Zelfstudie: Azure Bastion implementeren met behulp van opgegeven instellingen

  • Artikel

In deze zelfstudie leert u Azure Bastion vanuit Azure Portal te implementeren met behulp van uw eigen handmatige instellingen en een SKU (productlaag) die u opgeeft. De SKU bepaalt de functies en verbindingen die beschikbaar zijn voor uw implementatie. Zie Configuratie-instellingen - SKU's voor meer informatie over SKU's.

Wanneer u in Azure Portal de optie Handmatig configureren gebruikt om Bastion te implementeren, kunt u configuratiewaarden opgeven, zoals het aantal exemplaren en SKU's op het moment van de implementatie. Nadat Bastion is geïmplementeerd, kunt u SSH of RDP gebruiken om verbinding te maken met virtuele machines (VM's) in het virtuele netwerk via Bastion met behulp van de privé-IP-adressen van de VM's. Wanneer u verbinding maakt met een virtuele machine, hebt u geen openbaar IP-adres, clientsoftware, een agent of een speciale configuratie nodig.

In het volgende diagram ziet u de architectuur van Bastion.

Diagram met de Azure Bastion-architectuur.

In deze zelfstudie implementeert u Bastion met behulp van de Standard-SKU. U past het schalen van de host (aantal exemplaren) aan, die door de Standard-SKU wordt ondersteund. Als u een lagere SKU gebruikt voor de implementatie, kunt u het schalen van de host niet aanpassen. U kunt ook een beschikbaarheidszone selecteren, afhankelijk van de regio waarnaar u wilt implementeren.

Nadat de implementatie is voltooid, maakt u verbinding met uw virtuele machine via een privé-IP-adres. Als uw VIRTUELE machine een openbaar IP-adres heeft dat u verder niet nodig hebt, kunt u deze verwijderen.

In deze zelfstudie leert u het volgende:

  • Implementeer Bastion in uw virtuele netwerk.
  • Verbinding maken naar een virtuele machine.
  • Verwijder het openbare IP-adres van een virtuele machine.

Vereisten

U hebt deze resources nodig om deze zelfstudie te voltooien:

  • Een Azure-abonnement. Als u nog geen abonnement hebt, maakt u een gratis account voordat u begint.

  • Een virtueel netwerk waar u Bastion gaat implementeren.

  • Een virtuele machine in het virtuele netwerk. Deze VM maakt geen deel uit van de Bastion-configuratie en wordt geen bastionhost. U maakt later in deze zelfstudie verbinding met deze VIRTUELE machine via Bastion. Als u geen VIRTUELE machine hebt, maakt u er een met behulp van quickstart: Een Virtuele Windows-machine of quickstart maken: Een Virtuele Linux-machine maken.

  • Vereiste VM-rollen:

    • De rol van Lezer op de virtuele machine
    • Lezerrol op de netwerkadapter (NIC) met het privé-IP-adres van de virtuele machine

  • Vereiste binnenkomende poorten:

    • Voor Virtuele Windows-machines: RDP (3389)
    • Voor Virtuele Linux-machines: SSH (22)

Notitie

Het gebruik van Azure Bastion met Azure Privé-DNS zones wordt ondersteund. Er zijn echter beperkingen. Zie de veelgestelde vragen over Azure Bastion voor meer informatie.

Voorbeeldwaarden

U kunt de volgende voorbeeldwaarden gebruiken bij het maken van deze configuratie, maar u kunt ze ook vervangen door uw eigen waarden.

Basiswaarden voor virtueel netwerk en VM

Naam Weergegeven als
Virtuele machine TestVM
Resourcegroep TestRG1
Regio VS - oost
Virtueel netwerk VNet1
Adresruimte 10.1.0.0/16
Subnetten FrontEnd: 10.1.0.0/24

Bastion-waarden

Naam Weergegeven als
Naam VNet1-bastion
+ Subnetnaam AzureBastionSubnet
AzureBastionSubnet-adressen Een subnet in de adresruimte van uw virtuele netwerk met een subnetmasker van /26 of groter; bijvoorbeeld 10.1.1.0/26
Beschikbaarheidszone Selecteer desgewenst waarde(s) in de vervolgkeuzelijst.
Laag/SKU Standaard
Aantal exemplaren (hostschalen) 3 of hoger
Openbaar IP-adres Nieuwe maken
Naam openbaar IP-adres VNet1-ip
Openbare IP-adres-SKU Standaard
Toewijzing Static

Bastion implementeren

Deze sectie helpt u bij het implementeren van Bastion in uw virtuele netwerk. Nadat Bastion is geïmplementeerd, kunt u veilig verbinding maken met elke virtuele machine in het virtuele netwerk met behulp van het privé-IP-adres.

Belangrijk

De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar uw virtuele netwerk.

  3. Selecteer Bastion op de pagina voor uw virtuele netwerk in het linkerdeelvenster.

  4. Vouw in het deelvenster Bastion de opties voor toegewezen implementatie uit.

  5. Selecteer Handmatig configureren. Met deze optie kunt u specifieke aanvullende instellingen (zoals de SKU) configureren wanneer u Bastion implementeert in uw virtuele netwerk.

    Schermopname van toegewezen implementatieopties voor Azure Bastion en de knop voor handmatige configuratie.

  6. Configureer in het deelvenster Een Bastion maken de instellingen voor uw bastionhost. Projectdetails worden ingevuld op basis van de waarden van uw virtuele netwerk. Configureer deze waarden onder Instantiedetails:

    • Naam: de naam die u wilt gebruiken voor uw Bastion-resource.

    • Regio: De openbare Azure-regio waarin de resource wordt gemaakt. Kies de regio waarin uw virtuele netwerk zich bevindt.

    • Beschikbaarheidszone: selecteer de zone(s) in de vervolgkeuzelijst, indien gewenst. Alleen bepaalde regio's worden ondersteund. Zie het artikel Wat zijn beschikbaarheidszones? voor meer informatie.

    • Laag: de SKU. Voor deze zelfstudie selecteert u Standard. Zie Configuratie-instellingen - SKU voor informatie over de functies die beschikbaar zijn voor elke SKU.

    • Aantal exemplaren: de instelling voor het schalen van de host, die beschikbaar is voor de Standard-SKU. U configureert het schalen van de host in schaaleenheidsverhogingen. Gebruik de schuifregelaar of voer een getal in om het gewenste aantal exemplaren te configureren. Zie Instanties en hostschalen en Prijzen voor Azure Bastion voor meer informatie.

    Schermopname van de details van het Azure Bastion-exemplaar.

  7. Configureer de instellingen voor virtuele netwerken . Selecteer uw virtuele netwerk in de vervolgkeuzelijst. Als uw virtuele netwerk zich niet in de vervolgkeuzelijst bevindt, controleert u of u in de vorige stap de juiste regiowaarde hebt geselecteerd.

  8. Als u AzureBastionSubnet wilt configureren, selecteert u Subnetconfiguratie beheren.

    Schermopname van de sectie voor het configureren van virtuele netwerken.

  9. Selecteer +Subnet in het deelvenster Subnetten.

  10. Maak in het deelvenster Subnet toevoegen het subnet AzureBastionSubnet met behulp van de volgende waarden. Laat de andere waarden standaard staan.

    • De naam van het subnet moet AzureBastionSubnet zijn.
    • Het subnet moet /26 of groter zijn (bijvoorbeeld /26, /25 of /24) voor functies die beschikbaar zijn voor de Standard-SKU.

    Selecteer Opslaan onderaan het deelvenster om uw waarden op te slaan.

  11. Selecteer bovenaan het deelvenster Subnetten een Bastion maken om terug te keren naar het deelvenster Bastion-configuratie.

    Schermopname van het deelvenster met Azure Bastion-subnetten.

  12. In de sectie Openbaar IP-adres configureert u het openbare IP-adres van de bastionhostresource waarop RDP/SSH wordt geopend (via poort 443). Het openbare IP-adres moet zich in dezelfde regio bevinden als de Bastion-resource die u maakt.

    Maak een nieuw IP-adres. U kunt de standaardsuggesties voor naamgeving achterlaten.

  13. Wanneer u klaar bent met het opgeven van de instellingen, selecteert u Controleren en maken. Met deze stap worden de waarden gevalideerd.

  14. Nadat de waarden zijn gevalideerd, kunt u Bastion implementeren. Selecteer Maken.

    Er wordt een bericht weergegeven dat uw implementatie wordt verwerkt. De status wordt weergegeven op deze pagina wanneer de resources worden gemaakt. Het duurt ongeveer 10 minuten voordat de Bastion-resource is gemaakt en geïmplementeerd.

Verbinding maken met een virtuele machine

U kunt een van de volgende gedetailleerde artikelen gebruiken om verbinding te maken met een virtuele machine. Voor sommige verbindingstypen is de Bastion Standard-SKU vereist.

U kunt ook deze basisverbindingsstappen gebruiken om verbinding te maken met uw VIRTUELE machine:

  1. Ga in Azure Portal naar de virtuele machine waarmee u verbinding wilt maken.

  2. Selecteer bovenaan het deelvenster Verbinding maken> Bastion om naar het Bastion-deelvenster te gaan. U kunt ook naar het deelvenster Bastion gaan met behulp van het linkermenu.

  3. De beschikbare opties in het Bastion-deelvenster zijn afhankelijk van de Bastion-SKU. Als u de Basic-SKU gebruikt, maakt u verbinding met een Windows-computer met behulp van RDP en poort 3389. Ook voor de Basic-SKU maakt u verbinding met een Linux-computer met behulp van SSH en poort 22. U hebt geen opties om het poortnummer of het protocol te wijzigen. U kunt echter de toetsenbordtaal voor RDP wijzigen door Verbinding maken ion-Instellingen uit te vouwen.

    Schermopname van azure Bastion-verbindingsinstellingen.

    Als u de Standard-SKU gebruikt, hebt u meer verbindingsprotocol- en poortopties beschikbaar. Vouw Verbinding maken ion Instellingen uit om de opties weer te geven. Normaal gesproken maakt u verbinding met een Windows-computer met behulp van RDP en poort 3389, tenzij u verschillende instellingen voor uw VIRTUELE machine configureert. U maakt verbinding met een Linux-computer met behulp van SSH en poort 22.

    Schermopname van uitgebreide verbindingsinstellingen.

  4. Voor verificatietype selecteert u in de vervolgkeuzelijst. Het protocol bepaalt de beschikbare verificatietypen. Voltooi de vereiste verificatiewaarden.

    Schermopname van de vervolgkeuzelijst voor verificatietype.

  5. Als u de VM-sessie op een nieuw browsertabblad wilt openen, laat u Openen in nieuw browsertabblad geselecteerd.

  6. Selecteer Verbinding maken om verbinding te maken met de virtuele machine.

  7. Controleer of de verbinding met de virtuele machine rechtstreeks in Azure Portal (via HTML5) wordt geopend met behulp van poort 443 en de Bastion-service.

    Schermopname van een computercomputer met een geopende verbinding via poort 443.

    Notitie

    Wanneer u verbinding maakt, ziet het bureaublad van de VIRTUELE machine er anders uit dan in de voorbeeldschermafbeelding.

Als u sneltoetsen gebruikt terwijl u bent verbonden met een virtuele machine, leidt dit mogelijk niet tot hetzelfde gedrag als sneltoetsen op een lokale computer. Als u bijvoorbeeld vanaf een Windows-client verbinding hebt met een Virtuele Windows-machine, is Ctrl+Alt+End de sneltoets voor Ctrl+Alt+Delete op een lokale computer. Als u dit wilt doen vanaf een Mac terwijl u bent verbonden met een Virtuele Windows-machine, is de sneltoets Fn+Ctrl+Alt+Backspace.

Audio-uitvoer inschakelen

U kunt externe audio-uitvoer voor uw virtuele machine inschakelen. Sommige VM's schakelen deze instelling automatisch in, terwijl andere vereisen dat u audio-instellingen handmatig inschakelt. De instellingen worden op de VIRTUELE machine zelf gewijzigd. Uw Bastion-implementatie heeft geen speciale configuratie-instellingen nodig om externe audio-uitvoer in te schakelen.

Notitie

Audio-uitvoer maakt gebruik van bandbreedte op uw internetverbinding.

Externe audio-uitvoer inschakelen op een Windows-VM:

  1. Nadat u verbinding hebt gemaakt met de virtuele machine, wordt rechtsonder op de werkbalk een audioknop weergegeven. Klik met de rechtermuisknop op de audioknop en selecteer Geluiden.
  2. In een pop-upbericht wordt gevraagd of u de Windows Audio-service wilt inschakelen. Selecteer Ja. U kunt meer audioopties configureren in geluidsvoorkeuren.
  3. Beweeg de muisaanwijzer over de audioknop op de werkbalk om de geluidsuitvoer te controleren.

Het openbare IP-adres van een virtuele machine verwijderen

Wanneer u verbinding maakt met een virtuele machine met behulp van Azure Bastion, hebt u geen openbaar IP-adres voor uw VIRTUELE machine nodig. Als u het openbare IP-adres voor iets anders niet gebruikt, kunt u dit loskoppelen van uw VM:

  1. Ga naar uw virtuele machine en selecteer Netwerken. Klik op openbaar IP-adres van NIC.

    Schermopname van het deelvenster Netwerken voor een virtueel netwerk.

  2. In het deelvenster Openbaar IP-adres wordt de VM-netwerkinterface weergegeven onder Gekoppeld aan. Selecteer Ontkoppelen boven aan het deelvenster.

    Schermopname van details voor het openbare IP-adres van een virtuele machine.

  3. Selecteer Ja als u het IP-adres wilt loskoppelen van de VM-netwerkinterface. Nadat u het openbare IP-adres hebt losgekoppeld van de netwerkinterface, controleert u of het niet meer wordt vermeld onder Gekoppeld aan.

  4. Nadat u het IP-adres hebt losgekoppeld, kunt u de openbare IP-adresresource verwijderen. Selecteer Verwijderen in het deelvenster Openbaar IP-adres voor de virtuele machine.

    Schermopname van de knop voor het verwijderen van een openbare IP-adresresource.

  5. Selecteer Ja als u het openbare IP-adres wilt verwijderen.

Resources opschonen

Wanneer u klaar bent met het gebruik van deze toepassing, verwijdert u uw resources:

  1. Typ de naam van uw resourcegroep in het zoekvak bovenaan de portal. Wanneer uw resourcegroep wordt weergegeven in de zoekresultaten, selecteert u deze.
  2. Selecteer Resourcegroep verwijderen.
  3. Voer de naam van uw resourcegroep in voor TYP DE NAAM VAN DE RESOURCEGROEP en selecteer Vervolgens Verwijderen.

Volgende stappen

In deze zelfstudie hebt u Bastion geïmplementeerd in een virtueel netwerk en verbonden met een virtuele machine. Vervolgens hebt u het openbare IP-adres van de VIRTUELE machine verwijderd. Lees vervolgens meer over en configureer aanvullende Bastion-functies.

Configuratie-instellingen voor Azure Bastion

VM-verbindingen en -functies

Azure DDos-beveiliging configureren voor uw virtuele netwerk