توزيع Bastion باستخدام Azure PowerShell

توضح لك هذه المقالة كيفية نشر Azure Bastion باستخدام PowerShell. Azure Bastion هي خدمة PaaS يتم صيانتها لك، وليست مضيفاً أساسياً تقوم بتثبيته على الجهاز الظاهري الخاص بك وصيانته بنفسك. يتم توزيع Azure Bastion لكل شبكة ظاهرية، وليس لكل اشتراك/حساب أو جهاز ظاهري. لمعرفة مزيد من المعلومات بخصوص Azure Bastion، راجع ما هو Azure Bastion؟

بمجرد توزيع Bastion على شبكتك الظاهرية، يمكنك الاتصال بأجهزة VM الخاصة بك عبر عنوان IP الخاص. تتوفر تجربة RDP/SSH السلسة لجميع الأجهزة الظاهرية في نفس الشبكة الظاهرية. إذا كان جهاز VM الخاص بك يحتوي على عنوان IP عام لا تحتاجه لأي شيء آخر، فيمكنك إزالته.

في هذه المقالة، يمكنك إنشاء شبكة ظاهرية (إذا لم يكن لديك واحدة بالفعل)، ونشر Azure Bastion باستخدام PowerShell، والاتصال بجهاز ظاهري. تظهر الأمثلة Bastion الموزعة باستخدام مستوى SKU القياسي، ولكن يمكنك استخدام Bastion SKU مختلف، اعتمادا على الميزات التي تريد استخدامها. لمزيد من المعلومات، راجع Bastion SKUs.

يمكنك أيضاً توزيع Bastion باستخدام الطرق الأخرى التالية:

• مدخل Microsoft Azure
• Azure CLI
• التشغيل السريع - التوزيع بالإعدادات الافتراضية

إشعار

يتم دعم استخدام Azure Bastion مع مناطق Azure Private DNS. ومع ذلك، هناك قيود. لمزيد من المعلومات، راجع الأسئلة المتداولة حول Azure Bastion.

قبل البدء

تحقق من أن لديك اشتراك Azure. إذا لم يكن لديك اشتراك Azure بالفعل، يمكنك تنشيط ميزات المشترك في MSDN خاصتك أو الاشتراك في حساب مجاني.

PowerShell

تستخدم هذه المقالة cmdlets PowerShell. لتشغيل cmdlets، يمكنك استخدام Azure Cloud Shell. Cloud Shell عبارة عن غلاف تفاعلي مجاني يمكنك استخدامه لتنفيذ الخطوات الواردة في هذه المقالة. يحتوي على أدوات Azure الشائعة المثبتة مسبقًا والمهيئة للاستخدام مع حسابك.

لفتح Cloud Shell، ما عليك سوى تحديد Open Cloudshell من الزاوية العلوية اليسرى من كتلة التعليمات البرمجية. يمكنك أيضًا فتح Cloud Shell في علامة تبويب متصفح منفصلة بالانتقال إلى https://shell.azure.com/powershell. حدّد Copy لنسخ مجموعات التعليمة البرمجية، ولصقها في علامة التبويب Cloud Shell، وحدد المفتاح Enter لتشغيلهم.

يمكن أيضاً تثبيت cmdlets Azure PowerShell وتشغيله محلياً على جهازك. تحديث cmdlets PowerShell بشكل متكرر إذا لم تقم بتثبيت أحدث إصدار، فقد تفشل القيم المحددة في الإرشادات. لمعرفة إصدار Azure PowerShell المُثبت على جهازك، يمكن استخدام Get-Module -ListAvailable Az cmdlet. للتثبيت أو التحديث، راجع تثبيت وحدة Azure PowerShell.

قيم الأمثلة

يمكنك استخدام قيم الأمثلة التالية عند إنشاء هذا التكوين، أو يمكنك استبدال قيمك.

