Distribuire Bastion con Azure PowerShell

  • Articolo

Questo articolo illustra come distribuire Azure Bastion con lo SKU Standard usando PowerShell. Azure Bastion è un servizio PaaS gestito automaticamente, non un bastion host installato nella macchina virtuale e gestito manualmente. Una distribuzione di Azure Bastion è per rete virtuale, non per sottoscrizione/account o macchina virtuale. Per altre informazioni su Azure Bastion, vedere Che cos'è Azure Bastion?

Dopo aver distribuito Bastion nella rete virtuale, è possibile connettersi alle macchine virtuali tramite l'indirizzo IP privato. Questa esperienza RDP/SSH facile è disponibile per tutte le macchine virtuali nella stessa rete virtuale. Se la macchina virtuale ha un indirizzo IP pubblico che non è necessario per altre operazioni, è possibile rimuoverlo.

Diagram showing Azure Bastion architecture.

In questo articolo si crea una rete virtuale (se non ne è già disponibile una), si distribuisce Azure Bastion usando PowerShell e ci si connette a una macchina virtuale. È anche possibile distribuire Bastion usando gli altri metodi seguenti:

Nota

L'uso di Azure Bastion con le zone di azure DNS privato è supportato. Esistono tuttavia restrizioni. Per altre informazioni, vedere Domande frequenti su Azure Bastion.

Prima di iniziare

Verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

PowerShell

Questo articolo usa i cmdlet di PowerShell. Per eseguire i cmdlet, è possibile usare Azure Cloud Shell. Cloud Shell è una shell interattiva gratuita che è possibile usare per eseguire i passaggi descritti in questo articolo. Include strumenti comuni di Azure preinstallati e configurati per l'uso con l'account.

Per aprire Cloud Shell, selezionare Apri CloudShell nell'angolo superiore destro di un blocco di codice. È anche possibile aprire Cloud Shell in una scheda del browser separata passando a https://shell.azure.com/powershell. Selezionare Copia per copiare i blocchi di codice, incollarli in Cloud Shell e selezionare la chiave Invio per eseguirli.

È anche possibile installare ed eseguire i cmdlet di Azure PowerShell in locale nel computer. I cmdlet di PowerShell vengono aggiornati di frequente. Se non è stata installata la versione più recente, i valori specificati nelle istruzioni potrebbero non riuscire. Per trovare le versioni di Azure PowerShell installate nel computer, usare il Get-Module -ListAvailable Az cmdlet . Per installare o aggiornare, vedere Installare il modulo Azure PowerShell.

Valori di esempio

Quando si crea questa configurazione, è possibile usare i valori di esempio seguenti oppure è possibile sostituirli con altri personalizzati.

** Valori di vm e rete virtuale di esempio:**

Nome valore
Macchina virtuale TestVM
Gruppo di risorse TestRG1
Area Stati Uniti orientali
Rete virtuale Rete virtuale 1
Spazio indirizzi 10.1.0.0/16
Subnet FrontEnd: 10.1.0.0/24

Valori di Azure Bastion:

Nome valore
Nome VNet1-bastion
Nome della subnet FrontEnd
Nome della subnet AzureBastionSubnet
Indirizzi della subnet AzureBastionSubnet Una subnet all'interno dello spazio indirizzi della rete virtuale con una subnet mask /26 o superiore.
Ad esempio, 10.1.1.0/26.
Livello/SKU Standard
Indirizzo IP pubblico Crea nuovo
Nome indirizzo IP pubblico VNet1-ip
SKU indirizzo IP pubblico Standard
Assegnazione Statico

Distribuire Bastion

Questa sezione illustra come creare una rete virtuale, le subnet e distribuire Azure Bastion con Azure PowerShell.

Importante

I prezzi orari iniziano dal momento in cui Bastion viene distribuito, indipendentemente dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU.

Se si distribuisce Bastion come parte di un'esercitazione o un test, è consigliabile eliminare questa risorsa al termine dell'uso.

