Compartilhar via

Criar uma conexão SSH com uma VM do Linux usando o Azure Bastion

  • Artigo

Este artigo mostra como criar, de maneira segura e direta, uma conexão SSH com as VMs do Linux localizadas em uma rede virtual do Azure diretamente por meio do portal do Azure. Ao usar o Azure Bastion, suas VMs não exigem um cliente, agente ou software adicional.

O Azure Bastion fornece conectividade segura a todas as VMs na rede virtual nas quais ele é provisionado. O uso do Azure Bastion protege suas máquinas virtuais contra a exposição das portas RDP/SSH ao mundo externo, fornecendo acesso seguro usando o RDP/o SSH. Para saber mais, consulte o artigo O que é o Azure Bastion?

Ao se conectar a uma máquina virtual do Linux usando SSH, você pode usar o nome de usuário/senha e as chaves SSH para autenticação.

Pré-requisitos

Não deixe de configurar um host do Azure Bastion para a rede virtual na qual a VM está localizada. Para saber mais, confira Criar um host do Azure Bastion. Depois que o serviço do Bastion é provisionado e implantado na sua rede virtual, você pode usá-lo para se conectar diretamente a qualquer VM nessa rede virtual.

As configurações de conexão e os recursos disponíveis dependem do SKU do Bastion que você está usando. Certifique-se de que a implantação do Bastion esteja usando a SKU necessária.

  • Para ver os recursos e as configurações disponíveis por nível de SKU, consulte a seção SKUs e recursos do artigo de visão geral do Bastion.
  • Para verificar o nível de SKU da sua implantação e upgrade do Bastion, se necessário, confira Fazer o upgrade de um SKU do Bastion.

Funções necessárias

Para fazer uma conexão, são necessárias as seguintes funções:

  • A função de leitor na máquina virtual.
  • A função de leitor na placa de interface de rede com endereço IP privado da máquina virtual.
  • Função de leitor no recurso do Azure Bastion.
  • Função de leitor na rede virtual da máquina virtual alvo (se a implantação do Bastion estiver em uma rede virtual emparelhada).

Portas

Para se conectar à VM do Linux via SSH, você deve ter as seguintes portas abertas em sua VM:

  • Porta de entrada: SSH (22) ou
  • Porta de entrada: valor personalizado (você precisará especificar essa porta personalizada ao se conectar à VM por meio do Azure Bastion). Essa configuração não está disponível para o SKU Básico ou de Desenvolvedor.

Página de conexão do Azure Bastion

  1. No portal do Azure, acesse a máquina virtual à qual deseja se conectar. Na parte superior da página Visão geral da máquina virtual, selecione Conectare selecione Conectar via Bastion na lista suspensa. Isso abre a página doBastion. Você pode ir para a página do Bastion diretamente no painel esquerdo.

  2. Na página do Bastion, as configurações que você pode configurar dependem do nível do SKU do Bastion que o host do seu bastion foi configurado para utilizar.

    • Se você estiver usando um SKU maior que o SKU Básico, os valores de Configurações de conexão (portas e protocolos) ficarão visíveis e poderão ser configurados.

    • Se você estiver usando o SKU Básico ou o SKU do Desenvolvedor, não poderá definir valores de Configurações de conexão. Alternativamente, sua conexão usa as seguintes configurações padrão: SSH e porta 22.

    • Para ver e selecionar um Tipo de Autenticação disponível, use a lista suspensa.

  3. Use as seguintes seções neste artigo para definir as configurações de autenticação e se conectar à sua VM.

Autenticação do Microsoft Entra ID

Observação

O suporte à Autenticação do Microsoft Entra ID para conexões SSH no portal é somente para VMs Linux.

Se os pré-requisitos a seguir forem atendidos, o Microsoft Entra ID se tornará a opção padrão para se conectar à sua VM. Caso contrário, o Microsoft Entra ID não aparecerá como uma opção.

Pré-requisitos:

  • O logon do Microsoft Entra ID deve ser habilitado na VM. O Logon do Microsoft Entra ID pode ser habilitado durante a criação da VM ou adicionando a extensão de logon do Microsoft Entra ID a uma VM pré-existente.

  • Uma das seguintes funções necessárias deve ser configurada na VM para o usuário:

    • Logon do Administrador da Máquina Virtual: essa função será necessária se você quiser entrar com privilégios de administrador.
    • Logon do Usuário da Máquina Virtual: essa função será necessária se você quiser entrar com privilégios regulares de usuário.

Use as etapas a seguir para autenticar usando o Microsoft Entra ID.

  1. Para autenticar usando o Microsoft Entra ID, defina as seguintes configurações.

    Configuração Descrição
    Configurações de conexão Disponível apenas para SKUs superiores à SKU Básica.
    Protocolo Selecione SSH.
    Porta Especifique o número da porta.
    Tipo de autenticação Selecione Microsoft Entra ID no menu suspenso.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Autenticação de senha

Use as etapas a seguir para autenticar usando nome de usuário e senha.

  1. Para autenticar usando um nome de usuário e senha, defina as configurações a seguir.

    Configuração Descrição
    Configurações de conexão Disponível apenas para SKUs superiores à SKU Básica.
    Protocolo Selecione SSH.
    Porta Especifique o número da porta.
    Tipo de autenticação Selecione Senha no menu suspenso.
    Nome de usuário Insira o nome de usuário.
    Senha Insira a Senha.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Autenticação de senha: Azure Key Vault

Use as etapas a seguir para autenticar usando uma senha do Azure Key Vault.

  1. Para autenticar usando uma senha do Azure Key Vault, defina as configurações a seguir.

    Configuração Descrição
    Configurações de conexão Disponível apenas para SKUs superiores à SKU Básica.
    Protocolo Selecione SSH.
    Porta Especifique o número da porta.
    Tipo de autenticação Selecione Senha no Azure Key Vault no menu suspenso.
    Nome de usuário Insira o nome de usuário.
    Assinatura Selecione a assinatura.
    Azure Key Vault Selecione o Key Vault.
    Segredo do Azure Key Vault Selecione o segredo do Key Vault que contém o valor da chave privada de SSH.

    • Se você não configurou um recurso de Azure Key Vault, consulte criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo de Key Vault.

    • Verifique se você tem a lista e obtenha acesso aos segredos armazenados no recurso de Key Vault. Para atribuir e modificar políticas de acesso para o recurso Key Vault, consulte atribuir uma política de acesso Key Vault.

    • Armazene sua chave privada SSH como um segredo no Azure Key Vault usando a experiência do PowerShell ou da CLI do Azure. Armazenar sua chave privada por meio da experiência do portal de Azure Key Vault interfere na formatação e resultará em um logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à sua VM de destino com um novo par de chaves SSH.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Autenticação por chave SSH privada — arquivo local

Use as etapas a seguir para autenticar usando uma chave privada de SSH de um arquivo local.

  1. Para autenticar usando uma chave privada a partir de um arquivo local, defina as configurações a seguir.

    Configuração Descrição
    Configurações de conexão Disponível apenas para SKUs superiores à SKU Básica.
    Protocolo Selecione SSH.
    Porta Especifique o número da porta.
    Tipo de autenticação Selecione Chave Privada SSH no Arquivo Local no menu suspenso.
    Nome de usuário Insira o nome de usuário.
    Arquivo Local Selecione o arquivo local.
    Frase Secreta SSH Insira a frase secreta SSH, se necessário.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Autenticação por chave SSH privada — Azure Key Vault

Use as etapas a seguir para autenticar usando uma chave privada armazenada no Azure Key Vault.

  1. Para autenticar usando uma chave privada armazenada no Azure Key Vault, defina as configurações a seguir. Para o SKU Básico, as configurações de conexão não podem ser definidas e, alternativamente, usarão as configurações de conexão padrão: SSH e porta 22.

    Configuração Descrição
    Configurações de conexão Disponível apenas para SKUs superiores à SKU Básica.
    Protocolo Selecione SSH.
    Porta Especifique o número da porta.
    Tipo de autenticação Selecione Chave Privada SSH do Azure Key Vault no menu suspenso.
    Nome de usuário Insira o nome de usuário.
    Assinatura Selecione a assinatura.
    Azure Key Vault Selecione o Key Vault.
    Segredo do Azure Key Vault Selecione o segredo do Key Vault que contém o valor da chave privada de SSH.

    • Se você não configurou um recurso de Azure Key Vault, consulte criar um cofre de chaves e armazenar sua chave privada SSH como o valor de um novo segredo de Key Vault.

    • Verifique se você tem a lista e obtenha acesso aos segredos armazenados no recurso de Key Vault. Para atribuir e modificar políticas de acesso para o recurso Key Vault, consulte atribuir uma política de acesso Key Vault.

    • Armazene sua chave privada SSH como um segredo no Azure Key Vault usando a experiência do PowerShell ou da CLI do Azure. Armazenar sua chave privada por meio da experiência do portal de Azure Key Vault interfere na formatação e resultará em um logon malsucedido. Se você armazenou sua chave privada como um segredo usando a experiência do portal e não tem mais acesso ao arquivo de chave privada original, consulte Atualizar chave SSH para atualizar o acesso à sua VM de destino com um novo par de chaves SSH.

  2. Para trabalhar com a VM em uma nova guia do navegador, selecione Abrir em nova guia do navegador.

  3. Clique em Conectar para conectar a VM.

Próximas etapas

Para saber mais sobre o Azure Bastion, consulte as Perguntas frequentes do Bastion.