مثال على قيم VNet وVM:

الاسم	القيمة
الجهاز الظاهري	TestVM
مجموعة الموارد	TestRG1
المنطقة	شرق الولايات المتحدة
الشبكة الظاهرية	VNet1
مساحة العنوان	10.1.0.0/16
الشبكات الفرعية	الواجهة الأمامية: 10.1.0.0/24

قيم Azure Bastion:

الاسم	القيمة
الاسم	VNet1-bastion
Subnet Name	FrontEnd
Subnet Name	AzureBastionSubnet
عناوين AzureBastionSubnet	شبكة فرعية داخل مساحة عنوان الشبكة الظاهرية مع قناع شبكة فرعية /26 أو أكبر. على سبيل المثال، 10.1.1.0/26.
الطبقة/وحدة SKU	قياسي
عنوان IP العام	إنشاء و الجديدة في
اسم عنوان IP عام	VNet1-ip
SKU عنوان IP عام	قياسي
تعيين	ثابت

توزيع Bastion

يساعدك هذا القسم في إنشاء شبكة ظاهرية وشبكات فرعية وتوزيع Azure Bastion باستخدام Azure PowerShell.

هام

يبدأ التسعير بالساعة من اللحظة التي يتم فيها نشر Bastion، بغض النظر عن استخدام البيانات الصادرة. لمزيد من المعلومات، راجع التسعير ووحدات SKU. إذا كنت تقوم بنشر Bastion كجزء من برنامج تعليمي أو اختبار، نوصي بحذف هذا المورد بعد الانتهاء من استخدامه.

1. إنشاء مجموعة موارد وشبكة ظاهرية وشبكة فرعية أمامية تقوم بنشر الأجهزة الظاهرية التي ستتصل بها عبر Bastion. إذا كنت تقوم بتشغيل PowerShell محلياً، فافتح وحدة تحكم PowerShell بامتيازات مرتفعة واتصل بـ Azure باستخدام الأمر Connect-AzAccount.

   New-AzResourceGroup -Name TestRG1 -Location EastUS ` 
   $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd `
   -AddressPrefix "10.1.0.0/24" ` 
   $virtualNetwork = New-AzVirtualNetwork `
   -Name TestVNet1 -ResourceGroupName TestRG1 `
   -Location EastUS -AddressPrefix "10.1.0.0/16" `
   -Subnet $frontendSubnet ` 
   $virtualNetwork | Set-AzVirtualNetwork
   

2. قم بتكوين وتعيين الشبكة الفرعية Azure Bastion لشبكتك الظاهرية. هذه الشبكة الفرعية محجوزة حصرياً لموارد Azure Bastion. يجب إنشاء هذه الشبكة الفرعية باستخدام قيمة الاسم AzureBastionSubnet. وتسمح تلك القيمة إلى Azure بمعرفة الشبكة الفرعية لتوزيع موارد Bastion عليها. يساعدك المثال في القسم التالي على إضافة شبكة فرعية Azure Bastion إلى شبكة ظاهرية موجودة.

   • أصغر حجم للشبكة الفرعية AzureBastionSubnet يمكنك إنشاؤه هو/26. نوصي بإنشاء حجم/26 أو أكبر لملاءمة تحجيم المضيف.
     • لمزيد من المعلومات حول القياس، راجع إعدادات التكوين - تحجيم المضيف.
     • لمزيد من المعلومات حول الإعدادات، راجع إعدادات التكوين - AzureBastionSubnet.
   • قم بإنشاء AzureBastionSubnet دون أي جداول توجيه أو تفويضات.
   • إذا كنت تستخدم مجموعات أمان الشبكة في AzureBastionSubnet، فراجع مقالة العمل مع مجموعات NSG.

   تعيين المتغير.

   $vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"
   

   إضافة الشبكة الفرعية.

