Csatlakozás virtuális géphez a Bastion és egy linuxos natív ügyfél használatával

Cikk
02/04/2025

Ez a cikk segít csatlakozni az Azure Bastionon keresztül egy virtuális hálózatban lévő virtuális géphez a helyi Linux-számítógépen található natív ügyfél használatával. A natív ügyfélfunkció lehetővé teszi a cél virtuális gépekhez való csatlakozást a Bastionon keresztül az Azure CLI használatával, és kibővíti a bejelentkezési lehetőségeket, hogy tartalmazza a helyi SSH-kulcspárt és a Microsoft Entra-azonosítót. A Bastion natív ügyfélkapcsolatokhoz való konfigurálására vonatkozó további információkért és lépésekért lásd : Bastion konfigurálása natív ügyfélkapcsolatokhoz. A natív ügyfélen keresztüli kapcsolatokhoz a Bastion Standard termékváltozat vagy magasabb szintű termékváltozat szükséges.

Miután konfigurálta a Bastiont a natív ügyféltámogatáshoz, natív Linux-ügyfél használatával csatlakozhat egy virtuális géphez. A kapcsolódás módja attól függ, hogy melyik ügyfélről csatlakozik, és hogy melyik virtuális géphez csatlakozik. Az alábbi lista néhány elérhető módszert mutat be a Linux natív ügyfélről való csatlakozáshoz. Az elérhető ügyfélkapcsolatokat/szolgáltatáskombinációkat megjelenítő teljes listát a virtuális gépekhez való csatlakozás című témakörben találja.

Csatlakozás Linux rendszerű virtuális géphez az az network bastion ssh használatával.
Csatlakozzon egy Windows rendszerű virtuális géphez az az network bastion tunnel használatával.
Csatlakozzon bármely virtuális géphez az az network bastion tunnel használatával.
Fájlok átvitele a cél virtuális gépre SSH-val az az network bastion tunnel használatával.

Előfeltételek

Mielőtt hozzákezdene, ellenőrizze, hogy rendelkezik-e a következő előfeltételekkel:

A cli-parancsok legújabb verziója (2.32-es vagy újabb verzió) telepítve van. A Bastion parancssori felületét a következővel az extension update --name bastionfrissítheti: . Információk a CLI-parancsok telepítéséről: Az Azure CLI telepítése és Bevezetés az Azure CLI használatába.
Az Azure Bastion már telepítve van és konfigurálva van a virtuális hálózathoz. A lépésekért lásd : Bastion konfigurálása natív ügyfélkapcsolatokhoz.
Virtuális gép a virtuális hálózaton.
A virtuális gép erőforrás-azonosítója. Az erőforrás-azonosító könnyen elhelyezhető az Azure Portalon. Nyissa meg a virtuális gép Áttekintés lapját, és válassza a JSON nézet hivatkozását az erőforrás JSON-fájljának megnyitásához. Másolja a lap tetején található erőforrás-azonosítót a vágólapra, hogy később használhassa a virtuális géphez való csatlakozáskor.
Ha a Microsoft Entra hitelesítő adataival szeretne bejelentkezni a virtuális gépre, győződjön meg arról, hogy a virtuális gép az alábbi módszerek egyikével van beállítva:
- A Microsoft Entra bejelentkezésének engedélyezése Windows rendszerű vagy Linux rendszerű virtuális gépekhez.
- Konfigurálja a Windows rendszerű virtuális gépet úgy, hogy a Microsoft Entra csatlakozik.
- Konfigurálja a Windows rendszerű virtuális gépet úgy, hogy a Microsoft Entra hibrid csatlakoztatású legyen.

Szerepkörök és portok ellenőrzése

Ellenőrizze, hogy a következő szerepkörök és portok vannak-e konfigurálva a virtuális géphez való csatlakozáshoz.

Kötelező szerepkörök

Olvasói szerepkör a virtuális gépen.
Olvasói szerepkör a hálózati adapteren a virtuális gép privát IP-címével.
Olvasói szerepkör az Azure Bastion-erőforráson.
Virtuálisgép-rendszergazdai bejelentkezési vagy virtuálisgép-felhasználói bejelentkezési szerepkör, ha a Microsoft Entra bejelentkezési módszert használja. Ezt csak akkor kell megtennie, ha engedélyezi a Microsoft Entra-bejelentkezést az alábbi cikkekben ismertetett folyamatok használatával:
- Azure Windows rendszerű virtuális gépek és Microsoft Entra-azonosító
- Azure Linux rendszerű virtuális gépek és Microsoft Entra-azonosító

Portok

Ha natív ügyféltámogatással szeretne csatlakozni Egy Linux rendszerű virtuális géphez, a következő portokat kell megnyitnia a Linux rendszerű virtuális gépen:

Bejövő port: SSH (22) vagy
Bejövő port: Egyéni érték (ezt az egyéni portot kell megadnia, amikor az Azure Bastionon keresztül csatlakozik a virtuális géphez)

Ha natív ügyféltámogatással szeretne csatlakozni egy Windows rendszerű virtuális géphez, a következő portokat kell megnyitnia a Windows rendszerű virtuális gépen:

Bejövő port: RDP (3389) vagy
Bejövő port: Egyéni érték (ezt az egyéni portot kell megadnia, amikor az Azure Bastionon keresztül csatlakozik a virtuális géphez)

Az NSG-k Azure Bastionnal való legjobb konfigurálásáról további információt az NSG-hozzáférés és az Azure Bastion használata című témakörben talál.

Csatlakozás Linux rendszerű virtuális géphez

A következő szakaszok lépései segítenek csatlakozni egy Linux rendszerű virtuális géphez egy natív Linux-ügyfélről az az network bastion paranccsal. Ez a bővítmény a következő futtatásával telepíthető: az extension add --name bastion.

Ha ezzel a paranccsal csatlakozik, a fájlátvitelek nem támogatottak. Ha fájlokat szeretne átvinni, csatlakozzon inkább az az network bastion tunnel paranccsal.

Ez a parancs a következőket teszi lehetővé:

Csatlakozás Linux rendszerű virtuális géphez SSH használatával.
Hitelesítés Microsoft Entra-azonosítóval
Csatlakozzon egyidejű virtuálisgép-munkamenetekhez a virtuális hálózaton belül.

A bejelentkezéshez használja az alábbi példák egyikét. Miután bejelentkezett a cél virtuális gépre, a számítógépen lévő natív ügyfél megnyílik a virtuális gép munkamenetével.

SSH-kulcspár

Ha SSH-kulcspár használatával szeretne bejelentkezni a virtuális gépre, használja az alábbi példát.

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"

Microsoft Entra hitelesítés

Ha bejelentkezik egy Microsoft Entra bejelentkezéssel kompatibilis virtuális gépre, használja az alábbi példát. További információ: Azure Linux rendszerű virtuális gépek és Microsoft Entra-azonosító.

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "AAD"

Felhasználónév/jelszó

Ha helyi felhasználónévvel és jelszóval jelentkezik be a virtuális gépre, használja az alábbi példát. Ezután a rendszer kérni fogja a cél virtuális gép jelszavát.

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "password" --username "<Username>"

SSH linuxos virtuális gép IP-címére

Az erőforrás-azonosító helyett a virtuális gép privát IP-címéhez is csatlakozhat. A Microsoft Entra ID-hitelesítés, valamint az egyéni portok és protokollok nem támogatottak ilyen típusú kapcsolat használatakor. További információ az IP-alapú kapcsolatokról: Csatlakozás virtuális géphez – IP-cím.

az network bastion A parancs használatával cserélje le --target-resource-id--target-ip-address és adja meg a megadott IP-címet a virtuális géphez való csatlakozáshoz. Az alábbi példa a --ssh-key-t használja a hitelesítési módszerhez.

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"

Csatlakozás virtuális géphez – alagútparancs

Az az network bastion tunnel parancs egy másik módszer, amellyel csatlakozhat a virtuális gépekhez. Ha ezt a parancsot használja, a következőket teheti:

Csatlakozás natív ügyfelekről nem Windows rendszerű helyi számítógépeken. (Például linuxos számítógép.)
Csatlakozzon egy virtuális géphez SSH vagy RDP használatával. (A megerősített alagút nem továbbít webkiszolgálókat vagy gazdagépeket.)
Használja a választott natív ügyfelet.
Fájlok átvitele a cél virtuális gépre a helyi számítógépről.

Korlátozások:

Ezzel a funkcióval nem lehet bejelentkezni az Azure Key Vaultban tárolt SSH titkos kulcs használatával. Mielőtt SSH-kulcspár használatával jelentkezik be Linux rendszerű virtuális gépére, töltse le a titkos kulcsot a helyi gépen található fájlba.
Ez a funkció a Cloud Shellben nem támogatott.

Lépések:

Jelentkezzen be az Azure-fiókjába a következő használatával az login: . Ha több előfizetéssel rendelkezik, megtekintheti őket, az account list és kiválaszthatja azt az előfizetést, amely a Bastion-erőforrást az account set --subscription "<subscription ID>"tartalmazza.

Nyissa meg az alagutat a cél virtuális gép felé.

az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"

Csatlakozzon a cél virtuális géphez SSH vagy RDP használatával, a választott natív ügyféllel és az előző lépésben megadott helyi gépporttal.

A következő parancsot például akkor használhatja, ha az OpenSSH-ügyfél telepítve van a helyi számítógépen:
```
ssh <username>@127.0.0.1 -p <LocalMachinePort>
```

Alagút egy virtuális gép IP-címéhez

az network bastion tunnel A parancs használatával cserélje le --target-resource-id--target-ip-address és adja meg a megadott IP-címet a virtuális géphez való csatlakozáshoz.

az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"

Többkapcsolatos alagút

Adja hozzá a következőket a $HOME.ssh\config fájlhoz.

Host tunneltunnel
  HostName 127.0.0.1
  Port 2222
  User mylogin
  StrictHostKeyChecking=No
  UserKnownHostsFile=\\.\NUL

Adja hozzá az alagútkapcsolatot a létrehozott alagútkapcsolathoz.

az network bastion tunnel --name mybastion --resource-group myrg --target-resource-id /subscriptions/<mysubscription>/resourceGroups/myrg/providers/Microsoft.Compute/virtualMachines/myvm --resource-port 22 --port 22

Hozzon létre egy ssh-alagutat a megerősített alagútban.
```
ssh -L 2222:127.0.0.1:22 mylogin@127.0.0.1
```
A VS Code használatával csatlakozzon az alagútkapcsolathoz.

Következő lépések

Fájlok átvitele

Megosztás a következőn keresztül: