Samouczek: wdrażanie usługi Azure Bastion przy użyciu określonych ustawień

  • Artykuł

Ten samouczek ułatwia wdrażanie usługi Azure Bastion z poziomu witryny Azure Portal przy użyciu własnych ustawień ręcznych i określonej jednostki SKU (warstwy produktu). Jednostka SKU określa funkcje i połączenia, które są dostępne dla danego wdrożenia. Aby uzyskać więcej informacji na temat jednostek SKU, zobacz Ustawienia konfiguracji — jednostki SKU.

W witrynie Azure Portal, jeśli używasz opcji Konfiguruj ręcznie do wdrożenia usługi Bastion, możesz określić wartości konfiguracji, takie jak liczba wystąpień i jednostki SKU w czasie wdrażania. Po wdrożeniu usługi Bastion można użyć protokołu SSH lub RDP, aby nawiązać połączenie z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem usługi Bastion przy użyciu prywatnych adresów IP maszyn wirtualnych. Podczas nawiązywania połączenia z maszyną wirtualną nie jest potrzebny publiczny adres IP, oprogramowanie klienckie, agent ani specjalna konfiguracja.

Na poniższym diagramie przedstawiono architekturę usługi Bastion.

Diagram przedstawiający architekturę usługi Azure Bastion.

W tym samouczku wdrożysz usługę Bastion przy użyciu jednostki SKU w warstwie Standardowa. Dopasowujesz skalowanie hosta (liczba wystąpień), które obsługuje jednostka SKU w warstwie Standardowa. Jeśli do wdrożenia używasz niższej jednostki SKU, nie można dostosować skalowania hostów. Możesz również wybrać strefę dostępności w zależności od regionu, w którym chcesz wdrożyć.

Po zakończeniu wdrażania nawiąż połączenie z maszyną wirtualną za pośrednictwem prywatnego adresu IP. Jeśli maszyna wirtualna ma publiczny adres IP, którego nie potrzebujesz, możesz go usunąć.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Wdróż usługę Bastion w sieci wirtualnej.
  • Połączenie do maszyny wirtualnej.
  • Usuń publiczny adres IP z maszyny wirtualnej.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby:

  • Subskrypcja Azure. Jeśli nie masz subskrypcji, przed rozpoczęciem utwórz bezpłatne konto.

  • Sieć wirtualna, w której wdrożysz usługę Bastion.

  • Maszyna wirtualna w sieci wirtualnej. Ta maszyna wirtualna nie jest częścią konfiguracji usługi Bastion i nie staje się hostem bastionu. Połączysz się z tą maszyną wirtualną w dalszej części tego samouczka za pośrednictwem usługi Bastion. Jeśli nie masz maszyny wirtualnej, utwórz maszynę wirtualną przy użyciu przewodnika Szybki start: tworzenie maszyny wirtualnej z systemem Windows lub szybki start: tworzenie maszyny wirtualnej z systemem Linux.

  • Wymagane role maszyny wirtualnej:

    • Rola czytelnika na maszynie wirtualnej
    • Rola czytelnika na karcie sieciowej z prywatnym adresem IP maszyny wirtualnej

  • Wymagane porty wejściowe:

    • W przypadku maszyn wirtualnych z systemem Windows: RDP (3389)
    • W przypadku maszyn wirtualnych z systemem Linux: SSH (22)

Uwaga

Korzystanie z usługi Azure Bastion ze strefami usługi Azure Prywatna strefa DNS jest obsługiwane. Istnieją jednak ograniczenia. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące usługi Azure Bastion.

Przykładowe wartości

Poniższe przykładowe wartości można użyć podczas tworzenia tej konfiguracji lub możesz zastąpić własną.