   Add-AzVirtualNetworkSubnetConfig `
   -Name "AzureBastionSubnet" -VirtualNetwork $vnet `
   -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork
   

3. قم بإنشاء عنوان IP عام لـ Azure Bastion. IP العام هو عنوان IP العام لمورد Bastion الذي سيتم الوصول إلى RDP/SSH عليه (عبر المنفذ 443). يجب أن يكون عنوان IP العام في نفس منطقة مورد Bastion الذي تقوم بإنشائه.

   $publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" `
   -name "VNet1-ip" -location "EastUS" `
   -AllocationMethod Static -Sku Standard
   

4. قم بإنشاء مورد Azure Bastion جديد في AzureBastionSubnet باستخدام الأمر New-AzBastion. يستخدم المثال التالي SKU الأساسي. ومع ذلك، يمكنك أيضا نشر Bastion باستخدام SKU مختلف عن طريق تغيير قيمة -Sku. تحدد SKU التي تحددها ميزات Bastion وتتصل بالأجهزة الظاهرية باستخدام المزيد من أنواع الاتصال. لمزيد من المعلومات، راجع Bastion SKUs.

   New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" `
   -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" `
   -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" `
   -Sku "Basic"
   

5. يستغرق توزيع موارد Bastion حوالي 10 دقائق. يمكنك إنشاء جهاز ظاهري في القسم التالي أثناء توزيع Bastion على شبكتك الظاهرية.

قم بإنشاء جهاز ظاهري

يمكنك إنشاء VM باستخدام مقالات التشغيل السريع: إنشاء VM باستخدام PowerShell أو التشغيل السريع: إنشاء VM باستخدام المدخل. تأكد من نشر الجهاز الظاهري إلى نفس الشبكة الظاهرية التي قمت بنشر Bastion إليها. الجهاز الظاهري الذي تقوم بإنشائه في هذا القسم ليس جزءاً من تكوين الأساس ولا يصبح مضيفاً أساسياً. يمكنك الاتصال بهذا الجهاز الظاهري لاحقاً في هذا البرنامج التعليمي عبر Bastion.

الأدوار التالية المطلوبة لمواردك.

• الأدوار المطلوبة للجهاز الظاهري:

  • دور قارئ الملفات في الجهاز الظاهري.
  • دور قارئ الملفات في NIC باستخدام IP خاص في الجهاز الظاهري.

• المنافذ الداخلية المطلوبة:

  • لنظام التشغيل Windows VMS - RDP (3389)
  • لأجهزة Linux VMs - SSH (22)

الاتصال بجهاز ظاهري

يمكنك استخدام خطوات الاتصال في القسم التالي للاتصال بجهازك الظاهري. يمكنك أيضاً استخدام أي من المقالات التالية للاتصال بجهاز ظاهري. تتطلب بعض أنواع الاتصال Bastion SKU القياسي.

• الاتصال بجهاز ظاهري يعمل بنظام Windows
  • RDP
  • SSH
• الاتصال ب Linux VM
  • SSH
• التوصيل بمجموعة تغيير الحجم
• الاتصال عبر عنوان IP
• الاتصال من عميل أصلي
  • عميل Windows
  • عميل Linux/SSH

خطوات الاتصال

1. في مدخل Microsoft Azure، انتقل إلى الجهاز الظاهري الذي تريد الاتصال به.

2. في أعلى الجزء، حدد Connect>Bastion للانتقال إلى جزء Bastion. يمكنك أيضا الانتقال إلى جزء Bastion باستخدام القائمة اليسرى.

3. تعتمد الخيارات المتوفرة في جزء Bastion على Bastion SKU. إذا كنت تستخدم Basic SKU، يمكنك الاتصال بكمبيوتر Windows باستخدام RDP والمنفذ 3389. أيضا بالنسبة إلى Basic SKU، يمكنك الاتصال بكمبيوتر Linux باستخدام SSH والمنفذ 22. ليس لديك خيارات لتغيير رقم المنفذ أو البروتوكول. ومع ذلك، يمكنك تغيير لغة لوحة المفاتيح لـ RDP عن طريق توسيع إعدادات الاتصال.

   

   إذا كنت تستخدم SKU القياسي، فلديك المزيد من خيارات بروتوكول الاتصال والمنفذ المتوفرة. قم بتوسيع إعدادات الاتصال لمشاهدة الخيارات. عادة، ما لم تقم بتكوين إعدادات مختلفة لجهازك الظاهري، يمكنك الاتصال بكمبيوتر Windows باستخدام RDP والمنفذ 3389. يمكنك الاتصال بكمبيوتر Linux باستخدام SSH والمنفذ 22.

   

4. بالنسبة ل Authentication Type، حدد من القائمة المنسدلة. يحدد البروتوكول أنواع المصادقة المتوفرة. أكمل قيم المصادقة المطلوبة.

   

5. لفتح جلسة عمل الجهاز الظاهري في علامة تبويب مستعرض جديدة، اترك Open in new browser tab محددا.

6. حدد الاتصال للاتصال بجهاز VM.

7. تأكد من أن الاتصال بالجهاز الظاهري يفتح مباشرة في مدخل Azure (عبر HTML5) باستخدام المنفذ 443 وخدمة Bastion.

   

   إشعار

   عند الاتصال، سيبدو سطح المكتب الخاص بالجهاز الظاهري مختلفا عن مثال لقطة الشاشة.

قد لا يؤدي استخدام مفاتيح اختصار لوحة المفاتيح أثناء الاتصال بجهاز ظاهري إلى نفس سلوك مفاتيح الاختصار على كمبيوتر محلي. على سبيل المثال، عندما تكون متصلا بجهاز ظاهري يعمل بنظام Windows من عميل Windows، فإن Ctrl+Alt+End هو اختصار لوحة المفاتيح ل Ctrl+Alt+Delete على كمبيوتر محلي. للقيام بذلك من جهاز Mac أثناء الاتصال بجهاز ظاهري يعمل بنظام Windows، يكون اختصار لوحة المفاتيح هو fn+control+option+delete.

لتمكين إخراج الصوت

يمكنك تمكين إخراج الصوت عن بعد لجهاز VM الخاص بك. تقوم بعض الأجهزة الظاهرية بتمكين هذا الإعداد تلقائيا، بينما تتطلب منك الأجهزة الأخرى تمكين إعدادات الصوت يدويا. يتم تغيير الإعدادات على الجهاز الظاهري نفسه. لا يحتاج توزيع Bastion إلى أي إعدادات تكوين خاصة لتمكين إخراج الصوت عن بُعد.

إشعار

يستخدم إخراج الصوت النطاق الترددي على اتصال الإنترنت.

لتمكين إخراج الصوت عن بُعد على جهاز Windows VM:

1. بعد الاتصال بالجهاز الظاهري، يظهر زر صوت في الزاوية السفلية اليسرى من شريط الأدوات. انقر بزر الماوس الأيمن فوق زر الصوت، ثم حدد الأصوات.
2. تسألك رسالة منبثقة عما إذا كنت تريد تمكين خدمة الصوت في Windows. حدد نعم. يمكنك تكوين المزيد من خيارات الصوت في تفضيلات الصوت.
3. للتحقق من إخراج الصوت، مرر الماوس فوق زر الصوت على شريط الأدوات.

إزالة عنوان IP العام للجهاز الظاهري

لا يستخدم Azure Bastion عنوان IP العام للاتصال بالعميل الظاهري. إذا لم تكن بحاجة إلى عنوان IP العام لجهازك الظاهري، فيمكنك إلغاء ارتباط عنوان IP العام. راجع فصل عنوان IP العام عن Azure VM.

الخطوات التالية

• لاختيار استخدام مجموعات أمان الشبكة مع شبكة Azure Bastion الفرعية، انظر العمل مع مجموعات أمان الشبكة.
• لفهم تناظر الشبكة الظاهرية، راجع تناظر الشبكة الظاهرية وAzure Bastion.