Руководство. Настройка бастиона Azure и подключение к виртуальной машине Windows

В этом руководстве показано, как подключиться к виртуальной машине из браузера с помощью Бастиона и портала Azure. В этом учебнике описано, как с помощью портала Azure развернуть бастион в виртуальной сети. После подготовки службы возможности RDP/SSH доступны для всех виртуальных машин в той же виртуальной сети. При использовании бастиона виртуальной машине не требуется для подключения общедоступный IP-адрес или специальное программное обеспечение. После развертывания бастиона можно удалить общедоступный IP-адрес с виртуальной машины, если он не нужен для других целей. Теперь следует подключиться к виртуальной машине по ее частному IP-адресу через портал Azure. Дополнительные сведения о Бастионе Azure см. в статье Что такое Бастион Azure.

Из этого руководства вы узнаете, как выполнять следующие задачи:

  • Создание узла-бастиона для виртуальной сети.
  • Удаление общедоступного IP-адреса из виртуальной машины.
  • Подключение к виртуальной машине Windows.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Предварительные требования

  • виртуальная сеть;

  • Виртуальная машина Windows в виртуальной сети. Если у вас нет виртуальной машины, создайте ее с помощью краткого руководства по созданию виртуальной машины.

  • Вот какие роли требуются для ваших ресурсов.

    • Требуемые роли на виртуальной машине:
      • роль читателя на виртуальной машине;
      • роль читателя на сетевом адаптере с частным IP-адресом для виртуальной машины;
  • Порты. Для подключения к виртуальной машине Windows на ней должны быть открыты следующие порты:

    • входящие порты: RDP (3389)

Важно!

Для ресурсов Бастиона Azure, развернутых 2 ноября 2021 г. или после этой даты, минимальный размер AzureBastionSubnet должен составлять /26 или больше (/25, /24 и т. д.). Все ресурсы Бастиона Azure, развернутые в подсетях размером /27 до этой даты, не затрагиваются этим изменением и будут продолжать работать. Однако мы настоятельно рекомендуем увеличить размер любого существующего AzureBastionSubnet до /26, если вы решите воспользоваться преимуществами масштабирования узла в будущем.

Примечание

Использование Бастиона Azure с Частными зонами DNS сейчас не поддерживается. Прежде чем начать убедитесь, что виртуальная сеть, в которой планируется развернуть ресурс Бастиона, не связана с частной зоной DNS.

Примеры значений

При создании этой конфигурации вы можете применить приведенные ниже примеры значений или заменить их собственными.

Базовые значения для виртуальной сети и виртуальной машины:

имя; Значение
Виртуальная машина TestVM
Группа ресурсов TestRG1
Регион Восточная часть США
Виртуальная сеть VNet1
Пространство адресов 10.1.0.0/16
подсети; Внешний интерфейс: 10.1.0.0/24

Значения для Бастиона Azure:

имя; Значение
Имя VNet1-bastion
+ Имя подсети AzureBastionSubnet
Адрес AzureBastionSubnet Подсеть в диапазоне адресов виртуальной сети с маской подсети /26 или более широкой.
Пример: 10.1.1.0/26.
Уровень/SKU Standard
Число экземпляров (масштабирование узла) 3 или более
Общедоступный IP-адрес Создание
Имя общедоступного IP-адреса VNet1-ip
Номер SKU общедоступного IP-адреса Standard
Назначение Статические

Создание узла-бастиона

Этот раздел поможет вам создать объект бастиона в виртуальной сети. Это необходимо для создания безопасного подключения к виртуальной машине в виртуальной сети.

  1. Войдите на портал Azure.

  2. Введите Бастион в поле поиска.

  3. В разделе "Службы" выберите Бастион.

  4. На странице бастионов нажмите кнопку +Создать, чтобы открыть страницу создания бастионов.

  5. На странице создания бастиона настройте новый ресурс "Бастион".

    Screenshot of Create a Bastion portal page.

сведения о проекте;

  • Подписка. Подписка Azure, которую нужно использовать.

