Tutorial: Bereitstellen von Azure Bastion mit bestimmten Einstellungen

  • Artikel

In diesem Tutorial erfahren Sie, wie Sie Azure Bastion über das Azure-Portal mithilfe manueller Einstellungen und eines SKU (Produktebene) bereitstellen, die Sie angeben. Die SKU bestimmt die Features und Verbindungen, die für Ihre Bereitstellung verfügbar sind. Weitere Informationen finden Sie im Artikel zu den Konfigurationseinstellungen – SKUs.

Wenn Sie im Azure-Portal die Option Manuell konfigurieren zum Bereitstellen von Bastion verwenden, können Sie Konfigurationswerte wie Anzahl der Instanzen und SKUs zum Zeitpunkt der Bereitstellung angeben. Nach der Bereitstellung von Bastion können Sie SSH oder RDP verwenden, um eine Verbindung mit virtuellen Computern im virtuellen Netzwerk über Bastion mithilfe der privaten IP-Adressen der virtuellen Computer herzustellen. Wenn Sie eine Verbindung mit einer VM herstellen, sind weder öffentliche IP-Adressen, Clientsoftware, Agents noch eine spezielle Konfiguration erforderlich.

Das folgende Diagramm zeigt die Architektur von Bastion.

Abbildung: Azure Bastion-Architektur

In diesem Tutorial stellen Sie Bastion mithilfe der Standard-SKU bereit. Sie passen die Hostskalierung (Anzahl der Instanzen) an, die die Standard-SKU unterstützt. Wenn Sie eine niedrigere SKU für die Bereitstellung verwenden, können Sie die Hostskalierung nicht anpassen. Sie können auch eine Verfügbarkeitszone auswählen, abhängig von der Region, in der Sie bereitstellen möchten.

Nach Abschluss der Bereitstellung stellen Sie über eine private IP-Adresse eine Verbindung mit Ihrer VM her. Wenn Ihre VM über eine öffentliche IP-Adresse verfügt, die für keine anderen Zwecke benötigt wird, können Sie sie entfernen.

In diesem Tutorial lernen Sie Folgendes:

  • Stellen Sie Bastion in Ihrem virtuellen Netzwerk bereit.
  • Herstellen einer Verbindung mit einer VM.
  • Entfernen der öffentlichen IP-Adresse von einem virtuellen Computer

Voraussetzungen

Für dieses Tutorial benötigen Sie die folgenden Ressourcen:

  • Ein Azure-Abonnement. Falls Sie kein Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

  • Ein virtuelles Netzwerk, in dem Sie Bastion bereitstellen

  • Ein VM in einem virtuellen Netzwerk. Diese VM ist kein Teil der Bastion-Konfiguration und wird nicht zu einem Bastionhost. Sie stellen später in diesem Tutorial über Bastion eine Verbindung mit dieser VM her. Wenn Sie keine VM besitzen, erstellen Sie eine mithilfe von Schnellstart: Erstellen eines virtuellen Windows-Computers oder Schnellstart: Erstellen eines virtuellen Linux-Computers.

  • Erforderliche VM-Rollen:

    • Rolle „Leser“ auf dem virtuellen Computer
    • Rolle „Leser“ für den Netzwerkadapter (Network Interface Card, NIC) mit der privaten IP-Adresse des virtuellen Computers

  • Erforderliche Ports für eingehenden Datenverkehr:

    • Für Windows-VMs: RDP (3389)
    • Für Linux-VMs: SSH (22)

Hinweis

Die Verwendung von Azure Bastion mit privaten Azure DNS-Zonen wird unterstützt. Es gibt jedoch Einschränkungen. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Azure Bastion.

Beispielwerte

Sie können beim Erstellen dieser Konfiguration die folgenden Beispielwerte verwenden oder Ihre eigenen Werte einsetzen.

