Distribuire Bastion con l'interfaccia della riga di comando di Azure

Questo articolo illustra come distribuire Azure Bastion usando l'interfaccia della riga di comando. Azure Bastion è un servizio PaaS gestito automaticamente, non un bastion host installato nella macchina virtuale e gestito manualmente. Una distribuzione di Azure Bastion è per rete virtuale, non per sottoscrizione/account o macchina virtuale. Per altre informazioni su Azure Bastion, vedere Che cos'è Azure Bastion?

Dopo aver distribuito Bastion nella rete virtuale, è possibile connettersi alle macchine virtuali tramite l'indirizzo IP privato. Questa esperienza RDP/SSH facile è disponibile per tutte le macchine virtuali nella stessa rete virtuale. Se la macchina virtuale ha un indirizzo IP pubblico che non è necessario per altre operazioni, è possibile rimuoverlo.

In questo articolo si crea una rete virtuale (se non ne è già disponibile una), si distribuisce Azure Bastion usando l'interfaccia della riga di comando e si connette a una macchina virtuale. È anche possibile distribuire Bastion usando gli altri metodi seguenti:

• Azure portal
• Azure PowerShell
• Guida introduttiva: Distribuire con le impostazioni predefinite

Nota

L'uso di Azure Bastion con le zone di azure DNS privato è supportato. Esistono tuttavia restrizioni. Per altre informazioni, vedere Domande frequenti su Azure Bastion.

Prima di iniziare

Sottoscrizione di Azure

Verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

Interfaccia della riga di comando di Azure

Questo articolo usa l'interfaccia della riga di comando di Azure. Per eseguire i comandi, è possibile usare Azure Cloud Shell. Azure Cloud Shell è una shell interattiva gratuita che può essere usata per eseguire la procedura di questo articolo. Include strumenti comuni di Azure preinstallati e configurati per l'uso con l'account.

Per aprire Cloud Shell, basta selezionare Prova nell'angolo superiore destro di un blocco di codice. È anche possibile avviare Cloud Shell in una scheda separata del browser passando a https://shell.azure.com e attivando o disattivando l'elenco a discesa nell'angolo sinistro per riflettere Bash o PowerShell. Selezionare Copia per copiare i blocchi di codice, incollarli in Cloud Shell e premere INVIO per eseguirli.

Distribuire Bastion

Questa sezione illustra come distribuire Azure Bastion usando l'interfaccia della riga di comando di Azure.

Importante

I prezzi orari iniziano dal momento in cui Bastion viene distribuito, indipendentemente dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU.

Se si distribuisce Bastion come parte di un'esercitazione o un test, è consigliabile eliminare questa risorsa al termine dell'uso.

1. Se non si ha già una rete virtuale, creare un gruppo di risorse e una rete virtuale usando az group create e az network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Usare az network vnet subnet create per creare la subnet in cui verrà distribuito Bastion. La subnet creata deve essere denominata AzureBastionSubnet. Questa subnet è riservata esclusivamente alle risorse di Azure Bastion. Se non si ha una subnet con il valore di denominazione AzureBastionSubnet, Bastion non verrà distribuito.

   • La dimensione più piccola di AzureBastionSubnet che è possibile creare è /26. È consigliabile creare una dimensione /26 o superiore per supportare il ridimensionamento dell'host.
     • Per altre informazioni sul ridimensionamento, vedere Impostazioni di configurazione - Ridimensionamento host.
     • Per altre informazioni sulle impostazioni, vedere Impostazioni di configurazione - AzureBastionSubnet.
   • Creare AzureBastionSubnet senza tabelle di route o deleghe.
   • Se si usano gruppi di sicurezza di rete in AzureBastionSubnet, vedere l'articolo Usare gruppi di sicurezza di rete.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Creare un indirizzo IP pubblico per Azure Bastion. L'indirizzo IP pubblico è l'indirizzo IP pubblico alla risorsa Bastion a cui si accederà RDP/SSH (sulla porta 443). L'indirizzo IP pubblico deve trovarsi nella stessa area della risorsa Bastion che si sta creando. Per questo motivo, prestare particolare attenzione al --location valore specificato.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Usare az network bastion create per creare una nuova risorsa Azure Bastion per la rete virtuale. La creazione e la distribuzione della risorsa Bastion richiedono circa 10 minuti.

   L'esempio seguente distribuisce Bastion usando il livello SKU Basic . Lo SKU determina le funzionalità supportate dalla distribuzione bastion. È anche possibile eseguire la distribuzione usando lo SKU Standard . Se non si specifica uno SKU nel comando, per impostazione predefinita lo SKU è Standard. Per altre informazioni, vedere SKU bastion.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Connettersi a una macchina virtuale

Se non si hanno già macchine virtuali nella rete virtuale, è possibile creare una macchina virtuale usando Avvio rapido: Creare una macchina virtuale Windows o Avvio rapido: Creare una macchina virtuale Linux

Per connettersi a una macchina virtuale, è possibile usare uno degli articoli seguenti o i passaggi descritti nella sezione seguente. Alcuni tipi di connessione richiedono lo SKU Bastion Standard.

• Connessione a una macchina virtuale Windows
  • RDP
  • SSH
• Connessione a una macchina virtuale Linux
  • SSH
• Connessione a un set di scalabilità
• Connessione tramite indirizzo IP
• Connessione da un client nativo
  • Client Windows
  • Client Linux/SSH

Connessione tramite il portale

I passaggi seguenti illustrano un tipo di connessione usando il portale di Azure.

1. Nella portale di Azure passare alla macchina virtuale a cui connettersi.

2. Nella parte superiore del riquadro selezionare Connessione> Bastion per passare al riquadro Bastion. È anche possibile passare al riquadro Bastion usando il menu a sinistra.

3. Le opzioni disponibili nel riquadro Bastion dipendono dallo SKU Bastion . Se si usa lo SKU Basic, ci si connette a un computer Windows usando RDP e la porta 3389. Anche per lo SKU Basic, ci si connette a un computer Linux usando SSH e la porta 22. Non sono disponibili opzioni per modificare il numero di porta o il protocollo. Tuttavia, è possibile modificare la lingua della tastiera per RDP espandendo Connessione Impostazioni.

   

   Se si usa lo SKU Standard, sono disponibili più opzioni di protocollo di connessione e porta. Espandere Connessione Impostazioni per visualizzare le opzioni. In genere, a meno che non si configurino impostazioni diverse per la macchina virtuale, ci si connette a un computer Windows usando RDP e la porta 3389. Connettersi a un computer Linux usando SSH e la porta 22.

   

4. Per Tipo di autenticazione selezionare dall'elenco a discesa. Il protocollo determina i tipi di autenticazione disponibili. Completare i valori di autenticazione necessari.

   

5. Per aprire la sessione di macchina virtuale in una nuova scheda del browser, lasciare selezionata l'opzione Apri nella nuova scheda del browser.

6. Selezionare Connessione per connettersi alla macchina virtuale.

7. Verificare che la connessione alla macchina virtuale si apra direttamente nel portale di Azure (su HTML5) usando la porta 443 e il servizio Bastion.

   

   Nota

   Quando ci si connette, il desktop della macchina virtuale sarà diverso dallo screenshot di esempio.

L'uso dei tasti di scelta rapida mentre si è connessi a una macchina virtuale potrebbe non comportare lo stesso comportamento dei tasti di scelta rapida in un computer locale. Ad esempio, quando si è connessi a una macchina virtuale Windows da un client Windows, CTRL+ALT+FINE è il tasto di scelta rapida per CTRL+ALT+CANC in un computer locale. Per eseguire questa operazione da un Mac mentre si è connessi a una macchina virtuale Windows, la scelta rapida da tastiera è Fn+CTRL+ALT+Backspace.

Per abilitare l'output audio

È possibile abilitare l'output audio remoto per la macchina virtuale. Alcune macchine virtuali abilitano automaticamente questa impostazione, mentre altre richiedono l'abilitazione manuale delle impostazioni audio. Le impostazioni vengono modificate nella macchina virtuale stessa. La distribuzione di Bastion non richiede impostazioni di configurazione speciali per abilitare l'output audio remoto.

Nota

L'output audio usa la larghezza di banda nella connessione Internet.

Per abilitare l'output audio remoto in una macchina virtuale Windows:

1. Dopo la connessione alla macchina virtuale, viene visualizzato un pulsante audio nell'angolo in basso a destra della barra degli strumenti. Fare clic con il pulsante destro del mouse sul pulsante audio e quindi scegliere Suoni.
2. Un messaggio popup chiede se si vuole abilitare il servizio audio di Windows. Selezionare Sì. È possibile configurare più opzioni audio nelle preferenze audio.
3. Per verificare l'output audio, passare il puntatore del mouse sul pulsante audio sulla barra degli strumenti.

Rimuovere l'indirizzo IP pubblico della macchina virtuale

Azure Bastion non usa l'indirizzo IP pubblico per connettersi alla macchina virtuale client. Se non è necessario l'indirizzo IP pubblico per la macchina virtuale, è possibile annullare l'associazione dell'indirizzo IP pubblico. Vedere Annullare l'dissociazione di un indirizzo IP pubblico da una macchina virtuale di Azure.

Passaggi successivi

• Per usare i gruppi di sicurezza di rete con la subnet di Azure Bastion, vedere Usare i gruppi di sicurezza di rete.
• Per informazioni sul peering reti virtuali, vedere Peering reti virtuali e Azure Bastion.