Sdílet prostřednictvím

Kurz: Nasazení služby Azure Bastion pomocí zadaných nastavení

Tento kurz vám pomůže nakonfigurovat vyhrazené nasazení služby Azure Bastion do vaší virtuální sítě z portálu Azure pomocí nastavení a SKU podle vašeho výběru. Skladová položka určuje funkce a připojení, která jsou k dispozici pro vaše nasazení. Další informace o kódech skladových jednotek a jejich funkcích najdete v tématu Nastavení konfigurace – skladové položky. Po nasazení Bastionu můžete pomocí SSH nebo RDP připojit k virtuálním počítačům ve virtuální síti přes Bastion pomocí privátních IP adres virtuálních počítačů. Když se připojíte k virtuálnímu počítači, nepotřebujete veřejnou IP adresu, klientský software, agenta ani speciální konfiguraci.

Následující diagram znázorňuje architekturu vyhrazeného nasazení služby Azure Bastion pro účely tohoto kurzu. Unlike the Bastion Developer architecture, a dedicated deployment architecture deploys a dedicated bastion host directly to your virtual network.

Diagram znázorňující architekturu služby Azure Bastion

The steps in this tutorial deploy Bastion using the Standard SKU via the Dedicated Deployment Option Configure Manually. V tomto kurzu upravíte škálování hostitele (počet instancí), které skladová položka Standard podporuje. Pokud pro nasazení použijete nižší skladovou položku, nemůžete upravit škálování hostitele. Můžete také vybrat zónu dostupnosti v závislosti na oblasti, do které chcete nasadit.

Po dokončení nasazení se k virtuálnímu počítači připojíte přes privátní IP adresu. Pokud má váš virtuální počítač veřejnou IP adresu, kterou nepotřebujete, můžete ji odebrat.

V tomto kurzu se naučíte:

  • Nasaďte Bastion do virtuální sítě.
  • Připojte se k virtuálnímu počítači.
  • Remove the public IP address from a virtual machine.

Požadavky

K dokončení tohoto kurzu potřebujete tyto prostředky:

  • Předplatné Azure. Pokud ho nemáte, vytvořte si bezplatný účet před tím, než začnete.

  • Virtuální síť , do které nasadíte Bastion.

  • Virtuální počítač ve virtuální síti. Tento virtuální počítač není součástí konfigurace Bastionu a nestane se hostitelem bastionu. K tomuto virtuálnímu počítači se připojíte později v tomto kurzu prostřednictvím Bastionu. Pokud virtuální počítač nemáte, vytvořte ho pomocí rychlého startu: Vytvoření virtuálního počítače s Windows nebo rychlého startu: Vytvoření virtuálního počítače s Linuxem.

  • Požadované role virtuálních počítačů:

    • Role čtenáře u virtuálního počítače
    • Role čtenáře na síťovém adaptéru (NIC) s privátní IP adresou virtuálního počítače

  • Požadované příchozí porty:

    • Pro virtuální počítače s Windows: RDP (3389)
    • Pro virtuální počítače s Linuxem: SSH (22)

Poznámka:

Použití služby Azure Bastion s zónami Azure Privátní DNS se podporuje. Existují však omezení. Další informace najdete v nejčastějších dotazech ke službě Azure Bastion.

Nasazení Bastionu

Tato část vám pomůže nasadit Bastion do virtuální sítě. Po nasazení Bastionu se můžete bezpečně připojit k libovolnému virtuálnímu počítači ve virtuální síti pomocí jeho privátní IP adresy.

Důležité

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

  1. Přihlaste se k portálu Azure.

  2. Přejděte do své virtuální sítě. Na stránce vaší virtuální sítě v levém podokně vyberte Bastion. Tyto pokyny budou fungovat také v případě, že na portálu konfigurujete Bastion ze stránky virtuálního počítače.

  3. V podokně Bastion rozbalte položku Možnosti vyhrazeného nasazení , aby se zobrazilo tlačítko Konfigurovat ručně . You might need to scroll to see the option to expand.

  4. Vyberte Konfigurovat ručně. Tato možnost umožňuje nakonfigurovat konkrétní další nastavení (například skladovou položku) při nasazování Bastionu do virtuální sítě.

  5. V podokně Vytvořit bastion nakonfigurujte nastavení pro vašeho hostitele bastionu. Podrobnosti o projektu se vyplní z hodnot virtuální sítě. V části Podrobnosti instance nakonfigurujte tyto hodnoty:

    Nastavení Hodnota
    Name Zadejte název, který chcete použít pro prostředek Bastion. Například VNet1-bastion.
    Region Vyberte oblast, ve které se nachází vaše virtuální síť.
    Availability zone V případě potřeby vyberte zóny z rozevíracího seznamu. Podporují se jenom určité oblasti. Další informace najdete v tématu Co jsou zóny dostupnosti?
    Tier Pro účely tohoto kurzu vyberte skladovou položku Standard . Informace o funkcích dostupných pro jednotlivé skladové položky najdete v tématu Nastavení konfigurace – skladová položka.
    Instance count Configure host scaling in scale unit increments. Pomocí posuvníku nebo zadejte číslo ke konfiguraci požadovaného počtu instancí, například 3. Další informace najdete v tématu Instance a škálování hostitelů a ceny služby Azure Bastion.

  6. Nakonfigurujte nastavení virtuálních sítí. V rozevíracím seznamu vyberte svou virtuální síť. Pokud vaše virtuální síť není v rozevíracím seznamu, ujistěte se, že jste v předchozím kroku vybrali správnou hodnotu oblasti .

  7. For Subnet, if you already have a subnet configured in your virtual network that is named AzureBastionSubnet, it will automatically select in the portal. Pokud to neuděláte, můžete si ho vytvořit. Pokud chcete vytvořit podsíť AzureBastionSubnet, vyberte Spravovat konfiguraci podsítě. V podokně Podsítě vyberte +Podsíť. Nakonfigurujte následující hodnoty a pak přidejte.

    Nastavení Hodnota
    Účel podsítě V rozevíracím seznamu vyberte Azure Bastion . Určuje, že název je AzureBastionSubnet.
    Počáteční adresa Zadejte počáteční adresu podsítě. Pokud je například adresní prostor 10.1.0.0/16, můžete pro počáteční adresu použít adresu 10.1.1.0 .
    Velikost Podsíť musí být /26 nebo větší (například /26, /25 nebo /24), aby vyhovovala funkcím dostupným u skladové položky Standard.

  8. V horní části podokna Podsítě pomocí navigačních odkazů vyberte Vytvořit bastion a vraťte se na konfigurační podokno bastionu.

    Snímek obrazovky s podoknem se seznamem podsítí služby Azure Bastion

  9. V části Veřejná IP adresa se konfiguruje veřejná IP adresa prostředku hostitele bastionu, ke kterému bude přistupovat protokol RDP/SSH (přes port 443). Nakonfigurujte tato nastavení:

    Nastavení Hodnota
    Veřejná IP adresa Vyberte Vytvořit novou a vytvořte novou veřejnou IP adresu pro prostředek Bastion. Můžete také vybrat možnost Use existing a v rozevíracím seznamu zvolit existující veřejnou IP adresu, pokud již máte vytvořenou IP adresu, která splňuje správná kritéria a není již používána. Veřejná IP adresa musí být ve stejné oblasti jako prostředek Bastion, který vytváříte.
    Název veřejné IP adresy Zadejte název veřejné IP adresy. Například VNet1-bastion-ip.
    Public IP address SKU Veřejná IP adresa musí používat SKU Standard. Portál tuto hodnotu automaticky naplní.
    Zadání statický
    Availability zone Zone-redundant (if available)

  10. When you finish specifying the settings, select Review + Create. Tento krok ověří hodnoty.

  11. Po ověření hodnot můžete nasadit Bastion. Vyberte Vytvořit.

    Zpráva říká, že vaše nasazení probíhá. The status appears on this page as the resources are created. Vytvoření a nasazení prostředku Bastion trvá přibližně 10 minut.

Připojení k virtuálnímu počítači

K připojení k virtuálnímu počítači můžete použít některý z následujících podrobných článků. Some connection types require the Bastion Standard SKU.

K připojení k virtuálnímu počítači můžete použít také tyto základní kroky připojení:

  1. Na webu Azure Portal přejděte na virtuální počítač, ke kterému se chcete připojit.

  2. V horní části podokna vyberte Bastion a přejděte do podokna > K podoknu Bastion můžete přejít také pomocí levé nabídky.

  3. Možnosti, které jsou k dispozici na podokně Bastion, závisejí na SKU Bastionu.

    Pokud používáte Basic SKU, připojíte se k počítači s operačním systémem Windows pomocí protokolu RDP a portu 3389. Pro skladovou položku Basic se také připojíte k počítači s Linuxem pomocí SSH a portu 22. Nemáte možnost změnit číslo portu ani protokol. Jazyk klávesnice pro protokol RDP ale můžete změnit rozbalením Nastavení připojení v tomto podokně.