Grundlegende Werte für virtuelle Netzwerke und virtuelle Computer

Name Wert
Virtueller Computer TestVM
Ressourcengruppe TestRG1
Region USA, Osten
Virtuelles Netzwerk VNet1
Adressraum 10.1.0.0/16
Subnetze FrontEnd: 10.1.0.0/24

Bastion-Werte

Name Wert
Name VNet1-bastion
+ Subnetzname AzureBastionSubnet
AzureBastionSubnet-Adressen Ein Subnetz innerhalb Ihres VNet-Adressraums mit einer Subnetzmaske von „/26“ oder mehr, z. B. 10.1.1.0/26
Verfügbarkeitszone Wählen Sie bei Bedarf Werte aus der Dropdownliste aus.
Ebene/SKU Standard
Anzahl der Instanzen (Hostskalierung) 3 oder höher
Öffentliche IP-Adresse Neu erstellen
Name der öffentlichen IP-Adresse VNet1-ip
SKU der öffentlichen IP-Adresse Standard
Abtretung Statisch

Bereitstellen von Bastion

In diesem Abschnitt erfahren Sie, wie Sie Bastion in Ihrem virtuellen Netzwerk bereitstellen. Nach der Bereitstellung von Bastion können Sie mithilfe der privaten IP-Adresse eine sichere Verbindung mit jeder VM im virtuellen Netzwerk herstellen.

Wichtig

Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Ihrem virtuellen Netzwerk.

  3. Wählen Sie auf der Seite für Ihr virtuelles Netzwerk im linken Bereich Bastion aus.

  4. Erweitern Sie im Bereich Bastion den Abschnitt Dedizierte Bereitstellungsoptionen.

  5. Wählen Sie Manuell konfigurieren aus. Mit dieser Option können Sie bestimmte zusätzliche Einstellungen (z. B. die SKU) beim Bereitstellen von Bastion in Ihrem virtuellen Netzwerk konfigurieren.

    Screenshot der dedizierten Bereitstellungsoptionen für Azure Bastion und die Schaltfläche für die manuelle Konfiguration.

  6. Konfigurieren Sie auf der Seite Bastion-Instanz erstellen die Einstellungen für Ihren Bastionhost. Project Details werden mit den Werte Ihres virtuellen Netzwerks aufgefüllt. Konfigurieren Sie unter Details zur Instanz die folgenden Werte:

    • Name: Der Name, den Sie für Ihre Bastion-Ressource verwenden möchten

    • Region: Die öffentliche Azure-Region, in der die Ressource erstellt wird. Wählen Sie die Region aus, in der sich Ihr virtuelles Netzwerk befindet.

    • Verfügbarkeitszone: Wählen Sie bei Bedarf die Zone(n) aus der Dropdownliste aus. Nur bestimmte Regionen werden unterstützt. Weitere Informationen finden Sie im Artikel Was sind Verfügbarkeitszonen?.

    • Ebene: Die SKU. Wählen Sie für dieses Tutorial die Option Standard aus. Informationen zu den für jede SKU verfügbaren Features finden Sie unter Konfigurationseinstellungen – SKU.

    • Anzahl der Instanzen: Die Einstellung für die Hostskalierung, die für die Standard-SKU zur Verfügung steht. Sie konfigurieren die Hostskalierung in Inkrementen von Skalierungseinheiten. Verwenden Sie den Schieberegler, oder geben Sie eine Zahl ein, um die gewünschte Instanzanzahl zu konfigurieren. Weitere Informationen finden Sie unter Instanzen und Hostskalierung und Azure Bastion – Preise.

    Screenshot der Details der Azure Bastion-Instanz.

  7. Konfigurieren Sie die Einstellungen der virtuellen Netzwerke. Wählen Sie in der Dropdownliste Ihr virtuelles Netzwerk aus. Wenn Ihr virtuelles Netzwerk in der Dropdownliste nicht angezeigt wird, stellen Sie sicher, dass Sie im vorherigen Schritt den richtigen Wert für die Region ausgewählt haben.

  8. Wählen Sie Subnetzkonfiguration verwalten aus, um AzureBastionSubnet zu konfigurieren.

    Screenshot des Abschnitts zum Konfigurieren virtueller Netzwerke.

  9. Wählen Sie im Bereich Subnetze den Eintrag + Subnetz aus.

  10. Erstellen Sie im Bereich Subnetz hinzufügen das Subnetz „AzureBastionSubnet“ mithilfe der folgenden Werte. Behalten Sie für alle anderen Werte die Standardwerte bei.

    • Der Subnetzname muss AzureBastionSubnet lauten.
    • Das Subnetz muss mindestens /26 oder größer (z. B. /26, /25 oder /24) sein, damit die Features der Standard-SKU verfügbar sind.

    Wählen Sie unten im Bereich Speichern aus, um Ihre Werte zu speichern.

  11. Wählen Sie oben im Bereich Subnetze die Option Bastion-Instanz erstellen aus, um zur Bastion-Konfigurationsseite zurückzukehren.

    Screenshot des Bereichs, in dem Azure Bastion-Subnetze aufgelistet sind.

