Menyebarkan Bastion menggunakan Azure PowerShell
Artikel ini memperlihatkan kepada Anda cara menyebarkan Azure Bastion menggunakan PowerShell. Azure Bastion adalah layanan PaaS yang dikelola untuk Anda, bukan host bastion yang Anda instal di mesin virtual dan dikelola sendiri. Penyebaran Azure Bastion adalah per jaringan virtual, bukan per langganan/akun atau mesin virtual. Untuk informasi selengkapnya tentang Azure Bastion, lihat Apa itu Azure Bastion?
Setelah Anda menyebarkan Bastion ke jaringan virtual, Anda dapat menyambungkan ke mesin virtual Anda melalui alamat IP privat. Pengalaman RDP/SSH yang mulus ini tersedia untuk semua mesin virtual di jaringan virtual yang sama. Jika mesin virtual Anda memiliki alamat IP yang tidak diperlukan untuk hal lain, Anda dapat menghapusnya.
Dalam artikel ini, Anda membuat jaringan virtual (jika Anda belum memilikinya), menyebarkan Azure Bastion menggunakan PowerShell, dan menyambungkan ke VM. Contoh menunjukkan Bastion yang disebarkan menggunakan tingkat SKU Standar, tetapi Anda dapat menggunakan SKU Bastion yang berbeda, tergantung pada fitur yang ingin Anda gunakan. Untuk informasi lebih lanjut, lihat SKU Bastion.
Anda juga dapat menyebarkan Bastion dengan menggunakan metode lain berikut ini:
Catatan
Penggunaan Azure Bastion dengan zona DNS Privat Azure didukung. Namun, ada batasan. Untuk informasi selengkapnya, lihat Tanya Jawab Umum Azure Bastion.
Sebelum memulai
Pastikan Anda memiliki langganan Azure. Jika Anda belum memiliki langganan Azure, Anda dapat mengaktifkan manfaat pelanggan MSDN atau mendaftar untuk akun gratis.
PowerShell
Artikel ini menggunakan cmdlet PowerShell. Untuk menjalankan cmdlet, Anda dapat menggunakan Azure Cloud Shell. Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Shell ini memiliki alat Azure umum yang telah dipasang sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.
Untuk membuka Cloud Shell, cukup pilih Buka Cloudshell dari sudut kanan atas blok kode. Anda juga dapat membuka Cloud Shell di tab browser terpisah dengan membuka https://shell.azure.com/powershell. Pilih Salin untuk menyalin blok kode, tempelkan kode ke Cloud Shell, dan pilih tombol Enter untuk menjalankannya.
Anda juga dapat menginstal dan menjalankan cmdlet Azure PowerShell secara lokal di komputer Anda. Cmdlet PowerShell sering diperbarui. Jika Anda belum menginstal versi terbaru, nilai yang ditentukan dalam instruksi mungkin gagal. Untuk menemukan versi Azure PowerShell yang terinstal di komputer Anda, gunakan Get-Module -ListAvailable Az cmdlet. Untuk menginstal atau memperbarui, lihat Menginstal modul Azure PowerShell.
Contoh nilai
Anda dapat menggunakan contoh nilai berikut saat membuat konfigurasi ini, atau Anda dapat menggantinya dengan nilai Anda sendiri.
Contoh nilai VNet dan VM:
| Nama | Nilai |
|---|---|
| Komputer virtual | TestVM |
| Grup sumber daya | TestRG1 |
| Wilayah | AS Timur |
| Jaringan virtual | VNet1 |
| Ruang alamat | 10.1.0.0/16 |
| Subnet | FrontEnd: 10.1.0.0/24 |
Nilai Azure Bastion:
| Nama | Nilai |
|---|---|
| Nama | VNet1-bastion |
| Nama Subnet | FrontEnd |
| Nama Subnet | AzureBastionSubnet |
| Alamat AzureBastionSubnet | Subnet dalam ruang alamat jaringan virtual Anda dengan subnet mask /26 atau lebih besar. Misalnya, 10.1.1.0/26. |
| Tingkat/SKU | Standard |
| Alamat IP publik | Buat baru |
| Nama alamat IP publik | VNet1-ip |
| Alamat IP publik SKU | Standard |
| Penugasan | Statis |
Menyebarkan Bastion
Bagian ini membantu Anda membuat jaringan virtual, subnet, dan menyebarkan Azure Bastion menggunakan Azure PowerShell.
Penting
Harga per jam dimulai sejak Bastion disebarkan, terlepas dari penggunaan data keluar. Untuk informasi selengkapnya, lihat Harga dan SKU. Jika Anda menyebarkan Bastion sebagai bagian dari tutorial atau pengujian, kami sarankan Anda menghapus sumber daya ini setelah Selesai menggunakannya.
Buat grup sumber daya, jaringan virtual, dan subnet ujung depan tempat Anda menyebarkan VM yang akan Anda sambungkan melalui Bastion. Jika Anda menjalankan PowerShell secara lokal, buka konsol PowerShell Anda dengan hak istimewa yang ditinggikan dan sambungkan ke Azure menggunakan perintah
Connect-AzAccount.New-AzResourceGroup -Name TestRG1 -Location EastUS ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location EastUS -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetworkKonfigurasi dan atur subnet Azure Bastion untuk jaringan virtual Anda. Subnet ini dicadangkan secara eksklusif untuk sumber daya Azure Bastion. Anda harus membuat subnet ini menggunakan nilai nama AzureBastionSubnet. Nilai ini memungkinkan Azure mengetahui subnet mana yang akan digunakan untuk menerapkan sumber daya Bastion. Contoh di bagian berikut membantu Anda menambahkan subnet Azure Bastion ke VNet yang sudah ada.
- Ukuran subnet terkecil AzureBastionSubnet yang dapat Anda buat adalah /26. Sebaiknya Anda membuat ukuran /26 atau yang lebih besar untuk mengakomodasi penskalaan host.
- Untuk informasi selengkapnya tentang penskalaan, lihat Pengaturan konfigurasi - Penskalaan host.
- Untuk informasi selengkapnya tentang pengaturan, lihat Pengaturan konfigurasi - AzureBastionSubnet.
- Buat AzureBastionSubnet tanpa tabel atau delegasi rute apa pun.
- Jika Anda menggunakan Kelompok Keamanan Jaringan di AzureBastionSubnet, lihat artikel Bekerja dengan NSG.
Atur variabel .
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"Tambahkan subnet.
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork- Ukuran subnet terkecil AzureBastionSubnet yang dapat Anda buat adalah /26. Sebaiknya Anda membuat ukuran /26 atau yang lebih besar untuk mengakomodasi penskalaan host.
Buat alamat IP publik untuk Azure Bastion. IP publik adalah alamat IP publik sumber daya Bastion tempat RDP/SSH akan diakses (melalui port 443). Alamat IP publik harus berada di wilayah yang sama dengan sumber daya Bastion yang Anda buat.
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "EastUS" ` -AllocationMethod Static -Sku StandardBuat sumber daya Azure Bastion baru di AzureBastionSubnet menggunakan perintah New-AzBastion. Contoh berikut menggunakan SKU Dasar. Namun, Anda juga dapat menyebarkan Bastion menggunakan SKU yang berbeda dengan mengubah nilai -Sku. SKU yang Anda pilih menentukan fitur Bastion dan menyambungkan ke VM menggunakan lebih banyak jenis koneksi. Untuk informasi lebih lanjut, lihat SKU Bastion.
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"Memerlukan waktu sekitar 10 menit bagi sumber daya Bastion untuk menyebarkan. Anda dapat membuat mesin virtual dalam bagian berikutnya saat Bastion disebarkan ke jaringan virtual Anda.
Membuat VM
Anda dapat membuat mesin virtual menggunakan artikel Mulai Cepat: Membuat mesin virtual menggunakan PowerShell atau Mulai Cepat: Membuat mesin virtual menggunakan portal. Pastikan Anda menyebarkan VM ke jaringan virtual yang sama dengan yang Anda sebarkan Bastion. Mesin virtual yang Anda buat di bagian ini bukan bagian dari konfigurasi Bastion dan tidak menjadi host bastion. Anda terhubung ke mesin virtual nanti dalam tutorial ini melalui Bastion.
Berikut peran yang diperlukan untuk sumber daya Anda.
Peran komputer virtual yang diperlukan:
- Peran pembaca pada komputer virtual.
- Peran pembaca pada NIC dengan IP privat komputer virtual.
Port masuk yang diperlukan:
- Untuk Mesin Virtual Windows - RDP (3389)
- Untuk Mesin Virtual Linux - SSH (22)
Terhubung ke VM
Anda dapat menggunakan langkah-langkah Koneksi ion di bagian berikut untuk menyambungkan ke VM Anda. Anda juga dapat menggunakan salah satu artikel berikut untuk menyambungkan ke mesin virtual. Beberapa jenis sambungan memerlukan SKU Standar Bastion.
- Koneksi ke VM Windows
- Koneksi ke VM Linux
- Menyambungkan ke set skala
- Koneksi melalui alamat IP
- Koneksi dari klien asli
Langkah-langkah koneksi
Pada portal Azure, buka mesin virtual yang ingin Anda sambungkan.
Di bagian atas panel, pilih Koneksi> Bastion untuk masuk ke panel Bastion. Anda juga bisa masuk ke panel Bastion dengan menggunakan menu sebelah kiri.
Opsi yang tersedia di panel Bastion bergantung pada SKU Bastion. Jika Anda menggunakan SKU Dasar, Anda tersambung ke komputer Windows dengan menggunakan RDP dan port 3389. Juga untuk SKU Dasar, Anda terhubung ke komputer Linux dengan menggunakan SSH dan port 22. Anda tidak memiliki opsi untuk mengubah nomor port atau protokol. Namun, Anda dapat mengubah bahasa keyboard untuk RDP dengan meluaskan Pengaturan Koneksi.
Jika Anda menggunakan SKU Standar, Anda memiliki lebih banyak protokol koneksi dan opsi port yang tersedia. Perluas Pengaturan Sambungan untuk melihat opsi. Biasanya, kecuali Anda mengonfigurasi pengaturan yang berbeda untuk VM, Anda tersambung ke komputer Windows dengan menggunakan RDP dan port 3389. Anda terhubung ke komputer Linux dengan menggunakan SSH dan port 22.
Untuk Jenis Autentikasi, pilih dari daftar dropdown. Protokol menentukan jenis autentikasi yang tersedia. Selesaikan nilai autentikasi yang diperlukan.
Untuk membuka sesi VM di tab browser baru, biarkan Buka di tab browser baru dipilih.
Pilih Sambungkan untuk menyambungkan ke Komputer Virtual.
Konfirmasikan bahwa koneksi ke komputer virtual terbuka langsung di portal Azure (melalui HTML5) dengan menggunakan port 443 dan layanan Bastion.
Catatan
Saat Anda tersambung, desktop VM akan terlihat berbeda dari contoh cuplikan layar.
Menggunakan tombol pintasan keyboard saat Anda tersambung ke VM mungkin tidak menghasilkan perilaku yang sama dengan tombol pintasan di komputer lokal. Misalnya, saat Anda tersambung ke VM Windows dari klien Windows, Ctrl+Alt+End adalah pintasan keyboard untuk Ctrl+Alt+Delete di komputer lokal. Untuk melakukan ini dari Mac saat Anda tersambung ke VM Windows, pintasan keyboard adalah Fn+Ctrl+Alt+Backspace.
Cara mengaktifkan output audio
Anda dapat mengaktifkan output audio jarak jauh untuk mesin virtual Anda. Beberapa VM secara otomatis mengaktifkan pengaturan ini, sedangkan yang lain mengharuskan Anda mengaktifkan pengaturan audio secara manual. Pengaturan diubah pada mesin virtual itu sendiri. Penyebaran Bastion Anda tidak memerlukan pengaturan konfigurasi khusus untuk mengaktifkan output audio jarak jauh.
Catatan
Output audio menggunakan bandwidth pada koneksi internet Anda.
Untuk mengaktifkan output audio jarak jauh pada mesin virtual Windows:
- Setelah Anda tersambung ke VM, tombol audio muncul di sudut kanan bawah toolbar. Klik kanan tombol audio, lalu pilih Suara.
- Pesan pop-up menanyakan apakah Anda ingin mengaktifkan Layanan Audio Windows. Pilih Ya. Anda dapat mengonfigurasi lebih banyak opsi audio di Preferensi suara.
- Untuk memverifikasi output suara, arahkan mouse ke atas tombol audio pada toolbar.
Menghapus alamat IP publik VM
Azure Bastion tidak menggunakan alamat IP publik untuk tersambung ke mesin virtual klien. Jika tidak memerlukan alamat IP publik untuk mesin virtual Anda, Anda dapat memisahkan alamat IP publik. Lihat Memisahkan alamat IP publik dari mesin virtual Azure.
Langkah berikutnya
- Untuk menggunakan Kelompok Keamanan Jaringan dengan subnet Azure Bastion, lihat Bekerja dengan NSG.
- Untuk memahami peering VNet, lihat Peering Virtual Network dan Azure Bastion.