A Bastion üzembe helyezése az Azure CLI használatával

Ez a cikk bemutatja, hogyan helyezheti üzembe az Azure Bastiont parancssori felülettel. Az Azure Bastion egy PaaS-szolgáltatás, amit az Azure tart fenn ön helyett, nem pedig egy bastion gazdagép, amelyet ön telepít a virtuális gépére és saját maga tart fenn. Az Azure Bastion üzembe helyezése virtuális hálózatonként történik, nem előfizetésenként/fiókonként vagy virtuális gépenként. További információ az Azure Bastionról: Mi az Az Azure Bastion?

Miután üzembe helyezi a Bastiont a virtuális hálózaton, privát IP-címmel csatlakozhat a virtuális gépekhez. Ez a zökkenőmentes RDP/SSH-felület az ugyanazon a virtuális hálózaton lévő összes virtuális gép számára elérhető. Ha a virtuális gép nyilvános IP-címmel rendelkezik, amire semmi másra nincs szüksége, eltávolíthatja.

Ebben a cikkben létrehoz egy virtuális hálózatot (ha még nincs ilyen), üzembe helyezi az Azure Bastiont a parancssori felület használatával, és csatlakozik egy virtuális géphez. A Bastiont a következő más módszerekkel is üzembe helyezheti:

• Azure portal
• Azure PowerShell
• Rövid útmutató – A Bastion üzembe helyezése az alapértelmezett beállításokkal és a standard termékváltozattal

Feljegyzés

Az Azure Bastion használata az Azure saját DNS zónákkal támogatott. Vannak azonban korlátozások. További információkért tekintse meg az Azure Bastion gyakori kérdéseit.

Mielőtt hozzálát

Azure-előfizetés

Győződjön meg arról, hogy rendelkezik Azure-előfizetéssel. Ha még nincs Azure-előfizetése, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.

Azure CLI

Ez a cikk az Azure CLI-t használja. Parancsok futtatásához használhatja az Azure Cloud Shellt. Az Azure Cloud Shell egy olyan ingyenes interaktív kezelőfelület, amelyet a jelen cikkben található lépések futtatására használhat. A fiókjával való használat érdekében a gyakran használt Azure-eszközök már előre telepítve és konfigurálva vannak rajta.

A Cloud Shell megnyitásához válassza a Kipróbálás lehetőséget egy kódblokk jobb felső sarkában. A Cloud Shellt egy külön böngészőlapon is elindíthatja, ha a bal oldali legördülő menüt a Bash vagy a PowerShell ikonra váltja https://shell.azure.com . A Copy (másolás) gombra kattintva másolja és illessze be a kódot a Cloud Shellbe, majd nyomja le az Enter billentyűt a futtatáshoz.

A Bastion üzembe helyezése

Ez a szakasz segít az Azure Bastion üzembe helyezésében az Azure CLI használatával.

Fontos

Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.

1. Ha még nem rendelkezik virtuális hálózattal, hozzon létre egy erőforráscsoportot és egy virtuális hálózatot az `az group create` és `az network vnet create` parancsok használatával.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Az network vnet subnet create parancs használatával hozza létre azt az alhálózatot, amelyhez a Bastion üzembe lesz helyezve. A létrehozott alhálózatnak AzureBastionSubnetnek kell lennie. Ez az alhálózat kizárólag az Azure Bastion-erőforrásokra van fenntartva. Ha nem rendelkezik AzureBastionSubnet elnevezési értékkel rendelkező alhálózattal, a Bastion nem fog üzembe helyezni.

   • A létrehozható legkisebb AzureBastionSubnet méret a /26. Javasoljuk, hogy /26-os vagy nagyobb méretet hozzon létre a gazdagépek méretezésének támogatására.
     • A skálázással kapcsolatos további információkért lásd : Konfigurációs beállítások – Gazdagépek skálázása.
     • További információ a beállításokról: Konfigurációs beállítások – AzureBastionSubnet.
   • Hozza létre az AzureBastionSubnetet útvonaltáblák és delegálások nélkül.
   • Ha hálózati biztonsági csoportokat használ az AzureBastionSubneten, tekintse meg az NSG-k használata című cikket.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Hozzon létre egy nyilvános IP-címet az Azure Bastion számára. A nyilvános IP-cím annak a Bastion-erőforrásnak a nyilvános IP-címe, amelyen az RDP/SSH elérhető lesz (a 443-as porton keresztül). A nyilvános IP-címnek ugyanabban a régióban kell lennie, mint a létrehozott Bastion-erőforrásnak. Ezért különös figyelmet kell fordítania a --location megadott értékre.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Az az network bastion create parancs használatával hozzon létre egy új Azure Bastion erőforrást a virtuális hálózathoz. A Bastion-erőforrás létrehozása és üzembe helyezése körülbelül 10 percet vesz igénybe.

   Az alábbi példa az alapszintű termékváltozat-szinttel telepíti a Bastiont. Más termékváltozatok használatával is üzembe helyezheti azokat. A termékváltozat határozza meg a Bastion-telepítés által támogatott funkciókat. Ha nem ad meg termékváltozatot a parancsban, az SKU alapértelmezés szerint Standard lesz. További információ: Bastion SKU-k.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Csatlakozás virtuális géphez

Ha még nem rendelkezik virtuális gépekkel a virtuális hálózatban, létrehozhat egy virtuális gépet a következő rövid útmutatóval : Windows rendszerű virtuális gép létrehozása vagy rövid útmutató: Linux rendszerű virtuális gép létrehozása

A virtuális géphez való csatlakozáshoz használhatja az alábbi cikkek vagy a következő szakasz lépéseit. Egyes kapcsolattípusokhoz a Bastion Standard termékváltozat vagy magasabb szintű termékváltozat szükséges.

• Csatlakozás Windows rendszerű virtuális géphez
  • RDP
  • SSH
• Csatlakozás Linux rendszerű virtuális géphez
  • SSH
• Csatlakozás skálakészlethez
• Csatlakozás IP-címmel
• Csatlakozás natív ügyfélről
  • Windows-ügyfél
  • Linux/SSH-ügyfél

Csatlakozás a portál használatával

Az alábbi lépések végigvezetik egy kapcsolattípuson az Azure Portal használatával.

1. Az Azure Portalon nyissa meg azt a virtuális gépet, amelyhez csatlakozni szeretne.

2. A panel tetején válassza a CsatlakozásBastionhoz lehetőséget a Bastion panelhez való ugráshoz. A Bastion panelre a bal oldali menüvel is léphet.

3. A Bastion panelen elérhető lehetőségek a Bastion termékváltozatától függenek.

   Ha az alapszintű termékváltozatot használja, rdp és 3389-port használatával csatlakozik egy Windows rendszerű számítógéphez. Az alapszintű termékváltozat esetében is az SSH és a 22-s port használatával csatlakozhat Linux rendszerű számítógépekhez. Nincs lehetősége a portszám vagy a protokoll módosítására. Az RDP billentyűzetének nyelvét azonban módosíthatja a kapcsolatbeállítások ezen a panelen való kibontásával.

   Ha a Standard termékváltozatot használja, több kapcsolati protokoll és portlehetőség érhető el. A beállítások megtekintéséhez bontsa ki a Kapcsolatbeállítások elemet . Általában, hacsak nem konfigurál különböző beállításokat a virtuális géphez, az RDP és a 3389-s port használatával csatlakozik egy Windows rendszerű számítógéphez. Linux rendszerű számítógéphez az SSH és a 22-s port használatával csatlakozhat.

4. Hitelesítési típus esetén válassza ki a hitelesítési típust a legördülő listából. A protokoll határozza meg az elérhető hitelesítési típusokat. Végezze el a szükséges hitelesítési értékeket.

5. Ha új böngészőlapon szeretné megnyitni a virtuálisgép-munkamenetet, hagyja bejelölve a Megnyitás új böngésző lapon lehetőséget.

6. Válassza a Csatlakozás lehetőséget a virtuális géphez való csatlakozáshoz.

7. Győződjön meg arról, hogy a virtuális géphez való kapcsolat közvetlenül az Azure Portalon (HTML5-en keresztül) nyílik meg a 443-es port és a Bastion szolgáltatás használatával.

Ha billentyűparancsokat használ, miközben virtuális géphez csatlakozik, lehet, hogy nem azonos működést eredményez, mint a helyi számítógépen. Ha például egy Windows-alapú ügyfélről csatlakozik egy Windows rendszerű virtuális géphez, a Ctrl+Alt+End billentyűkombináció a helyi számítógépen a Ctrl+Alt+Delete billentyűparancsa. Ha ezt Egy Windows rendszerű virtuális géphez való csatlakozás közben mac gépről szeretné elvégezni, a billentyűparancs az fn+control+option+delete billentyűkombináció.

Hangkimenet engedélyezése

Engedélyezheti a távoli hangkimenetet a virtuális gép számára. Egyes virtuális gépek automatikusan engedélyezik ezt a beállítást, míg mások megkövetelik a hangbeállítások manuális engedélyezését. A beállítások a virtuális gépen módosulnak. A Bastion-telepítéshez nincs szükség speciális konfigurációs beállításokra a távoli hangkimenet engedélyezéséhez. A hangbemenet jelenleg nem támogatott.

Feljegyzés

A hangkimenet sávszélességet használ az internetkapcsolaton.

Távoli hangkimenet engedélyezése Windows rendszerű virtuális gépen:

1. Miután csatlakozott a virtuális géphez, megjelenik egy hanggomb az eszköztár jobb alsó sarkában. Kattintson a jobb gombbal a hang gombra, majd válassza a Hangok lehetőséget.
2. Egy előugró üzenet megkérdezi, hogy engedélyezni szeretné-e a Windows audioszolgáltatást. Válassza az Igen lehetőséget. A hangbeállítások között további hangbeállításokat is konfigurálhat.
3. A hangkimenet ellenőrzéséhez mutasson az eszköztár hang gombjára.

Virtuális gép nyilvános IP-címének eltávolítása

Az Azure Bastion nem használja a nyilvános IP-címet az ügyfél virtuális gépéhez való csatlakozáshoz. Ha nincs szüksége a virtuális gép nyilvános IP-címére, leválaszthatja a nyilvános IP-címet. Lásd: Nyilvános IP-cím leválasztása Azure-beli virtuális gépről.

Következő lépések

• Ha hálózati biztonsági csoportokat szeretne használni az Azure Bastion alhálózattal, olvassa el az NSG-k használata című témakört.
• A virtuális hálózatok közötti társviszony-létesítés megismeréséhez tekintse meg a virtuális hálózatok közötti társviszony-létesítést és az Azure Bastiont.