Distribuire Bastion con Azure PowerShell
Questo articolo illustra come distribuire Azure Bastion con PowerShell. Azure Bastion è un servizio PaaS gestito automaticamente, non un bastion host installato nella macchina virtuale e gestito manualmente. Una distribuzione di Azure Bastion è per rete virtuale, non per sottoscrizione/account o macchina virtuale. Per altre informazioni su Azure Bastion, vedere Che cos'è Azure Bastion?
Dopo aver distribuito Bastion nella rete virtuale, è possibile connettersi alle macchine virtuali tramite l'indirizzo IP privato. Questa esperienza RDP/SSH facile è disponibile per tutte le macchine virtuali nella stessa rete virtuale. Se la macchina virtuale ha un indirizzo IP pubblico che non è necessario per altre operazioni, è possibile rimuoverlo.
In questo articolo si crea una rete virtuale (se non ne è già disponibile una), si distribuisce Azure Bastion usando PowerShell e ci si connette a una macchina virtuale. Gli esempi mostrano Bastion distribuito usando il livello SKU Standard, ma è possibile usare uno SKU Bastion diverso, a seconda delle funzionalità che si vuole usare. Per altre informazioni, vedere SKU bastion.
È anche possibile distribuire Bastion usando gli altri metodi seguenti:
- Azure portal
- Interfaccia della riga di comando di Azure
- Guida introduttiva: Distribuire con le impostazioni predefinite
Nota
L'uso di Azure Bastion con le zone di azure DNS privato è supportato. Esistono tuttavia restrizioni. Per altre informazioni, vedere Domande frequenti su Azure Bastion.
Prima di iniziare
Verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.
PowerShell
Questo articolo usa i cmdlet di PowerShell. Per eseguire i cmdlet, è possibile usare Azure Cloud Shell. Cloud Shell è una shell interattiva gratuita che può essere usata per eseguire la procedura di questo articolo. Include strumenti comuni di Azure preinstallati e configurati per l'uso con l'account.
Per aprire Cloud Shell, basta selezionare Apri Cloud Shell nell'angolo superiore destro di un blocco di codice. È anche possibile aprire Cloud Shell in una scheda separata del browser andando su https://shell.azure.com/powershell. Selezionare Copia per copiare i blocchi di codice e incollarli in Cloud Shell, poi premere INVIO per eseguirli.
È anche possibile installare ed eseguire i cmdlet di Azure PowerShell in locale nel computer. I cmdlet di PowerShell vengono aggiornati di frequente. Se non è stata installata la versione più recente, i valori specificati nelle istruzioni potrebbero non avere successo. Per trovare le versioni di Azure PowerShell installate nel computer, usare il cmdlet Get-Module -ListAvailable Az
. Per installare o aggiornare, vedere Installare il modulo Azure PowerShell.
Valori di esempio
Quando si crea questa configurazione, è possibile usare i valori di esempio seguenti oppure è possibile sostituirli con altri personalizzati.
Valori di vm e rete virtuale di esempio:
Nome | valore |
---|---|
Macchina virtuale | TestVM |
Gruppo di risorse | TestRG1 |
Area geografica | Stati Uniti orientali |
Rete virtuale | Rete virtuale 1 |
Spazio indirizzi | 10.1.0.0/16 |
Subnet | FrontEnd: 10.1.0.0/24 |
Valori di Azure Bastion:
Nome | valore |
---|---|
Nome | VNet1-bastion |
Nome della subnet | FrontEnd |
Nome della subnet | AzureBastionSubnet |
Indirizzi della subnet AzureBastionSubnet | Una subnet all'interno dello spazio indirizzi della rete virtuale con una subnet mask /26 o superiore. Ad esempio, 10.1.1.0/26. |
Livello/SKU | Standard |
Indirizzo IP pubblico | Crea nuovo |
Nome indirizzo IP pubblico | VNet1-ip |
SKU indirizzo IP pubblico | Standard |
Assegnazione | Statico |
Distribuire Bastion
Questa sezione illustra come creare una rete virtuale, le subnet e distribuire Azure Bastion con Azure PowerShell.
