Nasazení Bastionu pomocí Azure CLI

V tomto článku se dozvíte, jak nasadit Azure Bastion pomocí rozhraní příkazového řádku. Azure Bastion je služba PaaS, která je pro vás udržovaná, nikoli hostitele bastionu, kterého nainstalujete na virtuální počítač a udržujete se sami. Nasazení služby Azure Bastion je na virtuální síť, nikoli na předplatné nebo účet nebo virtuální počítač. Další informace o službě Azure Bastion najdete v tématu Co je Azure Bastion?

Po nasazení Bastionu do virtuální sítě se můžete k virtuálním počítačům připojit přes privátní IP adresu. Toto bezproblémové prostředí RDP/SSH je dostupné pro všechny virtuální počítače ve stejné virtuální síti. Pokud má váš virtuální počítač veřejnou IP adresu, kterou nepotřebujete, můžete ji odebrat.

V tomto článku vytvoříte virtuální síť (pokud ji ještě nemáte), nasadíte Azure Bastion pomocí rozhraní příkazového řádku a připojíte se k virtuálnímu počítači. Bastion můžete nasadit také pomocí následujících dalších metod:

• Azure Portal
• Azure PowerShell
• Rychlý start – nasazení s výchozím nastavením

Poznámka:

Použití služby Azure Bastion s zónami Azure Privátní DNS se podporuje. Existují však omezení. Další informace najdete v nejčastějších dotazech ke službě Azure Bastion.

Před zahájením

Předplatné Azure

Ověřte, že máte předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.

Azure CLI

Tento článek používá Azure CLI. Ke spouštění příkazů můžete použít Azure Cloud Shell. Azure Cloud Shell je bezplatné interaktivní prostředí, které můžete použít k provedení kroků v tomto článku. Má předinstalované obecné nástroje Azure, které jsou nakonfigurované pro použití s vaším účtem.

Pokud chcete otevřít Cloud Shell, vyberte položku Vyzkoušet v pravém horním rohu bloku kódu. Cloud Shell můžete také spustit na samostatné kartě prohlížeče tak, že přejdete do https://shell.azure.com rozevíracího seznamu v levém rohu a přepnete ho tak, aby odrážel Bash nebo PowerShell. Zkopírujte bloky kódu výběrem možnosti Kopírovat, vložte je do služby Cloud Shell a potom je spusťte stisknutím klávesy Enter.

Nasazení Bastionu

Tato část vám pomůže nasadit Azure Bastion pomocí Azure CLI.

Důležité

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

1. Pokud ještě nemáte virtuální síť, vytvořte skupinu prostředků a virtuální síť pomocí příkazu az group create a az network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Pomocí příkazu az network vnet subnet create vytvořte podsíť, do které bude Bastion nasazen. Podsíť, kterou vytvoříte, musí mít název AzureBastionSubnet. Tato podsíť je vyhrazená výhradně pro prostředky služby Azure Bastion. Pokud nemáte podsíť s hodnotou pojmenování AzureBastionSubnet, Bastion se nenasadí.

   • Nejmenší podsíť AzureBastionSubnet, kterou můžete vytvořit, je /26. Doporučujeme vytvořit velikost /26 nebo větší tak, aby vyhovovala škálování hostitele.
     • Další informace o škálování najdete v tématu Nastavení konfigurace – Škálování hostitele.
     • Další informace o nastavení najdete v tématu Nastavení konfigurace – AzureBastionSubnet.
   • Vytvořte podsíť AzureBastionSubnet bez jakýchkoli směrovacích tabulek nebo delegování.
   • Pokud používáte skupiny zabezpečení sítě v podsítě AzureBastionSubnet, přečtěte si článek Práce se skupinami zabezpečení sítě .

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Vytvořte veřejnou IP adresu pro Azure Bastion. Veřejná IP adresa je veřejná IP adresa prostředku Bastionu, ke kterému bude přistupovat RDP/SSH (přes port 443). Veřejná IP adresa musí být ve stejné oblasti jako prostředek Bastion, který vytváříte. Z tohoto důvodu věnujte zvláštní pozornost zadané hodnotě --location .

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Pomocí příkazu az network bastion create vytvořte nový prostředek služby Azure Bastion pro vaši virtuální síť. Vytvoření a nasazení prostředku Bastion trvá přibližně 10 minut.

   Následující příklad nasadí Bastion pomocí úrovně Basic SKU. Můžete také nasadit pomocí jiných skladových položek. Skladová položka určuje funkce, které vaše nasazení Bastion podporuje. Pokud v příkazu nezadáte skladovou položku, výchozí skladová položka je Standard. Další informace naleznete v tématu Skladové položky Bastionu.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Připojení k virtuálnímu počítači

Pokud ještě ve virtuální síti nemáte virtuální počítače, můžete virtuální počítač vytvořit pomocí rychlého startu: Vytvoření virtuálního počítače s Windows nebo rychlý start: Vytvoření virtuálního počítače s Linuxem

Můžete použít některý z následujících článků nebo postup v následující části, který vám pomůže připojit se k virtuálnímu počítači. Některé typy připojení vyžadují skladovou položku Bastion Standard nebo vyšší.

• Připojení k virtuálnímu počítači s Windows
  • RDP
  • SSH
• Připojení k virtuálnímu počítači s Linuxem
  • SSH
• Připojení ke škálovací sadě
• Připojení přes IP adresu
• Připojení z nativního klienta
  • Klient s Windows
  • Klient Linux/SSH

Připojení pomocí portálu

Následující kroky vás provedou jedním typem připojení pomocí webu Azure Portal.

1. Na webu Azure Portal přejděte na virtuální počítač, ke kterému se chcete připojit.

2. V horní části podokna vyberte Připojit>Bastion a přejděte do podokna Bastion. K podoknu Bastion můžete přejít také pomocí levé nabídky.

3. Možnosti dostupné v podokně Bastion závisí na skladové poště Bastionu. Pokud používáte skladovou položku Basic, připojíte se k počítači s Windows pomocí protokolu RDP a portu 3389. Pro skladovou položku Basic se také připojíte k počítači s Linuxem pomocí SSH a portu 22. Nemáte možnost změnit číslo portu ani protokol. Jazyk klávesnice pro protokol RDP ale můžete změnit rozbalením nastavení připojení.

   

   Pokud používáte skladovou položku Standard, máte k dispozici více protokolů připojení a možností portu. Rozbalením nastavení připojení zobrazíte možnosti. Obvykle platí, že pokud pro virtuální počítač nenakonfigurujete jiná nastavení, připojíte se k počítači s Windows pomocí protokolu RDP a portu 3389. K počítači s Linuxem se připojujete pomocí SSH a portu 22.

   

4. Jako typ ověřování vyberte z rozevíracího seznamu. Protokol určuje dostupné typy ověřování. Dokončete požadované hodnoty ověřování.

   

5. Pokud chcete otevřít relaci virtuálního počítače na nové kartě prohlížeče, ponechte vybranou kartu Otevřít v novém prohlížeči.

6. Vyberte Připojit a připojte se k virtuálnímu počítači.

7. Pomocí portu 443 a služby Bastion ověřte, že se připojení k virtuálnímu počítači otevře přímo na webu Azure Portal (přes HTML5).

   

   Poznámka:

   Když se připojíte, plocha virtuálního počítače bude vypadat jinak než na ukázkovém snímku obrazovky.

Použití klávesových zkratek při připojení k virtuálnímu počítači nemusí mít za následek stejné chování jako klávesové zkratky na místním počítači. Pokud jste například připojení k virtuálnímu počítači s Windows z klienta Windows, ctrl+Alt+End je klávesová zkratka ctrl+Alt+Delete na místním počítači. Uděláte to z Macu, když jste připojení k virtuálnímu počítači s Windows, klávesová zkratka fn+control+option+delete.

Povolení zvukového výstupu

Pro virtuální počítač můžete povolit vzdálený zvukový výstup. Některé virtuální počítače toto nastavení automaticky povolují, zatímco jiné vyžadují ruční povolení nastavení zvuku. Nastavení se změní na samotném virtuálním počítači. K povolení vzdáleného zvukového výstupu vaše nasazení Bastionu nepotřebujete žádná speciální nastavení konfigurace.

Poznámka:

Zvukový výstup používá šířku pásma připojení k internetu.

Povolení vzdáleného zvukového výstupu na virtuálním počítači s Windows:

1. Po připojení k virtuálnímu počítači se v pravém dolním rohu panelu nástrojů zobrazí zvukové tlačítko. Klikněte pravým tlačítkem myši na tlačítko zvuku a pak vyberte Zvuky.
2. Zobrazí se automaticky otevíraná zpráva s dotazem, jestli chcete povolit službu Windows Audio Service. Vyberte Ano. V předvolbách zvuku můžete nakonfigurovat další možnosti zvuku.
3. Pokud chcete ověřit zvukový výstup, najeďte myší na tlačítko zvuku na panelu nástrojů.

Odebrání veřejné IP adresy virtuálního počítače

Azure Bastion nepoužívá veřejnou IP adresu pro připojení k klientskému virtuálnímu počítači. Pokud pro virtuální počítač nepotřebujete veřejnou IP adresu, můžete zrušit přidružení veřejné IP adresy. Viz Zrušení přidružení veřejné IP adresy z virtuálního počítače Azure.

Další kroky

• Pokud chcete používat skupiny zabezpečení sítě s podsítí služby Azure Bastion, přečtěte si téma Práce se skupinami zabezpečení sítě.
• Pokud chcete porozumět partnerskému vztahu virtuálních sítí, přečtěte si téma VNet Peering a Azure Bastion.