  1. Creare un gruppo di risorse, una rete virtuale e una subnet front-end a cui si distribuiranno le macchine virtuali a cui ci si connetterà tramite Bastion. Se si esegue PowerShell in locale, aprire la console di PowerShell con privilegi elevati e connettersi ad Azure usando il Connect-AzAccount comando .

    New-AzResourceGroup -Name TestRG1 -Location EastUS ` 
$frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd `
-AddressPrefix "10.1.0.0/24" ` 
$virtualNetwork = New-AzVirtualNetwork `
-Name TestVNet1 -ResourceGroupName TestRG1 `
-Location EastUS -AddressPrefix "10.1.0.0/16" `
-Subnet $frontendSubnet ` 
$virtualNetwork | Set-AzVirtualNetwork

  2. Configurare e impostare la subnet di Azure Bastion per la rete virtuale. Questa subnet è riservata esclusivamente alle risorse di Azure Bastion. È necessario creare questa subnet usando il valore del nome AzureBastionSubnet. Questo valore indica ad Azure la subnet in cui devono essere distribuite le risorse Bastion. L'esempio nella sezione seguente consente di aggiungere una subnet di Azure Bastion a una rete virtuale esistente.

    Impostare la variabile .

    $vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"

    Aggiungere la subnet.

    Add-AzVirtualNetworkSubnetConfig `
-Name "AzureBastionSubnet" -VirtualNetwork $vnet `
-AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork

  3. Creare un indirizzo IP pubblico per Azure Bastion. L'indirizzo IP pubblico è l'indirizzo IP pubblico della risorsa Bastion a cui si accederà RDP/SSH (sulla porta 443). L'indirizzo IP pubblico deve trovarsi nella stessa area della risorsa Bastion che si sta creando.

    $publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" `
-name "VNet1-ip" -location "EastUS" `
-AllocationMethod Static -Sku Standard

  4. Creare una nuova risorsa Azure Bastion in AzureBastionSubnet usando il comando New-AzBastion . Nell'esempio seguente viene usato lo SKU Basic. Tuttavia, è anche possibile distribuire Bastion usando lo SKU Standard modificando il valore -Sku in "Standard". Lo SKU Standard consente di configurare più funzionalità Bastion e connettersi alle macchine virtuali usando più tipi di connessione. È anche possibile distribuire Bastion automaticamente usando lo SKU developer. Per altre informazioni, vedere SKU bastion.

    New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" `
-PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" `
-VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" `
-Sku "Basic"

  5. La distribuzione delle risorse Bastion richiede circa 10 minuti. È possibile creare una macchina virtuale nella sezione successiva mentre Bastion viene distribuito nella rete virtuale.

Creazione di una macchina virtuale

È possibile creare una macchina virtuale usando l'argomento di avvio rapido: Creare una macchina virtuale usando PowerShell o Guida introduttiva: Creare una macchina virtuale usando gli articoli del portale . Assicurarsi di distribuire la macchina virtuale nella stessa rete virtuale in cui è stato distribuito Bastion. La macchina virtuale creata in questa sezione non fa parte della configurazione di Bastion e non diventa un bastion host. La connessione a questa macchina virtuale verrà eseguita più avanti in questa esercitazione tramite Bastion.

I ruoli necessari seguenti per le risorse.

  • Ruoli VM richiesti:

    • Ruolo Lettore nella macchina virtuale.
    • Ruolo Lettore nella scheda di interfaccia di rete con l'indirizzo IP privato della macchina virtuale.

  • Porte in ingresso necessarie:

    • Per le macchine virtuali Windows - RDP (3389)
    • Per le macchine virtuali Linux - SSH (22)

Connettersi a una macchina virtuale

È possibile usare i passaggi di Connessione ion nella sezione seguente per connettersi alla macchina virtuale. È anche possibile usare uno degli articoli seguenti per connettersi a una macchina virtuale. Alcuni tipi di connessione richiedono lo SKU Bastion Standard.