Importante
La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.
Creare un gruppo di risorse, una rete virtuale e una subnet front-end a cui si distribuiscono le macchine virtuali a cui ci si connetterà tramite Bastion. Se si esegue PowerShell in locale, aprire la console di PowerShell con privilegi elevati e connettersi a Azure per mezzo del comando
Connect-AzAccount
.New-AzResourceGroup -Name TestRG1 -Location EastUS ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location EastUS -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetwork
Configurare e impostare la subnet di Azure Bastion per la rete virtuale. Questa subnet è riservata esclusivamente alle risorse di Azure Bastion. È necessario creare questa subnet usando il valore del nome AzureBastionSubnet. Questo valore indica ad Azure la subnet in cui devono essere distribuite le risorse Bastion. L'esempio nella sezione seguente consente di aggiungere una subnet di Azure Bastion a una rete virtuale esistente.
- La dimensione più piccola di AzureBastionSubnet che è possibile creare è /26. È consigliabile creare una dimensione /26 o superiore per supportare il ridimensionamento dell'host.
- Per altre informazioni sul ridimensionamento, vedere Impostazioni di configurazione - Ridimensionamento host.
- Per altre informazioni sulle impostazioni, vedere Impostazioni di configurazione - AzureBastionSubnet.
- Creare AzureBastionSubnet senza tabelle di route o deleghe.
- Se si usano gruppi di sicurezza di rete in AzureBastionSubnet, vedere l'articolo Usare gruppi di sicurezza di rete.
Impostare la variabile .
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"
Aggiungere la subnet.
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork
- La dimensione più piccola di AzureBastionSubnet che è possibile creare è /26. È consigliabile creare una dimensione /26 o superiore per supportare il ridimensionamento dell'host.
Creare un indirizzo IP pubblico per Azure Bastion. L'indirizzo IP pubblico è l'indirizzo IP pubblico della risorsa Bastion a cui si accederà RDP/SSH (sulla porta 443). L'indirizzo IP pubblico deve trovarsi nella stessa area della risorsa Bastion che si sta creando.
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "EastUS" ` -AllocationMethod Static -Sku Standard
Creare una nuova risorsa Azure Bastion in AzureBastionSubnet usando il comando New-AzBastion . Nell'esempio seguente viene usato lo SKU Basic. Tuttavia, è anche possibile distribuire Bastion usando uno SKU diverso modificando il valore -Sku. Lo SKU selezionato determina le funzionalità Bastion e si connette alle macchine virtuali usando più tipi di connessione. Per altre informazioni, vedere SKU bastion.
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"
La distribuzione delle risorse Bastion richiede circa 10 minuti. È possibile creare una macchina virtuale nella sezione successiva mentre Bastion viene distribuito nella rete virtuale.
Creazione di una macchina virtuale
È possibile creare una macchina virtuale usando l'argomento di avvio rapido: Creare una macchina virtuale usando PowerShell o Guida introduttiva: Creare una macchina virtuale usando gli articoli del portale . Assicurarsi di distribuire la macchina virtuale nella stessa rete virtuale in cui è stato distribuito Bastion. La macchina virtuale creata in questa sezione non fa parte della configurazione di Bastion e non diventa un bastion host. La connessione a questa macchina virtuale verrà eseguita più avanti in questa esercitazione tramite Bastion.
I ruoli necessari seguenti per le risorse.
Ruoli VM richiesti:
- Ruolo Lettore nella macchina virtuale.
- Ruolo Lettore nella scheda di interfaccia di rete con l'indirizzo IP privato della macchina virtuale.
Porte in ingresso necessarie:
- Per le macchine virtuali Windows - RDP (3389)
- Per le macchine virtuali Linux - SSH (22)
Connettersi a una macchina virtuale
È possibile usare i passaggi di connessione nella sezione seguente per connettersi alla macchina virtuale. È anche possibile usare uno degli articoli seguenti per connettersi a una macchina virtuale. Alcuni tipi di connessione richiedono lo SKU Bastion Standard.
- Connettersi a una macchina virtuale Windows
- Connettersi a una macchina virtuale Linux
- Connettersi a un set di scalabilità
- Connettersi tramite indirizzo IP
- Connettersi da un client nativo
Passaggi di connessione
Nel portale di Azure, passare alla macchina virtuale a cui ci si vuole connettere.
Nella parte superiore del riquadro selezionare Connetti>Bastion per passare al riquadro Bastion . È anche possibile passare al riquadro Bastion usando il menu a sinistra.
Le opzioni disponibili nel riquadro Bastion dipendono dallo SKU Bastion . Se si usa lo SKU Basic, ci si connette a un computer Windows usando RDP e la porta 3389. Anche per lo SKU Basic, ci si connette a un computer Linux usando SSH e la porta 22. Non sono disponibili opzioni per modificare il numero di porta o il protocollo. Tuttavia, è possibile modificare la lingua della tastiera per RDP espandendo Impostazioni di connessione.
Se si usa lo SKU Standard, sono disponibili più opzioni di protocollo di connessione e porta. Espandere Impostazioni di connessione per visualizzare le opzioni. In genere, a meno che non si configurino impostazioni diverse per la macchina virtuale, ci si connette a un computer Windows usando RDP e la porta 3389. Connettersi a un computer Linux usando SSH e la porta 22.
Per Tipo di autenticazione selezionare dall'elenco a discesa. Il protocollo determina i tipi di autenticazione disponibili. Completare i valori di autenticazione necessari.
Per aprire la sessione di macchina virtuale in una nuova scheda del browser, lasciare selezionata l'opzione Apri nella nuova scheda del browser.
Selezionare Connetti per connettersi alla macchina virtuale.
Verificare che la connessione alla macchina virtuale si apra direttamente nel portale di Azure (su HTML5) usando la porta 443 e il servizio Bastion.
Nota
Quando ci si connette, il desktop della macchina virtuale sarà diverso dallo screenshot di esempio.
L'uso dei tasti di scelta rapida mentre si è connessi a una macchina virtuale potrebbe non comportare lo stesso comportamento dei tasti di scelta rapida in un computer locale. Ad esempio, quando si è connessi a una macchina virtuale Windows da un client Windows, CTRL+ALT+FINE è il tasto di scelta rapida per CTRL+ALT+CANC in un computer locale. A tale scopo da un Mac mentre si è connessi a una macchina virtuale Windows, il tasto di scelta rapida è fn+control+option+delete.
Per abilitare l'output audio
È possibile abilitare l'output audio remoto per la macchina virtuale. Alcune macchine virtuali abilitano automaticamente questa impostazione, mentre altre richiedono l'abilitazione manuale delle impostazioni audio. Le impostazioni vengono modificate nella macchina virtuale stessa. La distribuzione di Bastion non richiede impostazioni di configurazione speciali per abilitare l'output audio remoto.
Nota
L'output audio usa la larghezza di banda nella connessione Internet.
Per abilitare l'output audio remoto in una macchina virtuale Windows:
- Dopo la connessione alla macchina virtuale, viene visualizzato un pulsante audio nell'angolo in basso a destra della barra degli strumenti. Fare clic con il pulsante destro del mouse sul pulsante audio e quindi scegliere Suoni.
- Un messaggio popup chiede se si vuole abilitare il servizio audio di Windows. Selezionare Sì. È possibile configurare più opzioni audio nelle preferenze audio.
- Per verificare l'output audio, passare il puntatore del mouse sul pulsante audio sulla barra degli strumenti.
Rimuovere l'indirizzo IP pubblico della macchina virtuale
Azure Bastion non usa l'indirizzo IP pubblico per connettersi alla macchina virtuale client. Se non è necessario l'indirizzo IP pubblico per la macchina virtuale, è possibile annullare l'associazione dell'indirizzo IP pubblico. Vedere Annullare l'dissociazione di un indirizzo IP pubblico da una macchina virtuale di Azure.
Passaggi successivi
- Per usare i gruppi di sicurezza di rete con la subnet di Azure Bastion, vedere Usare i gruppi di sicurezza di rete.
- Per informazioni sul peering reti virtuali, vedere Rete virtuale peering e Azure Bastion.