Déployer Bastion à l’aide d’Azure PowerShell
Dans cet article, découvrez comment déployer Azure Bastion à l’aide de PowerShell. Azure Bastion est un service PaaS qui est géré pour vous, et non un hôte bastion que vous installez sur votre machine virtuelle et que vous gérez vous-même. Un déploiement Azure Bastion est effectué par réseau virtuel et non par abonnement/compte ou machine virtuelle. Pour plus d’informations sur Azure Bastion, consultez Présentation d’Azure Bastion.
Une fois que vous avez déployé Bastion sur votre réseau virtuel, vous pouvez vous connecter à vos machines virtuelles via une adresse IP privée. Cette expérience RDP/SSH transparente est disponible pour toutes les machines virtuelles du même réseau virtuel. Si votre machine virtuelle a une adresse IP publique dont vous n’avez pas besoin pour autre chose, vous pouvez la supprimer.
Dans cet article, vous créez un réseau virtuel (si vous n’en avez pas encore), déployez Azure Bastion à l’aide de PowerShell et vous vous connectez à une machine virtuelle. Les exemples montrent Bastion déployé à l’aide du niveau de référence SKU Standard, mais vous pouvez utiliser une autre référence SKU Bastion, en fonction des fonctionnalités que vous souhaitez utiliser. Pour plus d’informations, consultez Références SKU de Bastion.
Vous pouvez également déployer Bastion à l’aide des autres méthodes suivantes :
Notes
L’utilisation d’Azure Bastion avec les zones Azure DNS privé est prise en charge. Il existe cependant des restrictions. Pour plus d’informations, consultez FAQ Azure Bastion.
Avant tout chose
Assurez-vous de disposer d’un abonnement Azure. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.
PowerShell
Cet article utilise des cmdlets PowerShell. Pour exécuter les cmdlets, vous pouvez utiliser Azure Cloud Shell. Cloud Shell est un interpréteur de commandes interactif et gratuit, que vous pouvez utiliser pour suivre les étapes mentionnées dans cet article. Il contient des outils Azure courants préinstallés et configurés pour être utilisés avec votre compte.
Pour ouvrir Cloud Shell, il vous suffit de sélectionner Ouvrir Cloud Shell dans le coin supérieur droit d’un bloc de code. Vous pouvez également ouvrir Cloud Shell dans un onglet distinct du navigateur en accédant à https://shell.azure.com/powershell. Sélectionnez Copier pour copier les blocs de code, collez ceux-ci dans Cloud Shell, puis sélectionnez Entrée pour les exécuter.
Vous pouvez également installer et exécuter des cmdlets Azure PowerShell en local sur votre ordinateur. Les cmdlets PowerShell sont fréquemment mises à jour. Si vous n'avez pas installé la dernière version, les valeurs spécifiées dans les instructions peuvent échouer. Pour rechercher les versions d’Azure PowerShell installées sur votre ordinateur, utilisez la cmdlet Get-Module -ListAvailable Az
. Pour installer ou mettre à jour les cmdlets, consultez Installer le module Azure PowerShell.
Exemples de valeurs
Lors de la création de cette configuration, vous pouvez utiliser les exemples de valeurs suivants ou les remplacer par vos propres valeurs.
Exemples de valeurs VNet et VM :
Nom | Valeur |
---|---|
Machine virtuelle | TestVM |
Resource group | TestRG1 |
Région | USA Est |
Réseau virtuel | VNet1 |
Espace d’adressage | 10.1.0.0/16 |
Sous-réseaux | Front-end : 10.1.0.0/24 |
Valeurs Azure Bastion :
Nom | Valeur |
---|---|
Nom | VNet1-bastion |
Nom du sous-réseau | FrontEnd |
Nom du sous-réseau | AzureBastionSubnet |
Adresses AzureBastionSubnet | Un sous-réseau au sein de votre espace d’adressage de réseau virtuel avec un masque de sous-réseau de /26 ou plus. Par exemple, 10.1.1.0/26. |
Niveau/référence SKU | standard |
Adresse IP publique | Création |
Nom de l’adresse IP publique | VNet1-ip |
Référence SKU d’adresse IP publique | standard |
Affectation | statique |
Déployer Bastion
Cette section vous aide à créer un réseau virtuel et des sous-réseaux, ainsi qu’à déployer Azure Bastion à l’aide d’Azure PowerShell.
