تكوين Bastion لاتصالات العميل الأصلية

  • مقالة

تساعدك هذه المقالة على تكوين توزيع Bastion لقبول الاتصالات من العميل الأصلي (SSH أو RDP) على الكمبيوتر المحلي إلى الأجهزة الظاهرية الموجودة في VNet. تتيح لك ميزة العميل الأصلي الاتصال بالأجهزة الظاهرية الهدف عبر Bastion باستخدام Azure CLI، وتوسيع خيارات تسجيل الدخول لتشمل زوج مفاتيح SSH المحلي ومعرف Microsoft Entra. بالإضافة إلى ذلك، يمكنك أيضا تحميل الملفات أو تنزيلها، اعتمادا على نوع الاتصال والعميل.

Diagram shows a connection via native client.

يمكنك تكوين هذه الميزة عن طريق تعديل توزيع Bastion موجود، أو يمكنك نشر Bastion مع تكوين الميزة المحدد بالفعل. وتعتمد إمكاناتك على الجهاز الظاهري عند الاتصال عبر عميل أصلي على ما يتم تمكينه على العميل الأصلي.

إشعار

يبدأ التسعير بالساعة من اللحظة التي يتم فيها نشر Bastion، بغض النظر عن استخدام البيانات الصادرة. لمزيد من المعلومات، راجع التسعير ووحدات SKU. إذا كنت تقوم بنشر Bastion كجزء من برنامج تعليمي أو اختبار، نوصي بحذف هذا المورد بعد الانتهاء من استخدامه.

توزيع Bastion مع ميزة العميل الأصلية

إذا لم تكن قد قمت بالفعل بتوزيع Bastion إلى شبكة ظاهرية خاصة بك، يمكنك التوزيع مع ميزة العميل الأصلي المحددة عن طريق توزيع Bastion باستخدام الإعدادات اليدوية. للحصول على خطوات، راجع البرنامج التعليمي - توزيع Bastion مع الإعدادات اليدوية. عند توزيع Bastion، حدد الإعدادات التالية:

  1. في علامة تبويب الأساسيات لـ تفاصيل المثيل -> الطبقة حدد قياسي. يتطلب دعم العميل الأصلي SKU قياسي.

    Settings for a new bastion host with Standard SKU selected.

  2. قبل إنشاء مضيف bastion، انتقل إلى علامة التبويب Advanced وحدد مربع دعم العميل الأصلي، إلى جانب خانات الاختيار لأي ميزات أخرى تريد نشرها.

    Screenshot that shows settings for a new bastion host with Native Client Support box selected.

  3. حدد Review + create للتحقق من الصحة، ثم حدد Create لنشر مضيف Bastion الخاص بك.

تعديل توزيع Bastion موجود

في حال قمت بتوزيع Bastion لشبكتك الظاهرية قم بتعديل إعدادات التكوين التالية:

  1. انتقل إلى صفحة التكوين لمورد Bastion. تحقق من أن طبقة SKU هي قياسي. إذا لم يكن كذلك، فحدد قياسي.

  2. حدد مربع دعم العميل الأصلي، ثم طبق التغييرات الخاصة بك.

    Screenshot that shows settings for updating an existing host with Native Client Support box selected.

تأمين اتصال العميل الأصلي

إذا كنت ترغب في تأمين اتصال العميل الأصلي بشكل أكبر، يمكنك تقييد الوصول إلى المنفذ عن طريق توفير الوصول إلى المنفذ 22/3389 فقط. لتقييد الوصول إلى المنفذ، يجب نشر قواعد NSG التالية على AzureBastionSubnet للسماح بالوصول إلى تحديد المنافذ ورفض الوصول من أي منافذ أخرى.

Screenshot that shows NSG configurations.

الاتصال بالأجهزة الظاهرية

بعد نشر هذه الميزة، هناك إرشادات اتصال مختلفة، اعتمادا على الكمبيوتر المضيف الذي تتصل منه، وجهاز العميل الظاهري الذي تتصل به.

استخدم الجدول التالي لفهم كيفية الاتصال من العملاء الأصليين. لاحظ أن المجموعات المختلفة المدعومة من العميل الأصلي والأجهزة الظاهرية المستهدفة تسمح بميزات مختلفة وتتطلب أوامر محددة.

العميل الجهاز الظاهري المستهدف الأسلوب مصادقة Microsoft Entra نقل الملف جلسات عمل الجهاز الظاهري المتزامنة منفذ مخصص
عميل Windows الأصلي Windows VM RDP ‏‏نعم‬ تحميل/تنزيل ‏‏نعم‬ ‏‏نعم‬
Linux VM سه ‏‏نعم‬ لا نعم ‏‏نعم‬
أي جهاز ظاهري نفق az network bastion لا تحميل لا لا
عميل Linux الأصلي Linux VM سه ‏‏نعم‬ لا نعم ‏‏نعم‬
Windows أو أي جهاز ظاهري نفق az network bastion لا تحميل لا لا
عميل أصلي آخر (معجون) أي جهاز ظاهري نفق az network bastion لا تحميل لا لا

القيود:

  • يعتبر تسجيل الدخول باستخدام مفتاح خاص SSH مخزن في Azure Key Vault غير مدعوم مع هذه الميزة. قبل تسجيل الدخول إلى Linux VM باستخدام زوج مفاتيح SSH، قم بتنزيل المفتاح الخاص بك إلى ملف على جهازك المحلي.
  • الاتصال استخدام عميل أصلي غير مدعوم على Cloud Shell.

الخطوات التالية