  12. Im Abschnitt Öffentliche IP-Adresse konfigurieren Sie die öffentliche IP-Adresse der Bastionhost-Ressource für den RDP-/SSH-Zugriff (über Port 443). Die öffentliche IP-Adresse muss sich in der gleichen Region befinden wie die Bastion-Ressource, die Sie erstellen.

    Erstellen Sie eine neue IP-Adresse. Sie können den vorgeschlagenen Standardnamen beibehalten.

  13. Wählen Sie nach Angabe der Einstellungen die Option Überprüfen + erstellen aus. In diesem Schritt werden die Werte überprüft.

  14. Nachdem die Werte überprüft wurden, können Sie Bastion bereitstellen. Wählen Sie Erstellen aus.

    Eine Meldung besagt, dass Ihre Bereitstellung in Bearbeitung ist. Der Status wird auf dieser Seite bei Erstellung der Ressourcen angezeigt. Die Erstellung und Bereitstellung der Bastion-Ressource dauert etwa 10 Minuten.

Herstellen einer Verbindung mit einem virtuellen Computer

Sie können einen der folgenden ausführlichen Artikel verwenden, um eine Verbindung mit einem virtuellen Computer herzustellen. Für einige Verbindungstypen ist die Standard-SKU für Bastion erforderlich.

Sie können auch die folgenden grundlegenden Verbindungsschritte ausführen, um eine Verbindung mit Ihrer VM herzustellen:

  1. Wechseln Sie im Azure-Portal zu dem virtuellen Computer, mit der Sie eine Verbindung herstellen möchten.

  2. Wählen Sie oben im Bereich Verbinden>Bastion aus, um zum Bereich Bastion zu gelangen. Sie gelangen auch über das linke Menü zum Bereich Bastion.

  3. Die im Bereich Bastion verfügbaren Optionen hängen von der Bastion-SKU ab. Wenn Sie die SKU „Basic“ verwenden, stellen Sie über RDP und Port 3389 eine Verbindung mit einem Windows-Computer her. Stellen Sie für die SKU „Basic“ eine Verbindung mit einem Linux-Computer mithilfe von SSH und Port 22 her. Es gibt keine Möglichkeit, die Portnummer oder das Protokoll zu ändern. Sie können jedoch die Tastatursprache für RDP ändern, indem Sie die Verbindungseinstellungen erweitern.

    Screenshot der Azure Bastion-Verbindungseinstellungen.

    Wenn Sie die Standard-SKU verwenden, verfügen Sie über weitere Verbindungsprotokoll- und Portoptionen. Erweitern Sie Verbindungseinstellungen, um die Optionen anzuzeigen. In der Regel stellen Sie eine Verbindung mit einem Windows-Computer über RDP und Port 3389 her, sofern Sie keine anderen Einstellungen für Ihren virtuellen Computer konfiguriert haben. Sie stellen eine Verbindung mit einem Linux-Computer mithilfe von SSH und Port 22 her.

    Screenshot der erweiterten Verbindungseinstellungen.

  4. Treffen Sie Ihre Auswahl für Authentifizierungstyp über die Dropdownliste. Das Protokoll bestimmt die verfügbaren Authentifizierungstypen. Geben Sie die erforderlichen Authentifizierungswerte vollständig ein.

    Screenshot des Dropdown-Listenfelds für den Authentifizierungstyp.

  5. Um die VM-Sitzung in einer neuen Browserregisterkarte zu öffnen, lassen Sie In neuer Browserregisterkarte öffnen aktiviert.

  6. Wählen Sie Verbinden aus, um die Verbindung zum virtuellen Computer herzustellen.

  7. Bestätigen Sie, dass die Verbindung mit der VM direkt im Azure-Portal (über HTML5) über Port 443 und den Bastion-Dienst geöffnet wird.

    Screenshot eines Computerdesktops mit einer offenen Verbindung über Port 443.

    Hinweis

    Wenn Sie die Verbindung herstellen, sieht der Desktop der VM anders aus als im Beispielscreenshot.

Tastenkombinationen während der Verbindung mit einer VM weisen möglicherweise ein anderes Verhalten als Tastenkombinationen auf einem lokalen Computer auf. Wenn Sie beispielsweise über einen Windows-Client eine Verbindung mit einer Windows-VM hergestellt haben, ist STRG+ALT+ENDE die Tastenkombination für STRG+ALT+ENTF auf einem lokalen Computer. Wenn Sie dieselbe Aktion auf einem Mac bei einer Verbindung mit einer Windows-VM ausführen möchten, lautet die Tastenkombination Fn+STRG+ALT+RÜCKTASTE.

