Menyebarkan Bastion menggunakan Azure CLI

Artikel ini memperlihatkan kepada Anda cara menyebarkan Azure Bastion menggunakan CLI. Azure Bastion adalah layanan PaaS yang dipertahankan untuk Anda, bukan bastion host yang diinstal pada VM Anda dan dipertahankan sendiri. Penyebaran Azure Bastion adalah per jaringan virtual, bukan per langganan/akun atau komputer virtual. Untuk informasi selengkapnya tentang Azure Bastion, lihat Apa yang Azure Bastion?

Setelah Anda menyebarkan Bastion ke jaringan virtual, Anda dapat menyambungkan ke mesin virtual Anda melalui alamat IP privat. Pengalaman RDP/SSH yang mulus ini tersedia untuk semua mesin virtual di jaringan virtual yang sama. Jika mesin virtual Anda memiliki alamat IP yang tidak diperlukan untuk hal lain, Anda dapat menghapusnya.

Dalam artikel ini, Anda membuat jaringan virtual (jika Anda belum memilikinya), menyebarkan Azure Bastion menggunakan CLI, dan menyambungkan ke VM. Anda juga dapat menyebarkan Bastion dengan menggunakan metode lain berikut ini:

• Portal Azure
• Azure PowerShell
• Mulai Cepat - Menyebarkan Bastion dengan pengaturan default dan SKU Standar

Catatan

Penggunaan Azure Bastion dengan zona Azure Private DNS didukung. Namun, ada batasan. Untuk informasi selengkapnya, lihat FAQ Azure Bastion.

Sebelum memulai

langganan Azure

Verifikasi bahwa Anda memiliki langganan Azure. Jika Anda belum memiliki langganan Azure, Anda dapat mengaktifkan manfaat pelanggan MSDN atau mendaftar akun free.

Azure CLI

Artikel ini menggunakan Azure CLI. Untuk menjalankan perintah, Anda dapat menggunakan Azure Cloud Shell. Azure Cloud Shell adalah shell interaktif gratis yang dapat Anda gunakan untuk menjalankan langkah-langkah dalam artikel ini. Ini memiliki alat Azure umum yang telah diinstal sebelumnya dan dikonfigurasi untuk digunakan dengan akun Anda.

Untuk membuka Cloud Shell, cukup pilih Coba dari sudut kanan atas blok kode. Anda juga dapat meluncurkan Cloud Shell di tab browser terpisah dengan masuk ke https://shell.azure.com dan beralih ke dropdown di sudut kiri untuk mencerminkan Bash atau PowerShell. Pilih Copy untuk menyalin blok kode, tempelkan ke Cloud Shell, dan tekan enter untuk menjalankannya.

Mengaktifkan Bastion

Bagian ini membantu Anda menyebarkan Azure Bastion menggunakan Azure CLI.

Penting

Harga per jam dimulai sejak Bastion diaktifkan, terlepas dari pemakaian data keluar. Untuk informasi selengkapnya, lihat Harga dan SKU. Jika Anda menyebarkan Bastion sebagai bagian dari tutorial atau pengujian, kami sarankan Anda menghapus sumber daya ini setelah Selesai menggunakannya.

1. Jika Anda belum memiliki jaringan virtual, buat grup sumber daya dan jaringan virtual menggunakan az group create dan az network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Gunakan az network vnet subnet create untuk membuat subnet tempat Bastion akan disebarkan. Subnet yang Anda buat harus bernama AzureBastionSubnet. Subnet ini dicadangkan secara eksklusif untuk sumber daya Azure Bastion. Jika Anda tidak memiliki subnet dengan nama AzureBastionSubnet, Bastion tidak akan berfungsi.

   • Ukuran subnet terkecil AzureBastionSubnet yang dapat Anda buat adalah /26. Sebaiknya Anda membuat ukuran /26 atau yang lebih besar untuk mengakomodasi penskalaan host.
     • Untuk informasi selengkapnya tentang penskalaan, lihat Pengaturan konfigurasi - Penskalaan host.
     • Untuk informasi selengkapnya tentang pengaturan, lihat Pengaturan konfigurasi - AzureBastionSubnet.
   • Buat AzureBastionSubnet tanpa tabel atau delegasi rute apa pun.
   • Jika Anda menggunakan Kelompok Keamanan Jaringan di AzureBastionSubnet, lihat artikel Bekerja dengan NSG.

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Buat alamat IP publik untuk Azure Bastion. Alamat IP Publik adalah Alamat IP publik sumber daya Bastion tempat RDP/SSH akan diakses (melalui port 443). Alamat IP publik harus berada di wilayah yang sama dengan sumber daya Bastion yang Anda buat. Untuk alasan ini, perhatikan nilai --location yang Anda tentukan.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Gunakan az network bastion create untuk membuat sumber daya Azure Bastion baru untuk jaringan virtual Anda. Dibutuhkan sekitar 10 menit untuk membuat dan menyebarkan sumber daya Bastion.

   Contoh berikut menyebarkan Bastion menggunakan SKU Dasar . Anda juga dapat menyebarkan menggunakan SKU lainnya. SKU menentukan fitur-fitur yang didukung oleh deployment Bastion Anda. Jika Anda tidak menentukan SKU dalam perintah Anda, SKU default ke Standar. Untuk informasi lebih lanjut, lihat SKU Bastion.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Terhubung ke VM

Jika Anda belum memiliki VM di jaringan virtual, Anda dapat membuat VM menggunakan Quickstart: Membuat VM Windows, atau Quickstart: Membuat VM Linux

Anda bisa menggunakan salah satu artikel berikut, atau langkah-langkah di bagian berikut, untuk membantu Anda menyambungkan ke VM. Beberapa jenis koneksi memerlukan SKU Standar Bastion atau yang lebih tinggi.

• Menyambungkan ke VM Windows
  • RDP
  • SSH
• Menyambungkan ke VM Linux
  • SSH
• Menyambungkan ke sekumpulan skala
• Menyambungkan melalui alamat IP
• Menyambung dari klien bawaan
  • klien Windows
  • Klien Linux/SSH

Sambungkan dengan portal

Langkah-langkah berikut memandu Anda melalui satu jenis koneksi menggunakan portal Azure.

1. Di portal Azure, buka komputer virtual yang ingin Anda sambungkan.

2. Di bagian atas panel, pilih Sambungkan>Bastion untuk masuk ke panel Bastion . Anda juga bisa masuk ke panel Bastion dengan menggunakan menu sebelah kiri.

3. Opsi yang tersedia di panel Bastion bergantung pada SKU Bastion.

   Jika Anda menggunakan SKU Standar atau lebih tinggi, Anda memiliki lebih banyak protokol koneksi dan opsi port yang tersedia. Perluas Pengaturan Koneksi untuk melihat opsi. Biasanya, kecuali Anda mengonfigurasi pengaturan yang berbeda untuk VM, Anda tersambung ke komputer Windows dengan menggunakan RDP dan port 3389. Anda terhubung ke komputer Linux dengan menggunakan SSH dan port 22.

   Jika Anda menggunakan SKU Basic, Anda tersambung ke komputer Windows dengan menggunakan RDP dan port 3389. Juga untuk SKU Dasar, Anda terhubung ke komputer Linux dengan menggunakan SSH dan port 22. Anda tidak memiliki opsi untuk mengubah nomor port atau protokol. Namun, Anda dapat mengubah bahasa keyboard untuk RDP dengan memperluas Pengaturan Koneksi di panel ini.

   Jika Anda menggunakan SKU Pengembang, Bastion akan disebarkan secara otomatis saat Anda terhubung untuk pertama kalinya. Anda terhubung ke komputer Windows dengan menggunakan RDP dan port 3389, atau ke komputer Linux dengan menggunakan SSH dan port 22. SKU Pengembang menggunakan arsitektur kumpulan bersama dan tersedia tanpa biaya tambahan di wilayah tertentu.

4. Untuk Jenis Autentikasi, pilih jenis autentikasi dari daftar dropdown. Protokol menentukan jenis autentikasi yang tersedia. Selesaikan nilai autentikasi yang diperlukan.

5. Untuk membuka sesi VM di tab browser baru, biarkan Buka di tab browser baru dipilih.

6. Pilih Sambungkan untuk menyambungkan ke VM.

7. Konfirmasikan bahwa koneksi ke komputer virtual terbuka langsung di portal Azure (melalui HTML5) dengan menggunakan port 443 dan layanan Bastion.

Menggunakan tombol pintasan keyboard saat Anda tersambung ke VM mungkin tidak menghasilkan perilaku yang sama dengan tombol pintasan di komputer lokal. Misalnya, saat Anda tersambung ke VM Windows dari klien Windows, Ctrl+Alt+End adalah pintasan keyboard untuk Ctrl+Alt+Delete di komputer lokal. Untuk melakukan ini dari Mac saat Anda tersambung ke VM Windows, pintasan keyboard adalah fn+control+option+delete.

Cara mengaktifkan output audio

Anda dapat mengaktifkan output audio jarak jauh untuk mesin virtual Anda. Beberapa VM secara otomatis mengaktifkan pengaturan ini, sedangkan yang lain mengharuskan Anda mengaktifkan pengaturan audio secara manual. Pengaturan diubah pada mesin virtual itu sendiri. Implementasi Bastion Anda tidak memerlukan pengaturan konfigurasi khusus untuk mengaktifkan keluaran audio jarak jauh. Input audio saat ini tidak didukung.

Catatan

Pengeluaran audio memakai bandwidth dari koneksi internet Anda.

Untuk mengaktifkan output audio jarak jauh pada VM Windows:

1. Setelah Anda tersambung ke VM, tombol audio muncul di sudut kanan bawah toolbar. Klik kanan tombol audio, lalu pilih Suara.
2. Pesan pop-up menanyakan apakah Anda ingin mengaktifkan Layanan Audio Windows. Pilih Ya. Anda dapat mengonfigurasi lebih banyak opsi audio di Preferensi suara.
3. Untuk memverifikasi output suara, arahkan mouse ke atas tombol audio pada toolbar.

Menghapus alamat IP publik VM

Azure Bastion tidak menggunakan alamat IP publik untuk menyambungkan ke VM klien. Jika tidak memerlukan alamat IP publik untuk mesin virtual Anda, Anda dapat memisahkan alamat IP publik. Lihat Dissosiasi alamat IP publik dari VM Azure.

Langkah berikutnya

• Untuk menggunakan Grup Keamanan Jaringan dengan subnet Azure Bastion, lihat Bekerja dengan NSG.
• Untuk memahami peering VNet, lihat VNet peering dan Azure Bastion.