    Pokud používáte skladovou položku Standard, máte k dispozici více protokolů připojení a možností portu. Rozbalením nastavení připojení zobrazíte možnosti. Obvykle platí, že pokud pro virtuální počítač nenakonfigurujete jiná nastavení, připojíte se k počítači s Windows pomocí protokolu RDP a portu 3389. K počítači s Linuxem se připojujete pomocí SSH a portu 22.

  4. V poli Typ ověřování vyberte v rozevíracím seznamu typ ověřování. Protokol určuje dostupné typy ověřování. Vyplňte nezbytné hodnoty ověřování.

  5. To open the VM session in a new browser tab, leave Open in new browser tab selected.

  6. Vyberte Připojit a připojte se k virtuálnímu počítači.

  7. Pomocí portu 443 a služby Bastion ověřte, že se připojení k virtuálnímu počítači otevře přímo na webu Azure Portal (přes HTML5).

Použití klávesových zkratek při připojení k virtuálnímu počítači nemusí mít za následek stejné chování jako klávesové zkratky na místním počítači. Pokud jste například připojení k virtuálnímu počítači s Windows z klienta Windows, ctrl+Alt+End je klávesová zkratka ctrl+Alt+Delete na místním počítači. Chcete-li to provést na Macu, když jste připojeni k Windows VM, použijte klávesovou zkratku fn+control+option+delete.

Povolení zvukového výstupu

Pro virtuální počítač můžete povolit vzdálený zvukový výstup. Některé virtuální počítače toto nastavení automaticky povolují, zatímco jiné vyžadují ruční povolení nastavení zvuku. Nastavení se změní na samotném virtuálním počítači. Nasazení vašeho Bastionu nepotřebuje žádná speciální nastavení konfigurace pro povolení vzdáleného zvukového výstupu. V tuto chvíli se zvukový vstup nepodporuje.

Poznámka:

Zvukový výstup používá šířku pásma připojení k internetu.

Povolení vzdáleného zvukového výstupu na virtuálním počítači s Windows:

  1. Po připojení k virtuálnímu počítači se v pravém dolním rohu panelu nástrojů zobrazí zvukové tlačítko. Klikněte pravým tlačítkem myši na tlačítko zvuku a pak vyberte Zvuky.
  2. Zobrazí se automaticky otevíraná zpráva s dotazem, jestli chcete povolit službu Windows Audio Service. Vyberte Ano. V předvolbách zvuku můžete nakonfigurovat další možnosti zvuku.
  3. Pokud chcete ověřit zvukový výstup, najeďte myší na tlačítko zvuku na panelu nástrojů.

Odebrání veřejné IP adresy virtuálního počítače

Když se k virtuálnímu počítači připojíte pomocí služby Azure Bastion, nepotřebujete pro svůj virtuální počítač veřejnou IP adresu. Pokud nepoužíváte veřejnou IP adresu pro nic jiného, můžete ji zrušit od svého virtuálního počítače:

  1. Přejděte na virtuální počítač. Na stránce Přehled kliknutím na veřejnou IP adresu otevřete stránku Veřejné IP adresy.

  2. Na stránce Veřejná IP adresa přejděte na Přehled. Můžete zobrazit prostředek, ke kterému je tato IP adresa přidružená. Select Dissociate at the top of the pane.

  3. Chcete-li zrušit přidružení IP adresy ze síťového rozhraní virtuálního počítače, vyberte ano . Po odpojení veřejné IP adresy od síťového rozhraní ověřte, že už není uvedená v sekci Přidružené.

  4. After you dissociate the IP address, you can delete the public IP address resource. V podokně Veřejné IP adresy virtuálního počítače v horní části stránky Přehled vyberte Odstranit.

  5. Pokud chcete odstranit veřejnou IP adresu, vyberte Ano .

Clean up resources

Po dokončení používání této aplikace odstraňte vaše prostředky.

  1. Do vyhledávacího pole v horní části portálu zadejte název vaší skupiny prostředků. Jakmile se vaše skupina prostředků zobrazí ve výsledcích hledání, vyberte ji.
  2. Vyberte Odstranit skupinu prostředků.
  3. Zadejte název skupiny prostředků pro TYP NÁZEV SKUPINY PROSTŘEDKŮ a pak vyberte Odstranit.

Další kroky

V tomto kurzu jste nasadili Bastion do virtuální sítě a připojili se k virtuálnímu počítači. Pak jste z virtuálního počítače odebrali veřejnou IP adresu. V dalším kroku se dozvíte a nakonfigurujte další funkce Bastionu.

Nastavení konfigurace služby Azure Bastion

Připojení a funkce virtuálních počítačů

Konfigurace ochrany před útoky Azure DDos pro vaši virtuální síť