Freigeben über


Herstellen der Verbindung mit einer VM über die angegebene private IP-Adresse

Mithilfe einer IP-basierten Verbindung können Sie eine Verbindung mit Ihren lokalen, Nicht-Azure- und Azure-VMs über Azure Bastion über ExpressRoute oder eine VPN-Site-to-Site-Verbindung mithilfe einer angegebenen privaten IP-Adresse herstellen. Die Schritte in diesem Artikel zeigen Ihnen, wie Sie Ihre Bastion-Bereitstellung konfigurieren und dann eine Verbindung mit einer lokalen Ressource mithilfe der IP-basierten Verbindung herstellen. Weitere Informationen über Azure Bastion finden Sie in der Übersicht.

Abbildung: Azure Bastion-Architektur

Hinweis

Diese Konfiguration erfordert den Tarif „Standard-SKU“ oder höher für Azure Bastion. Informationen zum Upgrade finden Sie unter Upgrade einer SKU.

Einschränkungen

  • Die IP-basierte Verbindung funktioniert nicht mit erzwungenem Tunneling über VPN oder wenn eine Standardroute über eine ExpressRoute-Leitung angekündigt wird. Azure Bastion erfordert Zugriff auf das Internet und erzwingt Tunneling, oder die Standardroutenankündigung führt dazu, dass Datenverkehr ohne Rückmeldung verworfen wird.

  • Die Microsoft Entra-Authentifizierung wird für RDP-Verbindungen nicht unterstützt. Die Microsoft Entra-Authentifizierung wird für SSH-Verbindungen über einen nativen Client unterstützt.

  • Benutzerdefinierte Ports und Protokolle werden derzeit beim Herstellen einer Verbindung mit einer VM über einen nativen Client nicht unterstützt.

  • UDR wird im Bastion-Subnetz nicht unterstützt, auch nicht mit IP-basierten Verbindungen.

Voraussetzungen

Bevor Sie mit den folgenden Schritten beginnen, überprüfen Sie, ob die folgende Umgebung eingerichtet ist:

  • Ein VNET, in dem Bastion bereits bereitgestellt ist.

    • Stellen Sie sicher, dass Sie Bastion im virtuellen Netzwerk bereitgestellt haben. Sobald der Bastion-Dienst provisioniert und in Ihrem virtuellen Netzwerk bereitgestellt wurde, können Sie damit eine Verbindung mit jeder VM in einem der über Bastion erreichbaren virtuellen Netzwerke herzustellen.
    • Informationen zum Bereitstellen von Bastion finden Sie unter Schnellstart: Bereitstellen von Bastion mit Standardeinstellungen.
  • Ein virtueller Computer in jedem erreichbaren virtuellen Netzwerk. Dies ist der virtuelle Computer, mit dem Sie eine Verbindung herstellen.

Konfigurieren von Bastion

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie im Azure-Portal zu Ihrer Bastion-Bereitstellung.

  3. IP-basierte Verbindung erfordert die Standard-SKU-Ebene oder höher. Überprüfen Sie daher auf der Seite Konfiguration unter Tarif, ob der Tarif Standard-SKU oder höher festgelegt ist. Wenn die Ebene auf die Standard-SKU festgelegt ist, wählen Sie eine höhere SKU aus der Dropdownliste aus.

  4. Um die IP-basierte Verbindung zu aktivieren, wählen Sie IP-basierte Verbindung aus.

    Screenshot: Konfigurationsseite

  5. Wählen Sie Übernehmen aus, um die Änderungen zu übernehmen. Es dauert einige Minuten, bis die Bastion-Konfiguration abgeschlossen ist.

Herstellen einer Verbindung mit dem virtuellen Computer: Azure-Portal

  1. Um eine Verbindung mit einem virtuellen Computer mit einer angegebenen privaten IP-Adresse herzustellen, stellen Sie die Verbindung von Bastion mit dem virtuellen Computer her, nicht direkt auf der VM-Seite. Wählen Sie auf Ihrer Bastion-Seite Verbinden aus, um die Seite „Verbinden“ zu öffnen.

  2. Geben Sie auf der Seite Verbinden von Bastion für IP-Adresse die private IP-Adresse der Ziel-VM ein.

    Screenshot: Seite zum Herstellen einer Verbindung über Azure Bastion

  3. Passen Sie Ihre Verbindungseinstellungen dem gewünschten Protokoll und Port an.

  4. Geben Sie Ihre Anmeldeinformationen in Benutzername und Kennwort ein.

  5. Wählen Sie Verbinden aus, um eine Verbindung mit Ihrem virtuellen Computer herzustellen.

Herstellen einer Verbindung mit dem virtuellen Computer: nativer Client

Sie können eine Verbindung mit virtuellen Computern über eine angegebene IP-Adresse mit nativem Client per SSH, RDP oder Tunnel herstellen. Weitere Informationen zum Konfigurieren der nativen Clientunterstützung finden Sie unter Konfigurieren der nativen Clientunterstützung für Bastion.

Hinweis

Beachten Sie, dass dieses Feature derzeit keine Microsoft Entra-Authentifizierung oder benutzerdefinierten Ports und Protokolle unterstützt.

Die folgende Befehle dienen als Beispiele:

RDP:

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>

SSH:

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"

Tunnel:

az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"

Nächste Schritte

Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Azure Bastion.