Självstudie: Konfigurera Bastion och ansluta till en Windows virtuell dator
Den här självstudien visar hur du ansluter till en virtuell dator via webbläsaren med Azure Bastion och Azure Portal. I den här självstudien använder Azure Portal du Bastion till ditt virtuella nätverk. När tjänsten har etablerats är RDP/SSH-upplevelsen tillgänglig för alla virtuella datorer i samma virtuella nätverk. När du använder Bastion för att ansluta behöver den virtuella datorn ingen offentlig IP-adress eller särskild programvara. När du har distribuerat Bastion kan du ta bort den offentliga IP-adressen från den virtuella datorn om den inte behövs för något annat. Därefter ansluter du till en virtuell dator via dess privata IP-adress med hjälp av Azure Portal. Mer information om Azure Bastion finns i Vad är Azure Bastion?.
I den här självstudien får du lära dig att:
- Skapa en skyddsvärd för ditt VNet.
- Ta bort den offentliga IP-adressen från en virtuell dator.
- Anslut till en Windows virtuell dator.
Om du inte har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.
Förutsättningar
Ett virtuellt nätverk.
En Windows virtuell dator i det virtuella nätverket. Om du inte har en virtuell dator skapar du en med hjälp av Snabbstart: Skapa en virtuell dator.
Följande nödvändiga roller för dina resurser:
- Nödvändiga VM-roller:
- Läsarroll på den virtuella datorn.
- Läsarroll på nätverkskortet med den virtuella datorns privata IP-adress.
- Nödvändiga VM-roller:
Portar: För att kunna ansluta Windows den virtuella datorn måste du ha följande portar öppna på den virtuella Windows datorn:
- Inkommande portar: RDP (3389)
Viktigt
För Azure Bastion resurser som distribueras den 2 november 2021 eller senare är den minsta AzureBastionSubnet-storleken /26 eller större (/25, /24 osv.). Alla Azure Bastion-resurser som distribuerats i undernät med storleken /27 före detta datum påverkas inte av den här ändringen och fortsätter att fungera, men vi rekommenderar starkt att du ökar storleken på befintliga AzureBastionSubnet till /26 om du väljer att dra nytta av värdskalning i framtiden.
Anteckning
Användning av Azure Bastion med Azure Privat DNS Zones stöds inte för närvarande. Innan du börjar bör du kontrollera att det virtuella nätverk där du planerar att distribuera Bastion-resursen inte är länkat till en privat DNS-zon.
Exempelvärden
Du kan använda följande exempelvärden när du skapar den här konfigurationen, eller så kan du ersätta din egen.
Grundläggande VNet- och VM-värden:
| Namn | Värde |
|---|---|
| Virtuell dator | TestVM |
| Resursgrupp | TestRG1 |
| Region | East US |
| Virtuellt nätverk | VNet1 |
| Adressutrymme | 10.1.0.0/16 |
| Undernät | FrontEnd: 10.1.0.0/24 |
Azure Bastion värden:
| Namn | Värde |
|---|---|
| Name | VNet1-bastion |
| + Undernätsnamn | AzureBastionSubnet |
| AzureBastionSubnet-adresser | Ett undernät inom ditt VNet-adressutrymme med nätmask /26 eller större. Till exempel 10.1.1.0/26. |
| Nivå/SKU | Standard |
| Antal instanser (värdskalning) | 3 eller större |
| Offentlig IP-adress | Skapa ny |
| Namn på offentlig IP-adress | VNet1-ip |
| SKU för offentlig IP-adress | Standard |
| Tilldelning | Statisk |
Skapa en skyddsvärd
Det här avsnittet hjälper dig att skapa skyddsobjektet i ditt virtuella nätverk. Detta krävs för att skapa en säker anslutning till en virtuell dator i det virtuella nätverket.
Logga in på Azure-portalen.
Skriv Bastion i sökningen.
Under tjänster klickar du på Bastions.
På sidan Bastioner klickar du på + Skapa för att öppna sidan Skapa en bastion.
Konfigurera en ny Bastion-resurs på sidan Skapa en bastion.
Projektinformation
Prenumeration: Den Azure-prenumeration som du vill använda.
Resursgrupp: Den Azure-resursgrupp där den nya Bastion-resursen ska skapas. Om du inte har en befintlig resursgrupp kan du skapa en ny.
Instansinformation
Namn: Namnet på den nya Bastion-resursen.
Region: Den offentliga Azure-region där resursen ska skapas. Välj den region där det virtuella nätverket finns.
Nivå: Nivån kallas även för SKU:n. I den här självstudien väljer vi standard-SKU:n i listrutan. Om du väljer Standard-SKU kan du konfigurera instansantalet för värdskalning. Basic-SKU:n stöder inte värdskalning. Mer information finns i Konfigurationsinställningar – SKU.
Antal instanser: Det här är inställningen för värdskalning och konfigurerad i steg om skalningsenhet. Använd skjutreglaget för att konfigurera antalet instanser. Om du har angett SKU:n på Basic-nivån kan du inte konfigurera den här inställningen. Mer information finns i Konfigurationsinställningar – värdskalning. I den här självstudien kan du välja det instansantal som du föredrar, med hänsyn till eventuella prisöverväganden för skalningsenhet.
Konfigurera virtuella nätverk
Virtuellt nätverk: Det virtuella nätverk där Bastion-resursen ska skapas. Du kan skapa ett nytt virtuellt nätverk i portalen under den här processen eller använda ett befintligt virtuellt nätverk. Om du använder ett befintligt virtuellt nätverk kontrollerar du att det befintliga virtuella nätverket har tillräckligt med ledigt adressutrymme för att uppfylla kraven för Bastion-undernätet. Om du inte ser ditt virtuella nätverk i listrutan kontrollerar du att du har valt rätt resursgrupp.
