Menyebarkan Bastion menggunakan Azure CLI

Artikel ini menunjukkan cara menyebarkan Azure Bastion menggunakan CLI. Azure Bastion adalah layanan PaaS yang dikelola untuk Anda, bukan host bastion yang Anda instal di mesin virtual dan dikelola sendiri. Penyebaran Azure Bastion adalah per jaringan virtual, bukan per langganan/akun atau mesin virtual. Untuk informasi selengkapnya tentang Azure Bastion, lihat Apa itu Azure Bastion?

Setelah Anda menyebarkan Bastion ke jaringan virtual, Anda dapat menyambungkan ke mesin virtual Anda melalui alamat IP privat. Pengalaman RDP/SSH yang mulus ini tersedia untuk semua mesin virtual di jaringan virtual yang sama. Jika mesin virtual Anda memiliki alamat IP yang tidak diperlukan untuk hal lain, Anda dapat menghapusnya.

Dalam artikel ini, Anda membuat jaringan virtual (jika Anda belum memilikinya), menyebarkan Azure Bastion menggunakan CLI, dan menyambungkan ke VM. Anda juga dapat menyebarkan Bastion dengan menggunakan metode lain berikut ini:

• portal Microsoft Azure
• Azure PowerShell
• Mulai cepat - terapkan dengan pengaturan default

Catatan

Penggunaan Azure Bastion dengan zona DNS Privat Azure didukung. Namun, ada batasan. Untuk informasi selengkapnya, lihat Tanya Jawab Umum Azure Bastion.

Sebelum memulai

Langganan Azure

Pastikan Anda memiliki langganan Azure. Jika Anda belum memiliki langganan Azure, Anda dapat mengaktifkan manfaat pelanggan MSDN atau mendaftar untuk akun gratis.

Azure CLI

Artikel ini menggunakan Azure CLI. Untuk menjalankan perintah, Anda dapat menggunakan Azure Cloud Shell. Azure Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Shell ini memiliki alat Azure umum yang telah dipasang sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.

Untuk membuka Cloud Shell, cukup pilih Cobalah dari sudut kanan atas blok kode. Anda juga dapat meluncurkan Cloud Shell di tab browser terpisah dengan masuk ke https://shell.azure.com dan mengalihkan drop-down di pojok kiri untuk mencerminkan Bash atau PowerShell. Pilih Salin untuk menyalin blok kode, tempelkan ke Cloud Shell, dan tekan masukkan untuk menjalankannya.

Menyebarkan Bastion

Bagian ini membantu Anda menyebarkan Azure Bastion menggunakan Azure CLI.

Penting

Harga per jam dimulai sejak Bastion disebarkan, terlepas dari penggunaan data keluar. Untuk informasi selengkapnya, lihat Harga dan SKU. Jika Anda menyebarkan Bastion sebagai bagian dari tutorial atau pengujian, kami sarankan Anda menghapus sumber daya ini setelah Selesai menggunakannya.

1. Jika Anda belum memiliki jaringan virtual, buat grup sumber daya dan jaringan virtual menggunakan az group create dan az network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Gunakan az network vnet subnet create untuk membuat subnet tempat Bastion akan disebarkan. Subnet yang Anda buat harus bernama AzureBastionSubnet. Subnet ini disediakan khusus untuk sumber daya Azure Bastion. Jika Anda tidak memiliki subnet dengan nilai penamaan AzureBastionSubnet, Bastion tidak akan menyebarkan.

   • Ukuran subnet terkecil AzureBastionSubnet yang dapat Anda buat adalah /26. Sebaiknya Anda membuat ukuran /26 atau yang lebih besar untuk mengakomodasi penskalaan host.
     • Untuk informasi selengkapnya tentang penskalaan, lihat Pengaturan konfigurasi - Penskalaan host.
     • Untuk informasi selengkapnya tentang pengaturan, lihat Pengaturan konfigurasi - AzureBastionSubnet.
   • Buat AzureBastionSubnet tanpa tabel atau delegasi rute apa pun.
   • Jika Anda menggunakan Kelompok Keamanan Jaringan di AzureBastionSubnet, lihat artikel Bekerja dengan NSG.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Buat alamat IP publik untuk Azure Bastion. Alamat IP Publik adalah Alamat IP publik sumber daya Bastion tempat RDP/SSH akan diakses (melalui port 443). Alamat IP publik harus berada di wilayah yang sama dengan sumber daya Bastion yang Anda buat. Untuk alasan ini, perhatikan nilai --location yang Anda tentukan.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Gunakan az network bastion create untuk membuat sumber daya Azure Bastion baru untuk jaringan virtual Anda. Dibutuhkan sekitar 10 menit untuk membuat dan menyebarkan sumber daya Bastion.

   Contoh berikut menyebarkan Bastion menggunakan tingkat SKU Dasar . SKU menentukan fitur yang didukung penyebaran Bastion Anda. Anda juga dapat menyebarkan menggunakan SKU Standar . Jika Anda tidak menentukan SKU dalam perintah Anda, SKU default ke Standar. Untuk informasi lebih lanjut, lihat SKU Bastion.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Terhubung ke VM

Jika Anda belum memiliki VM di jaringan virtual, Anda dapat membuat VM menggunakan Mulai Cepat: Membuat VM Windows, atau Mulai Cepat: Membuat VM Linux

Anda bisa menggunakan salah satu artikel berikut, atau langkah-langkah di bagian berikut, untuk membantu Anda menyambungkan ke VM. Beberapa jenis sambungan memerlukan SKU Standar Bastion.

• Koneksi ke VM Windows
  • RDP
  • SSH
• Koneksi ke VM Linux
  • SSH
• Menyambungkan ke set skala
• Koneksi melalui alamat IP
• Koneksi dari klien asli
  • Klien Windows
  • Klien Linux/SSH

Koneksi menggunakan portal

Langkah-langkah berikut memanah Anda melalui satu jenis koneksi menggunakan portal Azure.

1. Pada portal Azure, buka mesin virtual yang ingin Anda sambungkan.

2. Di bagian atas panel, pilih Koneksi> Bastion untuk masuk ke panel Bastion. Anda juga bisa masuk ke panel Bastion dengan menggunakan menu sebelah kiri.

3. Opsi yang tersedia di panel Bastion bergantung pada SKU Bastion. Jika Anda menggunakan SKU Dasar, Anda tersambung ke komputer Windows dengan menggunakan RDP dan port 3389. Juga untuk SKU Dasar, Anda terhubung ke komputer Linux dengan menggunakan SSH dan port 22. Anda tidak memiliki opsi untuk mengubah nomor port atau protokol. Namun, Anda dapat mengubah bahasa keyboard untuk RDP dengan meluaskan Pengaturan Koneksi.

   

   Jika Anda menggunakan SKU Standar, Anda memiliki lebih banyak protokol koneksi dan opsi port yang tersedia. Perluas Pengaturan Sambungan untuk melihat opsi. Biasanya, kecuali Anda mengonfigurasi pengaturan yang berbeda untuk VM, Anda tersambung ke komputer Windows dengan menggunakan RDP dan port 3389. Anda terhubung ke komputer Linux dengan menggunakan SSH dan port 22.

   

4. Untuk Jenis Autentikasi, pilih dari daftar dropdown. Protokol menentukan jenis autentikasi yang tersedia. Selesaikan nilai autentikasi yang diperlukan.

   

5. Untuk membuka sesi VM di tab browser baru, biarkan Buka di tab browser baru dipilih.

6. Pilih Sambungkan untuk menyambungkan ke Komputer Virtual.

7. Konfirmasikan bahwa koneksi ke komputer virtual terbuka langsung di portal Azure (melalui HTML5) dengan menggunakan port 443 dan layanan Bastion.

   

   Catatan

   Saat Anda tersambung, desktop VM akan terlihat berbeda dari contoh cuplikan layar.

Menggunakan tombol pintasan keyboard saat Anda tersambung ke VM mungkin tidak menghasilkan perilaku yang sama dengan tombol pintasan di komputer lokal. Misalnya, saat Anda tersambung ke VM Windows dari klien Windows, Ctrl+Alt+End adalah pintasan keyboard untuk Ctrl+Alt+Delete di komputer lokal. Untuk melakukan ini dari Mac saat Anda tersambung ke VM Windows, pintasan keyboard adalah Fn+Ctrl+Alt+Backspace.

Cara mengaktifkan output audio

Anda dapat mengaktifkan output audio jarak jauh untuk mesin virtual Anda. Beberapa VM secara otomatis mengaktifkan pengaturan ini, sedangkan yang lain mengharuskan Anda mengaktifkan pengaturan audio secara manual. Pengaturan diubah pada mesin virtual itu sendiri. Penyebaran Bastion Anda tidak memerlukan pengaturan konfigurasi khusus untuk mengaktifkan output audio jarak jauh.

Catatan

Output audio menggunakan bandwidth pada koneksi internet Anda.

Untuk mengaktifkan output audio jarak jauh pada mesin virtual Windows:

1. Setelah Anda tersambung ke VM, tombol audio muncul di sudut kanan bawah toolbar. Klik kanan tombol audio, lalu pilih Suara.
2. Pesan pop-up menanyakan apakah Anda ingin mengaktifkan Layanan Audio Windows. Pilih Ya. Anda dapat mengonfigurasi lebih banyak opsi audio di Preferensi suara.
3. Untuk memverifikasi output suara, arahkan mouse ke atas tombol audio pada toolbar.

Menghapus alamat IP publik VM

Azure Bastion tidak menggunakan alamat IP publik untuk tersambung ke mesin virtual klien. Jika tidak memerlukan alamat IP publik untuk mesin virtual Anda, Anda dapat memisahkan alamat IP publik. Lihat Memisahkan alamat IP publik dari mesin virtual Azure.

Langkah berikutnya

• Untuk menggunakan Kelompok Keamanan Jaringan dengan subnet Azure Bastion, lihat Bekerja dengan NSG.
• Untuk memahami peering VNet, lihat peering VNet dan Azure Bastion.