Zelfstudie: Bastion configureren en verbinding maken met een Windows-VM

  • Artikel
  • 7 minuten om te lezen

In deze zelfstudie leert u hoe u via uw browser verbinding kunt maken met een virtuele machine met behulp van Azure Bastion en de Azure-portal. In deze zelfstudie implementeert Azure Portal Bastion in uw virtuele netwerk. Zodra de service is ingericht, is de RDP/SSH-ervaring beschikbaar voor alle virtuele machines in hetzelfde virtuele netwerk. Wanneer u Bastion gebruikt om verbinding te maken, heeft de VM geen openbaar IP-adres of speciale software nodig. Nadat Bastion is geïmplementeerd, kunt u het openbare IP-adres van uw VM verwijderen als dit niet nodig is voor iets anders. Vervolgens maakt u verbinding met een VM via het privé-IP-adres met behulp van Azure Portal. Zie Wat is Azure Bastion? voor meer informatie over Azure Bastion.

In deze zelfstudie leert u het volgende:

  • Maak een bastionhost voor uw VNet.
  • Verwijder het openbare IP-adres van een virtuele machine.
  • Verbinding maken naar een Windows virtuele machine.

Als u nog geen abonnement op Azure hebt, maakt u een gratis account aan voordat u begint.

Vereisten

  • Een virtueel netwerk.

  • Een virtuele Windows-machine in een virtueel netwerk. Als u nog geen VM hebt, maakt u er een met behulp van Quickstart: een VM maken.

  • De volgende vereiste rollen voor uw resources:

    • Vereiste VM-rollen:
      • De lezerrol op de virtuele machine.
      • De lezerrol op de NIC met het privé-IP-adres van de virtuele machine.

  • Poorten: Als u verbinding wilt maken met de Windows-VM, moeten de volgende poorten zijn geopend op uw Windows-VM:

    • Poorten voor inkomend verkeer: RDP (3389)

Belangrijk

Voor Azure Bastion resources die zijn geïmplementeerd op of na 2 november 2021, is de minimale grootte van AzureBastionSubnet /26 of groter (/25, /24, enzovoort). Alle Azure Bastion-resources die vóór deze datum zijn geïmplementeerd in subnetten met een grootte van /27, worden niet beïnvloed door deze wijziging en blijven werken, maar we raden u ten zeerste aan om de grootte van een bestaand AzureBastionSubnet te verhogen naar /26 voor het geval u ervoor kiest om in de toekomst te profiteren van hostschaalbaarheid.

Notitie

Het gebruik van Azure Bastion met Azure Privé-DNS Zones wordt op dit moment niet ondersteund. Voordat u begint, moet u ervoor zorgen dat het virtuele netwerk waar u uw Bastion-resource wilt implementeren, niet is gekoppeld aan een privé-DNS-zone.

Voorbeeldwaarden

U kunt de volgende voorbeeldwaarden gebruiken bij het maken van deze configuratie, maar u kunt ze ook vervangen door uw eigen waarden.

VNet- en VM-basiswaarden:

Naam Waarde
Virtuele machine TestVM
Resourcegroep TestRG1
Regio VS - oost
Virtueel netwerk VNet1
Adresruimte 10.1.0.0/16
Subnetten FrontEnd: 10.1.0.0/24

Azure Bastion-waarden:

Naam Waarde
Naam VNet1-bastion
+ Subnet-naam AzureBastionSubnet
AzureBastionSubnet-adressen Een subnet binnen uw VNet-adresruimte met een subnetmasker /26 of groter.
Bijvoorbeeld 10.1.1.0/26.
Laag/SKU Standard
Aantal exemplaren (host schalen) 3 of hoger
Openbaar IP-adres Nieuwe maken
Naam openbaar IP-adres VNet1-ip
Openbaar IP-adres SKU Standard
Toewijzing Statisch

Een Bastion-host maken

Deze sectie helpt u bij het maken van het Bastion-object in uw VNet. Dit is vereist om een beveiligde verbinding te maken met een VM in het VNet.

  1. Meld u aan bij de Azure-portal.

  2. Typ Bastion in de zoekopdracht.

  3. Klik onder Services op Bastions.

  4. Klik op de pagina Bastions op + Maken om de pagina Een bastion maken te openen.

  5. Configureer op de pagina Een bastion maken een nieuwe Bastion-resource.

    Schermopname van de pagina Een Bastion-portal maken.

Projectgegevens

  • Abonnement: het Azure-abonnement dat u wilt gebruiken.

  • Resourcegroep: De Azure-resourcegroep waarin de nieuwe Bastion-resource wordt gemaakt. Als u geen bestaande resourcegroep hebt, kunt u een nieuwe maken.

Exemplaardetails

  • Naam: De naam van de nieuwe Bastion-resource.

  • Regio: de openbare Azure-regio waarin de resource wordt gemaakt. Kies de regio waarin uw virtuele netwerk zich bevindt.

  • Tier: De laag wordt ook wel de SKU genoemd. Voor deze zelfstudie selecteren we de Standard-SKU in de vervolgkeuzekeuze. Als u de Standard-SKU selecteert, kunt u het aantal exemplaren configureren voor het schalen van de host. De Basic-SKU biedt geen ondersteuning voor het schalen van de host. Zie Configuratie-instellingen - SKU voor meer informatie.

  • Aantal exemplaren: Dit is de instelling voor het schalen van de host en geconfigureerd in schaaleenheidsverhogingen. Gebruik de schuifregelaar om het aantal exemplaren te configureren. Als u de basic-laag-SKU hebt opgegeven, kunt u deze instelling niet configureren. Zie Configuratie-instellingen - host schalen voor meer informatie. In deze zelfstudie kunt u het aantal instanties selecteren dat u wilt, waarbij u rekening houdt met eventuele prijsoverwegingen voor schaaleenheden.

Virtuele netwerken configureren

  • Virtueel netwerk: Het virtuele netwerk waarin de Bastion-resource wordt gemaakt. U kunt tijdens dit proces een nieuw virtueel netwerk maken in de portal of een bestaand virtueel netwerk gebruiken. Als u een bestaand virtueel netwerk gebruikt, zorg er dan voor dat het bestaande virtuele netwerk voldoende vrije adresruimte heeft om te voldoen aan de vereisten van het Bastion-subnet. Als uw virtuele netwerk niet in de vervolgkeuzelijst wordt weergegeven, controleer dan of u de juiste resourcegroep hebt geselecteerd.

  • Subnet: nadat u een virtueel netwerk hebt gemaakt of geselecteerd, wordt het subnetveld weergegeven op de pagina. Dit is het subnet waarin uw Bastion-exemplaren worden geïmplementeerd. De naam moet AzureBastionSubnet zijn. Zie de volgende stappen om het subnet toe te voegen.

Subnetconfiguratie beheren

In de meeste gevallen hebt u nog geen AzureBastionSubnet geconfigureerd. Het bastionsubnet configureren:

  1. Selecteer Subnetconfiguratie beheren. Hiermee gaat u naar de pagina Subnetten.

    Schermopname van Subnetconfiguratie beheren.

  2. Selecteer op de pagina Subnetten de optie +Subnet om de pagina Subnet toevoegen te openen.

  3. Maak een subnet aan de hand van de volgende richtlijnen:

    • Het subnet moet AzureBastionSubnet heten.
    • Het subnet moet ten minste /26 of groter zijn. Voor de Standard-SKU raden we /26 of hoger aan voor toekomstige extra exemplaren van hostschaalbaarheid.

    Schermopname van het subnet AzureBastionSubnet.

  4. U hoeft geen aanvullende velden in te vullen op deze pagina. Selecteer Opslaan onderaan de pagina om de instellingen op te slaan en sluit de pagina Subnet toevoegen.

  5. Selecteer bovenaan de pagina Subnetten de optie Een bastion maken om terug te keren naar de pagina Bastion-configuratie.

    Schermopname van Een bastion maken.

Openbaar IP-adres

Het openbare IP-adres van de Bastion-resource waarop RDP/SSH wordt gebruikt (via poort 443). Maak een nieuw openbaar IP-adres. Het openbare IP-adres moet zich in dezelfde regio bevinden als de Bastion-resource die u aan het maken bent. Dit IP-adres heeft niets te maken met een van de VM's die u wilt verbinden. Dit is het openbare IP-adres voor de Bastion-hostresource.

  • Openbare IP-adresnaam: De naam van de resource voor het openbare IP-adres. Voor deze zelfstudie kunt u de standaardwaarden laten staan.
  • Openbaar IP-adres SKU: Deze instelling wordt standaard vooraf ingevuld met Standaard. Azure Bastion gebruikt/ondersteunt alleen de standaard openbare IP-SKU.
  • Toewijzing: Deze instelling wordt standaard vooraf ingevuld met Statisch.

Controleren en maken

  1. Wanneer u klaar bent met het opgeven van de instellingen, selecteert u Controleren en maken. Hierdoor worden de waarden gevalideerd. Zodra de validatie is geslaagd, kunt u de Bastion-resource maken.
  2. Controleer de instellingen.
  3. Selecteer Maken onder aan de pagina.
  4. Er wordt een bericht weergegeven met de melding dat uw implementatie aan de gang is. De status wordt op deze pagina weergegeven terwijl de resources worden gemaakt. Het maken en implementeren van de Bastion-resource duurt ongeveer 5 minuten.

Openbaar IP-adres van VM verwijderen

Wanneer u verbinding maakt met een virtuele Azure Bastion, hebt u geen openbaar IP-adres voor uw VM nodig. Als u het openbare IP-adres voor iets anders niet gebruikt, kunt u het loskoppelen van uw VM. Als u een openbaar IP-adres wilt loskoppelen van uw VM, gebruikt u de volgende stappen:

  1. Navigeer naar uw virtuele machine en selecteer Netwerken. Selecteer het openbare IP-adres van de NIC om de pagina met het openbare IP-adres te openen.

    Schermopname van de netwerkpagina.

  2. Selecteer op de pagina Openbaar IP-adres voor de VM de optie Loskoppelen.

    Schermopname van het openbare IP-adres voor de VM.

  3. Selecteer Ja om het IP-adres te ontkoppelen van de netwerkinterface.

    Schermopname van Openbaar IP-adres loskoppelen.

  4. Nadat u het IP-adres hebt ontkoppeld, kunt u de resource voor het openbare IP-adres verwijderen. Als u de openbare IP-adresresource wilt verwijderen, gaat u naar de resourcegroep en zoekt u de IP-adresresource die u wilt verwijderen. Selecteer vervolgens Verwijderen om de resource te verwijderen.

    Schermopname van het verwijderen van de resource voor het openbare IP-adres.

Verbinding maken met een VM

  1. Ga in Azure Portalnaar de virtuele machine die u wilt verbinden. Selecteer op de pagina Overzicht de Verbinding maken selecteer vervolgens Bastion in de vervolgkeuzepagina.

    Schermopname van Verbinding maken.

  2. Nadat u Bastion in de vervolgkeuzelijst hebt geselecteerd, wordt er een zijbalk met drie tabbladen weergegeven: RDP, SSH en Bastion. Omdat Bastion is ingericht voor het virtuele netwerk, is het tabblad Bastion standaard actief. Selecteer Azure Bastion gebruiken.

    Schermopname van Bastion selecteren.

  3. Voer op de pagina Verbinding maken met behulp van Azure Bastion de gebruikersnaam en het wachtwoord in voor uw virtuele machine en selecteer vervolgens Verbinding maken.

    Schermopname van Verbinding maken knop.

  4. De RDP-verbinding met deze virtuele machine via Bastion wordt rechtstreeks geopend in de Azure Portal (via HTML5) met behulp van poort 443 en de Bastion-service.

    • Wanneer u verbinding maakt, kan het bureaublad van de VM er anders uitzien dan de voorbeeldschermafbeelding.
    • Het gebruik van sneltoetsen tijdens het verbinden met een VM leidt mogelijk niet tot hetzelfde gedrag als sneltoetsen op een lokale computer. Wanneer u bijvoorbeeld vanaf een Windows-client verbinding hebt met een Windows-VM, is CTRL+ALT+END de sneltoets voor CTRL+ALT+Delete op een lokale computer. Als u dit wilt doen vanaf een Mac terwijl u bent verbonden met Windows VM, is de sneltoets Fn+Ctrl+ALT+Backspace.

    Schermopname van Verbinding maken poort 443 gebruikt.

Resources opschonen

Als u deze toepassing verder niet gaat gebruiken, verwijdert u de resources met behulp van de volgende stappen:

  1. Typ de naam van uw resourcegroep in het zoekvak bovenaan de portal. Wanneer u uw resourcegroep in de zoekresultaten ziet, selecteert u deze.
  2. Selecteer Resourcegroep verwijderen.
  3. Voer de naam van uw resourcegroep in voor TYP DE NAAM VAN DE RESOURCEGROEP: en selecteer Verwijderen.

Volgende stappen

In deze zelfstudie hebt u een Bastion-host gemaakt en deze gekoppeld aan een virtueel netwerk. Vervolgens hebt u het openbare IP-adres van een VM verwijderd en er verbinding mee gemaakt. U kunt ervoor kiezen om netwerkbeveiligingsgroepen te gebruiken met uw Azure Bastion-subnet. Zie hiervoor:

Werken met NSG's