教學課程：使用指定的設定來部署 Bastion

發行項
04/07/2024

本教學課程協助您使用自己的手動設定和您指定的 SKU (產品階層)，從 Azure 入口網站部署 Bastion。 SKU 會決定可供部署使用的功能和連線。如需 SKU 的詳細資訊，請參閱設定 - SKU。

在 Azure 入口網站中，當您使用 [手動設定] 選項來部署 Bastion 時，您可以在部署時指定設定值，例如執行個體計數和 SKU。部署 Bastion 之後，您可以運用 SSH 或 RDP，使用 VM 的私人 IP 位址，透過 Bastion 與虛擬網路中的虛擬機器 (VM) 連線。連線至 VM 時，不需要公用 IP 位址、用戶端軟體、代理程式或特殊設定。

下圖說明 Bastion 的結構。

您會在本教學課程中，使用標準 SKU 來部署 Bastion。您可以針對標準 SKU 支援的主機規模進行調整 (執行個體計數)。如果您使用較低的 SKU 進行部署，則無法進行主機規模調整。您也可以根據您要部署的區域來選取可用性區域。

部署完成後，您可以透過私人 IP 位址連線到 VM。如果您完全不需要 VM 的公用 IP 位址，移除即可。

在本教學課程中，您會了解如何：

將 Bastion 部署至虛擬網路。
連線至虛擬機器。
從虛擬機器移除公用 IP 位址。

必要條件

若要完成本教學課程，您需要下列資源：

Azure 訂用帳戶。如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。
您將在其中部署 Bastion 的虛擬網路。
虛擬網路中的虛擬機器。此 VM 不是 Bastion 設定的一部分，也不會成為堡壘主機。稍後，您會在本教學課程中透過 Bastion 連線到此 VM。如果您還沒有 VM，則請使用快速入門：建立 Windows VM 或快速入門：建立 Linux VM 來建立 VM。
所需的 VM 角色：
- 虛擬機器上的讀者角色
- 虛擬機器的私人 IP 位址與網路介面卡 (NIC) 上的讀取者角色
必要輸入連接埠：
- 針對 Windows VM：RDP (3389)
- 針對 Linux VM：SSH (22)

注意

支援將 Bastion 與 Azure 私人 DNS 區域一起使用。但是會有一些限制。如需詳細資訊，請參閱 Bastion 常見問題集。

範例值

在建立此設定時，您可以使用下列範例值，也可以替換為自己的值。

基本虛擬網路與 VM 值

名稱	值
虛擬機器	TestVM
資源群組	TestRG1
區域	美國東部
虛擬網路	VNet1
位址空間	10.1.0.0/16
子網路	前端：10.1.0.0/24

Bastion 值

名稱	數值
名稱	VNet1-bastion
+ 子網路名稱	AzureBastionSubnet
AzureBastionSubnet 位址	虛擬網路位址空間內具有子網路遮罩 /26 (或更大) 的子網路，例如 10.1.1.0/26
可用性區域	如有需要，請從下拉式清單中選取 value（s）。
階層/SKU	標準
執行個體計數 (主機規模調整)	3 或更新版本
公用 IP 位址	新建
公用 IP 位址名稱	VNet1-ip
公用 IP 位址 SKU	標準
指派	靜態

部署 Bastion

本節可協助您將 Bastion 部署到虛擬網路。部署 Bastion 之後，您可以使用其私人 IP 位址安全地連線到虛擬網路中的任何 VM。

重要

每小時定價從 Bastion 部署的那一刻開始，不論輸出資料使用量為何。如需詳細資訊，請參閱價格和 SKU。如果您要將 Bastion 部署為教學課程或測試的一部份，建議您在使用完畢後刪除此資源。

