分享方式:


使用 Azure Bastion 建立 Linux VM 的 SSH 連線

本文說明如何直接透過 Azure 入口網站,安全且順暢地為 Azure 虛擬網路中的 Linux VM 建立 SSH 連線。 使用 Azure Bastion 後,VM 就無須用戶端、代理程式或其他軟體。

Azure Bastion 可為佈建所在虛擬網路中的所有 VM 提供安全連線。 使用 Azure Bastion 來保護您的虛擬機器免於向外公開 RDP/SSH 連接埠,同時提供使用 RDP/SSH 的安全存取。 如需詳細資訊,請參閱 什麼是 Azure Bastion? 文章。

使用 SSH 連線到 Linux 虛擬機器時,您可以透過使用者名稱/密碼和 SSH 金鑰來進行驗證。

必要條件

請務必於 VM 所在的虛擬網路中設定 Azure Bastion 主機。 如需詳細資訊,請參閱建立 Azure Bastion 主機。 在虛擬網路中佈建及部署 Bastion 服務之後,您就可以使用該服務連線到此虛擬網路中的任何 VM。

可用的連線設定和功能取決於您所使用的 Bastion SKU。 請確定您的 Bastion 部署使用必要的 SKU。

  • 若要查看每個 SKU 層的可用功能和設定,請參閱 Bastion 概觀一文的 SKU 和功能一節。
  • 若要檢查 Bastion 部署的 SKU 層,並視需要升級,請參閱升級 Bastion SKU

所需角色

若要建立連線,必須具備下列角色:

  • 虛擬機器上的讀取者角色。
  • 虛擬機器的私人 IP 位址與 NIC 上的讀取者角色。
  • Azure Bastion 資源上的讀者角色。
  • 目標虛擬機器的虛擬網路上讀取者角色 (若 Bastion 部署位於對等互連的虛擬網路中)。

連接埠

若要透過 SSH 連線到 Linux VM,請務必在 VM 上開啟下列連接埠:

  • 輸入連接埠:SSH (22)
  • 輸入連接埠:自訂值 (透過 Azure Bastion 連線到 VM 後,您就需要指定此自訂連接埠)。 此設定不適用於基本或開發人員 SKU。

Bastion 連線頁面

  1. 在 Azure 入口網站中,前往要連線的虛擬機器。 在虛擬機 [概觀 ] 頁面頂端,選取 [ 聯機],然後從下拉式清單中選取 [ 透過 Bastion 連線]。 這會開啟 Bastion 頁面。 您可以直接移至左窗格中的 Bastion 頁面。

    顯示虛擬機器 [概觀] 頁面的螢幕快照。

  2. 在 [Bastion] 頁面上,您可以設定的設定取決於堡壘主機已設定為使用的 Bastion SKU 層。

    顯示 SKU 高於基本 SKU 之連線設定的螢幕快照。

    • 如果您使用高於基本 SKU 的 SKU, 則可以看到連線設定 值(埠和通訊協定),而且可以設定。

    • 如果您使用基本 SKU 或開發人員 SKU,則無法設定 連線設定 值。 相反地,您的連線會使用下列預設設定:SSH 和連接埠 22。

    • 若要檢視並選取可用的驗證類型,請使用下拉式清單。

  3. 使用本文中的下列各節來設定驗證設定,並連線至您的 VM。

Microsoft Entra ID 驗證

注意

Microsoft入口網站中 SSH 連線的 Entra ID 驗證支援僅支援 Linux VM。

如果符合下列必要條件,Microsoft Entra ID 會變成連線到 VM 的預設選項。 如果沒有,Microsoft Entra ID 將不會顯示為選項。

先決條件:

  • Microsoft應在 VM 上啟用 Entra ID Login。 Microsoft專案標識符登入可以在建立 VM 期間啟用,或藉由將Microsoft Entra ID 登入擴充功能新增至既有的 VM。

  • 使用者應在 VM 上設定下列其中一個必要角色:

    • 虛擬機器系統管理員登入:如果您想要以系統管理員許可權登入,則需要此角色。
    • 虛擬機使用者登入:如果您想要以一般用戶許可權登入,則需要此角色。

使用下列步驟,使用 Microsoft Entra ID 進行驗證。

螢幕快照:顯示驗證類型為 Microsoft Entra ID。

  1. 若要使用 Microsoft Entra ID 進行驗證,請設定下列設定。

    • 連線設定:僅適用於高於基本 SKU 的 SKU。

      • 通訊協定:選取 [SSH]。
      • 連接埠:指定連接埠號碼。
    • 驗證類型:從下拉式清單中選取 [Microsoft項目標識符 ]。

  2. 若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]

  3. 按一下 [連線] 以連線至 VM。

密碼驗證

使用下列步驟來使用使用者名稱和密碼進行驗證。

顯示密碼驗證的螢幕快照。

  1. 若要使用使用者名稱和密碼來進行驗證,請進行下列設定。

    • 連線設定:僅適用於高於基本 SKU 的 SKU。

      • 通訊協定:選取 [SSH]。
      • 連接埠:指定連接埠號碼。
    • 驗證類型:從下拉式清單中選取 [密碼]

