使用 Azure Bastion 建立 Linux VM 的 SSH 連線
本文說明如何直接透過 Azure 入口網站,安全且順暢地為 Azure 虛擬網路中的 Linux VM 建立 SSH 連線。 使用 Azure Bastion 後,VM 就無須用戶端、代理程式或其他軟體。
Azure Bastion 可為佈建所在虛擬網路中的所有 VM 提供安全連線。 使用 Azure Bastion 來保護您的虛擬機器免於向外公開 RDP/SSH 連接埠,同時提供使用 RDP/SSH 的安全存取。 如需詳細資訊,請參閱 什麼是 Azure Bastion? 文章。
使用 SSH 連線到 Linux 虛擬機器時,您可以透過使用者名稱/密碼和 SSH 金鑰來進行驗證。
必要條件
請務必於 VM 所在的虛擬網路中設定 Azure Bastion 主機。 如需詳細資訊,請參閱建立 Azure Bastion 主機。 在虛擬網路中佈建及部署 Bastion 服務之後,您就可以使用該服務連線到此虛擬網路中的任何 VM。
可用的連線設定和功能取決於您所使用的 Bastion SKU。 請確定您的 Bastion 部署使用必要的 SKU。
- 若要查看每個 SKU 層的可用功能和設定,請參閱 Bastion 概觀一文的 SKU 和功能一節。
- 若要檢查 Bastion 部署的 SKU 層,並視需要升級,請參閱升級 Bastion SKU。
所需角色
若要建立連線,必須具備下列角色:
- 虛擬機器上的讀取者角色。
- 虛擬機器的私人 IP 位址與 NIC 上的讀取者角色。
- Azure Bastion 資源上的讀者角色。
- 目標虛擬機器的虛擬網路上讀取者角色 (若 Bastion 部署位於對等互連的虛擬網路中)。
連接埠
若要透過 SSH 連線到 Linux VM,請務必在 VM 上開啟下列連接埠:
- 輸入連接埠:SSH (22) 或
- 輸入連接埠:自訂值 (透過 Azure Bastion 連線到 VM 後,您就需要指定此自訂連接埠)。 此設定不適用於基本或開發人員 SKU。
Bastion 連線頁面
在 Azure 入口網站中,前往要連線的虛擬機器。 在虛擬機 [概觀 ] 頁面頂端,選取 [ 聯機],然後從下拉式清單中選取 [ 透過 Bastion 連線]。 這會開啟 Bastion 頁面。 您可以直接移至左窗格中的 Bastion 頁面。
![顯示虛擬機器 [概觀] 頁面的螢幕快照。](media/bastion-connect-vm-ssh-linux/bastion.png)
在 [Bastion] 頁面上,您可以設定的設定取決於堡壘主機已設定為使用的 Bastion SKU 層。
如果您使用高於基本 SKU 的 SKU, 則可以看到連線設定 值(埠和通訊協定),而且可以設定。
如果您使用基本 SKU 或開發人員 SKU,則無法設定 連線設定 值。 相反地,您的連線會使用下列預設設定:SSH 和連接埠 22。
若要檢視並選取可用的驗證類型,請使用下拉式清單。
使用本文中的下列各節來設定驗證設定,並連線至您的 VM。
![顯示虛擬機器 [概觀] 頁面的螢幕快照。](media/bastion-connect-vm-ssh-linux/bastion.png#lightbox)
Microsoft Entra ID 驗證
注意
Microsoft入口網站中 SSH 連線的 Entra ID 驗證支援僅支援 Linux VM。
如果符合下列必要條件,Microsoft Entra ID 會變成連線到 VM 的預設選項。 如果沒有,Microsoft Entra ID 將不會顯示為選項。
先決條件:
Microsoft應在 VM 上啟用 Entra ID Login。 Microsoft專案標識符登入可以在建立 VM 期間啟用,或藉由將Microsoft Entra ID 登入擴充功能新增至既有的 VM。
使用者應在 VM 上設定下列其中一個必要角色:
- 虛擬機器系統管理員登入:如果您想要以系統管理員許可權登入,則需要此角色。
- 虛擬機使用者登入:如果您想要以一般用戶許可權登入,則需要此角色。
使用下列步驟,使用 Microsoft Entra ID 進行驗證。
若要使用 Microsoft Entra ID 進行驗證,請設定下列設定。
連線設定:僅適用於高於基本 SKU 的 SKU。
- 通訊協定:選取 [SSH]。
- 連接埠:指定連接埠號碼。
驗證類型:從下拉式清單中選取 [Microsoft項目標識符 ]。
若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]。
按一下 [連線] 以連線至 VM。
密碼驗證
使用下列步驟來使用使用者名稱和密碼進行驗證。
