Creare una connessione SSH a una macchina virtuale Windows con Azure Bastion

Questo articolo illustra come creare in modo sicuro e facile una connessione SSH alle macchine virtuali Windows che si trovano in una rete virtuale di Azure direttamente tramite il portale di Azure. Quando si usa Azure Bastion, le macchine virtuali non richiedono un client, un agente o un software aggiuntivo. È anche possibile connettersi a una macchina virtuale Windows usando RDP. Per informazioni, vedere Creare una connessione RDP a una macchina virtuale Windows.

Azure Bastion offre connettività sicura per tutte le macchine virtuali nella rete virtuale in cui ne viene effettuato il provisioning. L'utilizzo di Azure Bastion consente di proteggere le macchine virtuali dall'esposizione delle porte RDP/SSH all'esterno, offrendo al tempo stesso l'accesso sicuro tramite RDP/SSH. Per altre informazioni, vedere Informazioni su Azure Bastion.

Quando ci si connette a una macchina virtuale Windows tramite SSH, è possibile usare sia il nome utente che la password e le chiavi SSH per l'autenticazione.

La chiave privata SSH deve essere in un formato che inizia con "-----BEGIN RSA PRIVATE KEY-----" e termina con "-----END RSA PRIVATE KEY-----".

Prerequisiti

Assicurarsi di aver configurato un host Azure Bastion per la rete virtuale in cui risiede la macchina virtuale. Per altre informazioni, vedere Creare un host Azure Bastion. Una volta eseguiti il provisioning e la distribuzione del servizio Bastion nella rete virtuale, è possibile usarlo per connettersi a qualsiasi macchina virtuale nella rete.

Per connettersi tramite SSH a una macchina virtuale Windows, è anche necessario assicurarsi che:

• La macchina virtuale Windows esegue Windows Server 2019 o versione successiva.
• È installato e in esecuzione OpenSSH Server nella macchina virtuale Windows. Per informazioni su come eseguire questa operazione, vedere Installare OpenSSH.
• Azure Bastion è stato configurato per l'uso dello SKU Standard o versione successiva.

Ruoli richiesti

Per stabilire una connessione, sono necessari i ruoli seguenti:

• Ruolo Lettore nella macchina virtuale
• Ruolo Lettore nella scheda di interfaccia di rete con l'indirizzo IP privato della macchina virtuale
• Ruolo Lettore nella risorsa Azure Bastion
• Ruolo lettore nella rete virtuale della macchina virtuale di destinazione (se la distribuzione Bastion si trova in una rete virtuale con peering).

Porte

Per connettersi alla macchina virtuale Windows tramite SSH, è necessario che nella macchina virtuale siano aperte le porte seguenti:

• Porta in ingresso: SSH (22) o
• Porta in ingresso: valore personalizzato (sarà quindi necessario specificare questa porta personalizzata quando ci si connette alla macchina virtuale tramite Azure Bastion)

Per altri requisiti, vedere Domande frequenti su Azure Bastion.

Configurazioni supportate

Attualmente, Azure Bastion supporta solo la connessione alle macchine virtuali Windows tramite SSH tramite OpenSSH.

Pagina connessione Bastion

1. Nel portale di Azure, passare alla macchina virtuale a cui ci si vuole connettere. Nella pagina Panoramica selezionare Connetti, quindi selezionare Bastion dall'elenco a discesa per aprire la pagina connessione Bastion. È anche possibile selezionare Bastion nel riquadro sinistro.

   

2. Nella pagina Connessione Bastion fare clic sulla freccia Impostazioni connessione per espandere tutte le impostazioni disponibili. Si noti che se si usa lo SKU Bastion Standard o versione successiva, sono disponibili altre impostazioni.

   

3. Eseguire l'autenticazione e la connessione usando uno dei metodi nelle sezioni seguenti.

   • Nome utente e password
   • Chiave privata dal file locale
   • Password - Azure Key Vault
   • Chiave privata - Azure Key Vault

Nome utente e password

Usare la procedura seguente per eseguire l'autenticazione usando nome utente e password.

1. Per eseguire l'autenticazione usando un nome utente e una password, configurare le impostazioni seguenti:

   • Protocollo: selezionare SSH.
   • Porta: immettere il numero di porta. Le connessioni di porta personalizzate sono disponibili per lo SKU Standard o versione successiva.
   • Tipo di autenticazione: selezionare Password dall'elenco a discesa.
   • Nome utente: immettere il nome utente.
   • Password: immettere la password.

2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

3. Fare clic su Connetti per connettersi alla macchina virtuale.

Chiave privata dal file locale

Usare la procedura seguente per eseguire l'autenticazione usando una chiave privata SSH da un file locale.

1. Per eseguire l'autenticazione usando una chiave privata da un file locale, configurare le impostazioni seguenti:

   • Protocollo: selezionare SSH.
   • Porta: immettere il numero di porta. Le connessioni di porta personalizzate sono disponibili per lo SKU Standard o versione successiva.
   • Tipo di autenticazione: selezionare Chiave privata SSH da File locale dall'elenco a discesa.
   • File locale: selezionare il file locale.
   • Passphrase SSH: immettere la passphrase SSH, se necessario.

2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

3. Fare clic su Connetti per connettersi alla macchina virtuale.

Password - Azure Key Vault

Usare la procedura seguente per eseguire l'autenticazione usando una password da Azure Key Vault.

1. Per eseguire l'autenticazione usando una password da Azure Key Vault, configurare le impostazioni seguenti:

   • Protocollo: selezionare SSH.

   • Porta: immettere il numero di porta. Le connessioni di porta personalizzate sono disponibili per lo SKU Standard o versione successiva.

   • Tipo di autenticazione: selezionare Password da Azure Key Vault nell'elenco a discesa.

   • Nome utente: immettere il nome utente.

   • Sottoscrizione: selezionare la sottoscrizione.

   • Azure Key Vault: selezionare l'insieme di credenziali delle chiavi.

   • Segreto di Azure Key Vault: selezionare il segreto dell'insieme di credenziali delle chiavi contenente il valore della chiave privata SSH.

     • Se non è stata configurata una risorsa di Azure Key Vault, vedere Creare un insieme di credenziali delle chiavi e archiviare la chiave privata SSH come valore di un nuovo segreto di Key Vault.

     • Assicurarsi di disporre di List e Get access to the secrets stored in the Key Vault resource (Ottenere l'accesso ai segreti archiviati nella risorsa Key Vault). Per assegnare e modificare i criteri di accesso per la risorsa di Key Vault, vedere Assegnare criteri di accesso di Key Vault.

       Nota

       Archiviare la chiave privata SSH come segreto in Azure Key Vault usando PowerShell o l'esperienza dell'interfaccia della riga di comando di Azure. L'archiviazione della chiave privata tramite l'esperienza del portale di Azure Key Vault interferisce con la formattazione e genera un accesso non riuscito. Se la chiave privata è stata archiviata come segreto usando l'esperienza del portale e non si ha più accesso al file di chiave privata originale, vedere Aggiornare la chiave SSH per aggiornare l'accesso alla macchina virtuale di destinazione con una nuova coppia di chiavi SSH.

2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

3. Fare clic su Connetti per connettersi alla macchina virtuale.

Chiave privata - Azure Key Vault

Usare la procedura seguente per eseguire l'autenticazione usando una chiave privata archiviata in Azure Key Vault.

1. Per eseguire l'autenticazione usando una chiave privata archiviata in Azure Key Vault, configurare le impostazioni seguenti:

   • Protocollo: selezionare SSH.

   • Porta: immettere il numero di porta. Le connessioni di porta personalizzate sono disponibili per lo SKU Standard o versione successiva.

   • Tipo di autenticazione: selezionare Chiave privata SSH da Azure Key Vault nell'elenco a discesa.

   • Nome utente: immettere il nome utente.

   • Sottoscrizione: selezionare la sottoscrizione.

   • Azure Key Vault: selezionare l'insieme di credenziali delle chiavi.

     • Se non è stata configurata una risorsa di Azure Key Vault, vedere Creare un insieme di credenziali delle chiavi e archiviare la chiave privata SSH come valore di un nuovo segreto di Key Vault.

     • Assicurarsi di disporre di List e Get access to the secrets stored in the Key Vault resource (Ottenere l'accesso ai segreti archiviati nella risorsa Key Vault). Per assegnare e modificare i criteri di accesso per la risorsa di Key Vault, vedere Assegnare criteri di accesso di Key Vault.

       Nota

       Archiviare la chiave privata SSH come segreto in Azure Key Vault usando PowerShell o l'esperienza dell'interfaccia della riga di comando di Azure. L'archiviazione della chiave privata tramite l'esperienza del portale di Azure Key Vault interferisce con la formattazione e genera un accesso non riuscito. Se la chiave privata è stata archiviata come segreto usando l'esperienza del portale e non si ha più accesso al file di chiave privata originale, vedere Aggiornare la chiave SSH per aggiornare l'accesso alla macchina virtuale di destinazione con una nuova coppia di chiavi SSH.

   • Segreto di Azure Key Vault: selezionare il segreto dell'insieme di credenziali delle chiavi contenente il valore della chiave privata SSH.

2. Per usare la macchina virtuale in una nuova scheda del browser, selezionare Apri nella nuova scheda del browser.

3. Fare clic su Connetti per connettersi alla macchina virtuale.

Passaggi successivi

Per altre informazioni su Azure Bastion, vedere Le domande frequenti su Bastion.