Tutorial: Konfigurieren von Bastion und Herstellen einer Verbindung mit einer Windows-VM

In diesem Tutorial erfahren Sie, wie Sie über Ihren Browser eine Verbindung mit einem virtuellen Computer herstellen und dabei Azure Bastion und das Azure-Portal verwenden. In diesem Tutorial stellen Sie mit dem Azure-Portal Bastion für Ihr virtuelles Netzwerk bereit. Nachdem der Dienst bereitgestellt wurde, ist die RDP/SSH-Umgebung für alle virtuellen Computer des jeweiligen virtuellen Netzwerks verfügbar. Wenn Sie Bastion zum Herstellen einer Verbindung verwenden, benötigt der virtuelle Computer keine öffentliche IP-Adresse oder spezielle Software. Nach der Bereitstellung von Bastion können Sie die öffentliche IP-Adresse von Ihrem virtuellen Computer entfernen, wenn sie nicht für andere Zwecke benötigt wird. Anschließend stellen Sie über das Azure-Portal eine Verbindung mit einer VM unter Verwendung ihrer privaten IP-Adresse her. Weitere Informationen zu Azure Bastion finden Sie unter Was ist Azure Bastion?.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen eines Bastionhosts für Ihr VNet
  • Entfernen der öffentlichen IP-Adresse von einem virtuellen Computer
  • Herstellen einer Verbindung mit einem virtuellen Windows-Computer

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Voraussetzungen

  • Ein virtuelles Netzwerk

  • Ein virtueller Windows-Computer im virtuellen Netzwerk Wenn Sie nicht über einen virtuellen Computer verfügen, erstellen Sie einen über Schnellstart: Erstellen einer VM.

  • Die folgenden Rollen sind für Ihre Ressourcen erforderlich:

    • Erforderliche VM-Rollen:
      • Rolle „Leser“ für den virtuellen Computer
      • Rolle „Leser“ für den Netzwerkadapter mit privater IP-Adresse des virtuellen Computers
  • Ports: Zum Herstellen einer Verbindung mit dem virtuellen Windows-Computer müssen die folgenden Ports auf Ihrer Windows-VM geöffnet sein:

    • Eingehende Ports: RDP (3389)

Hinweis

Die Verwendung von Azure Bastion in Verbindung mit privaten Azure DNS-Zonen wird derzeit nicht unterstützt. Ehe Sie loslegen, stellen Sie bitte sicher, dass das virtuelle Netzwerk, in dem Sie Ihre Bastion-Ressource bereitstellen möchten, nicht mit einer privaten DNS-Zone verknüpft ist.

Beispielwerte

Sie können beim Erstellen dieser Konfiguration die folgenden Beispielwerte verwenden oder Ihre eigenen Werte einsetzen.

Grundlegende VNet- und VM-Werte:

Name Wert
Virtueller Computer TestVM,
Ressourcengruppe TestRG1
Region USA, Osten
Virtuelles Netzwerk VNet1
Adressraum 10.1.0.0/16
Subnetze FrontEnd: 10.1.0.0/24

Azure Bastion-Werte:

Name Wert
Name VNet1-bastion
+ Subnetzname AzureBastionSubnet
AzureBastionSubnet-Adressen Ein Subnetz innerhalb Ihres VNet-Adressraums mit einer Subnetzmaske von „/27“ oder mehr.
Beispiel: 10.1.1.0/26.
Tarif/SKU Standard
Instanzanzahl (Hostskalierung) 3 oder größer
Öffentliche IP-Adresse Neu erstellen
Name der öffentlichen IP-Adresse VNet1-ip
SKU der öffentlichen IP-Adresse Standard
Zuweisung statischen

Erstellen eines Bastion-Hosts

In diesem Abschnitt erfahren Sie, wie Sie das Bastionhostobjekt in Ihrem VNET erstellen. Dies ist erforderlich, um eine sichere Verbindung mit einem virtuellen Computer im VNET zu erstellen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Geben Sie Bastion in die Suche ein.

  3. Klicken Sie unter „Dienste“ auf Bastions.

  4. Klicken Sie auf der Seite Bastions auf + Erstellen, um die Seite Bastion-Instanz erstellen zu öffnen.

  5. Konfigurieren Sie auf der Seite Bastion-Instanz erstellen eine neue Bastion-Ressource.

    Screenshot: Portalseite „Bastion-Instanz erstellen“

Projektdetails

  • Abonnement: Das Azure-Abonnement, das Sie verwenden möchten.

  • Ressourcengruppe: Die Azure-Ressourcengruppe, in der die neue Bastion-Ressource erstellt wird. Erstellen Sie eine Ressourcengruppe, wenn noch keine vorhanden ist.

Instanzendetails

  • Name: Der Name der neuen Bastion-Ressource.

  • Region: Die öffentliche Azure-Region, in der die Ressource erstellt wird.

  • Tarif: Der Tarif wird auch als SKU bezeichnet. Für dieses Tutorial wählen wir die Standard-SKU in der Dropdownliste aus. Wenn Sie die Standard-SKU auswählen, können Sie die Anzahl der Instanzen für die Skalierung des Hosts konfigurieren. Von der Basic-SKU wird die Hostskalierung nicht unterstützt. Weitere Informationen finden Sie unter Konfigurationseinstellungen – SKU. Die Standard-SKU befindet sich in der Vorschauversion.

  • Anzahl der Instanzen: Dies ist die Einstellung für die Hostskalierung, die in Inkrementen von Skalierungseinheiten konfiguriert wird. Verwenden Sie den Schieberegler, um die Anzahl der Instanzen zu konfigurieren. Wenn Sie die Basic-Tarif-SKU angegeben haben, können Sie diese Einstellung nicht konfigurieren. Weitere Informationen finden Sie unter Konfigurationseinstellungen – Hostskalierung. In diesem Tutorial können Sie die gewünschte Anzahl der Instanzen auswählen. Berücksichtigen Sie dabei jedoch die Preis-Überlegungen für Skalierungseinheiten.

Konfigurieren virtueller Netzwerke

  • Virtuelles Netzwerk: Das virtuelle Netzwerk, in dem die Bastion-Ressource erstellt wird. Im Rahmen dieses Prozesses können Sie über das Portal ein neues virtuelles Netzwerk erstellen oder eines der vorhandenen virtuellen Netzwerke verwenden. Achten Sie bei Verwendung eines bereits vorhandenen virtuellen Netzwerks darauf, dass der freie Adressraum die Anforderungen des Bastion-Subnetzes erfüllt. Sollte Ihr virtuelles Netzwerk nicht in der Dropdownliste angezeigt werden, überprüfen Sie, ob Sie die richtige Ressourcengruppe ausgewählt haben.

  • Subnetz: Nach dem Erstellen oder Auswählen eines virtuellen Netzwerks wird das Subnetzfeld auf der Seite angezeigt. Dies ist das Subnetz, in dem Ihre Bastion-Instanzen bereitgestellt werden.

Hinzufügen des AzureBastionSubnet

Wahrscheinlich haben Sie noch kein AzureBastionSubnet konfiguriert. So konfigurieren Sie das Bastion-Subnetz:

  1. Wählen Sie Subnetzkonfiguration verwalten aus. Dadurch gelangen Sie auf die Seite Subnetze.

    Screenshot: Verwalten der Subnetzkonfiguration.

  2. Wählen Sie auf der Seite Subnetze die Option +Subnetz aus, um die Seite Subnetz hinzufügen zu öffnen.

  3. Erstellen Sie ein Subnetz unter Verwendung der folgenden Richtlinien:

    • Das Subnetz muss AzureBastionSubnet heißen.
    • Das Subnetz muss mindestens die Größe „/27“ haben. Für die Standard-SKU empfehlen wir „/26“ oder höher, um zukünftige zusätzliche Hostskalierungsinstanzen zu unterstützen.

    Screenshot des Subnetzes „AzureBastionSubnet“.

  4. Weitere Angaben sind auf dieser Seite nicht erforderlich. Wählen Sie unten auf der Seite Speichern aus, um die Einstellungen zu speichern und die Seite Subnetz hinzufügen zu schließen.

  5. Wählen Sie oben auf der Seite Subnetze die Option Bastion-Instanz erstellen aus, um zur Bastion-Konfigurationsseite zurückzukehren.

    Screenshot: „Bastion-Instanz erstellen“.

Öffentliche IP-Adresse

Die öffentliche IP-Adresse der Bastion-Ressource für den RDP/SSH-Zugriff (über Port 443). Erstellen Sie eine neue öffentliche IP-Adresse. Die öffentliche IP-Adresse muss sich in der gleichen Region befinden wie die Bastion-Ressource, die Sie erstellen. Diese IP-Adresse hat nichts mit den virtuellen Computern zu tun, mit denen Sie eine Verbindung herstellen möchten. Vielmehr handelt es sich dabei um die öffentliche IP-Adresse für die Bastionhostressource.

  • Öffentliche IP-Adresse: Der Name der öffentlichen IP-Adressressource. Für dieses Tutorial können Sie den Standardwert beibehalten.
  • SKU der öffentlichen IP-Adresse: Diese Einstellung ist standardmäßig bereits auf Standard festgelegt. Azure Bastion verwendet/unterstützt nur die SKU „Standard“ für die öffentliche IP-Adresse.
  • Zuweisung: Diese Einstellung ist standardmäßig bereits auf Statisch festgelegt.

Überprüfen und Erstellen

  1. Wählen Sie nach Angabe der Einstellungen die Option Überprüfen + erstellen aus. Daraufhin werden die Werte überprüft. Nach erfolgreicher Überprüfung können Sie die Bastion-Ressource erstellen.
  2. Überprüfen Sie Ihre Einstellungen.
  3. Wählen Sie am unteren Rand der Seite die Option Erstellen aus.
  4. Daraufhin wird eine Meldung mit dem Hinweis angezeigt, dass Ihre Bereitstellung ausgeführt wird. Der Status der Ressourcenerstellung wird auf dieser Seite angezeigt. Die Erstellung und Bereitstellung der Bastion-Ressource dauert etwa fünf Minuten.

Entfernen einer öffentlichen IP-Adresse einer VM

Wenn Sie über Azure Bastion eine Verbindung mit einem virtuellen Computer herstellen, benötigen Sie keine öffentliche IP-Adresse für Ihren virtuellen Computer. Wenn Sie die öffentliche IP-Adresse nicht für etwas anderes verwenden, können Sie ihre Zuordnung zu Ihrem virtuellen Computer wieder aufheben. Führen Sie die folgenden Schritte aus, um die Zuordnung einer öffentlichen IP-Adresse zu einem virtuellen Computer aufzuheben:

  1. Navigieren Sie zu Ihrem virtuellen Computer, und wählen Sie Netzwerk aus. Wählen Sie die öffentliche IP-Adresse der NIC aus, um die Seite mit der öffentlichen IP-Adresse zu öffnen.

    Screenshot: Seite „Netzwerk“

  2. Wählen Sie auf der Seite Öffentliche IP-Adresse für den virtuellen Computer die Option Zuordnung aufheben aus.

    Screenshot: Öffentliche IP-Adresse für den virtuellen Computer

  3. Wählen Sie Ja aus, um die Zuordnung der IP-Adresse zur Netzwerkschnittstelle aufzuheben.

    Screenshot: Zuordnung der öffentlichen IP-Adresse aufheben

  4. Nachdem Sie die Zuordnung der IP-Adresse aufgehoben haben, können Sie die öffentliche IP-Adressressource löschen. Navigieren Sie zum Löschen der öffentlichen IP-Adressressource zur Ressourcengruppe, und suchen Sie die IP-Adressressource, die Sie löschen möchten. Wählen Sie dann Löschen aus, um die Ressource zu löschen.

    Screenshot: Löschen der öffentlichen IP-Adressressource

Herstellen einer Verbindung mit einem virtuellen Computer

  1. Navigieren Sie im Microsoft Azure-Portal zu dem virtuellen Computer, mit der Sie eine Verbindung herstellen möchten. Wählen Sie auf der Seite Übersicht die Option Verbinden und dann von dem Dropdownmenü Bastion aus.

    Auswählen von „Bastion“

  2. Nachdem Sie „Bastion“ aus dem Dropdown ausgewählt haben, wird eine Seitenleiste mit drei Registerkarten angezeigt: RDP, SSH und Bastion. Wenn Bastion für das virtuelle Netzwerk bereitgestellt wurde, ist die Registerkarte „Bastion“ standardmäßig aktiv. Klicken Sie auf Bastion verwenden.

    Klicken auf „Bastion verwenden“

  3. Geben Sie auf der Seite Verbindung über Azure Bastion herstellen den Benutzernamen und das Kennwort für Ihre VM ein, und klicken Sie dann auf Verbinden.

    Herstellen einer Verbindung

  4. Die RDP-Verbindung zu diesem virtuellen Computer über Bastion wird direkt im Azure-Portal (über HTML5) über Port 443 und den Bastion-Dienst geöffnet.

    • Wenn Sie eine Verbindung herstellen, sieht der Desktop der VM möglicherweise anders aus als im Beispielscreenshot.
    • Tastenkombinationen während der Verbindung mit einer VM weisen möglicherweise ein anderes Verhalten als Tastenkombinationen auf einem lokalen Computer auf. Wenn Sie beispielsweise über einen Windows-Client eine Verbindung mit einer Windows-VM hergestellt haben, ist STRG+ALT+ENDE die Tastenkombination für STRG+ALT+ENTF auf einem lokalen Computer. Wenn Sie dieselbe Aktion bei einer Verbindung von einem Mac aus mit einer Windows-VM ausführen möchten, lautet die Tastenkombination Fn+STRG+ALT+RÜCKTASTE.

    Verbinden mithilfe von Port 443

Bereinigen von Ressourcen

Falls Sie diese Anwendung nicht weiterverwenden möchten, löschen Sie Ihre Ressourcen wie folgt:

  1. Geben Sie den Namen Ihrer Ressourcengruppe in das Suchfeld am oberen Rand des Portals ein. Wenn Ihre Ressourcengruppe in den Suchergebnissen angezeigt wird, wählen Sie sie aus.
  2. Wählen Sie die Option Ressourcengruppe löschen.
  3. Geben Sie unter GEBEN SIE DEN RESSOURCENGRUPPENNAMEN EIN: den Namen Ihrer Ressourcengruppe ein, und wählen Sie Löschen aus.

Nächste Schritte

In diesem Tutorial haben Sie einen Bastionhost erstellt und einem virtuellen Netzwerk zugeordnet. Anschließend haben Sie die öffentliche IP-Adresse von einem virtuellen Computer entfernt und eine Verbindung mit ihm hergestellt. Falls gewünscht, können Sie Netzwerksicherheitsgruppen mit Ihrem Azure Bastion-Subnetz verwenden. Weitere Informationen finden Sie hier: