Bastion implementeren met behulp van Azure CLI

In dit artikel leest u hoe u Azure Bastion implementeert met behulp van CLI. Azure Bastion is een PaaS-service die voor u wordt onderhouden, niet een bastionhost die u op uw VIRTUELE machine installeert en uzelf onderhoudt. Een Azure Bastion-implementatie is per virtueel netwerk, niet per abonnement/account of virtuele machine. Zie Wat is Azure Bastion?

Zodra u Bastion in uw virtuele netwerk hebt geïmplementeerd, kunt u verbinding maken met uw VM's via een privé-IP-adres. Deze naadloze RDP-/SSH-ervaring is beschikbaar voor alle VM's in hetzelfde virtuele netwerk. Als uw VIRTUELE machine een openbaar IP-adres heeft dat u verder niet nodig hebt, kunt u deze verwijderen.

In dit artikel maakt u een virtueel netwerk (als u er nog geen hebt), implementeert u Azure Bastion met behulp van CLI en maakt u verbinding met een virtuele machine. U kunt Bastion ook implementeren met behulp van de volgende andere methoden:

• Azure-portal
• Azure PowerShell
• Quickstart: implementeren met standaardinstellingen

Notitie

Het gebruik van Azure Bastion met Azure Privé-DNS zones wordt ondersteund. Er zijn echter beperkingen. Zie de veelgestelde vragen over Azure Bastion voor meer informatie.

Voordat u begint

Azure-abonnement

Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

Azure-CLI

In dit artikel wordt de Azure CLI gebruikt. Als u opdrachten wilt uitvoeren, kunt u Azure Cloud Shell gebruiken. Azure Cloud Shell is een gratis interactieve shell waarmee u de stappen in dit artikel kunt uitvoeren. In deze shell zijn algemene Azure-hulpprogramma's vooraf geïnstalleerd en geconfigureerd voor gebruik met uw account.

Als u Cloud Shell wilt openen, selecteert u Proberen in de rechterbovenhoek van een codeblok. U kunt Cloud Shell ook starten in een afzonderlijk browsertabblad door naar https://shell.azure.com de vervolgkeuzelijst in de linkerhoek te gaan en in te schakelen om Bash of PowerShell weer te geven. Klik op Kopiëren om de codeblokken te kopiëren, plak deze in Cloud Shell en druk vervolgens op Enter om de code uit te voeren.

Bastion implementeren

Deze sectie helpt u bij het implementeren van Azure Bastion met behulp van Azure CLI.

Belangrijk

De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

1. Als u nog geen virtueel netwerk hebt, maakt u een resourcegroep en een virtueel netwerk met behulp van az group create en az network vnet create.

   az group create --name TestRG1 --location eastus
   

   az network vnet create --resource-group TestRG1 --name VNet1 --address-prefix 10.1.0.0/16 --subnet-name default --subnet-prefix 10.1.0.0/24
   

2. Gebruik az network vnet subnet create om het subnet te maken waarnaar Bastion wordt geïmplementeerd. Het subnet dat u maakt, moet de naam AzureBastionSubnet hebben. Dit subnet is exclusief gereserveerd voor Azure Bastion-resources. Als u geen subnet met de naamgevingswaarde AzureBastionSubnet hebt, wordt Bastion niet geïmplementeerd.

   • De kleinste grootte van het subnet AzureBastionSubnet die u kunt maken, is /26. U wordt aangeraden een /26 of groter formaat te maken voor het schalen van de host.
     • Zie Configuratie-instellingen - Host schalen voor meer informatie over schalen.
     • Zie Configuratie-instellingen - AzureBastionSubnet voor meer informatie over instellingen.
   • Maak het AzureBastionSubnet zonder routetabellen of delegaties.
   • Als u netwerkbeveiligingsgroepen in het AzureBastionSubnet gebruikt, raadpleegt u het artikel Werken met NSG's .

   az network vnet subnet create --name AzureBastionSubnet --resource-group TestRG1 --vnet-name VNet1 --address-prefix 10.1.1.0/26
   

3. Maak een openbaar IP-adres voor Azure Bastion. Het openbare IP-adres is het openbare IP-adres van de Bastion-resource waarop RDP/SSH wordt geopend (via poort 443). Het openbare IP-adres moet zich in dezelfde regio bevinden als de Bastion-resource die u maakt. Let daarom vooral op de --location waarde die u opgeeft.

   az network public-ip create --resource-group TestRG1 --name VNet1-ip --sku Standard --location eastus
   

4. Gebruik az network bastion create om een nieuwe Azure Bastion-resource te maken voor uw virtuele netwerk. Het duurt ongeveer 10 minuten voordat de Bastion-resource is gemaakt en geïmplementeerd.

   In het volgende voorbeeld wordt Bastion geïmplementeerd met behulp van de Basic SKU-laag. U kunt ook implementeren met behulp van andere SKU's. De SKU bepaalt welke functies uw Bastion-implementatie ondersteunt. Als u geen SKU opgeeft in uw opdracht, wordt de SKU standaard ingesteld op Standard. Zie Bastion-SKU's voor meer informatie.

   az network bastion create --name VNet1-bastion --public-ip-address VNet1-ip --resource-group TestRG1 --vnet-name VNet1 --location eastus --sku Basic
   

Verbinding maken met een virtuele machine

Als u nog geen VM's in uw virtuele netwerk hebt, kunt u een VIRTUELE machine maken met behulp van quickstart: Een Virtuele Windows-machine maken of quickstart: Een Virtuele Linux-machine maken

U kunt een van de volgende artikelen of de stappen in de volgende sectie gebruiken om verbinding te maken met een virtuele machine. Voor sommige verbindingstypen is de Bastion Standard-SKU of hoger vereist.

