Bastion implementeren met Behulp van Azure PowerShell
In dit artikel leest u hoe u Azure Bastion implementeert met behulp van PowerShell. Azure Bastion is een PaaS-service die voor u wordt onderhouden, niet een bastionhost die u op uw VIRTUELE machine installeert en uzelf onderhoudt. Een Azure Bastion-implementatie is per virtueel netwerk, niet per abonnement/account of virtuele machine. Zie Wat is Azure Bastion?
Zodra u Bastion in uw virtuele netwerk hebt geïmplementeerd, kunt u verbinding maken met uw VM's via een privé-IP-adres. Deze naadloze RDP-/SSH-ervaring is beschikbaar voor alle VM's in hetzelfde virtuele netwerk. Als uw VIRTUELE machine een openbaar IP-adres heeft dat u verder niet nodig hebt, kunt u deze verwijderen.
In dit artikel maakt u een virtueel netwerk (als u er nog geen hebt), implementeert u Azure Bastion met behulp van PowerShell en maakt u verbinding met een virtuele machine. In de voorbeelden ziet u dat Bastion is geïmplementeerd met behulp van de Standard-SKU-laag, maar u kunt een andere Bastion-SKU gebruiken, afhankelijk van de functies die u wilt gebruiken. Zie Bastion-SKU's voor meer informatie.
U kunt Bastion ook implementeren met behulp van de volgende andere methoden:
Notitie
Het gebruik van Azure Bastion met Azure Privé-DNS zones wordt ondersteund. Er zijn echter beperkingen. Zie de veelgestelde vragen over Azure Bastion voor meer informatie.
Voordat u begint
Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.
Powershell
In dit artikel worden PowerShell-cmdlets gebruikt. U kunt Azure Cloud Shell gebruiken om de cmdlets uit te voeren. Cloud Shell is een gratis interactieve shell die u kunt gebruiken om de stappen in dit artikel uit te voeren. In deze shell zijn algemene Azure-hulpprogramma's vooraf geïnstalleerd en geconfigureerd voor gebruik met uw account.
Als u Cloud Shell wilt openen, selecteert u Cloudshell openen in de rechterbovenhoek van een codeblok. U kunt Cloud Shell ook openen op een afzonderlijk browsertabblad door naar https://shell.azure.com/powershell. Selecteer Kopiëren om de codeblokken te kopiëren, plak deze in Cloud Shell en selecteer de Enter-toets om ze uit te voeren.
U kunt ook de Azure PowerShell-cmdlets lokaal op uw computer installeren en uitvoeren. PowerShell-cmdlets worden regelmatig bijgewerkt. Als u de meest recente versie niet hebt geïnstalleerd, kunnen de waarden in de instructies mislukken. Gebruik de Get-Module -ListAvailable Az cmdlet om de versies van Azure PowerShell te vinden die op uw computer zijn geïnstalleerd. Zie De Azure PowerShell-module installeren als u deze wilt installeren of bijwerken.
Voorbeeldwaarden
U kunt de volgende voorbeeldwaarden gebruiken bij het maken van deze configuratie, maar u kunt ze ook vervangen door uw eigen waarden.
Voorbeeld van VNet- en VM-waarden:
| Naam | Value |
|---|---|
| Virtuele machine | TestVM |
| Resourcegroep | TestRG1 |
| Regio | US - oost |
| Virtueel netwerk | VNet1 |
| Adresruimte | 10.1.0.0/16 |
| Subnetten | FrontEnd: 10.1.0.0/24 |
Azure Bastion-waarden:
| Naam | Value |
|---|---|
| Naam | VNet1-bastion |
| Subnetnaam | FrontEnd |
| Subnetnaam | AzureBastionSubnet |
| AzureBastionSubnet-adressen | Een subnet in de adresruimte van het virtuele netwerk met een subnetmasker /26 of groter. Bijvoorbeeld 10.1.1.0/26. |
| Laag/SKU | Standaard |
| Openbaar IP-adres | Nieuwe |
| Naam openbaar IP-adres | VNet1-ip |
| Openbaar IP-adres SKU | Standaard |
| Toewijzing | Statisch |
Bastion implementeren
Deze sectie helpt u bij het maken van een virtueel netwerk, subnetten en het implementeren van Azure Bastion met behulp van Azure PowerShell.
Belangrijk
De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.
