A Bastion üzembe helyezése az Azure CLI használatával

Ez a cikk bemutatja, hogyan helyezheti üzembe az Azure Bastiont parancssori felülettel. Az Azure Bastion egy PaaS-szolgáltatás, amelyet ön tart fenn, nem pedig egy megerősített gazdagép, amelyet a virtuális gépre telepít, és saját magát tartja karban. Az Azure Bastion üzembe helyezése virtuális hálózatonként történik, nem előfizetésenként/fiókonként vagy virtuális gépenként. További információ az Azure Bastionról: Mi az Az Azure Bastion?

Miután üzembe helyezi a Bastiont a virtuális hálózaton, privát IP-címmel csatlakozhat a virtuális gépekhez. Ez a zökkenőmentes RDP/SSH-felület az ugyanazon a virtuális hálózaton lévő összes virtuális gép számára elérhető. Ha a virtuális gép nyilvános IP-címmel rendelkezik, amire semmi másra nincs szüksége, eltávolíthatja.

Ebben a cikkben létrehoz egy virtuális hálózatot (ha még nincs ilyen), üzembe helyezi az Azure Bastiont a parancssori felület használatával, és csatlakozik egy virtuális géphez. A Bastiont a következő más módszerekkel is üzembe helyezheti:

• Azure Portalra
• Azure PowerShell
• Rövid útmutató – üzembe helyezés alapértelmezett beállításokkal

Feljegyzés

Az Azure Bastion használata az Azure saját DNS zónákkal támogatott. Vannak azonban korlátozások. További információkért tekintse meg az Azure Bastion gyakori kérdéseit.

Mielőtt hozzálát

Azure-előfizetés

Győződjön meg arról, hogy rendelkezik Azure-előfizetéssel. Ha még nincs Azure-előfizetése, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.

Azure CLI

Ez a cikk az Azure CLI-t használja. Parancsok futtatásához használhatja az Azure Cloud Shellt. Az Azure Cloud Shell egy olyan ingyenes interaktív kezelőfelület, amelyet a jelen cikkben található lépések futtatására használhat. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta.

A Cloud Shell megnyitásához válassza a Kipróbálás lehetőséget egy kódblokk jobb felső sarkában. A Cloud Shellt egy külön böngészőlapon is elindíthatja, ha a bal oldali legördülő menüt a Bash vagy a PowerShell ikonra váltja https://shell.azure.com . A Copy (másolás) gombra kattintva másolja és illessze be a kódot a Cloud Shellbe, majd nyomja le az Enter billentyűt a futtatáshoz.

A Bastion üzembe helyezése

Ez a szakasz segít az Azure Bastion üzembe helyezésében az Azure CLI használatával.

Fontos

Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.

1. Ha még nem rendelkezik virtuális hálózattal, hozzon létre egy erőforráscsoportot és egy virtuális hálózatot az az group create és az network vnet create használatával.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Az az network vnet subnet create használatával hozza létre azt az alhálózatot, amelyhez a Bastion üzembe lesz helyezve. A létrehozott alhálózatnak AzureBastionSubnetnek kell lennie. Ez az alhálózat kizárólag az Azure Bastion-erőforrásokra van fenntartva. Ha nem rendelkezik AzureBastionSubnet elnevezési értékkel rendelkező alhálózattal, a Bastion nem fog üzembe helyezni.

   • A létrehozható legkisebb AzureBastionSubnet méret a /26. Javasoljuk, hogy /26-os vagy nagyobb méretet hozzon létre a gazdagépek skálázása érdekében.
     • A skálázással kapcsolatos további információkért lásd : Konfigurációs beállítások – Gazdagépek skálázása.
     • További információ a beállításokról: Konfigurációs beállítások – AzureBastionSubnet.
   • Hozza létre az AzureBastionSubnetet útvonaltáblák és delegálások nélkül.
   • Ha hálózati biztonsági csoportokat használ az AzureBastionSubneten, tekintse meg az NSG-k használata című cikket.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Hozzon létre egy nyilvános IP-címet az Azure Bastion számára. A nyilvános IP-cím annak a Bastion-erőforrásnak a nyilvános IP-címe, amelyen az RDP/SSH elérhető lesz (a 443-as porton keresztül). A nyilvános IP-címnek ugyanabban a régióban kell lennie, mint a létrehozott Bastion-erőforrásnak. Ezért különös figyelmet kell fordítania a --location megadott értékre.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Az az network bastion create használatával hozzon létre egy új Azure Bastion-erőforrást a virtuális hálózathoz. A Bastion-erőforrás létrehozása és üzembe helyezése körülbelül 10 percet vesz igénybe.

   Az alábbi példa az alapszintű termékváltozat-szinttel telepíti a Bastiont. Más termékváltozatok használatával is üzembe helyezheti azokat. A termékváltozat határozza meg a Bastion-telepítés által támogatott funkciókat. Ha nem ad meg termékváltozatot a parancsban, az SKU alapértelmezés szerint Standard lesz. További információ: Bastion SKU-k.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Csatlakozás virtuális géphez

Ha még nem rendelkezik virtuális gépekkel a virtuális hálózatban, létrehozhat egy virtuális gépet a következő rövid útmutatóval : Windows rendszerű virtuális gép létrehozása vagy rövid útmutató: Linux rendszerű virtuális gép létrehozása

A virtuális géphez való csatlakozáshoz használhatja az alábbi cikkek vagy a következő szakasz lépéseit. Egyes kapcsolattípusokhoz a Bastion Standard termékváltozat vagy magasabb szintű termékváltozat szükséges.

• Csatlakozás Windows rendszerű virtuális géphez
  • RDP
  • SSH
• Csatlakozás Linux rendszerű virtuális géphez
  • SSH
• Csatlakozás méretezési csoporthoz
• Csatlakozás IP-címmel
• Csatlakozás natív ügyfélről
  • Windows-ügyfél
  • Linux/SSH-ügyfél

Csatlakozás a portál használatával

Az alábbi lépések végigvezetik egy kapcsolattípuson az Azure Portal használatával.

1. Az Azure Portalon nyissa meg azt a virtuális gépet, amelyhez csatlakozni szeretne.

2. A panel tetején válassza a Bastion csatlakoztatása>lehetőséget a Bastion panelre való ugráshoz. A Bastion panelre a bal oldali menüvel is léphet.

3. A Bastion panelen elérhető lehetőségek a Bastion termékváltozatától függenek. Ha az alapszintű termékváltozatot használja, rdp és 3389-port használatával csatlakozik egy Windows rendszerű számítógéphez. Az alapszintű termékváltozat esetében is az SSH és a 22-s port használatával csatlakozhat Linux rendszerű számítógépekhez. Nincs lehetősége a portszám vagy a protokoll módosítására. Az RDP billentyűzetének nyelvét azonban módosíthatja a kapcsolatbeállítások kibontásával.

   

   Ha a Standard termékváltozatot használja, több kapcsolati protokoll és portlehetőség érhető el. A beállítások megtekintéséhez bontsa ki a Kapcsolatbeállítások elemet . Általában, hacsak nem konfigurál különböző beállításokat a virtuális géphez, az RDP és a 3389-s port használatával csatlakozik egy Windows rendszerű számítógéphez. Linux rendszerű számítógéphez az SSH és a 22-s port használatával csatlakozhat.

   

4. Hitelesítési típus esetén válassza ki a legördülő listából. A protokoll határozza meg az elérhető hitelesítési típusokat. Végezze el a szükséges hitelesítési értékeket.

   

5. Ha új böngészőlapon szeretné megnyitni a virtuálisgép-munkamenetet, hagyja bejelölve a Megnyitás új böngésző lapon lehetőséget.

6. Válassza a Csatlakozás lehetőséget a virtuális géphez való csatlakozáshoz.

7. Győződjön meg arról, hogy a virtuális géphez való kapcsolat közvetlenül az Azure Portalon (HTML5-en keresztül) nyílik meg a 443-es port és a Bastion szolgáltatás használatával.

   

   Feljegyzés

   Amikor csatlakozik, a virtuális gép asztala másképp fog kinézni, mint a példa képernyőképe.

Ha billentyűparancsokat használ, miközben virtuális géphez csatlakozik, előfordulhat, hogy a helyi számítógépen lévő billentyűparancsokkal azonos működést eredményez. Ha például Windows-ügyfélről csatlakozik Egy Windows rendszerű virtuális géphez, a Ctrl+Alt+End billentyűkombináció a helyi számítógépen a Ctrl+Alt+Delete billentyűparancsa. Ha ezt Egy Windows rendszerű virtuális géphez való csatlakozás közben mac gépről szeretné elvégezni, a billentyűparancs az fn+control+option+delete billentyűkombináció.

Hangkimenet engedélyezése

Engedélyezheti a távoli hangkimenetet a virtuális gép számára. Egyes virtuális gépek automatikusan engedélyezik ezt a beállítást, míg mások megkövetelik a hangbeállítások manuális engedélyezését. A beállítások a virtuális gépen módosulnak. A Bastion-telepítéshez nincs szükség speciális konfigurációs beállításokra a távoli hangkimenet engedélyezéséhez.

Feljegyzés

A hangkimenet sávszélességet használ az internetkapcsolaton.

Távoli hangkimenet engedélyezése Windows rendszerű virtuális gépen:

1. Miután csatlakozott a virtuális géphez, megjelenik egy hanggomb az eszköztár jobb alsó sarkában. Kattintson a jobb gombbal a hang gombra, majd válassza a Hangok lehetőséget.
2. Egy előugró üzenet megkérdezi, hogy engedélyezni szeretné-e a Windows audioszolgáltatást. Válassza az Igen lehetőséget. A hangbeállítások között további hangbeállításokat is konfigurálhat.
3. A hangkimenet ellenőrzéséhez mutasson az eszköztár hang gombjára.

Virtuális gép nyilvános IP-címének eltávolítása

Az Azure Bastion nem használja a nyilvános IP-címet az ügyfél virtuális gépéhez való csatlakozáshoz. Ha nincs szüksége a virtuális gép nyilvános IP-címére, leválaszthatja a nyilvános IP-címet. Lásd: Nyilvános IP-cím társítása Azure-beli virtuális gépről.

Következő lépések

• Ha hálózati biztonsági csoportokat szeretne használni az Azure Bastion alhálózattal, olvassa el az NSG-k használata című témakört.
• A virtuális hálózatok közötti társviszony-létesítés megismeréséhez tekintse meg a virtuális hálózatok közötti társviszony-létesítést és az Azure Bastiont.