Compartir a través de

Creación de una conexión SSH a una máquina virtual Linux mediante Azure Bastion

En este artículo se muestra cómo crear de forma segura y sin problemas una conexión SSH a las máquinas virtuales Linux ubicadas en una red virtual Azure directamente a través del portal de Azure. Cuando se usa Azure Bastion, las máquinas virtuales no requieren un cliente, agente ni software adicional.

Azure Bastion proporciona conectividad segura a todas las máquinas virtuales de la red virtual en la que se aprovisiona. El uso de Azure Bastion protege las máquinas virtuales de exponer puertos RDP/SSH al mundo exterior, a la vez que proporciona acceso seguro mediante RDP/SSH. Para obtener más información, consulte el artículo ¿Qué es Azure Bastion?.

Al conectarse a una máquina virtual Linux mediante SSH, puede usar el nombre de usuario y la contraseña, y las claves SSH para la autenticación.

Requisitos previos

Asegúrese de que ha configurado un host de Azure Bastion para la red virtual en la que reside la máquina virtual. Para obtener más información, consulte Create an Azure Bastion host. Cuando el servicio Bastion se aprovisiona e implementa en la red virtual, puede usarlo para conectarse a cualquier máquina virtual de esta red virtual.

La configuración de conexión y las características disponibles dependen de la SKU de Bastion que esté usando. Asegúrese de que la implementación de Bastion usa la SKU necesaria.

  • Para ver las características y la configuración disponibles por SKU, consulte la sección de SKUs y características del artículo sobre la información general de Bastion.
  • Para comprobar la SKU de la implementación de Bastion y actualizar si es necesario, consulte Actualización de una SKU de Bastion.

Roles necesarios

Para crear una conexión, se requieren los siguientes roles:

  • Rol de lector en la máquina virtual.
  • Rol de lector en el NIC con la IP privada de la máquina virtual.
  • Rol de lector en el recurso de Azure Bastion.
  • Rol Lector en la red virtual de la máquina virtual de destino (si la implementación de Bastion está en una red virtual emparejada).

Puertos

Para conectarse a la máquina virtual Linux mediante SSH, debe tener abiertos los siguientes puertos en la máquina virtual:

  • Puerto de entrada: SSH (22) o
  • Puerto de entrada: valor personalizado (deberá especificar este puerto personalizado al conectarse a la máquina virtual a través de Azure Bastion). Esta configuración no está disponible para la SKU básica o para desarrolladores.

Página de conexión de Bastion

  1. En el portal de Azure, vaya a la máquina virtual a la que desea conectarse. En la parte superior de la página Información general de la máquina virtual, seleccione Conectar, y a continuación, seleccione Conectar a través de Bastion en la lista desplegable. Se abrirá la página Bastion. Puede ir a la página Bastión directamente en el panel izquierdo.

  2. En la página de Bastion, los valores que puede configurar dependen del SKU de Bastion que se haya configurado para usar su host bastión.

    • Si usa una SKU superior a la SKU básica, los valores de la Configuración de conexión (puertos y protocolos) están visibles y se pueden configurar.

    • Si usa el SKU Basic o el SKU Developer, no puede configurar los valores de configuración de conexión. En su lugar, la conexión usa la siguiente configuración predeterminada: SSH y el puerto 22.

    • Para ver y seleccionar un tipo de autenticación disponible, use la lista desplegable.

  3. Use las secciones siguientes de este artículo para configurar los valores de autenticación y conectarse a la máquina virtual.

autenticación de Microsoft Entra ID

Nota:

La compatibilidad de autenticación de Microsoft Entra ID para las conexiones SSH en el portal solo se admite para máquinas virtuales Linux.

Si se cumplen los siguientes requisitos previos, Microsoft Entra ID se convierte en la opción predeterminada para conectarse a la máquina virtual. Si no es así, Microsoft Entra ID no aparecerá como opción.

Requisitos previos:

  • Microsoft Entra ID inicio de sesión debe estar habilitado en la máquina virtual. Inicio de sesión de Microsoft Entra ID se puede habilitar durante la creación de la máquina virtual o agregando la extensión Inicio de sesión de Microsoft Entra ID a una máquina virtual preexistente.

  • Uno de los siguientes roles necesarios debe configurarse en la máquina virtual para el usuario:

    • Inicio de sesión de administrador de máquina virtual: este rol es necesario si desea iniciar sesión con privilegios de administrador.
    • Inicio de sesión de usuario de máquina virtual: este rol es necesario si desea iniciar sesión con privilegios de usuario normales.

Siga estos pasos para autenticarse mediante Microsoft Entra ID.

  1. Para autenticarse mediante Microsoft Entra ID, configure las opciones siguientes.

    Configuración Descripción
    Configuración de conexión Solo está disponible para las SKU superiores a la SKU básica.
    Protocolo Seleccione SSH.
    Puerto Especifique el número de puerto.
    Tipo de autenticación Seleccione Microsoft Entra ID en la lista desplegable.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de contraseña

Siga estos pasos para autenticarse mediante el nombre de usuario y la contraseña.

