Bereitstellen von Bastion mit der Azure-Befehlszeilenschnittstelle

In diesem Artikel wird gezeigt, wie Sie Azure Bastion mithilfe der Befehlszeilenschnittstelle bereitstellen. Azure Bastion ist ein PaaS-Dienst, der für Sie verwaltet wird, kein Bastionhost, den Sie auf einer Ihrer VMs installieren und selbst verwalten. Eine Azure Bastion-Bereitstellung erfolgt pro virtuellem Netzwerk und nicht pro Abonnement/Konto oder virtuellem Computer. Weitere Informationen zu Azure Bastion finden Sie unter Was ist Azure Bastion?.

Nachdem Sie Bastion in Ihrem virtuellen Netzwerk bereitgestellt haben, können Sie über eine private IP-Adresse eine Verbindung mit Ihren VMs herstellen. Diese nahtlose RDP/SSH-Benutzererfahrung steht allen VMs innerhalb des gleichen virtuellen Netzwerks zur Verfügung. Wenn Ihre VM über eine öffentliche IP-Adresse verfügt, die für keine anderen Zwecke benötigt wird, können Sie sie entfernen.

In diesem Artikel erstellen Sie ein virtuelles Netzwerk (sofern noch nicht vorhanden), stellen Azure Bastion mithilfe der CLI bereit und stellen eine Verbindung mit einem virtuellen Computer her. Sie können Bastion auch mithilfe der folgenden anderen Methoden bereitstellen:

• Azure portal
• Azure PowerShell
• Schnellstart: Bereitstellen mit Standardeinstellungen

Hinweis

Die Verwendung von Azure Bastion mit privaten Azure DNS-Zonen wird unterstützt. Es gibt jedoch Einschränkungen. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Azure Bastion.

Vorbereitungen

Azure-Abonnement

Stellen Sie sicher, dass Sie über ein Azure-Abonnement verfügen. Wenn Sie noch kein Azure-Abonnement besitzen, können Sie Ihre MSDN-Abonnentenvorteile aktivieren oder sich für ein kostenloses Konto registrieren.

Azure CLI

In diesem Artikel wird die Azure CLI verwendet. Um Befehle auszuführen, können Sie Azure Cloud Shell verwenden. Azure Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel ausführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.

Wählen Sie zum Öffnen von Cloud Shell oben rechts in einem Codeblock einfach die Option Ausprobieren. Sie können Cloud Shell auch in einer separaten Browserregisterkarte aufrufen, indem Sie zu https://shell.azure.com wechseln und die Dropdown-Liste in der linken Ecke auf Bash oder PowerShell einstellen. Wählen Sie Kopieren, um die Blöcke mit dem Code zu kopieren. Fügen Sie ihn anschließend in Cloud Shell ein, und drücken Sie die EINGABETASTE, um ihn auszuführen.

Bereitstellen von Bastion

Dieser Abschnitt unterstützt Sie beim Bereitstellen von Azure Bastion mithilfe der Azure CLI.

Wichtig

Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.

1. Wenn Sie noch nicht über ein virtuelles Netzwerk verfügen, erstellen Sie mit az group create und az network vnet create eine Ressourcengruppe und ein virtuelles Netzwerk.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Verwenden Sie az network vnet subnet create, um das Subnetz zu erstellen, in dem Bastion bereitgestellt werden soll. Das erstellte Subnetz muss AzureBastionSubnet heißen. Dieses Subnetz ist ausschließlich für Azure Bastion-Ressourcen reserviert. Wenn Sie kein Subnetz mit dem Namenswert AzureBastionSubnet haben, wird Bastion nicht bereitgestellt.

   • Die kleinste AzureBastionSubnet-Subnetzgröße, die Sie erstellen können, ist /26. Es wird empfohlen, mindestens die Größe /26 zu verwenden, um die Hostskalierung zu ermöglichen.
     • Weitere Informationen zur Skalierung finden Sie unter Instanzen und Hostskalierung (Vorschau).
     • Weitere Informationen zu Einstellungen finden Sie unter Instanzen und Hostskalierung (Vorschau).
   • Erstellen Sie AzureBastionSubnet ohne Routentabellen oder Delegierungen.
   • Weitere Informationen zum Verwenden von Netzwerksicherheitsgruppen in AzureBastionSubnet finden Sie im Artikel Arbeiten mit Netzwerksicherheitsgruppen.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Erstellen Sie eine öffentliche IP-Adresse für Azure Bastion. Die öffentliche IP-Adresse ist die öffentliche IP-Adresse der Bastion-Ressource für den RDP-/SSH-Zugriff (über den Port 443). Die öffentliche IP-Adresse muss sich in der gleichen Region befinden wie die Bastion-Ressource, die Sie erstellen. Achten Sie aus diesem Grund besonders auf den von Ihnen für --location angegebenen Wert.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Verwenden Sie az network bastion create, um eine neue Azure Bastion-Ressource für Ihr virtuelles Netzwerk zu erstellen. Die Erstellung und Bereitstellung der Bastion-Ressource dauert etwa 10 Minuten.

   Im folgenden Beispiel wird Bastion mit der SKU-Ebene Basic bereitgestellt. Die SKU bestimmt die Features, die Ihre Bastion-Bereitstellung unterstützt. Sie können die Bereitstellung auch mit der SKU Standard durchführen. Wenn Sie keine SKU in Ihrem Befehl angeben, wird standardmäßig die SKU „Standard“ verwendet. Weitere Informationen finden Sie unter Bastion-SKUs.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Herstellen einer Verbindung mit einem virtuellen Computer

Wenn Sie noch keine VMs in Ihrem virtuellen Netzwerk haben, können Sie eine VM mithilfe von Schnellstart: Erstellen einer Windows-VM oder Schnellstart: Erstellen einer Linux-VM erstellen.

Sie können einen der folgenden Artikel oder die Schritte im folgenden Abschnitt verwenden, um eine Verbindung mit einem virtuellen Computer herzustellen. Für einige Verbindungstypen ist die Standard-SKU für Bastion erforderlich.

• Herstellen einer Verbindung mit einem virtuellen Windows-Computer
  • RDP
  • SSH
• Herstellen einer Verbindung mit einem virtuellen Linux-Computer
  • SSH
• Herstellen einer Verbindung mit einer Skalierungsgruppe
• Herstellen einer Verbindung über eine IP-Adresse
• Herstellen einer Verbindung über einen nativen Client
  • Windows-Client
  • Linux/SSH-Client

Herstellen einer Verbindung mithilfe des Portals

Die folgenden Schritte führen Sie durch die Herstellung einer Verbindung mithilfe des Azure-Portals.

1. Wechseln Sie im Azure-Portal zu dem virtuellen Computer, mit der Sie eine Verbindung herstellen möchten.

2. Wählen Sie oben im Bereich Verbinden>Bastion aus, um zum Bereich Bastion zu gelangen. Sie gelangen auch über das linke Menü zum Bereich Bastion.

3. Die im Bereich Bastion verfügbaren Optionen hängen von der Bastion-SKU ab. Wenn Sie die SKU „Basic“ verwenden, stellen Sie über RDP und Port 3389 eine Verbindung mit einem Windows-Computer her. Stellen Sie für die SKU „Basic“ eine Verbindung mit einem Linux-Computer mithilfe von SSH und Port 22 her. Es gibt keine Möglichkeit, die Portnummer oder das Protokoll zu ändern. Sie können jedoch die Tastatursprache für RDP ändern, indem Sie die Verbindungseinstellungen erweitern.

   

   Wenn Sie die Standard-SKU verwenden, verfügen Sie über weitere Verbindungsprotokoll- und Portoptionen. Erweitern Sie Verbindungseinstellungen, um die Optionen anzuzeigen. In der Regel stellen Sie eine Verbindung mit einem Windows-Computer über RDP und Port 3389 her, sofern Sie keine anderen Einstellungen für Ihren virtuellen Computer konfiguriert haben. Sie stellen eine Verbindung mit einem Linux-Computer mithilfe von SSH und Port 22 her.

   

4. Treffen Sie Ihre Auswahl für Authentifizierungstyp über die Dropdownliste. Das Protokoll bestimmt die verfügbaren Authentifizierungstypen. Geben Sie die erforderlichen Authentifizierungswerte vollständig ein.

   

5. Um die VM-Sitzung in einer neuen Browserregisterkarte zu öffnen, lassen Sie In neuer Browserregisterkarte öffnen aktiviert.

6. Wählen Sie Verbinden aus, um die Verbindung zum virtuellen Computer herzustellen.

7. Bestätigen Sie, dass die Verbindung mit der VM direkt im Azure-Portal (über HTML5) über Port 443 und den Bastion-Dienst geöffnet wird.

   

   Hinweis

   Wenn Sie die Verbindung herstellen, sieht der Desktop der VM anders aus als im Beispielscreenshot.

Tastenkombinationen während der Verbindung mit einer VM weisen möglicherweise ein anderes Verhalten als Tastenkombinationen auf einem lokalen Computer auf. Wenn Sie beispielsweise über einen Windows-Client eine Verbindung mit einer Windows-VM hergestellt haben, ist STRG+ALT+ENDE die Tastenkombination für STRG+ALT+ENTF auf einem lokalen Computer. Wenn Sie dieselbe Aktion bei einer Verbindung von einem Mac aus mit einer Windows-VM ausführen möchten, lautet die Tastenkombination Fn+STRG+ALT+RÜCKTASTE.

So aktivieren Sie die Audioausgabe

Sie können die Remoteaudioausgabe für Ihren virtuellen Computer aktivieren. Einige VMs aktivieren diese Einstellung automatisch, andere erfordern, dass Sie Audioeinstellungen manuell aktivieren. Die Einstellungen werden auf dem virtuellen Computer selbst geändert. Ihre Bastion-Bereitstellung benötigt keine speziellen Konfigurationseinstellungen, um die Remoteaudioausgabe zu aktivieren.

Hinweis

Die Audioausgabe beansprucht eine gewisse Bandbreite Ihrer Internetverbindung.

So aktivieren Sie die Remoteaudioausgabe auf einem virtuellen Windows-Computer:

1. Nachdem Sie eine Verbindung mit der VM hergestellt haben, wird in der rechten unteren Ecke der Symbolleiste eine Audioschaltfläche angezeigt. Klicken Sie mit der rechten Maustaste auf die Audioschaltfläche, und wählen Sie Sounds aus.
2. Es wird ein Popupfenster mit der Frage angezeigt, ob Sie den Windows-Audiodienst aktivieren möchten. Wählen Sie Ja aus. Sie können weitere Audiooptionen unter Soundeinstellungen konfigurieren.
3. Bewegen Sie den Mauszeiger über die Audioschaltfläche auf der Symbolleiste, um die Audioausgabe zu überprüfen.

Entfernen einer öffentlichen IP-Adresse einer VM

Azure Bastion verwendet nicht die öffentliche IP-Adresse, um eine Verbindung mit dem virtuellen Clientcomputer herzustellen. Wenn Sie die öffentliche IP-Adresse für Ihre VM nicht benötigen, können Sie die Zuordnung der öffentlichen IP-Adresse aufheben. Mehr dazu finden Sie unter Trennen einer öffentlichen IP-Adresse von einem virtuellen Azure-Computer.

Nächste Schritte

• Informationen zur Verwendung von Netzwerksicherheitsgruppen mit dem Azure Bastion-Subnetz finden Sie unter Arbeiten mit Netzwerksicherheitsgruppen.
• Informationen zum VNet-Peering finden Sie unter VNet-Peering und Azure Bastion.