Share via

Bastion implementeren met Behulp van Azure PowerShell

  • Artikel

In dit artikel leest u hoe u Azure Bastion implementeert met behulp van PowerShell. Azure Bastion is een PaaS-service die voor u wordt onderhouden, niet een bastionhost die u op uw VIRTUELE machine installeert en uzelf onderhoudt. Een Azure Bastion-implementatie is per virtueel netwerk, niet per abonnement/account of virtuele machine. Zie Wat is Azure Bastion?

Zodra u Bastion in uw virtuele netwerk hebt geïmplementeerd, kunt u verbinding maken met uw VM's via een privé-IP-adres. Deze naadloze RDP-/SSH-ervaring is beschikbaar voor alle VM's in hetzelfde virtuele netwerk. Als uw VIRTUELE machine een openbaar IP-adres heeft dat u verder niet nodig hebt, kunt u deze verwijderen.

Diagram met Azure Bastion-architectuur.

In dit artikel maakt u een virtueel netwerk (als u er nog geen hebt), implementeert u Azure Bastion met behulp van PowerShell en maakt u verbinding met een virtuele machine. In de voorbeelden ziet u dat Bastion is geïmplementeerd met behulp van de Standard-SKU-laag, maar u kunt een andere Bastion-SKU gebruiken, afhankelijk van de functies die u wilt gebruiken. Zie Bastion-SKU's voor meer informatie.

U kunt Bastion ook implementeren met behulp van de volgende andere methoden:

Notitie

Het gebruik van Azure Bastion met Azure Privé-DNS zones wordt ondersteund. Er zijn echter beperkingen. Zie de veelgestelde vragen over Azure Bastion voor meer informatie.

Voordat u begint

Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

Powershell

In dit artikel worden PowerShell-cmdlets gebruikt. U kunt Azure Cloud Shell gebruiken om de cmdlets uit te voeren. Cloud Shell is een gratis interactieve shell die u kunt gebruiken om de stappen in dit artikel uit te voeren. In deze shell zijn algemene Azure-hulpprogramma's vooraf geïnstalleerd en geconfigureerd voor gebruik met uw account.

Als u Cloud Shell wilt openen, selecteert u Cloudshell openen in de rechterbovenhoek van een codeblok. U kunt Cloud Shell ook openen op een afzonderlijk browsertabblad door naar https://shell.azure.com/powershell. Selecteer Kopiëren om de codeblokken te kopiëren, plak deze in Cloud Shell en selecteer de Enter-toets om ze uit te voeren.

U kunt ook de Azure PowerShell-cmdlets lokaal op uw computer installeren en uitvoeren. PowerShell-cmdlets worden regelmatig bijgewerkt. Als u de meest recente versie niet hebt geïnstalleerd, kunnen de waarden in de instructies mislukken. Gebruik de Get-Module -ListAvailable Az cmdlet om de versies van Azure PowerShell te vinden die op uw computer zijn geïnstalleerd. Zie De Azure PowerShell-module installeren als u deze wilt installeren of bijwerken.

Voorbeeldwaarden

U kunt de volgende voorbeeldwaarden gebruiken bij het maken van deze configuratie, maar u kunt ze ook vervangen door uw eigen waarden.

Voorbeeld van VNet- en VM-waarden:

Naam Value
Virtuele machine TestVM
Resourcegroep TestRG1
Regio US - oost
Virtueel netwerk VNet1
Adresruimte 10.1.0.0/16
Subnetten FrontEnd: 10.1.0.0/24

Azure Bastion-waarden:

Naam Value
Naam VNet1-bastion
Subnetnaam FrontEnd
Subnetnaam AzureBastionSubnet
AzureBastionSubnet-adressen Een subnet in de adresruimte van het virtuele netwerk met een subnetmasker /26 of groter.
Bijvoorbeeld 10.1.1.0/26.
Laag/SKU Standaard
Openbaar IP-adres Nieuwe
Naam openbaar IP-adres VNet1-ip
Openbaar IP-adres SKU Standaard
Toewijzing Statisch

Bastion implementeren

Deze sectie helpt u bij het maken van een virtueel netwerk, subnetten en het implementeren van Azure Bastion met behulp van Azure PowerShell.

Belangrijk

De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

  1. Maak een resourcegroep, een virtueel netwerk en een front-endsubnet waarmee u de virtuele machines implementeert waarmee u verbinding maakt via Bastion. Als u PowerShell lokaal uitvoert, opent u uw PowerShell-console met verhoogde bevoegdheden en maakt u verbinding met Azure met behulp van de Connect-AzAccount opdracht.

    New-AzResourceGroup -Name TestRG1 -Location EastUS ` 
$frontendSubnet = New-AzVirtualNetworkSubnetConfig -Name FrontEnd `
-AddressPrefix "10.1.0.0/24" ` 
$virtualNetwork = New-AzVirtualNetwork `
-Name TestVNet1 -ResourceGroupName TestRG1 `
-Location EastUS -AddressPrefix "10.1.0.0/16" `
-Subnet $frontendSubnet ` 
$virtualNetwork | Set-AzVirtualNetwork

  2. Configureer en stel het Azure Bastion-subnet voor uw virtuele netwerk in. Dit subnet is exclusief gereserveerd voor Azure Bastion-resources. U moet dit subnet maken met de naamwaarde AzureBastionSubnet. Deze waarde geeft Azure aan op welk subnet de Bastion-resources moeten worden geïmplementeerd. In het voorbeeld in de volgende sectie kunt u een Azure Bastion-subnet toevoegen aan een bestaand VNet.

    Stel de variabele in.

    $vnet = Get-AzVirtualNetwork -Name "TestVNet1" -ResourceGroupName "TestRG1"

    Voeg het subnet toe.

    Add-AzVirtualNetworkSubnetConfig `
-Name "AzureBastionSubnet" -VirtualNetwork $vnet `
-AddressPrefix "10.1.1.0/26" | Set-AzVirtualNetwork

  3. Maak een openbaar IP-adres voor Azure Bastion. Het openbare IP-adres is het openbare IP-adres van de Bastion-resource waarop RDP/SSH wordt geopend (via poort 443). Het openbare IP-adres moet zich in dezelfde regio bevinden als de Bastion-resource die u maakt.

    $publicip = New-AzPublicIpAddress -ResourceGroupName "TestRG1" `
-name "VNet1-ip" -location "EastUS" `
-AllocationMethod Static -Sku Standard

  4. Maak een nieuwe Azure Bastion-resource in azureBastionSubnet met behulp van de opdracht New-AzBastion . In het volgende voorbeeld wordt de Basic-SKU gebruikt. U kunt Bastion echter ook implementeren met behulp van een andere SKU door de -SKU-waarde te wijzigen. De SKU die u selecteert, bepaalt de Bastion-functies en maakt verbinding met VM's met behulp van meer verbindingstypen. Zie Bastion-SKU's voor meer informatie.

    New-AzBastion -ResourceGroupName "TestRG1" -Name "VNet1-bastion" `
-PublicIpAddressRgName "TestRG1" -PublicIpAddressName "VNet1-ip" `
-VirtualNetworkRgName "TestRG1" -VirtualNetworkName "TestVNet1" `
-Sku "Basic"

  5. Het duurt ongeveer 10 minuten voordat de Bastion-resources zijn geïmplementeerd. U kunt in de volgende sectie een virtuele machine maken terwijl Bastion wordt geïmplementeerd in uw virtuele netwerk.

Een VM maken:

U kunt een virtuele machine maken met behulp van de quickstart: Een virtuele machine maken met behulp van PowerShell of quickstart: Een virtuele machine maken met behulp van de portalartikelen . Zorg ervoor dat u de VIRTUELE machine implementeert in hetzelfde virtuele netwerk waarop u Bastion hebt geïmplementeerd. De VM die u in deze sectie maakt, maakt geen deel uit van de Bastion-configuratie en wordt geen bastionhost. U maakt later in deze zelfstudie verbinding met deze VIRTUELE machine via Bastion.

De volgende vereiste rollen voor uw resources.

  • Vereiste VM-rollen:

    • De lezerrol op de virtuele machine.
    • De lezerrol op de NIC met het privé-IP-adres van de virtuele machine.

  • Vereiste binnenkomende poorten:

    • Voor Windows VMS - RDP (3389)
    • Voor Virtuele Linux-machines - SSH (22)

Verbinding maken met een virtuele machine

U kunt de Verbinding maken stappen in de volgende sectie gebruiken om verbinding te maken met uw virtuele machine. U kunt ook een van de volgende artikelen gebruiken om verbinding te maken met een virtuele machine. Voor sommige verbindingstypen is de Bastion Standard-SKU vereist.

stappen voor Verbinding maken ion

  1. Ga in Azure Portal naar de virtuele machine waarmee u verbinding wilt maken.

  2. Selecteer bovenaan het deelvenster Verbinding maken> Bastion om naar het Bastion-deelvenster te gaan. U kunt ook naar het deelvenster Bastion gaan met behulp van het linkermenu.

  3. De beschikbare opties in het Bastion-deelvenster zijn afhankelijk van de Bastion-SKU. Als u de Basic-SKU gebruikt, maakt u verbinding met een Windows-computer met behulp van RDP en poort 3389. Ook voor de Basic-SKU maakt u verbinding met een Linux-computer met behulp van SSH en poort 22. U hebt geen opties om het poortnummer of het protocol te wijzigen. U kunt echter de toetsenbordtaal voor RDP wijzigen door Verbinding maken ion-Instellingen uit te vouwen.

    Schermopname van azure Bastion-verbindingsinstellingen.

    Als u de Standard-SKU gebruikt, hebt u meer verbindingsprotocol- en poortopties beschikbaar. Vouw Verbinding maken ion Instellingen uit om de opties weer te geven. Normaal gesproken maakt u verbinding met een Windows-computer met behulp van RDP en poort 3389, tenzij u verschillende instellingen voor uw VIRTUELE machine configureert. U maakt verbinding met een Linux-computer met behulp van SSH en poort 22.

    Schermopname van uitgebreide verbindingsinstellingen.

  4. Voor verificatietype selecteert u in de vervolgkeuzelijst. Het protocol bepaalt de beschikbare verificatietypen. Voltooi de vereiste verificatiewaarden.

    Schermopname van de vervolgkeuzelijst voor verificatietype.

  5. Als u de VM-sessie op een nieuw browsertabblad wilt openen, laat u Openen in nieuw browsertabblad geselecteerd.

  6. Selecteer Verbinding maken om verbinding te maken met de virtuele machine.

  7. Controleer of de verbinding met de virtuele machine rechtstreeks in Azure Portal (via HTML5) wordt geopend met behulp van poort 443 en de Bastion-service.

    Schermopname van een computercomputer met een geopende verbinding via poort 443.

    Notitie

    Wanneer u verbinding maakt, ziet het bureaublad van de VIRTUELE machine er anders uit dan in de voorbeeldschermafbeelding.

Als u sneltoetsen gebruikt terwijl u bent verbonden met een virtuele machine, leidt dit mogelijk niet tot hetzelfde gedrag als sneltoetsen op een lokale computer. Als u bijvoorbeeld vanaf een Windows-client verbinding hebt met een Virtuele Windows-machine, is Ctrl+Alt+End de sneltoets voor Ctrl+Alt+Delete op een lokale computer. Als u dit wilt doen vanaf een Mac terwijl u bent verbonden met een Virtuele Windows-machine, is de sneltoets Fn+Ctrl+Alt+Backspace.

Audio-uitvoer inschakelen

U kunt externe audio-uitvoer voor uw virtuele machine inschakelen. Sommige VM's schakelen deze instelling automatisch in, terwijl andere vereisen dat u audio-instellingen handmatig inschakelt. De instellingen worden op de VIRTUELE machine zelf gewijzigd. Uw Bastion-implementatie heeft geen speciale configuratie-instellingen nodig om externe audio-uitvoer in te schakelen.

Notitie

Audio-uitvoer maakt gebruik van bandbreedte op uw internetverbinding.

Externe audio-uitvoer inschakelen op een Windows-VM:

  1. Nadat u verbinding hebt gemaakt met de virtuele machine, wordt rechtsonder op de werkbalk een audioknop weergegeven. Klik met de rechtermuisknop op de audioknop en selecteer Geluiden.
  2. In een pop-upbericht wordt gevraagd of u de Windows Audio-service wilt inschakelen. Selecteer Ja. U kunt meer audioopties configureren in geluidsvoorkeuren.
  3. Beweeg de muisaanwijzer over de audioknop op de werkbalk om de geluidsuitvoer te controleren.

Openbaar IP-adres van vm verwijderen

Azure Bastion gebruikt het openbare IP-adres niet om verbinding te maken met de client-VM. Als u het openbare IP-adres voor uw virtuele machine niet nodig hebt, kunt u het openbare IP-adres loskoppelen. Zie Een openbaar IP-adres loskoppelen van een Virtuele Azure-machine.

Volgende stappen