Bagikan melalui


Koneksi ke VM menggunakan Bastion dan klien asli Windows

Artikel ini membantu Anda menyambungkan ke VM di VNet menggunakan klien asli (SSH atau RDP) di komputer Windows lokal Anda. Fitur klien asli memungkinkan Anda terhubung ke VM target melalui Bastion menggunakan Azure CLI, dan memperluas opsi masuk Anda untuk menyertakan pasangan kunci SSH lokal dan ID Microsoft Entra. Untuk informasi dan langkah-langkah selengkapnya untuk mengonfigurasi Bastion untuk koneksi klien asli, lihat Mengonfigurasi Bastion untuk koneksi klien asli. Koneksi melalui klien asli memerlukan SKU Standar Bastion atau yang lebih tinggi.

Diagram memperlihatkan koneksi melalui klien asli.

Setelah mengonfigurasi Bastion untuk dukungan klien asli, Anda dapat terhubung ke VM menggunakan klien Windows asli. Metode yang Anda gunakan untuk menyambungkan tergantung pada klien yang Anda sambungkan, dan VM yang Anda sambungkan. Daftar berikut ini memperlihatkan beberapa cara yang tersedia untuk menyambungkan dari klien asli Windows. Lihat Koneksi ke VM untuk daftar lengkap yang memperlihatkan kombinasi koneksi/fitur klien yang tersedia.

  • Koneksi ke VM Windows menggunakan rdp bastion jaringan az.
  • Koneksi ke VM Linux menggunakan az network bastion ssh.
  • Koneksi ke VM menggunakan terowongan bastion jaringan az.
  • Unggah dan unduh file melalui RDP.
  • Unggah file melalui SSH menggunakan terowongan bastion jaringan az.

Prasyarat

Sebelum memulai, verifikasi bahwa Anda telah memiliki prasyarat berikut:

  • Versi terbaru perintah CLI (versi 2.32 atau lebih baru) telah terinstal. Anda dapat memperbarui CLI untuk Bastion menggunakan az extension update --name bastion. Untuk informasi tentang menginstal perintah CLI, lihat Menginstal Azure CLI dan Mulai menggunakan Azure CLI.
  • Azure Bastion sudah disebarkan dan dikonfigurasi untuk jaringan virtual Anda. Untuk langkah-langkahnya, lihat Mengonfigurasi Bastion untuk koneksi klien asli.
  • M virtual dalam jaringan virtual.
  • ID Sumber Daya mesin virtual. ID Sumber Daya dapat ditemukan dengan mudah di portal Azure. Buka halaman Gambaran Umum untuk mesin virtual Anda dan pilih tautan Tampilan JSON untuk membuka JSON Sumber Daya. Salin ID Sumber Daya di bagian atas halaman ke clipboard Anda untuk digunakan nanti ketika menyambungkan ke mesin virtual Anda.
  • Jika Anda berencana untuk masuk ke komputer virtual menggunakan kredensial Microsoft Entra, pastikan komputer virtual Anda disiapkan menggunakan salah satu metode berikut:

Memverifikasi peran dan port

Verifikasi bahwa peran dan port berikut sudah dikonfigurasi untuk tersambung ke mesin virtual.

Peran yang Diperlukan

  • Peran pembaca pada komputer virtual.

  • Peran pembaca pada NIC dengan IP privat komputer virtual.

  • Peran pembaca pada sumber daya Azure Bastion.

  • Peran Masuk Administrator Komputer Virtual atau Login Pengguna Komputer Virtual, jika Anda menggunakan metode masuk Microsoft Entra. Anda hanya perlu melakukan ini jika Anda mengaktifkan login Microsoft Entra menggunakan proses yang diuraikan dalam salah satu artikel ini:

Port

Untuk tersambungg ke VM Linux menggunakan dukungan klien asli, Anda harus membuka port berikut di VM Linux Anda:

  • Port masuk: SSH (22) atau
  • Port masuk: Nilai kustom (Anda kemudian perlu menentukan port kustom ini ketika tersambung ke VM melalui Azure Bastion)

Untuk tersambung ke VM Windows menggunakan dukungan klien asli, Anda harus membuka port berikut di VM Windows Anda:

  • Port masuk: RDP (3389) or
  • Port masuk: Nilai kustom (Anda kemudian perlu menentukan port kustom ini ketika tersambung ke VM melalui Azure Bastion)

Untuk mempelajari cara terbaik mengonfigurasi NSG dengan Azure Bastion, lihat Menangani akses NSG dan Azure Bastion.

Terhubung ke VM

Langkah-langkah di bagian berikut membantu Anda menyambungkan ke VM dari klien asli Windows menggunakan perintah bastion jaringan az.

RDP ke VM Windows

Ketika pengguna terhubung ke VM Windows melalui RDP, mereka harus memiliki hak pada VM target. Jika pengguna bukan administrator lokal, tambahkan pengguna ke grup Pengguna Desktop Jauh pada VM target.

  1. Masuk ke akun Azure Anda menggunakan az login. Jika Anda memiliki lebih dari satu langganan, Anda dapat melihatnya menggunakan az account list dan memilih langganan yang berisi sumber daya Bastion Anda menggunakan az account set --subscription "<subscription ID>".

  2. Untuk menyambungkan melalui RDP, gunakan contoh berikut.

    az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>"
    
  3. Setelah menjalankan perintah, Anda diminta untuk memasukkan kredensial Anda. Anda dapat menggunakan nama pengguna dan kata sandi lokal, atau kredensial Microsoft Entra Anda. Setelah Anda masuk ke VM target Anda, klien asli di komputer Anda terbuka dengan sesi VM Anda melalui MSTSC.

    Penting

    Koneksi jarak jauh ke VM yang bergabung ke MICROSOFT Entra ID hanya diizinkan dari PC Windows 10 atau yang lebih baru yang terdaftar microsoft Entra (dimulai dengan Windows 10 20H1), microsoft Entra bergabung, atau microsoft Entra hibrid yang bergabung ke direktori yang sama dengan VM.

Tentukan metode autentikasi

Secara opsional, Anda juga dapat menentukan metode autentikasi sebagai bagian dari perintah.

  • Autentikasi Microsoft Entra: Untuk Windows 10 versi 20H2+, Windows 11 21H2+, dan Windows Server 2022, gunakan --enable-mfa. Untuk informasi selengkapnya, lihat az network bastion rdp - parameter opsional.

Tentukan port kustom

Anda dapat menentukan port kustom saat tersambung ke VM Windows melalui RDP.

Salah satu skenario di mana ini bisa sangat berguna adalah menyambungkan ke VM Windows melalui port 22. Ini adalah solusi potensial untuk batasan dengan perintah az network bastion ssh , yang tidak dapat digunakan oleh klien asli Windows untuk terhubung ke VM Windows.

Untuk menentukan port kustom, sertakan bidang --resource-port dalam perintah masuk, seperti yang ditunjukkan dalam contoh berikut.

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId>" --resource-port "22"

RDP ke alamat IP VM Windows

Anda juga dapat terhubung ke alamat IP privat VM, bukan ID sumber daya. Autentikasi Microsoft Entra, dan port dan protokol kustom tidak didukung saat menggunakan jenis koneksi ini. Untuk informasi selengkapnya tentang koneksi berbasis IP, lihat Koneksi ke VM - alamat IP.

az network bastion Menggunakan perintah , ganti --target-resource-id dengan --target-ip-address dan alamat IP yang ditentukan untuk menyambungkan ke VM Anda.

az network bastion rdp --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>"

SSH ke VM Linux

  1. Masuk ke akun Azure Anda menggunakan az login. Jika Anda memiliki lebih dari satu langganan, Anda dapat melihatnya menggunakan az account list dan memilih langganan yang berisi sumber daya Bastion Anda menggunakan az account set --subscription "<subscription ID>".

  2. Masuk ke mesin virtual Linux target menggunakan salah satu dari opsi contoh berikut. Jika Anda ingin menentukan nilai port kustom, sertakan bidang --resource-port dalam perintah masuk.

    ID Microsoft Entra:

    Jika Anda masuk ke VM yang mendukung login Microsoft Entra, gunakan perintah berikut. Untuk informasi selengkapnya, lihat VM Linux Azure dan ID Microsoft Entra.

    az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "AAD"
    

    Pasangan kunci SSH:

    Ekstensi dapat diinstal dengan menjalankan az extension add --name ssh. Untuk masuk menggunakan pasangan kunci SSH, gunakan contoh berikut.

    az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"
    

    Nama pengguna/kata sandi:

    Jika Anda masuk menggunakan nama pengguna dan kata sandi lokal, gunakan perintah berikut. Anda akan kemudian dimintai kata sandi untuk mesin virtual target.

    az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --auth-type "password" --username "<Username>"
    
  3. Setelah Anda masuk ke VM target Anda, klien asli di komputer Anda terbuka dengan sesi VM Anda menggunakan ekstensi SSH CLI (az ssh).

