Nasazení Bastionu pomocí Azure PowerShellu

V tomto článku se dozvíte, jak nasadit Azure Bastion se skladovou jednotkou Standard pomocí PowerShellu. Azure Bastion je služba PaaS, která je pro vás udržovaná, nikoli hostitele bastionu, kterého nainstalujete na virtuální počítač a udržujete se sami. Nasazení služby Azure Bastion je na virtuální síť, nikoli na předplatné nebo účet nebo virtuální počítač. Další informace o službě Azure Bastion najdete v tématu Co je Azure Bastion?

Po nasazení Bastionu do virtuální sítě se můžete k virtuálním počítačům připojit přes privátní IP adresu. Toto bezproblémové prostředí RDP/SSH je dostupné pro všechny virtuální počítače ve stejné virtuální síti. Pokud má váš virtuální počítač veřejnou IP adresu, kterou nepotřebujete, můžete ji odebrat.

V tomto článku vytvoříte virtuální síť (pokud ji ještě nemáte), nasadíte Azure Bastion pomocí PowerShellu a připojíte se k virtuálnímu počítači. Bastion můžete nasadit také pomocí následujících dalších metod:

• Azure Portal
• Azure CLI
• Rychlý start – nasazení s výchozím nastavením

Poznámka:

Použití služby Azure Bastion s zónami Azure Privátní DNS se podporuje. Existují však omezení. Další informace najdete v nejčastějších dotazech ke službě Azure Bastion.

Před zahájením

Ověřte, že máte předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.

PowerShell

Tento článek používá rutiny PowerShellu. Ke spuštění rutin můžete použít Azure Cloud Shell. Cloud Shell je bezplatné interaktivní prostředí, které můžete použít ke spuštění kroků v tomto článku. Má předinstalované obecné nástroje Azure, které jsou nakonfigurované pro použití s vaším účtem.

Cloud Shell otevřete tak, že v pravém horním rohu bloku kódu vyberete Otevřít CloudShell . Cloud Shell můžete otevřít také na samostatné kartě prohlížeče tak, že přejdete na https://shell.azure.com/powershell. Výběrem možnosti Kopírovat zkopírujte bloky kódu, vložte je do Cloud Shellu a stisknutím klávesy Enter je spusťte.

Na počítači můžete také nainstalovat a spustit rutiny Azure PowerShellu místně. Rutiny PowerShellu se často aktualizují. Pokud jste nenainstalovali nejnovější verzi, můžou selhat hodnoty uvedené v pokynech. Pokud chcete najít verze Azure PowerShellu nainstalované na vašem počítači, použijte tuto rutinu Get-Module -ListAvailable Az . Informace o instalaci nebo aktualizaci najdete v tématu Instalace modulu Azure PowerShell.

Ukázkové hodnoty

Při vytváření této konfigurace můžete použít následující ukázkové hodnoty nebo můžete nahradit vlastní.

** Příklad hodnot virtuální sítě a virtuálních počítačů:**

Název	Hodnota
Virtuální počítač	Virtuální počítač TestVM
Skupina prostředků	TestRG1
Oblast	USA – východ
Virtuální síť	VNet1
Adresní prostor	10.1.0.0/16
Podsítě	Front-end: 10.1.0.0/24

Hodnoty služby Azure Bastion:

Název	Hodnota
Name	VNet1–bastion
Název podsítě	FrontEnd
Název podsítě	AzureBastionSubnet
Adresy Podsítě AzureBastion	Podsíť v rámci adresního prostoru virtuální sítě s maskou podsítě /26 nebo větší. Například 10.1.1.0/26.
Úroveň nebo skladová položka	Standard
Veřejná IP adresa	vytvoření nových
Název veřejné IP adresy	VNet1-ip
Skladová položka veřejné IP adresy	Standard
Přiřazení	staticky.

Nasazení Bastionu

Tato část vám pomůže vytvořit virtuální síť, podsítě a nasadit Azure Bastion pomocí Azure PowerShellu.

Důležité

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

1. Vytvořte skupinu prostředků, virtuální síť a front-endovou podsíť, do které nasadíte virtuální počítače, ke kterým se připojíte přes Bastion. Pokud používáte PowerShell místně, otevřete konzolu PowerShellu se zvýšenými oprávněními a připojte se k Azure pomocí Connect-AzAccount příkazu.

   New-AzResourceGroup -Name TestRG1 -Location EastUS ` 
   $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd `
   -AddressPrefix "10.1.0.0/24" ` 
   $virtualNetwork = New-AzVirtualNetwork `
   -Name TestVNet1 -ResourceGroupName TestRG1 `
   -Location EastUS -AddressPrefix "10.1.0.0/16" `
   -Subnet $frontendSubnet ` 
   $virtualNetwork | Set-AzVirtualNetwork
   

2. Nakonfigurujte a nastavte podsíť Služby Azure Bastion pro vaši virtuální síť. Tato podsíť je vyhrazená výhradně pro prostředky služby Azure Bastion. Tuto podsíť musíte vytvořit pomocí hodnoty názvu AzureBastionSubnet. Tato hodnota dává Azure vědět, do které podsítě nasadíte prostředky Bastionu. Příklad v následující části vám pomůže přidat podsíť Azure Bastion do existující virtuální sítě.

   • Nejmenší velikost podsítě AzureBastionSubnet, kterou můžete vytvořit, je /26. Doporučujeme vytvořit velikost /26 nebo větší tak, aby vyhovovala škálování hostitele.
     • Další informace o škálování najdete v tématu Nastavení konfigurace – Škálování hostitele.
     • Další informace o nastavení najdete v tématu Nastavení konfigurace – AzureBastionSubnet.
   • Vytvořte podsíť AzureBastionSubnet bez jakýchkoli směrovacích tabulek nebo delegování.
   • Pokud používáte skupiny zabezpečení sítě v podsítě AzureBastionSubnet, přečtěte si článek Práce se skupinami zabezpečení sítě .

   Nastavte proměnnou.

   $vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"
   

   Přidejte podsíť.

   Add-AzVirtualNetworkSubnetConfig `
   -Name "AzureBastionSubnet" -VirtualNetwork $vnet `
   -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork
   

3. Vytvořte veřejnou IP adresu pro Azure Bastion. Veřejná IP adresa je veřejná IP adresa prostředku Bastionu, ke kterému bude přistupovat protokol RDP/SSH (přes port 443). Veřejná IP adresa musí být ve stejné oblasti jako prostředek Bastion, který vytváříte.

   $publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" `
   -name "VNet1-ip" -location "EastUS" `
   -AllocationMethod Static -Sku Standard
   

4. Pomocí příkazu New-AzBastion Vytvořte nový prostředek Azure Bastion v podsítě AzureBastion. Následující příklad používá skladovou položku Basic. Bastion ale můžete nasadit také pomocí skladové položky Standard změnou hodnoty -Sku na Standard. Skladová položka Standard umožňuje nakonfigurovat více funkcí Bastionu a připojit se k virtuálním počítačům pomocí více typů připojení. Bastion můžete také nasadit automaticky pomocí skladové položky pro vývojáře. Další informace naleznete v tématu Skladové položky Bastionu.

   New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" `
   -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" `
   -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" `
   -Sku "Basic"
   

5. Nasazení prostředků Bastionu trvá přibližně 10 minut. Virtuální počítač můžete vytvořit v další části, zatímco Bastion se nasadí do vaší virtuální sítě.

Vytvoření virtuálního počítače

Virtuální počítač můžete vytvořit pomocí rychlého startu : Vytvoření virtuálního počítače pomocí PowerShellu nebo rychlého startu: Vytvoření virtuálního počítače pomocí článků na portálu . Ujistěte se, že virtuální počítač nasadíte do stejné virtuální sítě, do které jste nasadili Bastion. Virtuální počítač, který vytvoříte v této části, není součástí konfigurace Bastionu a nestane se hostitelem bastionu. K tomuto virtuálnímu počítači se připojíte později v tomto kurzu prostřednictvím Bastionu.

Následující požadované role pro vaše prostředky.

• Požadované role virtuálních počítačů:

  • Role čtenáře na virtuálním počítači.
  • Role čtenáře na síťové kartě s privátní IP adresou virtuálního počítače.

• Požadované příchozí porty:

  • Pro virtuální počítače s Windows – RDP (3389)
  • Pro virtuální počítače s Linuxem – SSH (22)

Připojení k virtuálnímu počítači

K připojení k virtuálnímu počítači můžete použít kroky Připojení ion v následující části. K připojení k virtuálnímu počítači můžete použít také některý z následujících článků. Některé typy připojení vyžadují skladovou položku Bastion Standard.