Maak een resourcegroep, een virtueel netwerk en een front-endsubnet waarmee u de virtuele machines implementeert waarmee u verbinding maakt via Bastion. Als u PowerShell lokaal uitvoert, opent u uw PowerShell-console met verhoogde bevoegdheden en maakt u verbinding met Azure met behulp van de
Connect-AzAccountopdracht.New-AzResourceGroup -Name TestRG1 -Location EastUS ` $frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd ` -AddressPrefix "10.1.0.0/24" ` $virtualNetwork = New-AzVirtualNetwork ` -Name TestVNet1 -ResourceGroupName TestRG1 ` -Location EastUS -AddressPrefix "10.1.0.0/16" ` -Subnet $frontendSubnet ` $virtualNetwork | Set-AzVirtualNetworkConfigureer en stel het Azure Bastion-subnet voor uw virtuele netwerk in. Dit subnet is exclusief gereserveerd voor Azure Bastion-resources. U moet dit subnet maken met de naamwaarde AzureBastionSubnet. Deze waarde geeft Azure aan op welk subnet de Bastion-resources moeten worden geïmplementeerd. In het voorbeeld in de volgende sectie kunt u een Azure Bastion-subnet toevoegen aan een bestaand VNet.
- De kleinste grootte van het subnet AzureBastionSubnet die u kunt maken, is /26. U wordt aangeraden een /26 of groter formaat te maken voor het schalen van de host.
- Zie Configuratie-instellingen - Host schalen voor meer informatie over schalen.
- Zie Configuratie-instellingen - AzureBastionSubnet voor meer informatie over instellingen.
- Maak het AzureBastionSubnet zonder routetabellen of delegaties.
- Als u netwerkbeveiligingsgroepen in het AzureBastionSubnet gebruikt, raadpleegt u het artikel Werken met NSG's .
Stel de variabele in.
$vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"Voeg het subnet toe.
Add-AzVirtualNetworkSubnetConfig ` -Name "AzureBastionSubnet" -VirtualNetwork $vnet ` -AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork- De kleinste grootte van het subnet AzureBastionSubnet die u kunt maken, is /26. U wordt aangeraden een /26 of groter formaat te maken voor het schalen van de host.
Maak een openbaar IP-adres voor Azure Bastion. Het openbare IP-adres is het openbare IP-adres van de Bastion-resource waarop RDP/SSH wordt geopend (via poort 443). Het openbare IP-adres moet zich in dezelfde regio bevinden als de Bastion-resource die u maakt.
$publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" ` -name "VNet1-ip" -location "EastUS" ` -AllocationMethod Static -Sku StandardMaak een nieuwe Azure Bastion-resource in azureBastionSubnet met behulp van de opdracht New-AzBastion . In het volgende voorbeeld wordt de Basic-SKU gebruikt. U kunt Bastion echter ook implementeren met behulp van een andere SKU door de -SKU-waarde te wijzigen. De SKU die u selecteert, bepaalt de Bastion-functies en maakt verbinding met VM's met behulp van meer verbindingstypen. Zie Bastion-SKU's voor meer informatie.
New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" ` -PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" ` -VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" ` -Sku "Basic"Het duurt ongeveer 10 minuten voordat de Bastion-resources zijn geïmplementeerd. U kunt in de volgende sectie een virtuele machine maken terwijl Bastion wordt geïmplementeerd in uw virtuele netwerk.
Een VM maken:
U kunt een virtuele machine maken met behulp van de quickstart: Een virtuele machine maken met behulp van PowerShell of quickstart: Een virtuele machine maken met behulp van de portalartikelen . Zorg ervoor dat u de VIRTUELE machine implementeert in hetzelfde virtuele netwerk waarop u Bastion hebt geïmplementeerd. De VM die u in deze sectie maakt, maakt geen deel uit van de Bastion-configuratie en wordt geen bastionhost. U maakt later in deze zelfstudie verbinding met deze VIRTUELE machine via Bastion.
De volgende vereiste rollen voor uw resources.
Vereiste VM-rollen:
- De lezerrol op de virtuele machine.
- De lezerrol op de NIC met het privé-IP-adres van de virtuele machine.
Vereiste binnenkomende poorten:
- Voor Windows VMS - RDP (3389)
- Voor Virtuele Linux-machines - SSH (22)
Verbinding maken met een virtuele machine
U kunt de verbindingsstappen in de volgende sectie gebruiken om verbinding te maken met uw VIRTUELE machine. U kunt ook een van de volgende artikelen gebruiken om verbinding te maken met een virtuele machine. Voor sommige verbindingstypen is de Bastion Standard-SKU vereist.
- Verbinding maken met een Windows-VM
- Verbinding maken met een Virtuele Linux-machine
- Verbinding maken met een schaalset
- Verbinding maken via IP-adres
- Verbinding maken vanaf een systeemeigen client
Verbindingsstappen
Ga in Azure Portal naar de virtuele machine waarmee u verbinding wilt maken.
Selecteer Bovenaan het deelvenster Verbinding maken>met Bastion om naar het deelvenster Bastion te gaan. U kunt ook naar het deelvenster Bastion gaan met behulp van het linkermenu.
De beschikbare opties in het Bastion-deelvenster zijn afhankelijk van de Bastion-SKU. Als u de Basic-SKU gebruikt, maakt u verbinding met een Windows-computer met behulp van RDP en poort 3389. Ook voor de Basic-SKU maakt u verbinding met een Linux-computer met behulp van SSH en poort 22. U hebt geen opties om het poortnummer of het protocol te wijzigen. U kunt echter de toetsenbordtaal voor RDP wijzigen door verbindingsinstellingen uit te vouwen.
Als u de Standard-SKU gebruikt, hebt u meer verbindingsprotocol- en poortopties beschikbaar. Vouw Verbindingsinstellingen uit om de opties weer te geven. Normaal gesproken maakt u verbinding met een Windows-computer met behulp van RDP en poort 3389, tenzij u verschillende instellingen voor uw VIRTUELE machine configureert. U maakt verbinding met een Linux-computer met behulp van SSH en poort 22.
Voor verificatietype selecteert u in de vervolgkeuzelijst. Het protocol bepaalt de beschikbare verificatietypen. Voltooi de vereiste verificatiewaarden.
Als u de VM-sessie op een nieuw browsertabblad wilt openen, laat u Openen in nieuw browsertabblad geselecteerd.
Selecteer Verbinding maken om verbinding te maken met de virtuele machine.
Controleer of de verbinding met de virtuele machine rechtstreeks in Azure Portal (via HTML5) wordt geopend met behulp van poort 443 en de Bastion-service.
Notitie
Wanneer u verbinding maakt, ziet het bureaublad van de VIRTUELE machine er anders uit dan in de voorbeeldschermafbeelding.
Als u sneltoetsen gebruikt terwijl u bent verbonden met een virtuele machine, leidt dit mogelijk niet tot hetzelfde gedrag als sneltoetsen op een lokale computer. Als u bijvoorbeeld vanaf een Windows-client verbinding hebt met een Virtuele Windows-machine, is Ctrl+Alt+End de sneltoets voor Ctrl+Alt+Delete op een lokale computer. Als u dit wilt doen vanaf een Mac terwijl u bent verbonden met een Virtuele Windows-machine, is de sneltoets fn+control+option+delete.
Audio-uitvoer inschakelen
U kunt externe audio-uitvoer voor uw virtuele machine inschakelen. Sommige VM's schakelen deze instelling automatisch in, terwijl andere vereisen dat u audio-instellingen handmatig inschakelt. De instellingen worden op de VIRTUELE machine zelf gewijzigd. Uw Bastion-implementatie heeft geen speciale configuratie-instellingen nodig om externe audio-uitvoer in te schakelen.
Notitie
Audio-uitvoer maakt gebruik van bandbreedte op uw internetverbinding.
Externe audio-uitvoer inschakelen op een Windows-VM:
- Nadat u verbinding hebt gemaakt met de virtuele machine, wordt rechtsonder op de werkbalk een audioknop weergegeven. Klik met de rechtermuisknop op de audioknop en selecteer Geluiden.
- In een pop-upbericht wordt gevraagd of u de Windows Audio-service wilt inschakelen. Selecteer Ja. U kunt meer audioopties configureren in geluidsvoorkeuren.
- Beweeg de muisaanwijzer over de audioknop op de werkbalk om de geluidsuitvoer te controleren.
Openbaar IP-adres van vm verwijderen
Azure Bastion gebruikt het openbare IP-adres niet om verbinding te maken met de client-VM. Als u het openbare IP-adres voor uw virtuele machine niet nodig hebt, kunt u het openbare IP-adres loskoppelen. Zie Een openbaar IP-adres loskoppelen van een Virtuele Azure-machine.
Volgende stappen
- Zie Werken met NSG's als u netwerkbeveiligingsgroepen wilt gebruiken met het Azure Bastion-subnet.
- Zie Peering van virtuele netwerken en Azure Bastion voor meer informatie over VNet-peering.