SSH ke alamat IP VM Linux

Anda juga dapat terhubung ke alamat IP privat VM, bukan ID sumber daya. Autentikasi Microsoft Entra, dan port dan protokol kustom tidak didukung saat menggunakan jenis koneksi ini. Untuk informasi selengkapnya tentang koneksi berbasis IP, lihat Koneksi ke VM - alamat IP.

az network bastion Menggunakan perintah , ganti --target-resource-id dengan --target-ip-address dan alamat IP yang ditentukan untuk menyambungkan ke VM Anda.

az network bastion ssh --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --auth-type "ssh-key" --username "<Username>" --ssh-key "<Filepath>"

Koneksi ke VM - perintah terowongan

Perintah terowongan bastion jaringan az adalah cara lain agar Anda dapat terhubung ke VM Anda. Saat menggunakan perintah ini, Anda bisa melakukan hal berikut:

  • Koneksi dari klien asli di komputer lokal non-Windows. (Misalnya, komputer Linux.)
  • Koneksi ke VM menggunakan SSH atau RDP. (Terowongan bastion tidak menyampaikan server web atau host.)
  • Gunakan klien asli pilihan Anda.
  • Unggah file ke mesin virtual target Anda dari komputer lokal. Pengunduhan file dari mesin virtual target ke klien lokal saat ini tidak didukung untuk perintah ini.

Batasan:

  • Masuk menggunakan kunci privat SSH yang disimpan di Azure Key Vault tidak didukung dengan fitur ini. Sebelum masuk ke mesin virtual Linux Anda menggunakan pasangan kunci SSH, unduh kunci privat ke file pada mesin lokal Anda.
  • Fitur ini tidak didukung di Cloud Shell.

Langkah-langkah:

  1. Masuk ke akun Azure Anda menggunakan az login. Jika Anda memiliki lebih dari satu langganan, Anda dapat melihatnya menggunakan az account list dan memilih langganan yang berisi sumber daya Bastion Anda menggunakan az account set --subscription "<subscription ID>".

  2. Buka terowongan ke VM target Anda.

    az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-resource-id "<VMResourceId or VMSSInstanceResourceId>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"
    
  3. Koneksi ke VM target Anda menggunakan SSH atau RDP, klien asli pilihan Anda, dan port komputer lokal yang Anda tentukan di langkah sebelumnya.

    Misalnya, Anda dapat menggunakan perintah berikut jika klien OpenSSH terinstal di komputer lokal Anda:

    ssh <username>@127.0.0.1 -p <LocalMachinePort>
    

Terowongan ke alamat IP VM

Anda juga dapat terhubung ke alamat IP privat VM, bukan ID sumber daya. Autentikasi Microsoft Entra, dan port dan protokol kustom tidak didukung saat menggunakan jenis koneksi ini. Untuk informasi selengkapnya tentang koneksi berbasis IP, lihat Koneksi ke VM - alamat IP.

az network bastion tunnel Menggunakan perintah , ganti --target-resource-id dengan --target-ip-address dan alamat IP yang ditentukan untuk menyambungkan ke VM Anda.

az network bastion tunnel --name "<BastionName>" --resource-group "<ResourceGroupName>" --target-ip-address "<VMIPAddress>" --resource-port "<TargetVMPort>" --port "<LocalMachinePort>"

Terowongan multi-koneksi

  1. Tambahkan berikut ini ke $HOME.ssh\config Anda.

    Host tunneltunnel
      HostName 127.0.0.1
      Port 2222
      User mylogin
      StrictHostKeyChecking=No
      UserKnownHostsFile=\\.\NUL
    
  2. Tambahkan koneksi terowongan ke koneksi terowongan yang dibuat.

    az network bastion tunnel --name mybastion --resource-group myrg --target-resource-id /subscriptions/<mysubscription>/resourceGroups/myrg/providers/Microsoft.Compute/virtualMachines/myvm --resource-port 22 --port 22
    
  3. Buat terowongan ssh di terowongan bastion.

    ssh -L 2222:127.0.0.1:22 mylogin@127.0.0.1
    
  4. Gunakan Visual Studio Code untuk menyambungkan ke koneksi terowongan Anda.

Langkah berikutnya

Unggah atau unduh file