Connessione passaggi

  1. Nella portale di Azure passare alla macchina virtuale a cui connettersi.

  2. Nella parte superiore del riquadro selezionare Connessione> Bastion per passare al riquadro Bastion. È anche possibile passare al riquadro Bastion usando il menu a sinistra.

  3. Le opzioni disponibili nel riquadro Bastion dipendono dallo SKU Bastion . Se si usa lo SKU Basic, ci si connette a un computer Windows usando RDP e la porta 3389. Anche per lo SKU Basic, ci si connette a un computer Linux usando SSH e la porta 22. Non sono disponibili opzioni per modificare il numero di porta o il protocollo. Tuttavia, è possibile modificare la lingua della tastiera per RDP espandendo Connessione Impostazioni.

    Screenshot of Azure Bastion connection settings.

    Se si usa lo SKU Standard, sono disponibili più opzioni di protocollo di connessione e porta. Espandere Connessione Impostazioni per visualizzare le opzioni. In genere, a meno che non si configurino impostazioni diverse per la macchina virtuale, ci si connette a un computer Windows usando RDP e la porta 3389. Connettersi a un computer Linux usando SSH e la porta 22.

    Screenshot of expanded connection settings.

  4. Per Tipo di autenticazione selezionare dall'elenco a discesa. Il protocollo determina i tipi di autenticazione disponibili. Completare i valori di autenticazione necessari.

    Screenshot that shows the dropdown list box for authentication type.

  5. Per aprire la sessione di macchina virtuale in una nuova scheda del browser, lasciare selezionata l'opzione Apri nella nuova scheda del browser.

  6. Selezionare Connessione per connettersi alla macchina virtuale.

  7. Verificare che la connessione alla macchina virtuale si apra direttamente nel portale di Azure (su HTML5) usando la porta 443 e il servizio Bastion.

    Screenshot of a computer desktop with an open connection over port 443.

    Nota

    Quando ci si connette, il desktop della macchina virtuale sarà diverso dallo screenshot di esempio.

L'uso dei tasti di scelta rapida mentre si è connessi a una macchina virtuale potrebbe non comportare lo stesso comportamento dei tasti di scelta rapida in un computer locale. Ad esempio, quando si è connessi a una macchina virtuale Windows da un client Windows, CTRL+ALT+FINE è il tasto di scelta rapida per CTRL+ALT+CANC in un computer locale. Per eseguire questa operazione da un Mac mentre si è connessi a una macchina virtuale Windows, la scelta rapida da tastiera è Fn+CTRL+ALT+Backspace.

Per abilitare l'output audio

È possibile abilitare l'output audio remoto per la macchina virtuale. Alcune macchine virtuali abilitano automaticamente questa impostazione, mentre altre richiedono l'abilitazione manuale delle impostazioni audio. Le impostazioni vengono modificate nella macchina virtuale stessa. La distribuzione di Bastion non richiede impostazioni di configurazione speciali per abilitare l'output audio remoto.

Nota

L'output audio usa la larghezza di banda nella connessione Internet.

Per abilitare l'output audio remoto in una macchina virtuale Windows:

  1. Dopo la connessione alla macchina virtuale, viene visualizzato un pulsante audio nell'angolo in basso a destra della barra degli strumenti. Fare clic con il pulsante destro del mouse sul pulsante audio e quindi scegliere Suoni.
  2. Un messaggio popup chiede se si vuole abilitare il servizio audio di Windows. Selezionare . È possibile configurare più opzioni audio nelle preferenze audio.
  3. Per verificare l'output audio, passare il puntatore del mouse sul pulsante audio sulla barra degli strumenti.

Rimuovere l'indirizzo IP pubblico della macchina virtuale

Azure Bastion non usa l'indirizzo IP pubblico per connettersi alla macchina virtuale client. Se non è necessario l'indirizzo IP pubblico per la macchina virtuale, è possibile annullare l'associazione dell'indirizzo IP pubblico. Vedere Annullare l'dissociazione di un indirizzo IP pubblico da una macchina virtuale di Azure.

Passaggi successivi