Important
Le tarif horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, consultez Tarifications et Références SKU. Si vous déployez Bastion dans le cadre d’un tutoriel ou d’un test, nous vous recommandons de supprimer cette ressource après l’avoir utilisée.
Créez un groupe de ressources, un réseau virtuel et un sous-réseau front-end sur lequel vous déployez les machines virtuelles auxquelles vous vous connectez via Bastion. Si vous exécutez PowerShell localement, ouvrez votre console PowerShell avec des privilèges élevés et connectez-vous à Azure à l’aide de la commande
Connect-AzAccount
.New-AzResourceGroup -Name TestRG1 -Location EastUS ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location EastUS -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetwork
Configurez et définissez le sous-réseau Azure Bastion pour votre réseau virtuel. Ce sous-réseau est réservé exclusivement aux ressources Azure Bastion. Vous devez créer ce sous-réseau en utilisant la valeur de nom AzureBastionSubnet. Cette valeur permet à Azure de savoir dans quel sous-réseau déployer les ressources Bastion. L’exemple de la section suivante vous aide également à ajouter un sous-réseau Azure Bastion à un réseau virtuel existant.
- La plus petite taille de sous-réseau AzureBastionSubnet que vous pouvez créer est de /26. Nous vous recommandons de créer une taille /26 ou supérieure pour prendre en charge la mise à l’échelle de l’hôte.
- Pour plus d’informations sur la mise à l’échelle, consultez Paramètres de configuration - Mise à l'échelle de l’hôte.
- Pour plus d’informations sur les paramètres, consultez Paramètres de configuration - AzureBastionSubnet.
- Créez le sous-réseau AzureBastionSubnet sans tables de routage ou délégations.
- Si vous utilisez des groupes de sécurité réseau sur le sous-réseau AzureBastionSubnet, reportez-vous à l’article Utiliser des groupes de sécurité réseau.
Définissez la variable.
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"
Ajoutez le sous-réseau.
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork
- La plus petite taille de sous-réseau AzureBastionSubnet que vous pouvez créer est de /26. Nous vous recommandons de créer une taille /26 ou supérieure pour prendre en charge la mise à l’échelle de l’hôte.
Créez une adresse IP publique pour Azure Bastion. Adresse IP publique de la ressource Bastion où RDP/SSH est accessible (sur le port 443). L’adresse IP publique doit être située dans la même région que la ressource Bastion que vous créez.
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "EastUS" ` -AllocationMethod Static -Sku Standard
Créez une ressource Azure Bastion dans le AzureBastionSubnet à l’aide de la commande New-AzBastion. L’exemple suivant utilise la référence SKU De base. Toutefois, vous pouvez également déployer Bastion à l’aide d’une autre référence SKU en modifiant la valeur -Sku. La référence SKU que vous sélectionnez détermine les fonctionnalités Bastion et se connecte aux machines virtuelles à l’aide d’autres types de connexions. Pour plus d’informations, consultez Références SKU de Bastion.
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"
Le déploiement des ressources Bastion prend environ 10 minutes. Vous pourrez créer une machine virtuelle dans la section suivante lors du déploiement de Bastion sur votre réseau virtuel.
Créer une machine virtuelle
Vous pouvez créer une machine virtuelle en suivant les instructions des articles Démarrage rapide : Créer une machine virtuelle à l’aide de PowerShell ou de Démarrage rapide : Créer une machine virtuelle à l’aide du portail. Veillez à déployer la machine virtuelle sur le même réseau virtuel sur lequel vous avez déployé Bastion. La machine virtuelle que vous créez dans cette section ne fait pas partie de la configuration de Bastion et ne devient pas un hôte de Bastion. Vous vous connectez à cette machine virtuelle plus loin dans ce tutoriel via Bastion.
Les rôles requis suivants pour vos ressources.
Rôles de machine virtuelle nécessaires :
- Rôle de lecteur sur la machine virtuelle.
- Rôle de lecteur sur la carte réseau avec adresse IP privée de la machine virtuelle.
Ports d’entrée requis :
- Pour les machines virtuelles Windows - RDP (3389)
- Pour les machines virtuelles Linux - SSH (22)
Se connecter à une machine virtuelle
Vous pouvez utiliser les Étapes de connexion décrites dans la section suivante pour vous connecter à votre machine virtuelle. Vous pouvez également suivre les instructions de l’un des articles suivants pour vous connecter à une machine virtuelle. Certains types de connexion nécessitent la référence SKU Standard Bastion.
