Создание SSH-подключения к виртуальной машине Windows с помощью Бастиона Azure

В этой статье описано, как безопасно и легко создать SSH-подключение к виртуальным машинам Windows, расположенным в виртуальной сети Azure, непосредственно через портал Azure. Когда вы используете Бастион Azure, вашим виртуальным машинам не требуется клиент, агент или дополнительное программное обеспечение. Также к виртуальной машине Windows можно подключиться с помощью RDP. Дополнительные сведения см. в статье Создание RDP-подключения к виртуальной машине Windows.

Бастион Azure обеспечивает безопасное подключение ко всем виртуальным машинам в виртуальной сети, в которой он подготовлен. Бастион Azure защищает виртуальные машины от предоставления портов RDP/SSH внешним пользователям, обеспечивая при этом безопасный доступ с помощью протокола RDP/SSH. Подробнее см. в статье Что такое Бастион Azure?.

Примечание.

Если вы хотите создать SSH-подключение к виртуальной машине Windows, бастион Azure должен быть настроен с помощью номера SKU уровня "Стандартный" или более поздней версии.

При подключении к виртуальной машине Windows по протоколу SSH можно использовать для проверки подлинности как имя пользователя и пароль, так и ключи SSH.

Закрытый ключ SSH должен начинаться с "-----BEGIN RSA PRIVATE KEY-----" и заканчиваться на "-----END RSA PRIVATE KEY-----".

Необходимые компоненты

Вы должны настроить узел Бастиона Azure для виртуальной сети, в которой находится виртуальная машина. Дополнительные сведения см. в статье о создании узла Бастиона Azure. Когда служба "Бастион Azure" будет подготовлена и развернута в вашей виртуальной сети, вы сможете подключаться с ее помощью к любой виртуальной машине в этой сети.

Чтобы установить SSH-подключение к виртуальной машине Windows, необходимо также убедиться в том, что:

• Виртуальная машина Windows работает под управлением Windows Server 2019 или более поздней версии.
• На виртуальной машине Windows установлен и запущен сервер OpenSSH. Сведения об этом см. в статье Установка OpenSSH.
• Бастион Azure настроен для использования номера SKU уровня "Стандартный" или более поздней версии.

Обязательные роли

Для подключения нужны такие роли:

• роль читателя на виртуальной машине;
• роль читателя на сетевом адаптере с частным IP-адресом для виртуальной машины;
• роль читателя в ресурсе Бастиона Azure.
• Роль читателя в виртуальной сети целевой виртуальной машины (если развертывание Бастиона находится в одноранговой виртуальной сети).

Порты

Чтобы можно было подключиться к виртуальной машине Windows по протоколу SSH, на ней должны быть открыты следующие порты:

• Входящий порт: SSH (22) или.
• Входящий порт: пользовательское значение (при подключении к виртуальной машине через Бастион Azure необходимо указать этот пользовательский порт)

Дополнительные требования см. в разделе " Бастион Azure".

Поддерживаемые конфигурации

В настоящее время Бастион Azure поддерживает подключение только к виртуальным машинам Windows через SSH с помощью OpenSSH.

Страница подключений Бастиона

1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться. На странице Обзор выберите Подключиться, а затем в раскрывающемся списке выберите Бастион, чтобы открыть страницу подключений Бастиона. Вы также можете выбрать пункт Бастион в области слева.

2. На странице подключений Бастиона щелкните стрелку Параметры подключения, чтобы развернуть все доступные параметры. Обратите внимание, что если вы используете номер SKU уровня "Стандартный" бастиона или более поздней версии, у вас есть более доступные параметры.

3. Используйте один из методов, описанных в следующих разделах, для проверки подлинности и подключения.

   • Имя пользователя и пароль
   • Закрытый ключ из локального файла
   • Пароль из Azure Key Vault
   • Закрытый ключ из Azure Key Vault

Имя пользователя и пароль

Выполните следующие действия для проверки подлинности с помощью имени пользователя и пароля.

1. Для проверки подлинности с помощью имени пользователя и пароля настройте следующие параметры:

   Параметр	Значение
   Протокол	Выбор SSH
   порт.	Введите номер порта. Пользовательские подключения портов доступны для номера SKU категории "Стандартный" или более поздней версии.
   Тип проверки подлинности	Выбор пароля из раскрывающегося списка
   Username	Введите имя пользователя
   Пароль	Введите пароль

2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Закрытый ключ из локального файла

Выполните следующие действия для проверки подлинности с помощью закрытого ключа SSH из локального файла.

