğrudan sol bölmede de gidebilirsiniz.

2. Bastion sayfasında yapılandırabileceğiniz ayarlar, bastion konağınızın kullanmak üzere yapılandırıldığı Bastion SKU'sunu temel alır.

   • Temel SKU'dan daha yüksek bir SKU kullanıyorsanız, Bağlantı Ayarları değerleri (bağlantı noktaları ve protokoller) görünür ve yapılandırılabilir.
   • Temel SKU veya Geliştirici SKU'su kullanıyorsanız, Bağlantı Ayarları değerlerini yapılandıramazsınız. Bunun yerine, bağlantınız şu varsayılan ayarları kullanır: SSH ve bağlantı noktası 22.
   • Kullanılabilir kimlik doğrulama türünü görüntülemek ve seçmek için açılan listeyi kullanın.

3. Kimlik doğrulama ayarlarınızı yapılandırın. Ayrıntılar için bkz . Kimlik doğrulaması ayrıntıları. Bağlan seçeneğini seçin.

IP adresi (portal)

Belirtilen IP adresini kullanarak Linux sanal makinenize tarayıcı tabanlı bir SSH bağlantısı oluşturmak için Azure portalını kullanın. Bu yöntem tarayıcınız üzerinden bağlanır ve yerel bir SSH istemcisi veya yerel bilgisayarınızda ek yazılım gerektirmez. Standart SKU veya üzeri gereklidir ve IP tabanlı bağlantıyı etkinleştirmeniz gerekir.

IP tabanlı bağlantıyı etkinleştirme

IP adresi kullanarak bağlanabilmeniz için önce Bastion dağıtımınızda IP tabanlı bağlantıyı etkinleştirmeniz gerekir.

1. Azure portalında Bastion dağıtımınıza gidin.

2. Yapılandırma sayfasındaki Katman için SKU'nun Standart SKU veya üzeri olarak ayarlandığını doğrulayın. SKU Temel SKU olarak ayarlandıysa, açılan listeden daha yüksek bir SKU seçin.

3. IP tabanlı bağlantı'ya tıklayın.

4. Değişiklikleri uygulamak için Uygula'yı seçin. Bastion yapılandırmasının tamamlanması birkaç dakika sürer.

IP tabanlı bağlantı etkinleştirildikten sonra, Hedef sanal makinenin IP adresini Azure portalından bir sanal makine seçmek yerine doğrudan Bastion Connect sayfasında belirtirsiniz.

IP adresi kullanarak bağlanma

1. Belirtilen IP adresini kullanarak bir sanal makineye bağlanmak için bağlantıyı doğrudan sanal makine sayfasından değil Bastion'dan yapın. Bastion kaynağınızda Bağlan'ı seçerek Bağlan sayfasını açın.

2. Bastion Connect sayfasında , IP adresi için hedef sanal makinenin IP adresini girin.

3. Bağlantı ayarlarınızı istediğiniz Protokol (SSH) ve Bağlantı Noktası'na ayarlayın.

4. Portaldan IP tabanlı SSH bağlantıları için kullanılabilir kimlik doğrulama türleri , YerelDosyadan Parola ve SSH Özel Anahtarı'dır. Kimlik doğrulama ayarlarınızı yapılandırın. Ayrıntılar için bkz . Kimlik doğrulaması ayrıntıları. Bağlan seçeneğini seçin.

Not

Ip tabanlı SSH bağlantıları için Microsoft Entra Id kimlik doğrulaması desteklenmez. Daha fazla bilgi için bkz. IP tabanlı bağlantılar.

Yerel istemci

Azure CLI (az network bastion ssh) kullanarak yerel bir bilgisayardan Linux sanal makinenize bağlanın. Bu yöntem, standart SKU veya üzeri ile yerel istemci desteği yapılandırılmış olmayı gerektirir.

Başlamadan önce aşağıdaki önkoşullara sahip olduğunuzu doğrulayın:

• CLI komutlarının en son sürümü (sürüm 2.32 veya üzeri) yüklenir. az extension update --name bastion kullanarak Bastion için CLI'nızı güncelleyebilirsiniz. CLI komutlarını yükleme hakkında bilgi için bkz. Azure CLI’yi yükleme ve Azure CLI’yi Kullanmaya Başlama.
• Azure Bastion sanal ağınız için zaten dağıtılmış ve yapılandırılmıştır. Adımlar için bkz . Bastion'ı yerel istemci bağlantıları için yapılandırma.
• Sanal ağdaki bir sanal makine.
• VM'nin Kaynak Kimliği. Kaynak Kimliği, Azure portalında kolayca bulunabilir. VM'nizin Genel Bakış sayfasına gidin ve Kaynak JSON'unu açmak için JSON Görünümü bağlantısını seçin. Daha sonra VM'nize bağlanırken kullanmak üzere sayfanın üst kısmındaki Kaynak Kimliğini panonuza kopyalayın.
• Microsoft Entra kimlik bilgilerinizi kullanarak sanal makinenizde oturum açmayı planlıyorsanız, sanal makinenizin aşağıdaki yöntemlerden birini kullanarak ayarlandığından emin olun:
  • Windows VM veya Linux VM için Microsoft Entra oturum açmayı etkinleştirin.
  • Windows VM'nizi Microsoft Entra'ya katılmış olacak şekilde yapılandırın.
  • Windows VM'nizi Microsoft Entra hibrit katılımına katılacak şekilde yapılandırın.