若要使用使用者名稱和密碼來進行驗證,請進行下列設定。
連線設定:僅適用於高於基本 SKU 的 SKU。
- 通訊協定:選取 [SSH]。
- 連接埠:指定連接埠號碼。
驗證類型:從下拉式清單中選取 [密碼]。
使用者名稱:輸入使用者名稱。
密碼:輸入密碼。
若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]。
按一下 [連線] 連線 VM。
密碼驗證 - Azure Key Vault
使用下列步驟,從 Azure Key Vault 使用密碼來進行驗證。
若要使用 Azure Key Vault 的密碼進行驗證,請進行下列設定。
連線設定:僅適用於高於基本 SKU 的 SKU。
- 通訊協定:選取 [SSH]。
- 連接埠:指定連接埠號碼。
驗證類型:從下拉式清單中選取 [來自 Azure Key Vault 的密碼]。
使用者名稱:輸入使用者名稱。
訂閱:選取訂閱。
Azure Key Vault:選取 Key Vault。
Azure Key Vault 祕密:選取包含 SSH 私密金鑰值的 Key Vault 祕密。
如果您尚未設定 Azure Key Vault 資源,請參閱建立金鑰保存庫,並將 SSH 私密金鑰儲存為新 Key Vault 祕密的值。
請務必取得儲存在 Key Vault 資源中祕密的 List 和 Get 存取權。 若要指派及修改 Key Vault 資源的存取原則,請參閱指派 Key Vault 存取原則。
使用 PowerShell 或 Azure CLI 體驗,將您的 SSH 私鑰儲存為 Azure 金鑰保存庫 中的秘密。 透過 Azure 金鑰保存庫 入口網站體驗儲存私鑰會干擾格式設定,並導致登入失敗。 如果您確實使用了入口網站體驗將私密金鑰儲存為祕密,且無法再存取原始私密金鑰檔案,請參閱更新 SSH 金鑰,即可透過新的 SSH 金鑰組更新目標 VM 的存取權。
若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]。
按一下 [連線] 連線 VM。
SSH 私密金鑰驗證 - 本機檔案
使用下列步驟,從本機檔案使用 SSH 私密金鑰來進行驗證。
若要使用本機檔案中的私密金鑰來進行驗證,請進行下列設定。
連線設定:僅適用於高於基本 SKU 的 SKU。
- 通訊協定:選取 [SSH]。
- 連接埠:指定連接埠號碼。
驗證類型:從下拉式清單中選取 [本機檔案中的 SSH 私密金鑰]。
使用者名稱:輸入使用者名稱。
本機檔案:選取本機檔案。
SSH 複雜密碼:視需要輸入 SSH 複雜密碼。
若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]。
按一下 [連線] 連線 VM。
SSH 私密金鑰驗證 - Azure Key Vault
使用下列步驟,使用儲存在 Azure Key Vault 中的私密金鑰來進行驗證。
若要使用儲存在 Azure Key Vault 中的私密金鑰來進行驗證,請進行下列設定。 針對基本 SKU,無法設定連線設定,且會改用預設連線設定:SSH 和連接埠 22。
連線設定:僅適用於高於基本 SKU 的 SKU。
- 通訊協定:選取 [SSH]。
- 連接埠:指定連接埠號碼。
驗證類型:從下拉式清單中選取 [Azure Key Vault 中的 SSH 私密金鑰]。
使用者名稱:輸入使用者名稱。
訂閱:選取訂閱。
Azure Key Vault:選取 Key Vault。
如果您尚未設定 Azure Key Vault 資源,請參閱建立金鑰保存庫,並將 SSH 私密金鑰儲存為新 Key Vault 祕密的值。
請務必取得儲存在 Key Vault 資源中祕密的 List 和 Get 存取權。 若要指派及修改 Key Vault 資源的存取原則,請參閱指派 Key Vault 存取原則。
使用 PowerShell 或 Azure CLI 體驗,將您的 SSH 私鑰儲存為 Azure 金鑰保存庫 中的秘密。 透過 Azure 金鑰保存庫 入口網站體驗儲存私鑰會干擾格式設定,並導致登入失敗。 如果您確實使用了入口網站體驗將私密金鑰儲存為祕密,且無法再存取原始私密金鑰檔案,請參閱更新 SSH 金鑰,即可透過新的 SSH 金鑰組更新目標 VM 的存取權。
Azure Key Vault 祕密:選取包含 SSH 私密金鑰值的 Key Vault 祕密。
若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]。
按一下 [連線] 連線 VM。
下一步
如需 Azure Bastion 的詳細資訊,請參閱 Bastion 常見問題。