Undernät: När du har skapat eller valt ett virtuellt nätverk visas undernätsfältet på sidan. Det här är undernätet där dina Bastion-instanser kommer att distribueras. Namnet måste vara AzureBastionSubnet. Se följande steg för att lägga till undernätet.
Hantera undernätskonfiguration
I de flesta fall har du inte redan ett AzureBastionSubnet konfigurerat. Så här konfigurerar du skyddsundernätet:
Välj Hantera undernätskonfiguration. Då kommer du till sidan Undernät.
På sidan Undernät väljer du +Undernät för att öppna sidan Lägg till undernät.
Skapa ett undernät med följande riktlinjer:
- Undernätet måste ha namnet AzureBastionSubnet.
- Undernätet måste vara minst /26 eller större. För standard-SKU rekommenderar vi /26 eller större för att hantera framtida ytterligare instanser av värdskalning.
Du behöver inte fylla i ytterligare fält på den här sidan. Välj Spara längst ned på sidan för att spara inställningarna och stänga sidan Lägg till undernät.
Längst upp på sidan Undernät väljer du Skapa en bastion för att återgå till konfigurationssidan Bastion.
Offentlig IP-adress
Den offentliga IP-adressen för bastionresursen där RDP/SSH kommer att nås (via port 443). Skapa en ny offentlig IP-adress. Den offentliga IP-adressen måste finnas i samma region som bastionresursen som du skapar. Den här IP-adressen har inget att göra med de virtuella datorer som du vill ansluta till. Det är den offentliga IP-adressen för Bastion-värdresursen.
- Namn på offentlig IP-adress: Namnet på den offentliga IP-adressresursen. I den här självstudien kan du lämna standardvärdet.
- SKU för offentlig IP-adress: Den här inställningen är föripulerad som standard standard. Azure Bastion använder/stöder endast den offentliga IP-standard-SKU:n.
- Tilldelning: Den här inställningen är förinställda som standard statisk.
Granska och skapa
- När du har specificerat inställningarna väljer du Granska + skapa. Detta verifierar värdena. När valideringen har passerat kan du skapa Bastion-resursen.
- Granska dina inställningar.
- Längst ned på sidan väljer du Skapa.
- Ett meddelande visas som visar att distributionen är på gång. Statusen visas på den här sidan när resurserna skapas. Det tar cirka 5 minuter för Bastion-resursen att skapas och distribueras.
Ta bort den virtuella datorns offentliga IP-adress
När du ansluter till en virtuell dator med Azure Bastion behöver du ingen offentlig IP-adress för den virtuella datorn. Om du inte använder den offentliga IP-adressen för något annat kan du avassociera den från den virtuella datorn. Använd följande steg för att ta bort associationen till en offentlig IP-adress från den virtuella datorn:
Gå till den virtuella datorn och välj Nätverk. Välj den offentliga IP-adressen för nätverkskortet för att öppna sidan för offentlig IP-adress.
På sidan Offentlig IP-adress för den virtuella datorn väljer du Avassociera.
Välj Ja för att koppla bort IP-adressen från nätverksgränssnittet.
När du har avassociera IP-adressen kan du ta bort den offentliga IP-adressresursen. Om du vill ta bort den offentliga IP-adressresursen navigerar du till resursgruppen och letar upp den IP-adressresurs som du vill ta bort. Välj sedan Ta bort för att ta bort resursen.
Anslut till en virtuell dator
I Azure Portalnavigerar du till den virtuella dator som du vill ansluta till. På sidan Översikt väljer du Anslut och sedan Bastion i listrutan.
När du har valt Bastion i listrutan visas ett sidofält med tre flikar: RDP, SSH och Bastion. Eftersom Bastion har etablerats för det virtuella nätverket är fliken Bastion aktiv som standard. Välj Använd Bastion.
På sidan Anslut med Azure Bastion anger du användarnamnet och lösenordet för den virtuella datorn och väljer sedan Anslut.
RDP-anslutningen till den här virtuella datorn via Bastion öppnas direkt i Azure Portal (via HTML5) med port 443 och Bastion-tjänsten.
- När du ansluter kan den virtuella datorns skrivbord se annorlunda ut än på skärmbildsexempel.
- Att använda kortkommandon när du är ansluten till en virtuell dator kanske inte resulterar i samma beteende som kortkommandon på en lokal dator. När du till exempel är ansluten till en Windows virtuell dator från en Windows-klient, är CTRL + ALT + END kortkommandot för CTRL + ALT + Ta bort på en lokal dator. Om du vill göra detta från en Mac när du är ansluten Windows en virtuell dator är kortkommandot Fn+CTRL+ALT+Backspace.
Rensa resurser
Om du inte tänker fortsätta att använda det här programmet tar du bort dina resurser med följande steg:
- Ange namnet på resursgruppen i sökrutan överst i portalen. När du ser din resursgrupp i sökresultatet väljer du den.
- Välj Ta bort resursgrupp.
- Ange namnet på resursgruppen för SKRIV RESURSGRUPPENS NAMN: och välj Ta bort.
Nästa steg
I den här självstudien har du skapat en Bastion-värd och associerat den med ett virtuellt nätverk. Sedan tog du bort den offentliga IP-adressen från en virtuell dator och anslöt till den. Du kan välja att använda nätverkssäkerhetsgrupper med ditt Azure Bastion undernät. Det gör du genom att se: