Wdrażanie usługi Bastion przy użyciu interfejsu wiersza polecenia platformy Azure

W tym artykule pokazano, jak wdrożyć usługę Azure Bastion przy użyciu interfejsu wiersza polecenia. Usługa Azure Bastion to usługa PaaS, która jest utrzymywana dla Ciebie, a nie host bastionu instalowany na maszynie wirtualnej i samodzielnie utrzymywany. Wdrożenie usługi Azure Bastion dotyczy sieci wirtualnej, a nie subskrypcji/konta lub maszyny wirtualnej. Aby uzyskać więcej informacji na temat usługi Azure Bastion, zobacz Co to jest usługa Azure Bastion?

Po wdrożeniu usługi Bastion w sieci wirtualnej możesz nawiązać połączenie z maszynami wirtualnymi za pośrednictwem prywatnego adresu IP. To bezproblemowe środowisko protokołu RDP/SSH jest dostępne dla wszystkich maszyn wirtualnych w tej samej sieci wirtualnej. Jeśli maszyna wirtualna ma publiczny adres IP, którego nie potrzebujesz, możesz go usunąć.

W tym artykule utworzysz sieć wirtualną (jeśli jeszcze jej nie masz), wdrożysz usługę Azure Bastion przy użyciu interfejsu wiersza polecenia i połączysz się z maszyną wirtualną. Usługę Bastion można również wdrożyć przy użyciu następujących innych metod:

• Azure Portal
• Azure PowerShell
• Szybki start — wdrażanie usługi Bastion za pomocą ustawień domyślnych i SKU Standard

Przed rozpoczęciem

Subskrypcja platformy Azure

Sprawdź, czy masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.

Azure CLI

W tym artykule jest używany interfejs wiersza polecenia platformy Azure. Aby uruchomić polecenia, możesz użyć usługi Azure Cloud Shell. Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka, której możesz używać do wykonywania kroków opisanych w tym artykule. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.

Aby otworzyć usługę Cloud Shell, wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu. Możesz również uruchomić usługę Cloud Shell na osobnej karcie przeglądarki, przechodząc do https://shell.azure.com, a następnie z rozwijanej listy w lewym rogu wybierz powłokę Bash lub PowerShell. Wybierz przycisk Kopiuj, aby skopiować bloki kodu, wklej je do usługi Cloud Shell, a następnie naciśnij klawisz Enter, aby je uruchomić.

Wdrażanie usługi Bastion

Ta sekcja ułatwia wdrażanie usługi Azure Bastion przy użyciu interfejsu wiersza polecenia platformy Azure.

1. Jeśli nie masz jeszcze sieci wirtualnej, utwórz grupę zasobów i sieć wirtualną przy użyciu polecenia az group create i az network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Użyj az network vnet subnet create, aby utworzyć podsieć, do której zostanie wdrożony Bastion. Utworzona podsieć musi mieć nazwę AzureBastionSubnet. Ta podsieć jest rezerwowa wyłącznie dla zasobów usługi Azure Bastion. Jeśli nie masz podsieci o nazwie AzureBastionSubnet, usługa Bastion nie zostanie wdrożona.

   • Najmniejszy rozmiar podsieci AzureBastionSubnet, który można utworzyć, to /26. Zalecamy utworzenie rozmiaru /26 lub większego w celu uwzględnienia skalowania hostów.
     • Aby uzyskać więcej informacji na temat skalowania, zobacz Ustawienia konfiguracji — skalowanie hosta.
     • Aby uzyskać więcej informacji na temat ustawień, zobacz Ustawienia konfiguracji — AzureBastionSubnet.
   • Utwórz podsieć AzureBastionSubnet bez żadnych tabel tras ani delegowania.
   • Jeśli używasz sieciowych grup zabezpieczeń w podsieci AzureBastionSubnet, zapoznaj się z artykułem Praca z sieciowymi grupami zabezpieczeń .

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Utwórz publiczny adres IP dla usługi Azure Bastion. Publiczny adres IP to publiczny adres IP zasobu usługi Bastion, do którego będzie uzyskiwany dostęp za pośrednictwem protokołu RDP/SSH (przez port 443). Publiczny adres IP musi znajdować się w tym samym regionie co tworzony zasób usługi Bastion. Z tego powodu należy zwrócić szczególną uwagę na wartość, którą określasz --location.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Użyj az network bastion create, aby utworzyć nowy zasób usługi Azure Bastion dla sieci wirtualnej. Tworzenie i wdrażanie zasobu usługi Bastion trwa około 10 minut.

   W poniższym przykładzie usługa Bastion jest wdrażana przy użyciu podstawowej warstwy SKU . Możesz również wdrożyć, korzystając z innych SKU. Określenie SKU decyduje o funkcjach wspieranych przez wdrożenie Bastion. Jeśli nie określisz jednostki SKU w poleceniu, jednostka SKU zostanie domyślnie ustawiona na Standardowa. Aby uzyskać więcej informacji, zajrzyj do Jednostek SKU Bastion.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Łączenie z maszyną wirtualną

Jeśli nie masz jeszcze maszyn wirtualnych w swojej sieci wirtualnej, możesz utworzyć maszynę wirtualną przy użyciu Szybki start: Utwórz maszynę wirtualną z systemem Windows lub Szybki start: Utwórz maszynę wirtualną z systemem Linux

Możesz użyć dowolnego z poniższych artykułów lub kroków opisanych w poniższej sekcji, aby ułatwić nawiązywanie połączenia z maszyną wirtualną. Niektóre typy połączeń wymagają jednostki SKU usługi Bastion w warstwie Standardowa lub nowszej.

• Nawiązywanie połączenia z maszyną wirtualną z systemem Windows
  • RDP
  • Protokół SSH
• Nawiązywanie połączenia z maszyną wirtualną z systemem Linux
  • Protokół SSH
• Nawiązywanie połączenia z zestawem skalowania
• Nawiązywanie połączenia za pośrednictwem adresu IP
• Nawiązywanie połączenia z poziomu klienta natywnego
  • Klient systemu Windows
  • Klient linux/SSH

Nawiązywanie połączenia przy użyciu portalu

Poniższe kroki przeprowadzą Cię przez jeden typ połączenia przy użyciu witryny Azure Portal.

1. W witrynie Azure Portal przejdź do maszyny wirtualnej, z którą chcesz nawiązać połączenie.

2. W górnej części okienka wybierz pozycję Połącz>Bastion, aby przejść do okienka Bastion. Możesz również przejść do okienka bastionu, korzystając z menu po lewej stronie.

3. Opcje dostępne w okienku Bastion zależą od SKU Bastion.

   Jeśli używasz Podstawowego SKU, połączysz się z komputerem z systemem Windows, używając protokołu RDP i portu 3389. Ponadto dla SKU w wersji Podstawowej nawiązuje się połączenie z komputerem z systemem Linux za pomocą protokołu SSH i portu 22. Nie masz opcji zmiany numeru portu ani protokołu. Można jednak zmienić język klawiatury dla protokołu RDP, rozwijając pozycję Ustawienia połączenia w tym okienku.

   Jeśli używasz Standardowej SKU, masz dostęp do większej liczby opcji protokołów połączenia i portów. Rozwiń Ustawienia połączenia, aby zobaczyć opcje. Zazwyczaj, o ile nie skonfigurujesz różnych ustawień maszyny wirtualnej, nawiążesz połączenie z komputerem z systemem Windows przy użyciu protokołu RDP i portu 3389. Nawiąż połączenie z komputerem z systemem Linux przy użyciu protokołu SSH i portu 22.

4. W polu Typ uwierzytelniania wybierz typ uwierzytelniania z listy rozwijanej. Protokół określa dostępne typy uwierzytelniania. Wypełnij wymagane wartości uwierzytelniania.

5. Aby otworzyć sesję maszyny wirtualnej na nowej karcie przeglądarki, pozostaw Otwórz na nowej karcie przeglądarki zaznaczone.

6. Wybierz pozycję Połącz, aby nawiązać połączenie z maszyną wirtualną.

7. Upewnij się, że połączenie z maszyną wirtualną zostanie otwarte bezpośrednio w witrynie Azure Portal (za pośrednictwem kodu HTML5) przy użyciu portu 443 i usługi Bastion.

Używanie skrótów klawiaturowych podczas nawiązywania połączenia z maszyną wirtualną może nie spowodować takiego samego zachowania, jak skrótów na komputerze lokalnym. Na przykład, gdy jesteś połączony z maszyną wirtualną Windows z klienta Windows, Ctrl+Alt+End jest skrótem klawiaturowym dla Ctrl+Alt+Delete na lokalnym komputerze. Aby to zrobić z komputera Mac podczas nawiązywania połączenia z maszyną wirtualną z systemem Windows, skrót klawiaturowy to fn+control+option+delete.

Aby włączyć wyjście audio

Możesz włączyć zdalne wyjście audio dla maszyny wirtualnej. Niektóre maszyny wirtualne automatycznie włączają to ustawienie, natomiast inne wymagają ręcznego włączania ustawień dźwięku. Ustawienia są zmieniane na samej maszynie wirtualnej. Wdrożenie usługi Bastion nie wymaga żadnych specjalnych ustawień konfiguracji w celu włączenia zdalnego wyjścia dźwięku. Wejście audio nie jest obecnie obsługiwane.

Aby włączyć zdalne wyjście audio na maszynie wirtualnej z systemem Windows:

1. Po nawiązaniu połączenia z maszyną wirtualną zostanie wyświetlony przycisk audio w prawym dolnym rogu paska narzędzi. Kliknij prawym przyciskiem myszy przycisk audio, a następnie wybierz pozycję Dźwięki.
2. Zostanie wyświetlone okienko z pytaniem, czy chcesz włączyć usługę audio systemu Windows. Wybierz opcję Tak. Więcej opcji dźwięku można skonfigurować w preferencjach dźwięku.
3. Aby zweryfikować dane wyjściowe dźwięku, umieść wskaźnik myszy na przycisku audio na pasku narzędzi.

Usuwanie publicznego adresu IP maszyny wirtualnej

Usługa Azure Bastion nie używa publicznego adresu IP do nawiązywania połączenia z maszyną wirtualną klienta. Jeśli nie potrzebujesz publicznego adresu IP dla maszyny wirtualnej, możesz odłączyć publiczny adres IP. Zobacz Odłączanie publicznego adresu IP od maszyny wirtualnej Azure.

Następne kroki

• Aby użyć sieciowych grup zabezpieczeń z podsiecią usługi Azure Bastion, zobacz Praca z sieciowymi grupami zabezpieczeń.
• Aby zrozumieć komunikację równorzędną VNet, zobacz Komunikacja równorzędna VNet i Azure Bastion.