A Bastion üzembe helyezése az Azure PowerShell használatával

  • Cikk

Ez a cikk bemutatja, hogyan helyezheti üzembe az Azure Bastiont a Standard termékváltozattal a PowerShell használatával. Az Azure Bastion egy PaaS-szolgáltatás, amelyet ön tart fenn, nem pedig egy megerősített gazdagép, amelyet a virtuális gépre telepít, és saját magát tartja karban. Az Azure Bastion üzembe helyezése virtuális hálózatonként történik, nem előfizetésenként/fiókonként vagy virtuális gépenként. További információ az Azure Bastionról: Mi az Az Azure Bastion?

Miután üzembe helyezi a Bastiont a virtuális hálózaton, privát IP-címmel csatlakozhat a virtuális gépekhez. Ez a zökkenőmentes RDP/SSH-felület az ugyanazon a virtuális hálózaton lévő összes virtuális gép számára elérhető. Ha a virtuális gép nyilvános IP-címmel rendelkezik, amire semmi másra nincs szüksége, eltávolíthatja.

Diagram showing Azure Bastion architecture.

Ebben a cikkben létrehoz egy virtuális hálózatot (ha még nincs ilyen), üzembe helyezi az Azure Bastiont a PowerShell használatával, és csatlakozik egy virtuális géphez. A Bastiont a következő más módszerekkel is üzembe helyezheti:

Feljegyzés

Az Azure Bastion használata az Azure saját DNS zónákkal támogatott. Vannak azonban korlátozások. További információkért tekintse meg az Azure Bastion gyakori kérdéseit.

Mielőtt hozzálát

Győződjön meg arról, hogy rendelkezik Azure-előfizetéssel. Ha még nincs Azure-előfizetése, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.

PowerShell

Ez a cikk PowerShell-parancsmagokat használ. A parancsmagok futtatásához használhatja az Azure Cloud Shellt. A Cloud Shell egy ingyenes interaktív rendszerhéj, amellyel a cikkben ismertetett lépéseket futtathatja. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta.

A Cloud Shell megnyitásához válassza a Kódblokk jobb felső sarkában található Open CloudShell lehetőséget. A Cloud Shellt egy külön böngészőlapon is megnyithatja.https://shell.azure.com/powershell A Másolás gombra kattintva másolja a kódblokkokat, illessze be őket a Cloud Shellbe, majd az Enter billentyűt választva futtassa őket.

Az Azure PowerShell-parancsmagokat helyileg is telepítheti és futtathatja a számítógépen. A PowerShell-parancsmagok gyakran frissülnek. Ha még nem telepítette a legújabb verziót, az utasításokban megadott értékek meghiúsulhatnak. A számítógépre telepített Azure PowerShell-verziók megkereséséhez használja a Get-Module -ListAvailable Az parancsmagot. A telepítésről vagy frissítésről az Azure PowerShell-modul telepítése című témakörben olvashat.

Példaértékek

A konfiguráció létrehozásakor az alábbi példaértékeket használhatja, vagy lecserélheti a sajátját.

** Példa virtuális hálózat és virtuálisgép-értékek:**

Név Érték
Virtuális gép TestVM
Erőforráscsoport TestRG1
Régió USA keleti régiója
Virtuális hálózat VNet1
Címtér 10.1.0.0/16
Alhálózatok FrontEnd: 10.1.0.0/24

Azure Bastion-értékek:

Név Érték
Név VNet1-bastion
Alhálózat neve Előtér
Alhálózat neve AzureBastionSubnet
AzureBastionSubnet-címek A virtuális hálózat címterében lévő alhálózat /26 vagy nagyobb alhálózati maszkkal.
Például: 10.1.1.0/26.
Réteg/termékváltozat Standard
Nyilvános IP-cím Új létrehozása
Nyilvános IP-cím neve VNet1-ip
Nyilvános IP-cím SKU Standard
Hozzárendelés Statikus

A Bastion üzembe helyezése

Ez a szakasz segít létrehozni egy virtuális hálózatot, alhálózatokat és üzembe helyezni az Azure Bastiont az Azure PowerShell használatával.

Fontos

Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.

  1. Hozzon létre egy erőforráscsoportot, egy virtuális hálózatot és egy előtér-alhálózatot, amelyhez üzembe helyezi a Bastionon keresztül csatlakozni kívánt virtuális gépeket. Ha helyileg futtatja a PowerShellt, nyissa meg a PowerShell-konzolt emelt szintű jogosultságokkal, és csatlakozzon az Azure-hoz a Connect-AzAccount parancs használatával.

    New-AzResourceGroup -Name TestRG1 -Location EastUS ` 
$frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd `
-AddressPrefix "10.1.0.0/24" ` 
$virtualNetwork = New-AzVirtualNetwork `
-Name TestVNet1 -ResourceGroupName TestRG1 `
-Location EastUS -AddressPrefix "10.1.0.0/16" `
-Subnet $frontendSubnet ` 
$virtualNetwork | Set-AzVirtualNetwork

  2. Konfigurálja és állítsa be az Azure Bastion-alhálózatot a virtuális hálózathoz. Ez az alhálózat kizárólag az Azure Bastion-erőforrások számára van fenntartva. Ezt az alhálózatot az AzureBastionSubnet névértékkel kell létrehoznia. Ez az érték tudatja az Azure-nal, hogy melyik alhálózaton helyezze üzembe a Bastion-erőforrásokat. A következő szakaszban található példa segít egy Azure Bastion-alhálózat meglévő virtuális hálózathoz való hozzáadásában.

    Állítsa be a változót.

    $vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"

    Adja hozzá az alhálózatot.

    Add-AzVirtualNetworkSubnetConfig `
-Name "AzureBastionSubnet" -VirtualNetwork $vnet `
-AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork

  3. Hozzon létre egy nyilvános IP-címet az Azure Bastion számára. A nyilvános IP-cím annak a Bastion-erőforrásnak a nyilvános IP-címe, amelyen az RDP/SSH elérhető lesz (a 443-as porton keresztül). A nyilvános IP-címnek ugyanabban a régióban kell lennie, mint a létrehozott Bastion-erőforrásnak.

    $publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" `
-name "VNet1-ip" -location "EastUS" `
-AllocationMethod Static -Sku Standard

  4. Hozzon létre egy új Azure Bastion-erőforrást az AzureBastionSubnetben a New-AzBastion paranccsal. Az alábbi példa az alapszintű termékváltozatot használja. A Bastiont azonban a Standard termékváltozat használatával is üzembe helyezheti, ha a -Sku értéket "Standard" értékre módosítja. A standard termékváltozat lehetővé teszi további Bastion-funkciók konfigurálását, és több kapcsolattípus használatával csatlakozhat a virtuális gépekhez. A Bastion automatikusan üzembe helyezhető a fejlesztői termékváltozat használatával is. További információ: Bastion SKU-k.

    New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" `
-PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" `
-VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" `
-Sku "Basic"

  5. A Bastion-erőforrások üzembe helyezése körülbelül 10 percet vesz igénybe. A következő szakaszban létrehozhat egy virtuális gépet, amíg a Bastion üzembe helyezi a virtuális hálózatát.

Virtuális gép létrehozása

Virtuális gépet a következő rövid útmutatóval hozhat létre: Virtuális gép létrehozása PowerShell vagyrövid útmutató használatával: Virtuális gép létrehozása a portálcikkek használatával. Győződjön meg arról, hogy a virtuális gépet ugyanarra a virtuális hálózatra telepíti, amelyre a Bastiont telepítette. Az ebben a szakaszban létrehozott virtuális gép nem része a Bastion konfigurációnak, és nem válik megerősített gazdagépgé. Az oktatóanyag későbbi részében a Bastionon keresztül csatlakozhat ehhez a virtuális géphez.

Az erőforrásokhoz a következő szükséges szerepkörök szükségesek.

  • Szükséges virtuálisgép-szerepkörök:

    • Olvasói szerepkör a virtuális gépen.
    • Olvasói szerepkör a hálózati adapteren a virtuális gép privát IP-címével.

  • Kötelező bejövő portok:

    • Windows rendszerű virtuális gépekhez – RDP (3389)
    • Linux rendszerű virtuális gépekhez – SSH (22)

Csatlakozás virtuális géphez

A virtuális géphez való csatlakozáshoz a következő szakaszban található Csatlakozás ion-lépéseket használhatja. Az alábbi cikkek bármelyikével kapcsolódhat virtuális géphez. Egyes kapcsolattípusokhoz a Bastion Standard termékváltozat szükséges.