Aktivieren der Audioausgabe

Sie können die Remoteaudioausgabe für Ihren virtuellen Computer aktivieren. Einige VMs aktivieren diese Einstellung automatisch, andere erfordern, dass Sie Audioeinstellungen manuell aktivieren. Die Einstellungen werden auf dem virtuellen Computer selbst geändert. Ihre Bastion-Bereitstellung benötigt keine speziellen Konfigurationseinstellungen, um die Remoteaudioausgabe zu aktivieren.

Hinweis

Die Audioausgabe beansprucht eine gewisse Bandbreite Ihrer Internetverbindung.

So aktivieren Sie die Remoteaudioausgabe auf einem virtuellen Windows-Computer:

  1. Nachdem Sie eine Verbindung mit der VM hergestellt haben, wird in der rechten unteren Ecke der Symbolleiste eine Audioschaltfläche angezeigt. Klicken Sie mit der rechten Maustaste auf die Audioschaltfläche, und wählen Sie Sounds aus.
  2. Es wird ein Popupfenster mit der Frage angezeigt, ob Sie den Windows-Audiodienst aktivieren möchten. Wählen Sie Ja aus. Sie können weitere Audiooptionen unter Soundeinstellungen konfigurieren.
  3. Bewegen Sie den Mauszeiger über die Audioschaltfläche auf der Symbolleiste, um die Audioausgabe zu überprüfen.

Entfernen einer öffentlichen IP-Adresse eines virtuellen Computers

Wenn Sie über Azure Bastion eine Verbindung mit einer VM herstellen, benötigen Sie keine öffentliche IP-Adresse für Ihre VM. Wenn Sie die öffentliche IP-Adresse nicht für etwas anderes verwenden, können Sie ihre Zuordnung zu Ihrer VM wieder aufheben:

  1. Wechseln Sie zu Ihrem virtuellen Computer, und wählen Sie Netzwerk aus. Klicken Sie auf Öffentliche IP-Adresse der NIC.

    Screenshot des Netzwerkbereichs für ein virtuelles Netzwerk.

  2. Im Bereich Öffentliche IP-Adresse wird die VM-Netzwerkschnittstelle unter Zugeordnet zu aufgeführt. Wählen Sie oben im Bereich Trennen aus.

    Screenshot der Details zur öffentlichen IP-Adresse eines virtuellen Computers.

  3. Wählen Sie Ja aus, um die Zuordnung der IP-Adresse zur VM-Netzwerkschnittstelle aufzuheben. Nachdem Sie die öffentliche IP-Adresse von der Netzwerkschnittstelle getrennt haben, vergewissern Sie sich, dass sie nicht mehr unter Zugeordnet zu aufgeführt wird.

  4. Nachdem Sie die Zuordnung der IP-Adresse aufgehoben haben, können Sie die öffentliche IP-Adressressource löschen. Wählen Sie im Bereich Öffentliche IP-Adresse für die VM die Option Löschen aus.

    Screenshot der Schaltfläche zum Löschen einer öffentlichen IP-Adressressource.

  5. Wählen Sie Ja aus, um die öffentliche IP-Adresse zu löschen.

Bereinigen von Ressourcen

Wenn Sie diese Anwendung nicht mehr verwenden möchten, löschen Sie Ihre Ressourcen:

  1. Geben Sie den Namen Ihrer Ressourcengruppe in das Suchfeld am oberen Rand des Portals ein. Wenn Ihre Ressourcengruppe in den Suchergebnissen angezeigt wird, wählen Sie sie aus.
  2. Wählen Sie die Option Ressourcengruppe löschen.
  3. Geben Sie unter RESSOURCENGRUPPENNAMEN EINGEBEN den Namen Ihrer Ressourcengruppe ein, und wählen Sie dann Löschen aus.

Nächste Schritte

In diesem Tutorial haben Sie Bastion in einem virtuellen Netzwerk bereitgestellt und eine Verbindung mit einer VM hergestellt. Anschließend haben Sie die öffentliche IP-Adresse von der VM entfernt. Als Nächstes erfahren Sie mehr über weitere Bastion-Features und konfigurieren diese.

Azure Bastion-Konfigurationseinstellungen

VM-Verbindungen und -Features

Konfigurieren des Azure DDos-Schutzes für Ihr virtuelles Netzwerk