登入 Azure 入口網站。
移至您的虛擬網路。
在 [虛擬網路] 頁面的左窗格中，選取 [Bastion]。
在 [Bastion] 窗格中，展開 [專用部署選項]。
選取 [手動設定]。此選項可讓您在將 Bastion 部署至虛擬網路時，進行具體的其他設定 (例如 SKU)。
在 [建立 Bastion] 窗格上，進行堡壘主機的設定。專案詳細資料會從您的虛擬網路值填入。在 [執行個體詳細資料] 底下，設定這些值：
- 名稱：用於堡壘資源的名稱。
- 區域：將在其中建立資源的 Azure 公用區域。選擇虛擬網路所在的區域。
- 可用性區域：如有需要，請從下拉式清單中選取區域。僅支援特定區域。如需詳細資訊，請參閱什麼是可用性區域？一文。
- 階層：SKU。在此教學課程中，請選取 [標準]。如需每個 SKU 可用功能的相關資訊，請參閱設定 - SKU。
- 執行個體計數：適用於標準 SKU 的主機規模調整設定。您會以縮放單位增量設定主機規模調整。使用滑杆或輸入數字來設定您想要的執行個體計數。如需詳細資訊，請參閱執行個體和主機規模調整和 Bastion 價格。
進行 [虛擬網路] 設定。從挑選清單中，選取虛擬網路。如果您在挑選清單中沒看到虛擬網路，請確定您已在上一步中選取正確的區域值。
若要設定 AzureBastionSubnet，請選取 [管理子網路設定]。
在 [子網路] 窗格中，選取 [+子網路]。
在 [新增子網路] 窗格上，使用下列值建立 AzureBastionSubnet 子網路。將其他的值保留為預設值。
- 子網路的名稱必須是 AzureBastionSubnet。
- 子網路必須是 /26 或更大 (例如，/26、/25、/24)，才能容納標準 SKU 所提供的功能。
選取窗格底部的 [儲存] 以儲存您的值。
在 [子網路] 窗格頂端選取 [建立 Bastion]，以返回 [Bastion 設定] 窗格。
[公用 IP 位址] 區段是設定 Bastion 主機資源公用 IP 位址的位置，而會透過此 IP 位址存取 RDP/SSH (透過連接埠 443)。公用 IP 位址與您建立的 Bastion 資源必須位於相同的區域。

建立新的 IP 位址。您可以保留預設命名建議。
當您完成設定的指定後，請選取 [檢閱 + 建立]。這個步驟會驗證這些值。
值通過驗證之後，您就可以部署 Bastion。選取建立。

訊息會指出部署正在進行中。資源建立時，狀態會出現在此頁面上。建立和部署 Bastion 資源約需要 10 分鐘的時間。

連線至 VM

您可以參閱下列任何連線 VM 的說明文章。某些連線類型需要 Bastion 標準 SKU。

連線至 Windows VM
- RDP
- SSH
連線至 Linux VM
- SSH
連線到擴展集
透過 IP 位址進行連線
從原生用戶端進行連線
- Windows 用戶端
- Linux/SSH 用戶端

您也可以使用這些基本的連線步驟來連線至 VM：

在 Azure 入口網站中，前往您要連線的虛擬機器。
在窗格頂端，選取 [連線]> [Bastion]，以前往 [Bastion] 窗格。您也可以使用左側功能表來移至 [Bastion] 窗格。
[Bastion] 窗格上可用的選項取決於 Bastion SKU。如果您使用基本 SKU，請使用 RDP 和連接埠 3389 連線至 Windows 電腦。此外，若是基本 SKU，請使用 SSH 和連接埠 22 連線至 Linux 電腦。沒有選項可讓您變更連接埠號碼或通訊協定。但您可以展開 [連線設定]，然後變更 RDP 的鍵盤語言。

如果您使用標準 SKU，即可使用更多的連線通訊協定和連接埠選項。展開 [連線設定] 以查看選項。一般而言，除非您針對 VM 進行不同的設定，否則請使用 RDP 和連接埠 3389 連線至 Windows 電腦。使用 SSH 和連接埠 22 連線至 Linux 電腦。
如需驗證類型，請從挑選清單中進行選取。通訊協定會決定可用的驗證類型。完成必要的驗證值。
若要在新瀏覽器索引標籤中開啟 VM 工作階段，請將 [在新瀏覽器索引標籤中開啟] 保持選取。
選取 [連線] 以連線至 VM。
透過使用連接埠 443 和 Bastion 服務，確認與此虛擬機器的連線直接在 Azure 入口網站中開啟 (透過 HTML5)。

注意

當您連線時，VM 的桌面看起來與範例螢幕擷取畫面不同。

連線到 VM 之後使用鍵盤快速鍵時，效果可能與本機電腦上的快速鍵不同。例如，從 Windows 用戶端連線到 Windows VM 時，Ctrl+Alt+End 是本機電腦上的 Ctrl+Alt+Delete 鍵盤快速鍵。若要在連線到 Windows VM 之後從 Mac 上這樣做，鍵盤快速鍵為 Fn+Ctrl+Alt+退格鍵。