Csatlakozás ion lépések

  1. Az Azure Portalon nyissa meg azt a virtuális gépet, amelyhez csatlakozni szeretne.

  2. A panel tetején válassza a Csatlakozás> Bastion lehetőséget a Bastion panelre való ugráshoz. A Bastion panelre a bal oldali menüvel is léphet.

  3. A Bastion panelen elérhető lehetőségek a Bastion termékváltozatától függenek. Ha az alapszintű termékváltozatot használja, rdp és 3389-port használatával csatlakozik egy Windows rendszerű számítógéphez. Az alapszintű termékváltozat esetében is az SSH és a 22-s port használatával csatlakozhat Linux rendszerű számítógépekhez. Nincs lehetősége a portszám vagy a protokoll módosítására. Az RDP billentyűzetnyelvét azonban módosíthatja a Csatlakozás ion Gépház kibontásával.

    Screenshot of Azure Bastion connection settings.

    Ha a Standard termékváltozatot használja, több kapcsolati protokoll és portlehetőség érhető el. A beállítások megtekintéséhez bontsa ki a Csatlakozás ion Gépház. Általában, hacsak nem konfigurál különböző beállításokat a virtuális géphez, az RDP és a 3389-s port használatával csatlakozik egy Windows rendszerű számítógéphez. Linux rendszerű számítógéphez az SSH és a 22-s port használatával csatlakozhat.

    Screenshot of expanded connection settings.

  4. Hitelesítési típus esetén válassza ki a legördülő listából. A protokoll határozza meg az elérhető hitelesítési típusokat. Végezze el a szükséges hitelesítési értékeket.

    Screenshot that shows the dropdown list box for authentication type.

  5. Ha új böngészőlapon szeretné megnyitni a virtuálisgép-munkamenetet, hagyja bejelölve a Megnyitás új böngésző lapon lehetőséget.

  6. Válassza Csatlakozás a virtuális géphez való csatlakozáshoz.

  7. Győződjön meg arról, hogy a virtuális géphez való kapcsolat közvetlenül az Azure Portalon (HTML5-en keresztül) nyílik meg a 443-es port és a Bastion szolgáltatás használatával.

    Screenshot of a computer desktop with an open connection over port 443.

    Feljegyzés

    Amikor csatlakozik, a virtuális gép asztala másképp fog kinézni, mint a példa képernyőképe.

Ha billentyűparancsokat használ, miközben virtuális géphez csatlakozik, előfordulhat, hogy a helyi számítógépen lévő billentyűparancsokkal azonos működést eredményez. Ha például Windows-ügyfélről csatlakozik Egy Windows rendszerű virtuális géphez, a Ctrl+Alt+End billentyűkombináció a helyi számítógépen a Ctrl+Alt+Delete billentyűparancsa. Ha ezt Egy Windows rendszerű virtuális géphez való csatlakozás közben mac gépről szeretné elvégezni, a billentyűparancs az Fn+Ctrl+Alt+Backspace billentyűkombináció.

Hangkimenet engedélyezése

Engedélyezheti a távoli hangkimenetet a virtuális gép számára. Egyes virtuális gépek automatikusan engedélyezik ezt a beállítást, míg mások megkövetelik a hangbeállítások manuális engedélyezését. A beállítások a virtuális gépen módosulnak. A Bastion-telepítéshez nincs szükség speciális konfigurációs beállításokra a távoli hangkimenet engedélyezéséhez.

Feljegyzés

A hangkimenet sávszélességet használ az internetkapcsolaton.

Távoli hangkimenet engedélyezése Windows rendszerű virtuális gépen:

  1. Miután csatlakozott a virtuális géphez, megjelenik egy hanggomb az eszköztár jobb alsó sarkában. Kattintson a jobb gombbal a hang gombra, majd válassza a Hangok lehetőséget.
  2. Egy előugró üzenet megkérdezi, hogy engedélyezni szeretné-e a Windows audioszolgáltatást. Válassza az Igen lehetőséget. A hangbeállítások között további hangbeállításokat is konfigurálhat.
  3. A hangkimenet ellenőrzéséhez mutasson az eszköztár hang gombjára.

Virtuális gép nyilvános IP-címének eltávolítása

Az Azure Bastion nem használja a nyilvános IP-címet az ügyfél virtuális gépéhez való csatlakozáshoz. Ha nincs szüksége a virtuális gép nyilvános IP-címére, leválaszthatja a nyilvános IP-címet. Lásd: Nyilvános IP-cím társítása Azure-beli virtuális gépről.

Következő lépések