使用 Azure Bastion 建立 Linux VM 的 SSH 連線
本文說明如何直接透過 Azure 入口網站,安全且順暢地為 Azure 虛擬網路中的 Linux VM 建立 SSH 連線。 使用 Azure Bastion 後,VM 就無須用戶端、代理程式或其他軟體。
Azure Bastion 可為佈建所在虛擬網路中的所有 VM 提供安全連線。 使用 Azure Bastion 來保護您的虛擬機器免於向外公開 RDP/SSH 連接埠,同時提供使用 RDP/SSH 的安全存取。 如需詳細資訊,請參閱 什麼是 Azure Bastion? 文章。
使用 SSH 連線到 Linux 虛擬機器時,您可以透過使用者名稱/密碼和 SSH 金鑰來進行驗證。
必要條件
請務必於 VM 所在的虛擬網路中設定 Azure Bastion 主機。 如需詳細資訊,請參閱建立 Azure Bastion 主機。 在虛擬網路中佈建及部署 Bastion 服務之後,您就可以使用該服務連線到此虛擬網路中的任何 VM。
可用的連線設定和功能取決於您所使用的 Bastion SKU。 請確定您的 Bastion 部署使用必要的 SKU。
- 若要查看每個 SKU 層的可用功能和設定,請參閱 Bastion 概觀一文的 SKU 和功能一節。
- 若要檢查 Bastion 部署的 SKU 層,並視需要升級,請參閱升級 Bastion SKU。
所需角色
若要建立連線,必須具備下列角色:
- 虛擬機器上的讀取者角色。
- 虛擬機器的私人 IP 位址與 NIC 上的讀取者角色。
- Azure Bastion 資源上的讀者角色。
- 目標虛擬機器的虛擬網路上讀取者角色 (若 Bastion 部署位於對等互連的虛擬網路中)。
連接埠
若要透過 SSH 連線到 Linux VM,請務必在 VM 上開啟下列連接埠:
- 輸入連接埠:SSH (22) 或
- 輸入連接埠:自訂值 (透過 Azure Bastion 連線到 VM 後,您就需要指定此自訂連接埠)。 此設定不適用於基本或開發人員 SKU。
Bastion 連線頁面
在 Azure 入口網站中,前往要連線的虛擬機器。 在虛擬機 [概觀 ] 頁面頂端,選取 [ 聯機],然後從下拉式清單中選取 [ 透過 Bastion 連線]。 這會開啟 Bastion 頁面。 您可以直接移至左窗格中的 Bastion 頁面。
在 [Bastion] 頁面上,您可以設定的設定取決於堡壘主機已設定為使用的 Bastion SKU 層。
如果您使用高於基本 SKU 的 SKU, 則可以看到連線設定 值(埠和通訊協定),而且可以設定。
如果您使用基本 SKU 或開發人員 SKU,則無法設定 連線設定 值。 相反地,您的連線會使用下列預設設定:SSH 和連接埠 22。
若要檢視並選取可用的驗證類型,請使用下拉式清單。
使用本文中的下列各節來設定驗證設定,並連線至您的 VM。
Microsoft Entra ID 驗證
注意
Microsoft入口網站中 SSH 連線的 Entra ID 驗證支援僅支援 Linux VM。
如果符合下列必要條件,Microsoft Entra ID 會變成連線到 VM 的預設選項。 如果沒有,Microsoft Entra ID 將不會顯示為選項。
先決條件:
Microsoft應在 VM 上啟用 Entra ID Login。 Microsoft專案標識符登入可以在建立 VM 期間啟用,或藉由將Microsoft Entra ID 登入擴充功能新增至既有的 VM。
使用者應在 VM 上設定下列其中一個必要角色:
- 虛擬機器系統管理員登入:如果您想要以系統管理員許可權登入,則需要此角色。
- 虛擬機使用者登入:如果您想要以一般用戶許可權登入,則需要此角色。
使用下列步驟,使用 Microsoft Entra ID 進行驗證。
若要使用 Microsoft Entra ID 進行驗證,請設定下列設定。
設定 描述 連線設定 僅適用於高於基本 SKU 的 SKU。 通訊協定 選取 [SSH]。 通訊埠 指定連接埠號碼。 驗證類型 從下拉式清單中選取 [Microsoft項目標識符 ]。 若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]。
按一下 [連線] 以連線至 VM。
密碼驗證
使用下列步驟來使用使用者名稱和密碼進行驗證。
若要使用使用者名稱和密碼來進行驗證,請進行下列設定。
設定 描述 連線設定 僅適用於高於基本 SKU 的 SKU。 通訊協定 選取 [SSH]。 通訊埠 指定連接埠號碼。 驗證類型 從下拉式清單中選取 [密碼 ]。 使用者名稱 輸入使用者名稱。 密碼 輸入 [密碼]。 若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]。
按一下 [連線] 連線 VM。
密碼驗證 - Azure Key Vault
使用下列步驟,從 Azure Key Vault 使用密碼來進行驗證。
若要使用 Azure Key Vault 的密碼進行驗證,請進行下列設定。
設定 描述 連線設定 僅適用於高於基本 SKU 的 SKU。 通訊協定 選取 [SSH]。 通訊埠 指定連接埠號碼。 驗證類型 從 Azure 金鑰保存庫 下拉式清單中選取 [密碼]。 使用者名稱 輸入使用者名稱。 訂用帳戶 選取訂用帳戶。 Azure Key Vault 選取 Key Vault。 Azure 金鑰保存庫 秘密 選取包含 SSH 私鑰值的 金鑰保存庫 秘密。 如果您尚未設定 Azure Key Vault 資源,請參閱建立金鑰保存庫,並將 SSH 私密金鑰儲存為新 Key Vault 祕密的值。
請務必取得儲存在 Key Vault 資源中祕密的 List 和 Get 存取權。 若要指派及修改 Key Vault 資源的存取原則,請參閱指派 Key Vault 存取原則。
使用 PowerShell 或 Azure CLI 體驗,將您的 SSH 私鑰儲存為 Azure 金鑰保存庫 中的秘密。 透過 Azure 金鑰保存庫 入口網站體驗儲存私鑰會干擾格式設定,並導致登入失敗。 如果您確實使用了入口網站體驗將私密金鑰儲存為祕密,且無法再存取原始私密金鑰檔案,請參閱更新 SSH 金鑰,即可透過新的 SSH 金鑰組更新目標 VM 的存取權。
若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]。
按一下 [連線] 連線 VM。
SSH 私密金鑰驗證 - 本機檔案
使用下列步驟,從本機檔案使用 SSH 私密金鑰來進行驗證。
若要使用本機檔案中的私密金鑰來進行驗證,請進行下列設定。
設定 描述 連線設定 僅適用於高於基本 SKU 的 SKU。 通訊協定 選取 [SSH]。 通訊埠 指定連接埠號碼。 驗證類型 從 [本機檔案] 下拉式清單中選取 [SSH 私鑰]。 使用者名稱 輸入使用者名稱。 本機檔案 選取本機檔案。 SSH 複雜密碼 視需要輸入SSH複雜密碼。 若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]。
按一下 [連線] 連線 VM。
SSH 私密金鑰驗證 - Azure Key Vault
使用下列步驟,使用儲存在 Azure Key Vault 中的私密金鑰來進行驗證。
若要使用儲存在 Azure Key Vault 中的私密金鑰來進行驗證,請進行下列設定。 針對基本 SKU,無法設定連線設定,且會改用預設連線設定:SSH 和連接埠 22。
設定 描述 連線設定 僅適用於高於基本 SKU 的 SKU。 通訊協定 選取 [SSH]。 通訊埠 指定連接埠號碼。 驗證類型 從 Azure 金鑰保存庫 下拉式清單中選取 [SSH 私鑰]。 使用者名稱 輸入使用者名稱。 訂用帳戶 選取訂用帳戶。 Azure Key Vault 選取 Key Vault。 Azure 金鑰保存庫 秘密 選取包含 SSH 私鑰值的 金鑰保存庫 秘密。 如果您尚未設定 Azure Key Vault 資源,請參閱建立金鑰保存庫,並將 SSH 私密金鑰儲存為新 Key Vault 祕密的值。
請務必取得儲存在 Key Vault 資源中祕密的 List 和 Get 存取權。 若要指派及修改 Key Vault 資源的存取原則,請參閱指派 Key Vault 存取原則。
使用 PowerShell 或 Azure CLI 體驗,將您的 SSH 私鑰儲存為 Azure 金鑰保存庫 中的秘密。 透過 Azure 金鑰保存庫 入口網站體驗儲存私鑰會干擾格式設定,並導致登入失敗。 如果您確實使用了入口網站體驗將私密金鑰儲存為祕密,且無法再存取原始私密金鑰檔案,請參閱更新 SSH 金鑰,即可透過新的 SSH 金鑰組更新目標 VM 的存取權。
若要在新瀏覽器索引標籤中使用 VM,請選取 [在新的瀏覽器索引標籤中開啟]。
按一下 [連線] 連線 VM。
下一步
如需 Azure Bastion 的詳細資訊,請參閱 Bastion 常見問題。