Podstawowe wartości sieci wirtualnej i maszyny wirtualnej

Nazwa/nazwisko Wartość
Maszyna wirtualna TestVM
Grupa zasobów: TestRG1
Region Wschodnie stany USA
Sieć wirtualna Sieć wirtualna 1
Przestrzeń adresowa 10.1.0.0/16
Podsieci FrontEnd: 10.1.0.0/24

Wartości bastionu

Nazwa/nazwisko Wartość
Nazwa/nazwisko VNet1-bastion
+ Nazwa podsieci AzureBastionSubnet
Adresy azureBastionSubnet Podsieć w przestrzeni adresowej sieci wirtualnej z maską podsieci /26 lub większą; na przykład 10.1.1.0/26
Strefa dostępności Wybierz wartości z listy rozwijanej, jeśli jest to konieczne.
Warstwa/jednostka SKU Standardowa
Liczba wystąpień (skalowanie hostów) 3 lub większe
Publiczny adres IP Utwórz nową
Nazwa publicznego adresu IP VNet1-ip
Jednostka SKU publicznego adresu IP Standardowa
Przypisanie Static

Wdrażanie usługi Bastion

Ta sekcja ułatwia wdrażanie usługi Bastion w sieci wirtualnej. Po wdrożeniu usługi Bastion można bezpiecznie połączyć się z dowolną maszyną wirtualną w sieci wirtualnej przy użyciu jej prywatnego adresu IP.

Ważne

Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do sieci wirtualnej.

  3. Na stronie sieci wirtualnej w okienku po lewej stronie wybierz pozycję Bastion.

  4. W okienku Bastion rozwiń pozycję Opcje wdrożenia dedykowanego.

  5. Wybierz pozycję Konfiguruj ręcznie. Ta opcja umożliwia skonfigurowanie określonych dodatkowych ustawień (takich jak jednostka SKU) podczas wdrażania usługi Bastion w sieci wirtualnej.

    Zrzut ekranu przedstawiający dedykowane opcje wdrażania dla usługi Azure Bastion i przycisk konfiguracji ręcznej.

  6. W okienku Tworzenie usługi Bastion skonfiguruj ustawienia hosta bastionu. Szczegóły projektu są wypełniane z wartości sieci wirtualnej. W obszarze Szczegóły wystąpienia skonfiguruj następujące wartości:

    • Nazwa: nazwa, której chcesz użyć dla zasobu usługi Bastion.

    • Region: publiczny region świadczenia usługi Azure, w którym zostanie utworzony zasób. Wybierz region, w którym znajduje się sieć wirtualna.

    • Strefa dostępności: w razie potrzeby wybierz strefy z listy rozwijanej. Obsługiwane są tylko niektóre regiony. Aby uzyskać więcej informacji, zobacz artykuł Co to są strefy dostępności?

    • Warstwa: jednostka SKU. Na potrzeby tego samouczka wybierz pozycję Standardowa. Aby uzyskać informacje o funkcjach dostępnych dla każdej jednostki SKU, zobacz Ustawienia konfiguracji — jednostka SKU.

    • Liczba wystąpień: ustawienie skalowania hostów, które jest dostępne dla jednostki SKU w warstwie Standardowa. Skalowanie hostów jest konfigurowane w przyrostach jednostek skalowania. Użyj suwaka lub wprowadź liczbę, aby skonfigurować żądaną liczbę wystąpień. Aby uzyskać więcej informacji, zobacz Wystąpienia i skalowanie hostów oraz cennik usługi Azure Bastion.

    Zrzut ekranu przedstawiający szczegóły wystąpienia usługi Azure Bastion.

  7. Skonfiguruj ustawienia Sieci wirtualne. Wybierz sieć wirtualną z listy rozwijanej. Jeśli sieć wirtualna nie znajduje się na liście rozwijanej, upewnij się, że w poprzednim kroku wybrano poprawną wartość Region .

  8. Aby skonfigurować usługę AzureBastionSubnet, wybierz pozycję Zarządzaj konfiguracją podsieci.

    Zrzut ekranu przedstawiający sekcję dotyczącą konfigurowania sieci wirtualnych.

  9. W okienku Podsieci wybierz pozycję +Podsieć.

  10. W okienku Dodawanie podsieci utwórz podsieć AzureBastionSubnet przy użyciu następujących wartości. Pozostaw wartości domyślne pozostałych.

    • Nazwa podsieci musi być azureBastionSubnet.
    • Podsieć musi być /26 lub większa (na przykład /26, /25 lub /24), aby uwzględnić funkcje dostępne dla jednostki SKU w warstwie Standardowa.

    Wybierz pozycję Zapisz w dolnej części okienka, aby zapisać wartości.

  11. W górnej części okienka Podsieci wybierz pozycję Utwórz usługę Bastion , aby powrócić do okienka konfiguracji usługi Bastion.

    Zrzut ekranu przedstawiający okienko z listą podsieci usługi Azure Bastion.

  12. W sekcji Publiczny adres IP można skonfigurować publiczny adres IP zasobu hosta bastionu, do którego będzie uzyskiwany dostęp RDP/SSH (za pośrednictwem portu 443). Publiczny adres IP musi znajdować się w tym samym regionie co zasób usługi Bastion, który tworzysz.

    Utwórz nowy adres IP. Możesz pozostawić domyślną sugestię nazewnictwa.

  13. Po zakończeniu określania ustawień wybierz pozycję Przejrzyj i utwórz. Ten krok weryfikuje wartości.

  14. Po zakończeniu walidacji wartości można wdrożyć usługę Bastion. Wybierz pozycję Utwórz.

    Komunikat informujący o tym, że wdrożenie jest w toku. Stan jest wyświetlany na tej stronie podczas tworzenia zasobów. Utworzenie i wdrożenie zasobu usługi Bastion trwa około 10 minut.

Łączenie z maszyną wirtualną

Aby nawiązać połączenie z maszyną wirtualną, możesz użyć dowolnego z poniższych szczegółowych artykułów. Niektóre typy połączeń wymagają jednostki SKU usługi Bastion w warstwie Standardowa.

Możesz również użyć tych podstawowych kroków połączenia, aby nawiązać połączenie z maszyną wirtualną:

  1. W witrynie Azure Portal przejdź do maszyny wirtualnej, z którą chcesz nawiązać połączenie.

  2. W górnej części okienka wybierz pozycję Połączenie> Bastion, aby przejść do okienka bastionu. Możesz również przejść do okienka bastionu, korzystając z menu po lewej stronie.

  3. Opcje dostępne w okienku bastionu zależą od jednostki SKU usługi Bastion. Jeśli używasz jednostki SKU w warstwie Podstawowa, połączysz się z komputerem z systemem Windows przy użyciu protokołu RDP i portu 3389. Ponadto w przypadku jednostki SKU w warstwie Podstawowa nawiąż połączenie z komputerem z systemem Linux przy użyciu protokołu SSH i portu 22. Nie masz opcji zmiany numeru portu ani protokołu. Można jednak zmienić język klawiatury dla protokołu RDP, rozwijając Połączenie ion Ustawienia.

    Zrzut ekranu przedstawiający ustawienia połączenia usługi Azure Bastion.

    Jeśli używasz jednostki SKU w warstwie Standardowa, dostępnych jest więcej opcji protokołu połączenia i portu. Rozwiń Ustawienia Połączenie ion, aby wyświetlić opcje. Zazwyczaj, o ile nie skonfigurujesz różnych ustawień maszyny wirtualnej, nawiążesz połączenie z komputerem z systemem Windows przy użyciu protokołu RDP i portu 3389. Nawiąż połączenie z komputerem z systemem Linux przy użyciu protokołu SSH i portu 22.

    Zrzut ekranu przedstawiający rozwinięte ustawienia połączenia.

  4. W polu Typ uwierzytelniania wybierz z listy rozwijanej. Protokół określa dostępne typy uwierzytelniania. Wypełnij wymagane wartości uwierzytelniania.

    Zrzut ekranu przedstawiający pole listy rozwijanej dla typu uwierzytelniania.

  5. Aby otworzyć sesję maszyny wirtualnej na nowej karcie przeglądarki, pozostaw wybraną kartę Otwórz w nowej przeglądarce .

  6. Wybierz Połączenie, aby nawiązać połączenie z maszyną wirtualną.

  7. Upewnij się, że połączenie z maszyną wirtualną zostanie otwarte bezpośrednio w witrynie Azure Portal (za pośrednictwem kodu HTML5) przy użyciu portu 443 i usługi Bastion.

    Zrzut ekranu przedstawiający komputer stacjonarny z otwartym połączeniem przez port 443.

    Uwaga

    Po nawiązaniu połączenia pulpit maszyny wirtualnej będzie wyglądać inaczej niż na przykładowym zrzucie ekranu.

Używanie klawiszy skrótów klawiaturowych podczas nawiązywania połączenia z maszyną wirtualną może nie spowodować takiego samego zachowania, jak klawisze skrótów na komputerze lokalnym. Na przykład po nawiązaniu połączenia z maszyną wirtualną z systemem Windows z klienta systemu Windows ctrl+Alt+End jest skrótem klawiaturowym ctrl+Alt+Delete na komputerze lokalnym. Aby to zrobić z komputera Mac podczas nawiązywania połączenia z maszyną wirtualną z systemem Windows, skrót klawiaturowy to Fn+Ctrl+Alt+Backspace.

Włączanie danych wyjściowych dźwięku

Możesz włączyć zdalne dane wyjściowe audio dla maszyny wirtualnej. Niektóre maszyny wirtualne automatycznie włączają to ustawienie, natomiast inne wymagają ręcznego włączania ustawień dźwięku. Ustawienia są zmieniane na samej maszynie wirtualnej. Wdrożenie usługi Bastion nie wymaga żadnych specjalnych ustawień konfiguracji w celu włączenia zdalnych danych wyjściowych dźwięku.

Uwaga

Dane wyjściowe audio wykorzystują przepustowość połączenia internetowego.

Aby włączyć zdalne dane wyjściowe audio na maszynie wirtualnej z systemem Windows:

  1. Po nawiązaniu połączenia z maszyną wirtualną zostanie wyświetlony przycisk audio w prawym dolnym rogu paska narzędzi. Kliknij prawym przyciskiem myszy przycisk audio, a następnie wybierz pozycję Dźwięki.
  2. Zostanie wyświetlony komunikat podręczny z pytaniem, czy chcesz włączyć usługę audio systemu Windows. Wybierz opcję Tak. Więcej opcji dźwięku można skonfigurować w preferencjach dźwięku.
  3. Aby zweryfikować dane wyjściowe dźwięku, umieść wskaźnik myszy na przycisku audio na pasku narzędzi.

Usuwanie publicznego adresu IP maszyny wirtualnej

Podczas nawiązywania połączenia z maszyną wirtualną przy użyciu usługi Azure Bastion nie potrzebujesz publicznego adresu IP maszyny wirtualnej. Jeśli nie używasz publicznego adresu IP dla niczego innego, możesz usunąć skojarzenie go z maszyny wirtualnej:

  1. Przejdź do maszyny wirtualnej i wybierz pozycję Sieć. Kliknij pozycję Publiczny adres IP karty sieciowej.

    Zrzut ekranu przedstawiający okienko Sieć dla sieci wirtualnej.

  2. W okienku Publiczny adres IP interfejs sieciowy maszyny wirtualnej jest wyświetlany w obszarze Skojarzone z. Wybierz pozycję Usuń skojarzenie w górnej części okienka.

    Zrzut ekranu przedstawiający szczegóły publicznego adresu IP maszyny wirtualnej.

  3. Wybierz pozycję Tak , aby usunąć skojarzenie adresu IP z interfejsu sieciowego maszyny wirtualnej. Po usunięciu skojarzenia publicznego adresu IP z interfejsu sieciowego sprawdź, czy nie jest już wyświetlany w obszarze Skojarzone z.

  4. Po usunięciu skojarzenia adresu IP można usunąć zasób publicznego adresu IP. W okienku Publiczny adres IP maszyny wirtualnej wybierz pozycję Usuń.

    Zrzut ekranu przedstawiający przycisk usuwania zasobu publicznego adresu IP.

  5. Wybierz pozycję Tak , aby usunąć publiczny adres IP.

Czyszczenie zasobów

Po zakończeniu korzystania z tej aplikacji usuń zasoby:

  1. Wprowadź nazwę grupy zasobów w polu Wyszukaj w górnej części portalu. Gdy grupa zasobów pojawi się w wynikach wyszukiwania, wybierz ją.
  2. Wybierz pozycję Usuń grupę zasobów.
  3. Wprowadź nazwę grupy zasobów w polu WPISZ NAZWĘ GRUPY ZASOBÓW, a następnie wybierz pozycję Usuń.

Następne kroki

W tym samouczku wdrożono usługę Bastion w sieci wirtualnej i połączono z maszyną wirtualną. Następnie usunięto publiczny adres IP z maszyny wirtualnej. Następnie dowiedz się więcej o dodatkowych funkcjach usługi Bastion i skonfiguruj je.

Ustawienia konfiguracji usługi Azure Bastion

Połączenia i funkcje maszyny wirtualnej

Konfigurowanie ochrony przed atakami DDos platformy Azure dla sieci wirtualnej