Csatlakozás a Secure Shell (SSH) használatával, és bejelentkezés Windows rendszerű Azure-beli virtuális gépre

A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai

A Win32 OpenSSH-projekt a Windows natív támogatásával távoli kapcsolatot tesz lehetővé a Secure Shell használatával. A funkció a Windows Server 2019-es és újabb verzióiban érhető el, és virtuálisgép-bővítmény használatával adható hozzá a Windows régebbi verzióihoz.

Az alábbi példák változókat használnak. A változókat az alábbiak szerint állíthatja be a környezetben.

SSH engedélyezése

Először engedélyeznie kell az SSH-t a Windows-gépen.

Telepítse a Windows SSH-bővítményét. A bővítmény a Win32 OpenSSH-megoldás automatikus telepítését biztosítja, hasonlóan a Windows újabb verzióiban való képesség engedélyezéséhez. A bővítmény üzembe helyezéséhez használja az alábbi példákat.

az vm extension set --resource-group $myResourceGroup --vm-name $myVM --name WindowsOpenSSH --publisher Microsoft.Azure.OpenSSH --version 3.0

Set-AzVMExtension -ResourceGroupName $myResourceGroup -VMName $myVM -Name 'OpenSSH' -Publisher 'Microsoft.Azure.OpenSSH' -Type 'WindowsOpenSSH' -TypeHandlerVersion '3.0'

{
  "type": "Microsoft.Compute/virtualMachines/extensions",
  "name": "[concat(parameters('VMName'), '/WindowsOpenSSH')]",
  "apiVersion": "2020-12-01",
  "location": "[parameters('location')]",
  "properties": {
    "publisher": "Microsoft.Azure.OpenSSH",
    "type": "WindowsOpenSSH",
    "typeHandlerVersion": "3.0"
  }
}

resource windowsOpenSSHExtension 'Microsoft.Compute/virtualMachines/extensions@2020-12-01' = {
  parent: virtualMachine
  name: 'WindowsOpenSSH'
  location: resourceGroup().location
  properties: {
    publisher: 'Microsoft.Azure.OpenSSH'
    type: 'WindowsOpenSSH'
    typeHandlerVersion: '3.0'
  }
}

TCP-port megnyitása

Győződjön meg arról, hogy a megfelelő port (alapértelmezés szerint a TCP 22) nyitva van a virtuális géphez való kapcsolódás engedélyezéséhez.

az network nsg rule create -g $myResourceGroup --nsg-name $myNSG -n allow-SSH --priority 1000 --source-address-prefixes 208.130.28.4/32 --destination-port-ranges 22 --protocol TCP

Get-AzNetworkSecurityGroup -Name $MyNSG -ResourceGroupName $myResourceGroup | Add-AzNetworkSecurityRuleConfig -Name allow-SSH -access Allow -Direction Inbound -Priority 1000 -SourceAddressPrefix 208.130.28.4/32 -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange 22 -Protocol TCP | Set-AzNetworkSecurityGroup

{
  "type": "Microsoft.Network/networkSecurityGroups/securityRules",
  "apiVersion": "2021-08-01",
  "name": "allow-SSH",
  "properties": {
    "access": "Allow",
    "destinationAddressPrefix": "*",
    "destinationPortRange": "22",
    "direction": "Inbound",
    "priority": "1000",
    "protocol": "TCP",
    "sourceAddressPrefix": "208.130.28.4/32",
    "sourcePortRange": "*"
  }
}

resource allowSSH 'Microsoft.Network/networkSecurityGroups/securityRules@2021-08-01' = {
  name: 'allowSSH'
  parent: MyNSGSymbolicName
  properties: {
    access: 'Allow'
    destinationAddressPrefix: '*'
    destinationPortRange: 'string'
    destinationPortRanges: [
      '22'
    ]
    direction: 'Inbound'
    priority: 1000
    protocol: 'TCP'
    sourceAddressPrefix: '208.130.28.4/32'
    sourcePortRange: '*'
  }
}

• A virtuális gépnek nyilvános IP-címmel kell rendelkeznie. Ha ellenőrizni szeretné, hogy a virtuális gép rendelkezik-e nyilvános IP-címmel, válassza az Áttekintés lehetőséget a bal oldali menüből, és tekintse meg a Hálózatkezelés szakaszt. Ha egy IP-cím jelenik meg a nyilvános IP-cím mellett, akkor a virtuális gép nyilvános IP-címmel rendelkezik. Ha többet szeretne tudni a nyilvános IP-cím meglévő virtuális géphez való hozzáadásáról, olvassa el a nyilvános IP-cím társítása virtuális géphez című témakört .

• Ellenőrizze, hogy fut-e a virtuális gép. Az Áttekintés lap alapvető fontosságú szakaszában ellenőrizze, hogy a virtuális gép állapota fut-e. A virtuális gép elindításához válassza a Lap tetején található Start lehetőséget.

Hitelesítés

A Windows rendszerű gépeken felhasználónevet és jelszót vagy SSH-kulcsokat használhat. Az Azure nem támogatja a nyilvános kulcsok windowsos gépekre való automatikus kiépítését, de a RunCommand bővítmény használatával másolhatja a kulcsot.

Az SSH és a kulcsok áttekintése

Az SSH egy titkosított kapcsolati protokoll, amely biztonságos bejelentkezéseket biztosít a nem biztonságos kapcsolatokon keresztül. Bár az SSH titkosított kapcsolatot biztosít, az SSH-kapcsolatokkal rendelkező jelszavak használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadásokkal szemben. Azt javasoljuk, hogy SSH-kapcsolaton keresztül csatlakozzon egy virtuális géphez egy nyilvános és privát kulcspár, más néven SSH-kulcsok használatával.

• A nyilvános kulcs a virtuális gépen lesz elhelyezve.

• A titkos kulcs a helyi rendszeren marad. Védje a titkos kulcsot. Ne ossza meg senkivel.

Ha SSH-ügyféllel csatlakozik a virtuális géphez (amely rendelkezik nyilvános kulccsal), a távoli virtuális gép teszteli az ügyfelet, hogy biztosan a megfelelő titkos kulccsal rendelkezik-e. Ha az ügyfél rendelkezik a titkos kulccsal, hozzáférést kap a virtuális géphez.

A szervezet biztonsági szabályzataitól függően egyetlen nyilvános-privát kulcspárt használhat újra több Azure-beli virtuális gép és szolgáltatás eléréséhez. Nincs szükség külön kulcspárra minden elérni kívánt virtuális géphez vagy szolgáltatáshoz.

A nyilvános kulcs bárkivel megosztható, de csak Önnek (vagy a helyi biztonsági infrastruktúrának) kell hozzáférnie a titkos kulcshoz.

Támogatott SSH-kulcsformátumok

Az Azure jelenleg a következő kulcstípusokat támogatja:

• SSH protokoll 2 (SSH-2) RSA (Rivest, Shamir, Adleman) minimális hossza 2048 bit
• ED25519 256 bites rögzített hosszúságú kulcsok

Az egyéb kulcsformátumok, például az Elliptic-curve Diffie–Hellman (ECDH) és az Elliptic Curve Digital Signature Algorithm (ECDSA) jelenleg nem támogatottak.

Másolja ki a nyilvános kulcsot a RunCommand bővítmény használatával.

A RunCommand bővítmény egyszerű megoldást kínál a nyilvános kulcs Windows rendszerű gépekre való másolására, és gondoskodik arról, hogy a fájl megfelelő engedélyekkel rendelkezik.

az vm run-command invoke -g $myResourceGroup -n $myVM --command-id RunPowerShellScript --scripts "MYPUBLICKEY | Add-Content 'C:\ProgramData\ssh\administrators_authorized_keys' -Encoding UTF8;icacls.exe 'C:\ProgramData\ssh\administrators_authorized_keys' /inheritance:r /grant 'Administrators:F' /grant 'SYSTEM:F'"

Invoke-AzVMRunCommand -ResourceGroupName $myResourceGroup -VMName $myVM -CommandId 'RunPowerShellScript' -ScriptString "MYPUBLICKEY | Add-Content 'C:\ProgramData\ssh\administrators_authorized_keys' -Encoding UTF8;icacls.exe 'C:\ProgramData\ssh\administrators_authorized_keys' /inheritance:r /grant 'Administrators:F' /grant 'SYSTEM:F'"

{
  "type": "Microsoft.Compute/virtualMachines/runCommands",
  "apiVersion": "2022-03-01",
  "name": "[concat(parameters('VMName'), '/RunPowerShellScript')]",
  "location": "[parameters('location')]",
  "properties": {
    "timeoutInSeconds":600
    "source": {
      "script": "MYPUBLICKEY | Add-Content 'C:\\ProgramData\\ssh\\administrators_authorized_keys -Encoding UTF8';icacls.exe 'C:\\ProgramData\\ssh\\administrators_authorized_keys' /inheritance:r /grant 'Administrators:F' /grant 'SYSTEM:F'"
    }
  }
}

resource runPowerShellScript 'Microsoft.Compute/virtualMachines/runCommands@2022-03-01' = {
  name: 'RunPowerShellScript'
  location: resourceGroup().location
  parent: virtualMachine
  properties: {
    timeoutInSeconds: 600
    source: {
      script: "MYPUBLICKEY | Add-Content 'C:\ProgramData\ssh\administrators_authorized_keys' -Encoding UTF8;icacls.exe 'C:\ProgramData\ssh\administrators_authorized_keys' /inheritance:r /grant 'Administrators:F' /grant 'SYSTEM:F'"
    }
  }
}

Csatlakozás az Az CLI használatával

Csatlakozás Windows rendszerű gépekhez parancsokkal Az SSH .

az ssh vm  -g $myResourceGroup -n $myVM --local-user $myUsername

Az SSH-kapcsolaton keresztül egy hálózati alagutat is létrehozhat adott TCP-portokhoz. Ez egy jó használati eset a Remote Desktop, amely alapértelmezés szerint a 3389-s portot használja.

az ssh vm  -g $myResourceGroup -n $myVM --local-user $myUsername -- -L 3389:localhost:3389

Csatlakozás az Azure Portalról

1. Lépjen az Azure Portalra egy virtuális géphez való csatlakozáshoz. Keresse meg, majd válassza ki a Virtuális gépek lehetőséget.
2. Válassza ki a virtuális gépet a listából.
3. Válassza a Csatlakozás lehetőséget a bal oldali menüből.
4. Válassza ki az előnyben részesített csatlakozási módnak megfelelő lehetőséget. A portál segít végigvezetni a csatlakozás előfeltételein.

Következő lépések

Megtudhatja, hogyan vihet át fájlokat egy meglévő virtuális gépre. További információt az SCP használata a fájlok virtuális gépre való áthelyezéséről és onnan történő áthelyezéséről tartalmaz.