  1. Para autenticarse mediante un nombre de usuario y una contraseña, configure los siguientes valores.

    Configuración Descripción
    Configuración de conexión Solo está disponible para las SKU superiores a la SKU básica.
    Protocolo Seleccione SSH.
    Puerto Especifique el número de puerto.
    Tipo de autenticación Seleccione Contraseña en la lista desplegable.
    Nombre de usuario Escriba el nombre de usuario.
    Contraseña Escriba la Contraseña.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de contraseña: Azure Key Vault

Siga estos pasos para autenticarse mediante una contraseña de Azure Key Vault.

  1. Para autenticarse mediante una contraseña de Azure Key Vault, configure las opciones siguientes.

    Configuración Descripción
    Configuración de conexión Solo está disponible para las SKU superiores a la SKU básica.
    Protocolo Seleccione SSH.
    Puerto Especifique el número de puerto.
    Tipo de autenticación Seleccione Contraseña en Azure Key Vault del menú desplegable.
    Nombre de usuario Escriba el nombre de usuario.
    Suscripción Seleccione la suscripción.
    Azure Key Vault Seleccione el Key Vault.
    Azure Key Vault Secret Seleccione el secreto de Key Vault que contiene el valor de la clave privada SSH.

    • Si no configuró un recurso de Azure Key Vault, consulte Create a key vault y almacene la clave privada SSH como valor de un nuevo secreto de Key Vault.

    • Asegúrese de que tiene acceso List y Get a los secretos almacenados en el recurso de Key Vault. Para asignar y modificar directivas de acceso para el recurso de Key Vault, consulte Assignar una directiva de acceso de Key Vault.

    • Almacene la clave privada SSH como un secreto en Azure Key Vault mediante la experiencia PowerShell o CLI de Azure. El almacenamiento de la clave privada a través de la experiencia del portal de Azure Key Vault interfiere con el formato y da lugar a un inicio de sesión incorrecto. Si ha guardado la clave privada como un secreto mediante la experiencia del portal y ya no tiene acceso al archivo de clave privada original, consulte Actualización de la clave SSH para actualizar el acceso a la máquina virtual de destino con un nuevo par de claves SSH.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de clave privada SSH: archivo local

Siga estos pasos para autenticarse mediante una clave privada SSH desde un archivo local.

  1. Para autenticarse mediante una clave privada de un archivo local, configure los siguientes valores.

    Configuración Descripción
    Configuración de conexión Solo está disponible para las SKU superiores a la SKU básica.
    Protocolo Seleccione SSH.
    Puerto Especifique el número de puerto.
    Tipo de autenticación Seleccione Clave privada SSH del archivo local en la lista desplegable.
    Nombre de usuario Escriba el nombre de usuario.
    Archivo local Seleccione el archivo local.
    Frase de contraseña de SSH Escriba la frase de contraseña de SSH si es necesario.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Autenticación de clave privada SSH: Azure Key Vault

Siga estos pasos para autenticarse mediante una clave privada almacenada en Azure Key Vault.

  1. Para autenticarse mediante una clave privada almacenada en Azure Key Vault, configure las opciones siguientes. En el caso de la SKU Básica, la configuración de conexión no se puede configurar y, en su lugar, usará la configuración de conexión predeterminada: SSH y el puerto 22.

    Configuración Descripción
    Configuración de conexión Solo está disponible para las SKU superiores a la SKU básica.
    Protocolo Seleccione SSH.
    Puerto Especifique el número de puerto.
    Tipo de autenticación Seleccione SSH Private Key (Clave privada de Azure Key Vault en la lista desplegable.
    Nombre de usuario Escriba el nombre de usuario.
    Suscripción Seleccione la suscripción.
    Azure Key Vault Seleccione el Key Vault.
    Azure Key Vault Secret Seleccione el secreto de Key Vault que contiene el valor de la clave privada SSH.

    • Si no configuró un recurso de Azure Key Vault, consulte Create a key vault y almacene la clave privada SSH como valor de un nuevo secreto de Key Vault.

    • Asegúrese de que tiene acceso List y Get a los secretos almacenados en el recurso de Key Vault. Para asignar y modificar directivas de acceso para el recurso de Key Vault, consulte Assignar una directiva de acceso de Key Vault.

    • Almacene la clave privada SSH como un secreto en Azure Key Vault mediante la experiencia PowerShell o CLI de Azure. El almacenamiento de la clave privada a través de la experiencia del portal de Azure Key Vault interfiere con el formato y da lugar a un inicio de sesión incorrecto. Si ha guardado la clave privada como un secreto mediante la experiencia del portal y ya no tiene acceso al archivo de clave privada original, consulte Actualización de la clave SSH para actualizar el acceso a la máquina virtual de destino con un nuevo par de claves SSH.

  2. Para trabajar con la máquina virtual en una nueva pestaña del explorador, seleccione Abrir en la nueva pestaña del explorador.

  3. Haga clic en Connect (Conectar) para conectarse a la máquina virtual.

Pasos siguientes

Para obtener más información sobre Azure Bastion, consulte las preguntas más frecuentes sobre Bastion.

  • Last updated on