  • Группа ресурсов. Группа ресурсов Azure, в которой будет создан новый ресурс "Бастион". Создайте группу ресурсов, если у вас нет существующей группы ресурсов.

Подробности об экземпляре

  • Имя: Имя нового ресурса типа "Бастион".

  • Регион. Общедоступный регион Azure, в котором будет создан ресурс. Выберите регион, в котором расположена ваша виртуальная сеть.

  • Уровень. Уровень также известен как SKU. В рамках этого учебника мы выбираем Стандартный SKU из раскрывающегося списка. "Стандартный" SKU дает возможность настроить число экземпляров для масштабирования узла. "Базовый" SKU не поддерживает масштабирование узлов. Дополнительные сведения см. в разделе Параметры конфигурации: SKU.

  • Число экземпляров. Это параметр масштабирования узла, который настраивается в шагах приращения единиц масштабирования. Чтобы настроить число экземпляров, используйте ползунок. При выборе SKU уровня "Базовый" этот параметр настроить невозможно. Дополнительные сведения см. в разделе Параметры конфигурации: масштабирование узла. В рамках этого курса вы можете выбрать число экземпляров по своему усмотрению, учитывая цены на единицу масштабирования.

Настройка виртуальных сетей

  • Виртуальная сеть. Виртуальная сеть, в которой будет создан ресурс "Бастион". Вы можете использовать имеющуюся виртуальную сеть или создать новую в ходе этого процесса. Если вы используете имеющуюся виртуальную сеть, убедитесь, что в ней достаточно свободного адресного пространства для соблюдения требований к подсети Бастиона. Если виртуальная сеть не отображается в раскрывающемся списке, убедитесь, что выбрана правильная группа ресурсов.

  • Подсеть. После создания или выбора виртуальной сети на странице появится поле подсети. Это подсеть, в которой будут развернуты экземпляры вашего бастиона. Именем должно быть AzureBastionSubnet. Сведения о добавлении подсети см. в следующих шагах.

Управление конфигурацией подсети

В большинстве случаев подсеть AzureBastionSubnet будет не настроена. Чтобы настроить подсеть бастиона, выполните такие действия.

  1. Выберите Управление конфигурацией подсети. Откроется страница подсетей.

    Screenshot of Manage subnet configuration.

  2. На странице Подсети выберите +Подсеть. Откроется страница добавления подсети.

  3. Создайте подсеть, следуя приведенным ниже рекомендациям.

    • Используйте для подсети имя AzureBastionSubnet.
    • Адресное пространство подсети должно быть не меньше /26. Для SKU уровня "Стандартный" рекомендуется использовать пространство не менее /26, чтобы разместить дополнительные экземпляры масштабирования узла.

    Screenshot of the AzureBastionSubnet subnet.

  4. Дополнительные поля на этой странице заполнять не нужно. Нажмите кнопку Сохранить внизу страницы, чтобы сохранить настройки, и закройте страницу добавления подсети.

  5. В верхней части страницы Подсетивыберите Создать бастион, чтобы вернуться на страницу настройки Бастиона.

    Screenshot of Create a Bastion.

Общедоступный IP-адрес

Общедоступный IP-адрес ресурса типа "Бастион", по которому будет осуществляться доступ по протоколам RDP/SSH (через порт 443). Создайте общедоступный IP-адрес. Общедоступный IP-адрес должен находиться в том же регионе, что и создаваемый ресурс типа "Бастион". Этот IP-адрес никак не связан с виртуальными машинами, к которым необходимо подключиться. Это общедоступный IP-адрес для ресурса типа "Узел-бастион".

  • Имя общедоступного IP-адреса. Задайте имя ресурса типа "Общедоступный IP-адрес". Для целей этого учебника можно оставить значения по умолчанию.
  • Номер SKU общедоступного IP-адреса. По умолчанию для этого параметра предварительно подставляется значение Стандартный. Бастион Azure использует и поддерживает только стандартный номер SKU общедоступного IP-адреса.
  • Назначение. По умолчанию для этого параметра предварительно подставляется значение Статический.

Просмотр и создание

  1. Завершив настройку параметров, выберите Просмотреть и создать. Значения будут проверены. После прохождения проверки можно создать ресурс "Бастион".
  2. Проверьте настройки.
  3. В нижней части страницы выберите Создать.
  4. Отобразится сообщение о том, что развертывание выполняется. Состояние будет отображаться на этой странице при создании ресурсов. Для создания и развертывания ресурса "Бастион" потребуется около 5 минут.

Удаление общедоступного IP-адреса виртуальной машины

При подключении к виртуальной машине с помощью Бастиона Azure для виртуальной машины не требуется общедоступный IP-адрес. Если вы не используете общедоступный IP-адрес для других целей, вы можете отменить его связывание с виртуальной машиной. Чтобы отменить связывание общедоступного IP-адреса с виртуальной машиной, сделайте следующее.

  1. Перейдите к виртуальной машине и выберите Сети. Выберите Общедоступный IP-адрес сетевого адаптера, чтобы открыть страницу общедоступного IP-адреса.

    Screenshot of networking page.

  2. На странице Общедоступный IP-адрес виртуальной машины выберите Отменить связь.

    Screenshot of public IP address for the VM.

  3. Выберите Да, чтобы отменить связь IP-адреса с сетевым интерфейсом.

    Screenshot of Disassociate public IP address.

  4. После отмены связи с IP-адресом можно удалить ресурс общедоступного IP-адреса. Чтобы удалить ресурс общедоступного IP-адреса, перейдите к группе ресурсов и найдите ресурс IP-адреса, который требуется удалить. Затем выберите Удалить, чтобы удалить ресурс.

    Screenshot of delete the public IP address resource.

Подключение к виртуальной машине

  1. На портале Azure перейдите к виртуальной машине, к которой необходимо подключиться. На странице Обзор выберите Подключиться, затем из раскрывающегося списка выберите Бастион.

    Screenshot of Connect.

  2. Когда вы выберете этот элемент в раскрывающемся списке, появится боковая панель с тремя вкладками: RDP, SSH и "Бастион". Так как бастион был подготовлен для виртуальной сети, вкладка "Бастион" активна по умолчанию. Выберите Использовать бастион.

    Screenshot of Select Use Bastion.

  3. На странице Подключиться с помощью Бастиона Azure введите имя пользователя и пароль для виртуальной машины, а затем выберите Подключить.

    Screenshot of Connect button.

  4. Подключение по RDP к этой виртуальной машине через Бастион будет открываться непосредственно на портале Azure (через HTML5) с использованием порта 443 и службы "Бастион".

    • При подключении рабочий стол виртуальной машины может выглядеть иначе, чем на снимке экрана из примера.
    • Сочетания клавиш в режиме подключения к виртуальной машине могут работать не так, как на локальном компьютере. Например, при подключении к виртуальной машине Windows из клиента Windows сочетанию клавиш CTRL + ALT + DELETE на локальном компьютере эквивалентны клавиши CTRL + ALT + END. Чтобы сделать то же самое с компьютера Mac в режиме подключения к виртуальной машине Windows, используйте клавиши FN + CTRL + ALT + BACKSPACE.

    Screenshot of Connect using port 443.

Очистка ресурсов

Если вы не собираетесь использовать это приложение в дальнейшем, удалите все его ресурсы, выполнив следующие действия.

  1. В поле Поиск в верхней части портала введите имя группы ресурсов. Когда ваша группа ресурсов появится в результатах поиска, выберите ее.
  2. Выберите Удалить группу ресурсов.
  3. В поле ВВЕДИТЕ ИМЯ ГРУППЫ РЕСУРСОВ: введите имя группы ресурсов и выберите Удалить.

Дальнейшие действия

Из этого учебника вы узнали, как создать узел-бастион и подключить его к виртуальной сети. Затем вы удалили общедоступный IP-адрес из виртуальной машины и подключились к нему. При необходимости можно использовать группы безопасности сети с подсетью Бастиона Azure. Описание этой операции см. в следующей статье: