Tutorial: Bereitstellen von Bastion mit bestimmten Einstellungen

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie Azure Bastion über das Azure-Portal mithilfe manueller Einstellungen bereitstellen. Wenn Sie manuelle Einstellungen verwenden, können Sie Konfigurationswerte wie Instanzanzahl und SKU zum Zeitpunkt der Bereitstellung angeben. Nach der Bereitstellung von Bastion können Sie über Bastion eine Verbindung (SSH/RDP) mit VMs im virtuellen Netzwerk herstellen, indem Sie die private IP-Adresse der VM verwenden. Wenn Sie eine Verbindung mit einer VM herstellen, sind weder öffentliche IP-Adressen, Clientsoftware, Agents noch eine spezielle Konfiguration erforderlich.

In diesem Tutorial stellen Sie Bastion mithilfe des Standard-SKU-Tarifs bereit und passen die Hostskalierung (Instanzanzahl) an. Nach Abschluss der Bereitstellung stellen Sie über eine private IP-Adresse eine Verbindung mit Ihrer VM her. Wenn Ihre VM über eine öffentliche IP-Adresse verfügt, die für keine anderen Zwecke benötigt wird, können Sie sie entfernen.

Azure Bastion ist ein PaaS-Dienst, der für Sie verwaltet wird, kein Bastionhost, den Sie auf einer Ihrer VMs installieren und selbst verwalten. Weitere Informationen zu Azure Bastion finden Sie unter Was ist Azure Bastion?.

In diesem Tutorial lernen Sie Folgendes:

  • Bereitstellen von Bastion in Ihrem VNet.
  • Herstellen einer Verbindung mit einer VM.
  • Entfernen der öffentlichen IP-Adresse von einem virtuellen Computer

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Voraussetzungen

  • Ein virtuelles Netzwerk Dies ist das VNet, in dem Sie Bastion bereitstellen.

  • Ein VM in einem virtuellen Netzwerk. Diese VM ist kein Teil der Bastion-Konfiguration und wird nicht zu einem Bastionhost. Sie stellen später in diesem Tutorial über Bastion eine Verbindung mit dieser VM her. Wenn Sie nicht über einen virtuellen Computer verfügen, erstellen Sie einen über Schnellstart: Erstellen einer VM.

  • Erforderliche VM-Rollen:

    • Rolle „Leser“ für den virtuellen Computer
    • Rolle „Leser“ für den Netzwerkadapter mit privater IP-Adresse des virtuellen Computers

  • Erforderliche Ports für eingehenden Datenverkehr:

    • Für Windows-VMs: RDP (3389)
    • Für Linux-VMs: SSH (22)

Hinweis

Die Verwendung von Azure Bastion in Verbindung mit privaten Azure DNS-Zonen wird derzeit nicht unterstützt. Ehe Sie loslegen, stellen Sie bitte sicher, dass das virtuelle Netzwerk, in dem Sie Ihre Bastion-Ressource bereitstellen möchten, nicht mit einer privaten DNS-Zone verknüpft ist.

Beispielwerte

Sie können beim Erstellen dieser Konfiguration die folgenden Beispielwerte verwenden oder Ihre eigenen Werte einsetzen.

Grundlegende VNet- und VM-Werte:

Name Wert
Virtueller Computer TestVM,
Ressourcengruppe TestRG1
Region USA, Osten
Virtuelles Netzwerk VNet1
Adressraum 10.1.0.0/16
Subnetze FrontEnd: 10.1.0.0/24

Azure Bastion-Werte:

Name Wert
Name VNet1-bastion
+ Subnetzname AzureBastionSubnet
AzureBastionSubnet-Adressen Ein Subnetz innerhalb Ihres VNET-Adressraums mit einer Subnetzmaske von „/26“ oder höher.
Beispiel: 10.1.1.0/26.
Tarif/SKU Standard
Instanzanzahl (Hostskalierung) 3 oder größer
Öffentliche IP-Adresse Neu erstellen
Name der öffentlichen IP-Adresse VNet1-ip
SKU der öffentlichen IP-Adresse Standard
Zuweisung statischen

Wichtig

Für Azure Bastion, die am oder nach dem 2. November 2021 bereitgestellt wurden, beträgt die Mindestgröße von AzureBastionSubnet /26 oder höher (/25, /24 usw.). Alle Azure Bastion-Ressourcen, die vor diesem Datum in Subnetzen der Größe /27 bereitgestellt wurden, sind von dieser Änderung nicht betroffen und funktionieren weiterhin. Es wird jedoch dringend empfohlen, die Größe eines vorhandenen AzureBastionSubnet auf /26 zu erhöhen, falls Sie sich für die zukünftige Nutzung der Hostskalierung entscheiden.

Bereitstellen von Bastion

In diesem Abschnitt erfahren Sie, wie Sie Bastion in Ihrem VNet bereitstellen. Sobald Bastion bereitgestellt wurde, können Sie mithilfe der privaten IP-Adresse eine sichere Verbindung mit jeder VM im VNet herstellen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Ihrem virtuellen Netzwerk.

  3. Wählen Sie auf der Seite für Ihr virtuelles Netzwerk im linken Bereich Bastion aus, um die Seite Bastion zu öffnen.

  4. Wählen Sie auf der Seite „Bastion“ Manuell konfigurieren. Dadurch können Sie bestimmte zusätzliche Einstellungen konfigurieren, bevor Sie Bastion in Ihrem VNet bereitstellen.

    Screenshot: die Bastion-Seite, auf der „Bastion selbst konfigurieren“ angezeigt wird.

  5. Konfigurieren Sie auf der Seite Bastion-Instanz erstellen die Einstellungen für Ihren Bastionhost. Project Details werden mit den Werte Ihres virtuellen Netzwerks aufgefüllt. Konfigurieren Sie die Werte für die Details zur Instanz.

    • Name: Geben Sie den Namen ein, den Sie für Ihre Bastionhostressource verwenden möchten.

    • Region: Die öffentliche Azure-Region, in der die Ressource erstellt wird. Wählen Sie die Region aus, in der sich Ihr virtuelles Netzwerk befindet.

    • Tarif: Der Tarif wird auch als SKU bezeichnet. Wählen Sie für dieses Tutorial die Option Standard aus. Mit der Standard-SKU können Sie die Anzahl der Instanzen für die Skalierung des Hosts und andere Features konfigurieren. Weitere Informationen zu Features, die die Standard-SKU erfordern, finden Sie unter Konfigurationseinstellungen – SKU.

    • Anzahl der Instanzen: Dies ist die Einstellung für die Hostskalierung. Sie wird in Skalierungseinheiteninkrementen konfiguriert. Verwenden Sie den Schieberegler, oder geben Sie eine Zahl ein, um die gewünschte Instanzanzahl zu konfigurieren. Für dieses Tutorial können Sie die von Ihnen bevorzugte Instanzanzahl auswählen. Weitere Informationen finden Sie unter Hostskalierung und Preise.

    Screenshot: Instanzwerte der Bastion-Seite.

  6. Konfigurieren Sie die Einstellungen der virtuellen Netzwerke. Wählen Sie Ihr VNet aus der Dropdownliste aus. Wenn Ihr VNet in der Dropdownliste nicht angezeigt wird, stellen Sie sicher, dass Sie in den vorherigen Einstellungen auf dieser Seite die richtige Region ausgewählt haben.

  7. Wählen Sie Subnetzkonfiguration verwalten, um das AzureBastionSubnet zu konfigurieren.

    Screenshot: der Abschnitt zur Konfigurierung virtueller Netzwerke.

  8. Wählen Sie auf der Seite Subnetze die Option +Subnetz aus, um die Seite Subnetz hinzufügen zu öffnen.

  9. Erstellen Sie auf der Seite Subnetz hinzufügen das Subnetz „AzureBastionSubnet“ mithilfe der folgenden Werte. Behalten Sie für alle anderen Werte die Standardwerte bei.

    • Der Subnetzname muss AzureBastionSubnet lauten.
    • Das Subnetz muss mindestens /26 oder größer (/26, /25, /24 usw.) sein, damit die Features der Standard-SKU verfügbar sind.

    Wählen Sie unten auf der Seite Speichern aus, um Ihre Werte zu speichern.

  10. Wählen Sie oben auf der Seite Subnetze die Option Bastion-Instanz erstellen aus, um zur Bastion-Konfigurationsseite zurückzukehren.

    Screenshot: „Bastion-Instanz erstellen“.

  11. Im Abschnitt Öffentliche IP-Adresse konfigurieren Sie die öffentliche IP-Adresse der Bastion-Hostressource für den RDP-/SSH-Zugriff (über Port 443). Die öffentliche IP-Adresse muss sich in der gleichen Region befinden wie die Bastion-Ressource, die Sie erstellen. Erstellen Sie eine neue IP-Adresse. Sie können den vorgeschlagenen Standardnamen beibehalten.

  12. Wählen Sie nach Angabe der Einstellungen die Option Überprüfen + erstellen aus. Daraufhin werden die Werte überprüft.

  13. Nachdem die Überprüfung erfolgreich war, können Sie Bastion bereitstellen. Klicken Sie auf Erstellen. Daraufhin wird eine Meldung mit dem Hinweis angezeigt, dass Ihre Bereitstellung ausgeführt wird. Der Status der Ressourcenerstellung wird auf dieser Seite angezeigt. Die Erstellung und Bereitstellung der Bastion-Ressource dauert etwa 10 Minuten.

Herstellen einer Verbindung mit einem virtuellen Computer

Sie können einen der folgenden ausführlichen Artikel verwenden, um eine Verbindung mit einem virtuellen Computer herzustellen. Für einige Verbindungstypen ist die Standard-SKU für Bastion erforderlich.

Sie können auch die grundlegenden Verbindungsschritte im Abschnitt unten verwenden, um eine Verbindung mit Ihrem virtuellen Computer herzustellen.

Verbindungsschritte

  1. Wechseln Sie im Azure-Portal zu der VM, mit der Sie eine Verbindung herstellen möchten.

  2. Wählen Sie oben auf der Seite Verbinden > Bastion aus, um zur Seite Bastion zu gelangen. Sie gelangen auch über das linke Menü zur Seite „Bastion“.

  3. Die auf der Seite Bastion verfügbaren Optionen hängen vom Tarif der Bastion-SKU ab. Wenn Sie die SKU Basic verwenden, stellen Sie über RDP und Port 3389 eine Verbindung mit einem Windows-Computer und über SSH und Port 22 mit einem Linux-Computer her. Es gibt keine Möglichkeit, die Portnummer oder das Protokoll zu ändern. Sie können jedoch die Tastatursprache für RDP ändern, indem Sie die Verbindungseinstellungen erweitern.

    Screenshot: Bastion-Verbindungsseite

    Wenn Sie die Standard-SKU verwenden, verfügen Sie über weitere Verbindungsprotokoll- und Portoptionen. Erweitern Sie Verbindungseinstellungen, um die Optionen anzuzeigen. In der Regel stellen Sie eine Verbindung mit einem Windows-Computer über RDP und Port 3389 und mit einem Linux-Computer über SSH und Port 22 her, sofern Sie keine anderen Einstellungen für Ihren virtuellen Computer konfiguriert haben.

    Screenshot: Aufgeklappte Verbindungseinstellungen

  4. Wählen Sie den Authentifizierungstyp aus der Dropdownliste aus. Das Protokoll bestimmt die verfügbaren Authentifizierungstypen. Geben Sie die erforderlichen Authentifizierungswerte vollständig ein.

    Screenshot: Dropdownliste „Authentifizierungstyp“

  5. Um die VM-Sitzung in einer neuen Browserregisterkarte zu öffnen, lassen Sie In neuer Browserregisterkarte öffnen aktiviert.

  6. Klicken Sie auf Verbinden, um die Verbindung mit dem virtuellen Computer herzustellen.

  7. Die Verbindung mit dieser VM über Bastion wird direkt im Azure-Portal (über HTML5) über Port 443 und den Bastion-Dienst geöffnet.

    • Wenn Sie die Verbindung herstellen, sieht der Desktop der VM anders aus als im Beispielscreenshot.
    • Tastenkombinationen während der Verbindung mit einer VM weisen möglicherweise ein anderes Verhalten als Tastenkombinationen auf einem lokalen Computer auf. Wenn Sie beispielsweise über einen Windows-Client eine Verbindung mit einer Windows-VM hergestellt haben, ist STRG+ALT+ENDE die Tastenkombination für STRG+ALT+ENTF auf einem lokalen Computer. Wenn Sie dieselbe Aktion bei einer Verbindung von einem Mac aus mit einer Windows-VM ausführen möchten, lautet die Tastenkombination Fn+STRG+ALT+RÜCKTASTE.

    Screenshot: Verbinden mit Port 443

So aktivieren Sie die Audioausgabe

Sie können die Remoteaudioausgabe für Ihren virtuellen Computer aktivieren. Einige virtuelle Computer aktivieren diese Einstellung automatisch, andere erfordern, dass Sie Audioeinstellungen manuell aktivieren. Die Einstellungen werden auf dem virtuellen Computer selbst geändert. Ihre Bastion-Bereitstellung benötigt keine speziellen Konfigurationseinstellungen, um die Remoteaudioausgabe zu aktivieren.

Hinweis

Die Audioausgabe beansprucht eine gewisse Bandbreite Ihrer Internetverbindung.

So aktivieren Sie die Remoteaudioausgabe auf einem virtuellen Windows-Computer:

  1. Nachdem Sie eine Verbindung mit dem virtuellen Computer hergestellt haben, wird in der rechten unteren Ecke der Symbolleiste eine Audioschaltfläche angezeigt.
  2. Klicken Sie mit der rechten Maustaste auf die Audioschaltfläche, und wählen Sie „Sounds“ aus.
  3. Es wird ein Popupfenster mit der Frage angezeigt, ob Sie den Windows-Audiodienst aktivieren möchten. Wählen Sie „Ja“ aus. Sie können weitere Audiooptionen unter den Einstellungen für den Sound konfigurieren.
  4. Bewegen Sie den Mauszeiger über die Audioschaltfläche auf der Symbolleiste, um die Audioausgabe zu überprüfen.

Entfernen einer öffentlichen IP-Adresse einer VM

Wenn Sie über Azure Bastion eine Verbindung mit einer VM herstellen, benötigen Sie keine öffentliche IP-Adresse für Ihre VM. Wenn Sie die öffentliche IP-Adresse nicht für etwas anderes verwenden, können Sie ihre Zuordnung zu Ihrem virtuellen Computer wieder aufheben. Führen Sie die folgenden Schritte aus, um die Zuordnung einer öffentlichen IP-Adresse zu einem virtuellen Computer aufzuheben:

  1. Wechseln Sie zu Ihrem virtuellen Computer, und wählen Sie Netzwerk aus. Klicken Sie auf die öffentliche IP-Adresse der NIC, um die Seite mit der öffentlichen IP-Adresse zu öffnen.

    Screenshot: Seite „Netzwerk“

  2. Auf der Seite Öffentliche IP-Adresse können Sie die VM-Netzwerkschnittstelle sehen, die unter Zugeordnet zu unten rechts auf der Seite aufgeführt ist. Klicken Sie oben auf der Seite auf Trennen.

    Screenshot: Öffentliche IP-Adresse für den virtuellen Computer

  3. Wählen Sie Ja aus, um die Zuordnung der IP-Adresse zur Netzwerkschnittstelle aufzuheben. Nachdem die öffentliche IP-Adresse von der VM-Netzwerkschnittstelle getrennt wurde, können Sie sehen, dass sie nicht mehr unter Zugeordnet aufgeführt wird.

  4. Nachdem Sie die Zuordnung der IP-Adresse aufgehoben haben, können Sie die öffentliche IP-Adressressource löschen. Wählen Sie auf der Seite Öffentliche IP-Adresse für die VM die Option Löschen aus.

    Screenshot: Löschen der öffentlichen IP-Adressressource

  5. Klicken Sie auf Ja, um die öffentliche IP-Adresse zu löschen.

Bereinigen von Ressourcen

Falls Sie diese Anwendung nicht weiterverwenden möchten, löschen Sie Ihre Ressourcen wie folgt:

  1. Geben Sie den Namen Ihrer Ressourcengruppe in das Suchfeld am oberen Rand des Portals ein. Wenn Ihre Ressourcengruppe in den Suchergebnissen angezeigt wird, wählen Sie sie aus.
  2. Wählen Sie die Option Ressourcengruppe löschen.
  3. Geben Sie unter GEBEN SIE DEN RESSOURCENGRUPPENNAMEN EIN: den Namen Ihrer Ressourcengruppe ein, und wählen Sie Löschen aus.

Nächste Schritte

In diesem Tutorial haben Sie Bastion in einem virtuellen Netzwerk bereitgestellt und eine Verbindung mit einer VM hergestellt. Anschließend haben Sie die öffentliche IP-Adresse von der VM entfernt. Als Nächstes erfahren Sie mehr über weitere Bastion-Features und konfigurieren diese.

Bastion-Features und Konfigurationseinstellungen

Bastion – VM-Verbindungen und -Features