• Připojení k virtuálnímu počítači s Windows
  • RDP
  • SSH
• Připojení k virtuálnímu počítači s Linuxem
  • SSH
• Připojení do škálovací sady
• Připojení přes IP adresu
• Připojení z nativního klienta
  • Klient s Windows
  • Klient Linux/SSH

kroky Připojení ion

1. Na webu Azure Portal přejděte na virtuální počítač, ke kterému se chcete připojit.

2. V horní části podokna vyberte Připojení> Bastion a přejděte do podokna Bastion. K podoknu Bastion můžete přejít také pomocí levé nabídky.

3. Možnosti dostupné v podokně Bastion závisí na skladové poště Bastionu. Pokud používáte skladovou položku Basic, připojíte se k počítači s Windows pomocí protokolu RDP a portu 3389. Pro skladovou položku Basic se také připojíte k počítači s Linuxem pomocí SSH a portu 22. Nemáte možnost změnit číslo portu ani protokol. Jazyk klávesnice pro protokol RDP ale můžete změnit rozbalením Připojení ionu Nastavení.

   

   Pokud používáte skladovou položku Standard, máte k dispozici více protokolů připojení a možností portu. Rozbalením Připojení ion Nastavení zobrazíte možnosti. Obvykle platí, že pokud pro virtuální počítač nenakonfigurujete jiná nastavení, připojíte se k počítači s Windows pomocí protokolu RDP a portu 3389. K počítači s Linuxem se připojujete pomocí SSH a portu 22.

   

4. Jako typ ověřování vyberte z rozevíracího seznamu. Protokol určuje dostupné typy ověřování. Dokončete požadované hodnoty ověřování.

   

5. Pokud chcete otevřít relaci virtuálního počítače na nové kartě prohlížeče, ponechte vybranou kartu Otevřít v novém prohlížeči.

6. Vyberte Připojení pro připojení k virtuálnímu počítači.

7. Pomocí portu 443 a služby Bastion ověřte, že se připojení k virtuálnímu počítači otevře přímo na webu Azure Portal (přes HTML5).

   

   Poznámka:

   Když se připojíte, plocha virtuálního počítače bude vypadat jinak než na ukázkovém snímku obrazovky.

Použití klávesových zkratek při připojení k virtuálnímu počítači nemusí mít za následek stejné chování jako klávesové zkratky na místním počítači. Pokud jste například připojení k virtuálnímu počítači s Windows z klienta Windows, ctrl+Alt+End je klávesová zkratka ctrl+Alt+Delete na místním počítači. Pokud to chcete udělat z Macu, když jste připojení k virtuálnímu počítači s Windows, je klávesová zkratka Fn+Ctrl+Alt+Backspace.

Povolení zvukového výstupu

Pro virtuální počítač můžete povolit vzdálený zvukový výstup. Některé virtuální počítače toto nastavení automaticky povolují, zatímco jiné vyžadují ruční povolení nastavení zvuku. Nastavení se změní na samotném virtuálním počítači. K povolení vzdáleného zvukového výstupu vaše nasazení Bastionu nepotřebujete žádná speciální nastavení konfigurace.

Poznámka:

Zvukový výstup používá šířku pásma připojení k internetu.

Povolení vzdáleného zvukového výstupu na virtuálním počítači s Windows:

1. Po připojení k virtuálnímu počítači se v pravém dolním rohu panelu nástrojů zobrazí zvukové tlačítko. Klikněte pravým tlačítkem myši na tlačítko zvuku a pak vyberte Zvuky.
2. Zobrazí se automaticky otevíraná zpráva s dotazem, jestli chcete povolit službu Windows Audio Service. Vyberte Ano. V předvolbách zvuku můžete nakonfigurovat další možnosti zvuku.
3. Pokud chcete ověřit zvukový výstup, najeďte myší na tlačítko zvuku na panelu nástrojů.

Odebrání veřejné IP adresy virtuálního počítače

Azure Bastion nepoužívá veřejnou IP adresu pro připojení k klientskému virtuálnímu počítači. Pokud pro virtuální počítač nepotřebujete veřejnou IP adresu, můžete zrušit přidružení veřejné IP adresy. Viz Zrušení přidružení veřejné IP adresy z virtuálního počítače Azure.

Další kroky

• Pokud chcete používat skupiny zabezpečení sítě s podsítí služby Azure Bastion, přečtěte si téma Práce se skupinami zabezpečení sítě.
• Pokud chcete porozumět partnerskému vztahu virtuálních sítí, přečtěte si téma VNet Peering a Azure Bastion.