Gerekli roller

• Sanal makinedeki okuyucu rolü.

• Sanal makinenin özel IP'sine sahip NIC'de okuyucu rolü.

• Azure Bastion kaynağındaki okuyucu rolü.

• Sanal Makine Yöneticisi Oturum Açma veya Sanal Makine Kullanıcısı Oturum Açma rolü, Microsoft Entra oturum açma yöntemini kullanıyorsanız. Bunu yapmanız için şu makalelerden birinde açıklanan işlemleri kullanarak Microsoft Entra oturum açma özelliğini etkinleştirmeniz gerekir:

  • Azure Windows VM'leri ve Microsoft Entra Id
  • Azure Linux VM'leri ve Microsoft Entra Id

Bağlantı Noktaları

Yerel istemci desteğini kullanarak bir Linux VM'ye bağlanmak için Linux VM'nizde aşağıdaki bağlantı noktalarının açık olması gerekir:

• Gelen bağlantı noktası: SSH (22) veya
• Gelen bağlantı noktası: Özel değer (daha sonra Azure Bastion aracılığıyla VM'ye bağlanırken bu özel bağlantı noktasını belirtmeniz gerekir)

Yerel istemci desteğini kullanarak bir Windows VM'ye bağlanmak için Windows VM'nizde aşağıdaki bağlantı noktalarının açık olması gerekir:

• Gelen bağlantı noktası: RDP (3389) veya
• Gelen bağlantı noktası: Özel değer (daha sonra Azure Bastion aracılığıyla VM'ye bağlanırken bu özel bağlantı noktasını belirtmeniz gerekir)

Azure Bastion ile NSG'leri en iyi şekilde yapılandırma hakkında bilgi edinmek için bkz . NSG erişimi ve Azure Bastion ile çalışma.

Yerel istemciyi kullanarak bağlanmaya yönelik tam adımlar için bkz. Bastion ve Linux yerel istemcisi kullanarak vm'ye bağlanma.

Desteklenen kimlik doğrulama türleri için bkz. Kimlik doğrulaması ayrıntıları.

Not

Azure Key Vault'ta depolanan bir SSH özel anahtarı kullanarak oturum açmak yerel istemci bağlantılarında desteklenmez. Linux VM'nizde SSH anahtar çifti kullanarak oturum açmadan önce özel anahtarınızı yerel makinenizdeki bir dosyaya indirin.

Sınırlamalar

• IP tabanlı bağlantılar: IP tabanlı bağlantı, VPN üzerinden zorlamalı tünel oluşturma veya ExpressRoute bağlantı hattı üzerinden varsayılan bir yol tanıtıldığında çalışmaz. Azure Bastion için İnternet erişimi gerekir. Zorlamalı tünel veya varsayılan rota belirtimi trafiğin düşmesine neden olur.
• IP tabanlı bağlantılar: UDR, IP tabanlı bağlantılar da dahil olmak üzere Bastion alt ağı üzerinde desteklenmez.
• IP tabanlı bağlantılar: Ip tabanlı SSH bağlantıları için Microsoft Entra Id kimlik doğrulaması desteklenmez. Daha fazla bilgi için bkz. Microsoft Entra Id kimlik doğrulaması.
• Yerel istemci: Azure Key Vault'ta depolanan bir SSH özel anahtarı kullanarak oturum açmak yerel istemci bağlantılarında desteklenmez.
• Yerel istemci: Bu özellik Cloud Shell'de desteklenmez.

Sonraki adımlar

• RDP kullanarak Linux VM'ye bağlanma
• Azure Bastion nedir?
• Kimlik tabanlı erişim için Microsoft Entra Id kimlik doğrulamasını yapılandırın.
• Yerel istemci kullanarak dosyaları sanal makinenize aktarabilirsiniz.
• Azure portalı erişimi olmayan kullanıcılar için paylaşılabilir bir bağlantı yapılandırın.
• Azure Bastion Sıkça Sorulan Sorular