• Verbinding maken met een Windows-VM
  • RDP
  • SSH
• Verbinding maken met een Virtuele Linux-machine
  • SSH
• Verbinding maken met een schaalset
• Verbinding maken via IP-adres
• Verbinding maken vanaf een systeemeigen client
  • Windows-client
  • Linux/SSH-client

Verbinding maken via de portal

In de volgende stappen doorloopt u één type verbinding met behulp van Azure Portal.

1. Ga in Azure Portal naar de virtuele machine waarmee u verbinding wilt maken.

2. Selecteer Bovenaan het deelvenster Verbinding maken>met Bastion om naar het deelvenster Bastion te gaan. U kunt ook naar het deelvenster Bastion gaan met behulp van het linkermenu.

3. De beschikbare opties in het Bastion-deelvenster zijn afhankelijk van de Bastion-SKU. Als u de Basic-SKU gebruikt, maakt u verbinding met een Windows-computer met behulp van RDP en poort 3389. Ook voor de Basic-SKU maakt u verbinding met een Linux-computer met behulp van SSH en poort 22. U hebt geen opties om het poortnummer of het protocol te wijzigen. U kunt echter de toetsenbordtaal voor RDP wijzigen door verbindingsinstellingen uit te vouwen.

   

   Als u de Standard-SKU gebruikt, hebt u meer verbindingsprotocol- en poortopties beschikbaar. Vouw Verbindingsinstellingen uit om de opties weer te geven. Normaal gesproken maakt u verbinding met een Windows-computer met behulp van RDP en poort 3389, tenzij u verschillende instellingen voor uw VIRTUELE machine configureert. U maakt verbinding met een Linux-computer met behulp van SSH en poort 22.

   

4. Voor verificatietype selecteert u in de vervolgkeuzelijst. Het protocol bepaalt de beschikbare verificatietypen. Voltooi de vereiste verificatiewaarden.

   

5. Als u de VM-sessie op een nieuw browsertabblad wilt openen, laat u Openen in nieuw browsertabblad geselecteerd.

6. Selecteer Verbinding maken om verbinding te maken met de virtuele machine.

7. Controleer of de verbinding met de virtuele machine rechtstreeks in Azure Portal (via HTML5) wordt geopend met behulp van poort 443 en de Bastion-service.

   

   Notitie

   Wanneer u verbinding maakt, ziet het bureaublad van de VIRTUELE machine er anders uit dan in de voorbeeldschermafbeelding.

Als u sneltoetsen gebruikt terwijl u bent verbonden met een virtuele machine, leidt dit mogelijk niet tot hetzelfde gedrag als sneltoetsen op een lokale computer. Als u bijvoorbeeld vanaf een Windows-client verbinding hebt met een Virtuele Windows-machine, is Ctrl+Alt+End de sneltoets voor Ctrl+Alt+Delete op een lokale computer. Als u dit wilt doen vanaf een Mac terwijl u bent verbonden met een Virtuele Windows-machine, is de sneltoets fn+control+option+delete.

Audio-uitvoer inschakelen

U kunt externe audio-uitvoer voor uw virtuele machine inschakelen. Sommige VM's schakelen deze instelling automatisch in, terwijl andere vereisen dat u audio-instellingen handmatig inschakelt. De instellingen worden op de VIRTUELE machine zelf gewijzigd. Uw Bastion-implementatie heeft geen speciale configuratie-instellingen nodig om externe audio-uitvoer in te schakelen.

Notitie

Audio-uitvoer maakt gebruik van bandbreedte op uw internetverbinding.

Externe audio-uitvoer inschakelen op een Windows-VM:

1. Nadat u verbinding hebt gemaakt met de virtuele machine, wordt rechtsonder op de werkbalk een audioknop weergegeven. Klik met de rechtermuisknop op de audioknop en selecteer Geluiden.
2. In een pop-upbericht wordt gevraagd of u de Windows Audio-service wilt inschakelen. Selecteer Ja. U kunt meer audioopties configureren in geluidsvoorkeuren.
3. Beweeg de muisaanwijzer over de audioknop op de werkbalk om de geluidsuitvoer te controleren.

Openbaar IP-adres van vm verwijderen

Azure Bastion gebruikt het openbare IP-adres niet om verbinding te maken met de client-VM. Als u het openbare IP-adres voor uw virtuele machine niet nodig hebt, kunt u het openbare IP-adres loskoppelen. Zie Een openbaar IP-adres loskoppelen van een Virtuele Azure-machine.

Volgende stappen

• Zie Werken met NSG's als u netwerkbeveiligingsgroepen wilt gebruiken met het Azure Bastion-subnet.
• Zie VNet-peering en Azure Bastion voor meer informatie over VNet-peering.