1. Для проверки подлинности с помощью закрытого ключа из локального файла настройте следующие параметры:

   Параметр	Значение
   Протокол	Выбор SSH
   порт.	Введите номер порта. Пользовательские подключения портов доступны для номера SKU категории "Стандартный" или более поздней версии.
   Тип проверки подлинности	Выберите закрытый ключ SSH из локального файла в раскрывающемся списке
   Локальный файл	Выберите локальный файл
   Парольная фраза SSH	При необходимости введите парольную фразу SSH

2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Пароль из Azure Key Vault

Выполните следующие действия, чтобы настроить проверку подлинности с помощью пароля из Azure Key Vault.

1. Для проверки подлинности с помощью пароля из Azure Key Vault настройте следующие параметры:

   Параметр	Значение
   Протокол	Выбор SSH
   порт.	Введите номер порта. Пользовательские подключения портов доступны для номера SKU категории "Стандартный" или более поздней версии.
   Тип проверки подлинности	Выбор пароля из Azure Key Vault в раскрывающемся списке
   Username	Введите имя пользователя
   Подписка	Выбор подписки
   Azure Key Vault	Выберите Key Vault
   Секрет Azure Key Vault	Выберите секрет Key Vault, содержащий значение закрытого ключа SSH

   • Если вы не настроили ресурс Azure Key Vault, ознакомьтесь со статьей Создание хранилища ключей и сохраните закрытый ключ SSH как значение нового секрета Key Vault.

   • Убедитесь, что у вас есть доступ к секретам, хранящимся в ресурсе Key Vault, для операций List и Get. Сведения о том, как назначить и изменить политики доступа для ресурса Key Vault, см. в статье Назначение политики доступа для Key Vault.

     Примечание.

     Сохраните закрытый ключ SSH в качестве секрета в Azure Key Vault с помощью PowerShell или Azure CLI. Сохранение закрытого ключа с помощью портала Azure Key Vault повлияет на форматирование и приведет к невозможности входа. Если вы все же сохранили закрытый ключ в качестве секрета с помощью портала и у вас больше нет доступа к исходному файлу закрытого ключа, см. инструкции по восстановлению доступа к целевой виртуальной машине с помощью новой пары ключей SSH в разделе Обновление ключа SSH.

2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Закрытый ключ из Azure Key Vault

Выполните следующие действия, чтобы настроить проверку подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault.

1. Для проверки подлинности с помощью закрытого ключа, хранящегося в Azure Key Vault, настройте следующие параметры:

   Параметр	Значение
   Протокол	Выбор SSH
   порт.	Введите номер порта. Пользовательские подключения портов доступны для номера SKU категории "Стандартный" или более поздней версии.
   Тип проверки подлинности	Выберите закрытый ключ SSH из Azure Key Vault из раскрывающегося списка
   Username	Введите имя пользователя
   Подписка	Выбор подписки
   Azure Key Vault	Выберите Key Vault
   Секрет Azure Key Vault	Выберите секрет Key Vault, содержащий значение закрытого ключа SSH

   • Если вы не настроили ресурс Azure Key Vault, ознакомьтесь со статьей Создание хранилища ключей и сохраните закрытый ключ SSH как значение нового секрета Key Vault.

   • Убедитесь, что у вас есть доступ к секретам, хранящимся в ресурсе Key Vault, для операций List и Get. Сведения о том, как назначить и изменить политики доступа для ресурса Key Vault, см. в статье Назначение политики доступа для Key Vault.

     Примечание.

     Сохраните закрытый ключ SSH в качестве секрета в Azure Key Vault с помощью PowerShell или Azure CLI. Сохранение закрытого ключа с помощью портала Azure Key Vault повлияет на форматирование и приведет к невозможности входа. Если вы все же сохранили закрытый ключ в качестве секрета с помощью портала и у вас больше нет доступа к исходному файлу закрытого ключа, см. инструкции по восстановлению доступа к целевой виртуальной машине с помощью новой пары ключей SSH в разделе Обновление ключа SSH.

2. Чтобы работать с виртуальной машиной в новой вкладке браузера, щелкните Открыть в новой вкладке браузера.

3. Щелкните Подключить, чтобы подключиться к виртуальной машине.

Следующие шаги

Дополнительные сведения о Бастионе Azure см. в статье Бастион Azure: часто задаваемые вопросы.