- Se connecter à une machine virtuelle Windows
- Se connecter à une machine virtuelle Linux
- Connexion à un groupe identique
- Se connecter via une adresse IP
- Se connecter à partir d’un client natif
Procédure de connexion
Dans le portail Azure, accédez à la machine virtuelle à laquelle vous souhaitez vous connecter.
En haut du volet, sélectionnez Connect>Bastion pour accéder au volet Bastion. Vous pouvez également accéder au volet Bastion en utilisant le menu de gauche.
Les options disponibles dans le volet Bastion dépendent de la référence SKU Bastion. Si vous utilisez le SKU De base, vous vous connectez à un ordinateur Windows à l'aide de RDP et du port 3389. Également pour le SKU De base, vous vous connectez à un ordinateur Linux en utilisant SSH et le port 22. Vous n’avez pas d’options pour modifier le numéro de port ou le protocole. Toutefois, vous pouvez modifier la langue du clavier pour RDP en développant les paramètres de connexion.
Si vous utilisez la référence SKU Standard, vous avez plus d’options de protocole de connexion et de port disponibles. Développez Paramètres de connexion pour afficher les options. En règle générale, sauf si vous configurez des paramètres différents pour votre VM, vous vous connectez à un ordinateur Windows à l'aide de RDP et du port 3389. Vous vous connectez à un ordinateur Linux en utilisant SSH et le port 22.
Pour Type d'authentification, sélectionnez dans la liste déroulante. Le protocole détermine les types d’authentification disponibles. Complétez les valeurs d’authentification requises.
Pour ouvrir la session VM dans un nouvel onglet de navigateur, laissez Ouvrir dans un nouvel onglet de navigateur sélectionné.
Sélectionnez Se connecter pour vous connecter à la machine virtuelle.
Confirmez que la connexion à la machine virtuelle s'ouvre directement dans le Portail Microsoft Azure (via HTML5) en utilisant le port 443 et le service Bastion.
Remarque
Lorsque vous vous connectez, le bureau de la VM sera différent de l'exemple de capture d'écran.
L’utilisation des touches de raccourci clavier lorsque vous êtes connecté à une machine virtuelle peut ne pas entraîner le même comportement que les touches de raccourci sur un ordinateur local. Par exemple, lorsque vous êtes connecté à une machine virtuelle Windows à partir d'un client Windows, Ctrl+Alt+Fin est le raccourci clavier pour Ctrl+Alt+Suppr sur un ordinateur local. Pour effectuer cette opération à partir d’un Mac alors que vous êtes connecté(e) à une VM Windows, le raccourci clavier est fn+contrôle+option+suppression.
Pour activer une sortie audio
Vous pouvez activer la sortie audio distante pour votre machine virtuelle. Certaines machines virtuelles activent automatiquement ce paramètre, tandis que d'autres nécessitent que vous activiez manuellement les paramètres audio. Les paramètres sont modifiés sur la machine virtuelle elle-même. Votre déploiement Bastion n’a pas besoin de paramètres de configuration spéciaux pour activer une sortie audio distante.
Remarque
La sortie audio utilise la bande passante de votre connexion Internet.
Pour activer une sortie audio distante sur une machine virtuelle Windows :
- Une fois connecté à la VM, un bouton audio apparaît dans le coin inférieur droit de la barre d'outils. Cliquez avec le bouton droit sur le bouton audio, puis sélectionnez Sons.
- Un message contextuel vous demande si vous souhaitez activer le service audio Windows. Cliquez sur Oui. Vous pouvez configurer davantage d'options audio dans les préférences Son.
- Pour vérifier la sortie audio, pointez votre souris sur le bouton audio dans la barre d’outils.
Supprimer une adresse IP publique de machine virtuelle
Azure Bastion n’utilise pas l’adresse IP publique pour se connecter à la machine virtuelle cliente. Si vous ne disposez pas d’adresse IP publique pour votre machine virtuelle, vous pouvez dissocier l’adresse IP publique. Consultez Dissocier une adresse IP publique d’une machine virtuelle Azure.
Étapes suivantes
- Pour utiliser des groupes de sécurité réseau avec le sous-réseau Azure Bastion, consultez Utiliser des groupes de sécurité réseau.
- Pour comprendre l’appairage de réseaux virtuels, consultez Appairage de réseaux virtuels et Azure Bastion.