    • 使用者名稱:輸入使用者名稱。

    • 密碼:輸入密碼

  2. 若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]

  3. 按一下 [連線] 連線 VM。

密碼驗證 - Azure Key Vault

使用下列步驟,從 Azure Key Vault 使用密碼來進行驗證。

顯示 Azure 金鑰保存庫 驗證密碼的螢幕快照。

  1. 若要使用 Azure Key Vault 的密碼進行驗證,請進行下列設定。

    • 連線設定:僅適用於高於基本 SKU 的 SKU。

      • 通訊協定:選取 [SSH]。
      • 連接埠:指定連接埠號碼。
    • 驗證類型:從下拉式清單中選取 [來自 Azure Key Vault 的密碼]

    • 使用者名稱:輸入使用者名稱。

    • 訂閱:選取訂閱。

    • Azure Key Vault:選取 Key Vault。

    • Azure Key Vault 祕密:選取包含 SSH 私密金鑰值的 Key Vault 祕密。

      • 如果您尚未設定 Azure Key Vault 資源,請參閱建立金鑰保存庫,並將 SSH 私密金鑰儲存為新 Key Vault 祕密的值。

      • 請務必取得儲存在 Key Vault 資源中祕密的 ListGet 存取權。 若要指派及修改 Key Vault 資源的存取原則,請參閱指派 Key Vault 存取原則

      • 使用 PowerShellAzure CLI 體驗,將您的 SSH 私鑰儲存為 Azure 金鑰保存庫 中的秘密。 透過 Azure 金鑰保存庫 入口網站體驗儲存私鑰會干擾格式設定,並導致登入失敗。 如果您確實使用了入口網站體驗將私密金鑰儲存為祕密,且無法再存取原始私密金鑰檔案,請參閱更新 SSH 金鑰,即可透過新的 SSH 金鑰組更新目標 VM 的存取權。

  2. 若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]

  3. 按一下 [連線] 連線 VM。

SSH 私密金鑰驗證 - 本機檔案

使用下列步驟,從本機檔案使用 SSH 私密金鑰來進行驗證。

顯示本機檔案驗證私鑰的螢幕快照。

  1. 若要使用本機檔案中的私密金鑰來進行驗證,請進行下列設定。

    • 連線設定:僅適用於高於基本 SKU 的 SKU。

      • 通訊協定:選取 [SSH]。
      • 連接埠:指定連接埠號碼。
    • 驗證類型:從下拉式清單中選取 [本機檔案中的 SSH 私密金鑰]

    • 使用者名稱:輸入使用者名稱。

    • 本機檔案:選取本機檔案。

    • SSH 複雜密碼:視需要輸入 SSH 複雜密碼。

  2. 若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]

  3. 按一下 [連線] 連線 VM。

SSH 私密金鑰驗證 - Azure Key Vault

使用下列步驟,使用儲存在 Azure Key Vault 中的私密金鑰來進行驗證。

此螢幕快照顯示儲存在 Azure 金鑰保存庫 驗證中的私鑰。

  1. 若要使用儲存在 Azure Key Vault 中的私密金鑰來進行驗證,請進行下列設定。 針對基本 SKU,無法設定連線設定,且會改用預設連線設定:SSH 和連接埠 22。

    • 連線設定:僅適用於高於基本 SKU 的 SKU。

      • 通訊協定:選取 [SSH]。
      • 連接埠:指定連接埠號碼。
    • 驗證類型:從下拉式清單中選取 [Azure Key Vault 中的 SSH 私密金鑰]

    • 使用者名稱:輸入使用者名稱。

    • 訂閱:選取訂閱。

    • Azure Key Vault:選取 Key Vault。

      • 如果您尚未設定 Azure Key Vault 資源,請參閱建立金鑰保存庫,並將 SSH 私密金鑰儲存為新 Key Vault 祕密的值。

      • 請務必取得儲存在 Key Vault 資源中祕密的 ListGet 存取權。 若要指派及修改 Key Vault 資源的存取原則,請參閱指派 Key Vault 存取原則

      • 使用 PowerShellAzure CLI 體驗,將您的 SSH 私鑰儲存為 Azure 金鑰保存庫 中的秘密。 透過 Azure 金鑰保存庫 入口網站體驗儲存私鑰會干擾格式設定,並導致登入失敗。 如果您確實使用了入口網站體驗將私密金鑰儲存為祕密,且無法再存取原始私密金鑰檔案,請參閱更新 SSH 金鑰,即可透過新的 SSH 金鑰組更新目標 VM 的存取權。

    • Azure Key Vault 祕密:選取包含 SSH 私密金鑰值的 Key Vault 祕密。

  2. 若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]

  3. 按一下 [連線] 連線 VM。

下一步

如需 Azure Bastion 的詳細資訊,請參閱 Bastion 常見問題